2014年7月19日土曜日

AirMacを使って店舗用ゲストネットワークを利用する

AirMac Time Capsuleを使って店舗用ゲストネットワークを構築してみた。

ハマりポイントは以下の2点
  1. ブリッジモードではゲストネットワークを利用できない
  2. 2重(多段)NAT構成の場合、上位のネットワークと分けることができない
2Fに光フレッツが引き込まれていて、2Fが事務所で1Fが店舗となっている。2Fから1Fへ物理的にLANケーブルを引っ張り(PLC接続でも構わない)、2Fと1Fで同じ回線を共用する。2Fのルーターはフレッツ光標準のPR-500KIを利用している。

AirMacに付属する説明書には、ゲストネットワークはブリッジモードでは使えないとは書かれていない。どうやってもゲストネットワークを有効にできず、かなりの時間を費やしてしまった。ゲストネットワークを使うにはルーターモード必須だ。

希望としては2Fと1Fをブリッジモードで接続し、1FゲストネットワークだけをNAT接続でセグメント分けができる機能が欲しかった。それができれば理想的な環境が構築できた。

2F事務所(2Fアクセスポイント)のネットワーク機器が1Fゲストネットワークから見えてしまうのは問題がある。正攻法ではスイッチを使うことになるのだろうが、今回はAirMac2台を使ってセグメント分けをしてネットワークを分けている。

AirMacを2台(AirMac ExtremeとAirMac Time Capsule)準備しなければいけないので費用が嵩むが、1Fゲストネットワークから内部を見られてしまっては困るので致し方ないところだ。

問題があるネットワーク環境

この環境で、AirMacの設定をWAN側(図では192.168.1.1側)からのアクセスをONにすれば、2FでもTime Capsuleとして利用できる。設定次第では2FからもTime Capsuleの設定が可能だ。自宅で利用するのであれば、この構成でも全く問題はない。但し、2Fから1Fの機器へはアクセスできない。

セキュアなネットワーク環境

この環境では、AirMacの設定をWAN側(図では192.168.1.1側)からのアクセスをOFFにしておく。

構成のポイントとしては、上位ルーター(192.168.1.1)に有線・無線問わず直接機器をぶら下げていないこと。ここにぶら下げた機器は全てのネットワークから参照が可能となる。当然のことながら、PR-500KI(192.168.1.1)の管理用パスワードは標準のものから変更しておく。そうしなければ、不特定多数の者から設定を変更されてしまうリスクを抱えることになる。

ネットワークを分けるのが目的とはいえ、ルーターばかりの構成であまり美しくない。機能的には問題がないので今回はよしとする。

0 件のコメント:

コメントを投稿

 
;