設定と管理の方法
5. 設定と管理の方法
本章では、設定や管理に使う機能について説明します。
| 項目 | 設定や管理に使う機能(前提知識) |
|---|---|
|
想定するネットワーク構成の概要 |
|
|
Web GUI設定やコンソール設定 |
|
|
プログラムや設定情報とその保存領域 |
|
|
システム動作状態のログ(SYSLOG) |
|
|
ユーザー、機器、接続ホストのアクセス管理 |
5.1. 本ガイドで想定するネットワーク環境
本製品の設定機能の説明で想定するネットワーク構成について説明します。
| ネットワーク | 本ガイドにおける説明の役割 | ||
|---|---|---|---|
|
グローバル・
|
いわゆる「インターネット」のことで、誰でもアクセスできる、世界に開かれたネットワークのことです。生活空間に置き換えて例えると、屋外のようなものです。
|
||
|
プライベート・
|
自宅や社内などの閉ざされた(限定された)ネットワークです。生活空間に置き換えて例えると、屋内や職場(オフィス)のようなものです。
|
||
|
ゲスト・
|
自宅や職場に来訪された方にインターネット接続環境を提供できるネットワークです。 生活空間間に置き換えて例えると、玄関先や応接間、応接ロビーのようなものです。
|
| インターフェース | 本ガイドにおける説明の役割 |
|---|---|
|
無線LAN |
|
|
Wi-Fi |
無線LAN製品のうち「Wi-Fi Alliance」が定める規格を満たした製品に付与される認定です。無線LANとほぼ同義で使われます。 |
|
有線LAN |
|
|
LANポート |
LAN接続に利用する有線LANポートです。LANは、Local Area Networkの略です。
|
|
WANポート |
WAN接続に利用する有線LANポートです。WANは、Wide Area Networkの略です。
|
|
VAP1 |
|
|
VAP2 |
初期設定されていません。 |
|
VAP3 |
初期設定されていません。
|
|
VAP4 |
初期設定されています。
|
|
ゲストWi-Fi |
| ユーザー | 本ガイドにおける説明の役割 | ||
|---|---|---|---|
|
ユーザー登録 |
本製品に登録するユーザーは2種類あり、「設定ユーザー」と「接続ユーザー」を書き分けます。 |
||
|
設定ユーザー |
本製品のWeb GUIやコンソールへログインするユーザーです。アクセスレベルは、「管理ユーザー」と「一般ユーザー」があります。
|
||
|
接続ユーザー |
ユーザー認証機能により無線LANやリモートアクセスVPNで接続するユーザーです。
|
5.1.1. 活用ガイドで紹介するネットワーク環境
| 項目 | 説明 |
|---|---|
|
Wi-Fi接続をユーザー認証します。 |
|
|
ゲストWi-Fiを設定します。 |
|
|
Wi-Fi接続とリモートアクセスVPN接続をユーザー認証します。 |
|
|
|
Wi-Fi接続のユーザー認証
Wi-Fi接続をユーザー認証します。
-
EAP-PEAPによるユーザー名とパスワードを使用したユーザー認証に対応します。
-
セキュリティーは、WPA3-EAPまたはWPA2-EAPを選択します。
ゲストWi-Fi
ゲストWi-Fiを設定します。
-
ゲスト・ネットワークに接続可能なVAPを設定します。VAPごとに違うネットワークを設定します。
-
ゲスト・ネットワークに接続した端末は互いにアクセスすることはできません。
Wi-Fi接続とリモートアクセスVPNのユーザー認証
Wi-Fi接続とリモートアクセスVPN接続をユーザー認証します。
-
本製品に内蔵した認証機能により、ネットワークに接続するためのユーザーを管理できます。
-
ユーザー認証で使用するユーザー名とパスワードはWi-Fi接続とリモートアクセスVPNに使用できます。
5.2. 設定方法について
| 項目 | 接続方法 |
|---|---|
|
設定方法や操作方法を紹介します。 |
|
|
無線設定や運用管理のための設定方法です。 |
|
|
メンテナンス(保守作業)のための操作方法です。 |
5.2.1. 設定方法の概要
- 2種類の設定方法
-
-
-
手作業で個別に設定します。
-
設定ファイルのエクスポートやインポートで、バックアップやリカバリーができます。
-
-
-
メンテナンス(保守)利用を想定しています。
-
-
- 設定方法のネットワーク概要
-
- Web GUI設定
-
設定手段 ソフトウェア 暗号 認証 Webブラウザー
あり(HTTPS/SSL)
・ユーザーID
・ホスト制限
- コンソール操作
-
操作手段 ソフトウェア 暗号 認証 ターミナルソフト
なし
・ユーザーID
TELNETクライアント
なし
・ユーザーID
・ホスト制限SSHクライアント
あり
・ユーザーID
・ホスト制限 - 設定ファイルのインポート(import)/エクスポート(export)
-
設定手段 ソフトウェア 暗号 認証 Webブラウザー
あり(HTTPS/SSL)
・ユーザーID
- 説明図の凡例
-
分類 図記号 内容 推奨度
お勧めの操作方法
用途やアクセス元を限定すれば、利用可能な操作方法
セキュリティー観点で、お勧めできない操作方法
概要・根拠
通信方式、推奨・非推奨の理由、安全確保のポイントなど
ソフトウェア種類
設定用PCで利用するソフトウェアの種類
・ ターミナルソフトウェア
・ TELNETクライアント
・ SSHクライアント
・ Webブラウザー
5.2.3. コンソール操作の方法
コンソール操作は、メンテナンス(保守作業)などに利用できます。
| 項目 | 接続方法 |
|---|---|
|
コンソールケーブル(シリアルケーブル)で接続します。 |
|
|
プライベート・ネットワークから接続します。 |
|
|
プライベート・ネットワークまたはグローバル・ネットワークから接続します。 |
-
コマンドの操作は、「 コンソール操作 」をご覧ください。
-
詳しいコマンドは、「 技術資料 」または「 コマンドリファレンス 」をご確認ください。
CONSOLEポートによる操作方法
コンソールケーブル を直接接続して利用可能です。インターネットに繋がっている必要はありません。
- 接続方法
-
-
CONSOLEポート に コンソールケーブル を繋いで接続します。
-
- 操作方法
-
-
操作方法は、「 CONSOLEポートに接続したパソコンからログイン 」を参照してください。
-
- ネットワーク構成
-
現地でのメンテナンス(保守作業)に適しています。
|
|
用意するケーブルは、「 コンソールケーブル 」をご覧ください。 |
TELNETによる操作方法
TELNETは、ネットワーク経由でコンソール操作できます。気軽に使えて便利ですが、通信内容は暗号化されません。
- 操作方法
-
-
TELNETを日常利用する場合には、接続するホストを制限します。
-
遠隔地からコンソール操作する場合には、優れた暗号機能や認証機能のある「 SSHによる操作方法 」などをご検討ください。
-
操作方法は、「 LAN上のパソコンからTELNETまたはSSHでログイン 」を参照してください。
-
- ネットワーク構成
-
現地でのメンテナンス(保守作業)に適しています。
SSHによる操作方法
SSHは、ネットワーク経由で安全にコンソール操作できます。通信内容は暗号化されます。
- 操作方法
-
-
操作方法は、「 LAN上のパソコンからTELNETまたはSSHでログイン 」を参照してください。
-
- ネットワーク構成
-
現地または遠隔でのメンテナンス(保守作業)に適しています。
5.3. プログラムと設定情報について
プログラムと設定情報は、本製品のFlash ROMに保存されています。プログラムと設定情報は、Flash ROMからRAMに読み込まれて無線LANルーターとして動作します。
- プログラムと設定情報に関わる用語一覧
-
用語 概要 内部メモリー
本製品には内部メモリーとしてRAMとFlash ROMの2種類があります。
RAM
(揮発性メモリー)高速&大容量ですが、電源が切れたら消えるメモリーです。 ファームウェア 、 CONFIG 、 ログ(SYSLOG) などの動作に使用します。
Flash ROM
(不揮発性メモリー)低速&少容量ですが、電源が切れても消えないメモリーです。 ファームウェア 、 CONFIG 、 ログ(SYSLOG) などの保存に使用します。
外部メモリー
ファームウェア 、 CONFIG 、 ログ(SYSLOG) などの保存(書き込み、エクスポート)や参照(読み込み、インポート)に使用するメモリーです。本製品では外部メモリーとして、microSDカードが利用可能です。
動作メモリー
動作メモリーには、内部メモリーのRAMを使用します。
保存メモリー
保存や参照には、内部メモリーのFlash ROM、または外部メモリーを使用します。
製品を動作させるプログラムです。
設定情報の一部または全部です。
システム動作状態をSYSLOG形式で記録(ログ)したものです。
設定ファイル
CONFIGをエクスポートやインポートする設定情報を収めたのファイルです。
- ファームウェアとは
-
-
機器に組み込まれた「プログラム」を「ファームウェア」(firmware)と呼びます。
-
機能強化や不具合修正したファームウェアを定期的にウェブサイトで無料公開しており、最新の状態で利用できます。
-
ファームウェアは内部メモリー(Flash ROM)に保存されており、アップデートを行うと上書きされて更新されます。
-
- CONFIGとは
-
-
機能動作を指定する「設定情報」を「CONFIG」と呼びます。
-
CONFIGは本製品の内部メモリー(Flash ROM)に保存されており、設定の変更を行うと上書きされて更新されます。
-
5.4. ログ(SYSLOG)について
本製品では、システム動作状態のログをSYSLOG形式で記録しています。ログは、内部メモリーへ記録するほか、SYSLOGサーバーに送信したり、外部メモリーに記録したりできます。
本製品には、一般的に難しいとされるタイミング(状況)でも、以下情報のログを取得する能力があります。日常管理やトラブルシューティングにお役立てください。
-
正常動作状態を監視
-
不具合の原因を調査
-
ウェルネスモニターで「接続切断フロー」を可視化(見える化)
-
リブートログ保存機能を利用して、再起動の原因を調査
-
-
セキュリティー機能の動作状態を確認
-
ネットワークのスキャンや攻撃を監視
|
|
|
- ウェルネスモニター
-
新しいトラブルシューティング機能「ウェルネスモニター」をWeb GUIに搭載しています。ウェルネスモニターは「接続切断フロー」の可視化(見える化)に記録されたログ(SYSLOG)を利用します。
機能 概要 接続切断フロー
本製品に接続・切断した端末ごとの接続切断フローを、DHCP・DNSも含めてわかりやすく表示します。読み解くのに時間がかかるSYSLOGを確認することなく、端末ごとに接続切断フローが正常だったか、異常だったかを把握することが可能です。
- SYSLOGとは
-
SYSLOGは、システムの時系列ログをSYSLOGサーバーに送信・記録するためのプロトコルです。
用語 概要 Facility
(ファシリティ)サービスや機能、機器の種類(数値は、0~23)
機器のログを送受信する場合は、local0(16)~local7(23)を使用することが多い。Severity
(プライオリティー)ログの重要度(優先度)
SYSLOGサーバーへの宛先ポート
514/udp
SYSLOGサーバーへの始点ポート
514/udp
- SYSLOGのSeverity
-
code type name 概要 0
emerg
致命的状態
1
alert
早急な対処が必要
2
crit
危険な状態
3
err
一般的エラー
4
warning
一般的警告
5
notice
各種フィルター機能等で検出したパケット情報
6
info
動作状況
7
debug
デバッグ情報
- リブートログ保存機能
-
本製品では、設定間違いやファームウェアのバグなどでリブート(再起動)が意図せず発生した場合、リブート直前のログ(SYSLOG)を内部メモリー(RAM)に保存したうえでリブートさせるため、再起動後に直前のログを確認できます。これにより、リブート原因を解析できます。
5.5. アクセス管理について
本製品は、「 ユーザー(人)のアクセス管理 」と「 接続ホスト(機器)のアクセス管理 」が可能です。
5.5.1. ユーザーのアクセス管理
本製品にログインするユーザーは、「アクセスレベル」を設定した「ユーザーアカウント」を登録して管理します。
| ユーザー名 | パスワード | administrator | 権限 | 作成方法 |
|---|---|---|---|---|
|
admin |
製品ラベルのログインパスワード |
製品ラベルの管理パスワード |
管理ユーザー |
初期管理ユーザー |
|
user1 |
Web GUIで設定 |
製品ラベルの管理パスワード |
管理ユーザー |
Web GUIで設定 |
|
user2 |
Web GUIで設定 |
昇格不可 |
一般ユーザー |
Web GUIで設定 |
5.5.2. 接続ホストのアクセス管理
本製品のサービスに接続するホストを「アクセスを許可するホスト指定」「サービスのON/OFF指定」で制限できます。利用環境に合わせて設定してください。
-
設定例
-
LANからのアクセスはすべて許可し、それ以外は「遠隔地」からリモートアクセスVPNで接続しているユーザーのIPアドレスのみ許可する。
-
| サーバー機能 | サービスのON/OFF指定 | アクセス制限 |
|---|---|---|
|
Web GUI |
不可 |
インターフェース、または、IPアドレス |
|
TELNET |
可能 |
インターフェース、または、IPアドレス |
|
SSH |
可能 |
インターフェース、または、IPアドレス |
|
|
|