Captive Portal機能
1. 概要
Captive Portalを使用すると、無線端末がアクセスポイントに接続したときに指定したWebページ(Captive Portalページ)で認証を行うまでネットワークへのアクセスを遮断できます。
使用される環境に合わせてCaptive Portalページで使用する画像ファイルや表示するメッセージを設定できます。
本製品は3つまでCaptive Portalページを作成できます。
2. 注意事項
-
Captive Portal機能は仮想コントローラー(リーダーAP)で動作します。フォロワーAPに接続されている無線端末がCaptive Portalページを開いたときは、自動的にリーダーAPに転送され処理されます。
-
Captive Portal機能を使用するためには、Captive Portalページ表示用のIPアドレスが必要になります。仮想コントローラーと同一のVLANを使用するときは、[基本設定] - [クラスター設定]で設定されるIPアドレスが使用されます。
-
Captive Portalページ表示用のIPアドレスはリーダーAPでのみ使用します。フォロワーAPは追加のIPアドレスを使用しません。
-
本製品は無線端末のHTTPアクセスを検出し認証ページを表示します。無線端末のHTTPSアクセスには対応していません。
-
無線端末のキャプティブポータル検出機能(無線LAN接続時に自動的にCaptive Portalページが開く機能)が正常に動作するためには、Captive Portal機能を有効にしたVLANで無線端末がインターネットに接続できる必要があります。
-
Captive Portalページで使用できる画像ファイルはJPEG形式もしくはPNG形式で2048Kバイト以下のファイルです。
-
Captive Portalページの利用規約はUTF-8のテキストファイルで100Kバイト以下のファイルを使用できます。
-
画像ファイルや利用規約のデータは、YNOで同グループとして設定されていても共有されません。
3. 対応ファームウェアリビジョン
このページで説明する内容は、以下のファームウェアを対象としています。
モデル | ファームウェア |
---|---|
WLX212 |
Rev.21.00.02以降 |
WLX413 |
Rev.22.00.01以降 |
WLX222 |
Rev.24.00.01以降 |
WLX322 |
Rev.25.00.02以降 |
WLX323 |
Rev.25.01.02以降 |
4. 詳細
Captive Portal機能は無線端末がアクセスポイントに接続したとき、指定したWebページ(Captive Portalページ)で認証を行うまでDHCPおよびDNS以外のデータ通信を遮断します。
データ通信遮断中はCaptive Portal機能は無線端末のHTTPアクセスを待ち受け、HTTPアクセスが検出されると無線端末にCaptive Portalページを開くようにHTTPアクセスの転送を行います。
無線端末がCaptive Portalページを表示し「接続」ボタンをクリックすると、本製品は無線端末の通信遮断を解除します。
また通信遮断解除後に、無線端末に指定したWebページに自動的に転送することもできます。
Captive Portalページは使用される環境に合わせて画像ファイルや表示するメッセージを変更できます。
本製品は3つまでCaptive Portalページを作成することができます。
4.1. Captive Portalのセキュリティ機能
4.1.1. 再認証間隔の設定
無線端末がCaptive Portalページで「接続」ボタンをクリックすると、設定された時間が経過するまでネットワークへのアクセスが行えます。
「接続」ボタンをクリックした無線端末は、再認証間隔で設定された時間内であればアクセスポイントから切断し再接続を行っても、Captive Portalページが表示されることはありません。
設定された時間が経過すると無線端末の通信は遮断されます。
再認証間隔はCaptive Portalページごとに1分から1440分の値を設定できます。
4.1.2. ローカルネットワークのアクセス制限
ネットワーク接続が行える状態となった無線端末が同一ネットワークにあるホストへのIPアクセスを制限できます。
たとえば無線端末がゲートウェイルーターの設定GUIやネットワークプリンターなどにアクセスすることを禁止したいときに使用します。
ゲスト用ネットワークを構築するためにCaptive Portalページを使用するときは、ゲスト用VLANを定義し使用することが望ましいですが、上位ルーターなどの制限により同一VLANにゲストを収容しなければならないときはアクセス制限を行ってください。
4.1.3. 無線LANセキュリティ機能との併用
Captive Portal機能は、VAPで設定する認証機能やプライバシーセパレータ機能と併用できます。
Captive Portalページをゲストアクセス用に使用するときは、プライバシーセパレータ機能を有効にすることで無線端末間の通信を禁止できます。
また、ゲストアクセスであっても接続するユーザーを制限したいときはWPA3-SAEやWPA2-PSKを使用し、PSKを知っているゲストユーザーのみに接続を制限できます。
認証方式 Enhanced Openを併用すると、無線端末にPSKを設定することなく通信を暗号化することができるため、ゲストユーザーの通信が解読される可能性を下げることができます。
4.2. クラスター管理機能での動作
本製品でCaptive Portal機能を使用するとき、Captive Portalページは仮想コントローラー上で動作します。
フォロワーAPのCaptive Portal機能が有効になったVAPに無線端末が接続すると、フォロワーAPのCaptive Portal機能が無線端末のHTTPアクセスを検出し、仮想コントローラーのCaptive Portalページへ転送を行います。
仮想コントローラーのCaptive Portalページで「接続」ボタンがクリックされ無線端末の接続が許可されると、仮想コントローラーは無線端末の接続許可情報をクラスター内のAPに通知します。
通知を受けたAPは設定された有効時間の間、「接続」ボタンをクリックした無線端末の接続を許可する状態にします。
つまりクラスター内のAP間で無線端末がローミングしても、無線端末は有効時間内であれば再認証を行うことなくネットワークアクセスが行えます。
5. 設定・操作方法
Captive Portal機能を利用するための手順を以下に示します。
-
Captive Portalページを設定する
-
設定したCaptive Portalページをプレビューする
-
Captive Portal機能を使用するVAPを設定する
-
設定送信を行う
-
接続確認を行う
5.1. Captive Portalページを設定する
仮想コントローラーのWeb GUI [拡張機能]-[キャプティブポータル] を開き、「新しいページを追加する」の「追加」ボタンをクリックし、設定ページを開きます。
動作設定のVLAN IDに[基本設定]-[LANポート設定]ページのネットワーク設定と異なるVLAN IDを設定すると「Captive Portalページのアドレス」入力欄が表示されます。
ここでは以下の内容を変更して [設定] ボタンを押します。
-
動作設定
-
再認証間隔 : 120 分
-
アクセス制限 : ローカルネットワークへのIPアクセスを制限する
-
-
ページ内容
-
ロゴファイルを選択
-
タイトル : WLX Free Access
-
メッセージ : ようこそ!
-
メールアドレス入力 : メールアドレスの入力を必須にする
-
5.2. Captive Portalページをプレビューする
仮想コントローラーのWeb GUI [拡張機能]-[キャプティブポータル] より、設定したCaptive Portalページのプレビューを行うことができます。[プレビュー]ボタンをクリックすると、無線端末が接続したときに転送されるCaptive Portalページが表示されます。設定内容に誤りが無いか確認を行い、設定に誤りがあった場合は[編集]ボタンをクリックし、設定を変更してください。
5.3. Captive Portal機能を使用するVAPを設定する
仮想コントローラーのWeb GUI [無線設定]-[共通]-[SSID 管理] を開き、VAPの追加をクリックします。
Captive Portalを使用するためには、Captive Portalページで設定されたVLAN IDとVAPで設定されたVLAN IDが同じになっている必要があります。
例として以下の内容を入力して [設定] ボタンを押します。
-
インターフェース動作モード : vap
-
バインドする無線モジュール : 2.4GHz 5GHz(1) 5GHz(2) 6GHz(1)
-
SSID : WLX-CP
-
次の場合SSIDを有効にする : 常に
-
VLAN ID : 1
-
Captive Portalの使用 : 使用する (Captive Portal 1)
-
認証方式 : WPA3-SAE
-
PSK (事前共有鍵) : 任意の文字列
5.4. 設定送信を行う
設定した内容を反映させるために設定送信を行います。
仮想コントローラーの[設定送信] - [設定送信] を開き、 [送信] ボタンを押します。
6. SYSLOG メッセージ一覧
以下の文書を参照してください。