1. 概要

本製品には無線LANアクセスポイント(AP) 機能があります。
1台のAPをあたかも複数のAPであるかのように動作する機能として Virtual Access Point (VAP) があり、本製品では、1台で最大4個のVAPを作成することが可能です。
すなわち本製品1台で4台のAPであるかのように動作できます。

2. 注意事項

VAPで実現できること

  • VAP毎に異なったSSIDを設定すること

  • VAP毎に異なったセキュリティー(認証方式/暗号化方式)を設定すること

VAPで実現できないこと

  • VAP毎に異なったチャンネルで動作すること

  • VAP毎に無線モード(11b/11b+g/11b+g+n/11b+g+n+ax/11a/11a+n/11a+n+ac/11a+n+ac+ax)を変えること

  • VAP毎に送信出力を変えること

WPA3-Enterprise、WPA2-Enterprise

  • EAP-PEAPのみ対応

  • 外部RADIUSサーバーを利用不可

WPS機能

  • VAP4でのみ動作

  • 対応するセキュリティー

    • WPA2-PSK

    • Open

  • 工場出荷状態で設定済

    • 不要な場合は無効化が必要

  • 有効であるとき、常にSSIDを通知

VAPの設定を変更すると、無線LANによる接続を切断します。
ご注意ください。

3. 対応ファームウェアリビジョン

このページで説明する内容は、以下のファームウェアを対象としています。

モデル ファームウェア

NWR100

Rev.26.00.04以降

4. VAPの設定

VAPの設定は Web GUIの [無線LANの設定] ページから設定します。

無線LANの設定
無線LANの設定

4.1. セキュリティーの設定

VAP1の設定からVAP4の設定の中の「設定」ボタンを押して、以下の設定画面に遷移します。
VAPで使用するセキュリティーを選択し、「次へ」ボタンを押します。
セキュリティーは上位にあるものほど安全性が高く、使用を推奨します。

セキュリティーの設定
セキュリティーの設定

4.2. SSIDの設定

SSIDの設定の入力内容は、選択したセキュリティーに応じて変わります。
設定可能なパラメータの範囲も変わるので、ご注意ください。
「次へ」ボタンを押すと、入力内容の確認画面へ遷移します。

SSIDの設定
SSIDの設定

4.3. 入力内容の確認

設定内容に問題が無いことを確認し、「設定の確定」ボタンをクリックするとVAPを利用できるようになります。

入力内容の確認
入力内容の確認

5. セキュリティー

5.1. WPA セキュリティファミリー

WPA (Wi-Fi Protected Access) セキュリティーファミリーはWi-Fi Allianceが定義したセキュリティー規格です。これまで3世代の規格が発表され使用されています。

Personalと表記される規格は、あらかじめAPと無線端末でPSKを設定することでパスワードを知っているユーザーのみにAPへの接続を制限します。また、パスワードを使用し、通信に使用する暗号化鍵を生成し使用します。

Enterpriseと表記される規格は、ユーザー認証にIEEE802.1X(RADIUSサーバーを使用したユーザー認証)を使用します。また、暗号化鍵の生成にはRADIUSサーバーが通知する値を使用します。本製品はRADIUSサーバーを内蔵しており、別途RADIUSサーバーを用意することなく強力な認証機能を利用可能です。

以下に定義されるWPAモードをまとめます。なお()内は本製品の設定画面で表示される表記になります。

WPAセキュリティー規格と設定画面での表記
第1世代 第2世代 第3世代

WPA-Personal(対応せず)

WPA2-Personal(WPA2-PSK)
WPA/WPA2-Personal(対応せず)

WPA3-Personal(WPA3-SAE)
WPA3-SAE Transition Mode (WPA2-PSK / WPA3-SAE)

WPA-Enterprise(対応せず)

WPA2-Enterprise(WPA2-EAP)
WPA/WPA2-Enterprise(対応せず)

WPA3-Enterprise(WPA3-EAP)

5.1.1. WPA

第1世代であるWPA-PersonalおよびWPA-Enterpriseで使用されている暗号化方式TKIPは既に脆弱であることが判明しているため、本製品では対応していません。

5.1.2. WPA2

第2世代であるWPA2-PersonalおよびWPA2-Enterpriseは現在もっとも使用されているセキュリティー規格であると考えられます。2006年以降のWi-Fi認証を取得した機器はWPA2の実装が必須とされています。
WPA2は2017年10月に脆弱性(KRACKs)が発見されています。本製品は対策済ですので、ご安心してお使いいただけます。一方、無線端末も対策が必要となりますのでご利用される無線端末機器メーカーの対応状況をご確認ください。

5.1.3. WPA3

第3世代であるWPA3-PersonalおよびWPA3-Enterpriseは、2018年に発表された最新のセキュリティー規格です。WPA3はWPA2の使い勝手をそのままに、WPA2では実装がオプション項目であったPMF(管理フレーム暗号化機能)を必須機能と変更するなど、より安全性を高めたセキュリティー規格になります。

WPA3-Personalは通信に使用する暗号鍵の導出手順を変更し、WPA2-Personalと同等の使い勝手でより安全に使用することができます。また「暗号鍵の導出手順を変更した」という点からもわかるとおり、WPA3-Personalの設定を行ったAPにはWPA2-Personalの無線端末は接続することができません。ただしWPA2-PersonalとWPA3-Pesonalの端末を同時に使用する環境のために、"WPA3-SAE Transition Mode"と呼ばれる後方互換性を持つモードが用意されています。

WPA3-EnterpriseはWPA2-Enterpriseの機能に加え、 より強固な暗号機能を使用する"192bitセキュリティー"モードが新たに定義されています。このモードは本製品では対応していません。「192bit暗号」が無効な状態であればWPA2-Enterpriseに対応した無線端末はWPA3-EnterpriseのAPに接続できます。そのため、WPA3-EnterpriseにはWPA2-Enterpriseとの互換モードは定義されていません。

5.2. Enhanced Open

Enhanced OpenとはWi-Fi Allianceが定義したセキュリティー規格です。
セキュリティー設定を "Open" に設定すると、無線端末はSSIDを選択するだけでパスワードなどで認証することなく無線LANに接続することができます。
しかし、"Open" はユーザーの使い勝手は良いものの、APと無線端末間の通信が暗号化されません。

Enhanced Openは「SSIDを選択するだけでパスワードなどで認証することなく無線LANに接続することができる」という使い勝手をそのままに、さらにAPと無線端末間の通信を暗号化できるセキュリティー規格です。

Enhanced Openはゲストユーザーに無線LAN接続を開放するときなど、接続するユーザーを事前に制限できない環境に適したセキュリティー機能になります。
接続するユーザーを制限したいときは、WPA3-SAEなど他のセキュリティー方式を利用されることをおすすめします。 

 Enhanced Openモードを使用するときは、無線AP側でSSIDを非通知にする設定をしていても、Enhanced Openに対応した無線端末側で、接続可能なSSIDのリストに当該SSIDが表示される場合があります。
これは本製品が後述する"OWE Transition mode"をサポートしていることに起因するものであり、ビーコン内にSSIDの情報を入れて送信することが無線LANの規格で規定されているため、この動作については無線APの設定では回避することはできません。

5.3. セキュリティーの設定

5.3.1. WPA3-SAE、WPA3-SAE / WPA2-PSK、WPA2-PSKの設定

本製品でWPA3-SAE(WPA3-Personal)やWPA2-SAE(WPA2-Personal)を使用するとき、以下の注意点があります。

  • PSK (事前共有鍵)の設定可能範囲

    • WPA3-SAE

      • 半角英数字記号 8-128文字

    • WPA2-PSK / WPA3-SAE または WPA2-PSK

      • 半角英数字記号 8-63文字まで

  • 常にAESを使用する

悪意のあるユーザーにPSK (事前共有鍵)の設定文字列を知られてしまうと、悪意のあるユーザーからの接続を拒絶することはできません。
PSK (事前共有鍵)には可能な限り予測可能な単純な文字列を避け、長い文字列を設定することをおすすめします。

5.3.2. WPA3-Enterprise、WPA2-Enterprise の設定

本製品でWPA3-EAP(WPA3-Enterprise)またはWPA2-EAP(WPA2-Enterprise)を使用するとき、以下の注意点があります。

  • EAP-PEAPのみ利用できます

  • 外部RADIUSサーバーを利用できません

6. ゲストWi-Fiの設定

ゲストWi-Fi機能を使用すると、当該VAPに接続した無線端末は他のVAPに接続した場合とは別のネットワークに属することになります。
このネットワークは、インターネット抜けすることしかできません。
また、プライバシーセパレーター機能が自動的に有効になり、当該VAPに接続した無線端末間の通信を禁止します。プライバシーセパレーター機能を無効にすることはできません。

ゲストWi-FIの設定は Web GUIの [無線LANの設定] ページから設定します。

無線LANの設定
無線LANの設定

6.1. セキュリティーの設定

VAP1の設定からVAP4の設定の中の「設定」ボタンを押して、以下の設定画面に遷移します。
VAPで使用するセキュリティーを選択し、「次へ」ボタンを押します。
セキュリティーは上位にあるものほど安全性が高く、使用を推奨します。

セキュリティーの設定
セキュリティーの設定

6.2. SSIDの設定

SSIDの設定の入力内容は、選択したセキュリティーに応じて変わります。
設定可能なパラメータの範囲も変わるので、ご注意ください。
「次へ」ボタンを押すと、入力内容の確認画面へ遷移します。

SSIDの設定の中で、ゲストWi-Fiを使用するに変更します。
ゲストネットワークは、LANのネットワークとは 異なるネットワーク を指定してください。

SSIDの設定
SSIDの設定

6.3. 入力内容の確認

設定内容に問題が無いことを確認し、「設定の確定」ボタンをクリックするとゲストWi-Fi機能を有効にしたVAPを利用できます。

入力内容の確認
入力内容の確認

7. WPSの設定

WPS (Wi-Fi Protected Setup) は 無線子機のWPA2セキュリティー設定をかんたん・手軽に設定するための機能です。WPS機能を搭載する本製品はプッシュボタン方式に対応しています。
本製品と無線端末のボタンを押すことで接続・およびセキュリティー設定を完了することができます。

WPS機能を実行しているときのインジケータ―表示は、 インジケータ―表示 ページを参照してください。

8. 初期セキュリティー設定 (プリセット設定)

本製品は工場出荷時設定で起動すると、VAP4にSSID / セキュリティー設定を自動的に設定します。認証方式は WPA2-PSK を自動的に選択します。自動設定されたVAPが不要であるときは、VAP4の設定を削除してください。自動設定されるSSIDやパスワードは以下のルールで決定します。

SSIDやセキュリティー設定を変更した状態でもWPS機能を利用できます。WPS機能を利用するときはいくつか機能制限があります。注意事項を確認し、VAP4の設定を行ってください。

8.1. SSID

自動設定するSSIDは以下のルールに従い決定します。 

SSID = 接頭語 + 変数

接頭語: "doremi-"
変数: 本製品のLANインターフェースの MACアドレスの下位3バイト。英字は小文字で表現したもの。

例として、本製品のLANインターフェースのMACアドレスが "F4:D5:80:00:11:AA" であるとき以下のSSIDとなります。 

SSID: doremi-0011aa
初期SSID (VAP4)
初期SSID (VAP4)

8.2. パスワード

自動設定するパスワードは本製品の製品ラベルに記載されたものを使用します。 

パスワード: 製品ラベルの "パスワード"

パスワードは製品のラベル、もしくはWeb GUI上から確認することができます。