アクセス ポイントの SSID 設定を構成する

ワイヤレス タブで、SSID 名の構成、ネットワークをプライベートかゲストのいずれにするかの指定、SSID をブロードキャストする無線の指定、SSID セキュリティの有効化、SSID QR Code バウチャーの編集と作成、SSID QR Code のダウンロード、ネットワーク設定の構成を行うことができます。

• SSID 名 — SSID 名を入力します。これがクライアントに表示されるこのワイヤレス ネットワークの名前となります。
• ブロードキャスト SSID — ブロードキャスト SSID を選択して、SSID 名をワイヤレス クライアントにブロードキャストします。SSID 名を非表示にする場合は、このチェックボックスを選択解除します。
• SSID の種類
• プライベート — プライベート ワイヤレス ネットワークを作成します。
• ゲスト — プライベート ワイヤレス ネットワークのデバイスとリソースを保護するために、ゲスト ワイヤレス ネットワークを作成してアクセスを制限します。ゲスト ネットワークを選択すると、既定で クライアント隔離 が有効化されます。詳細については、クライアント隔離 を参照してください。

異なる IP アドレス範囲をワイヤレス ネットワークに適用するには、ネットワーク セクションで、SSID を NAT モードで構成します。

• 無線 — この SSID がブロードキャストされるアクセス ポイント無線 (2.4 GHz、5 GHz、または 2.4 GHz と 5 GHz の両方) を選択します。
• セキュリティ — この SSID のセキュリティの種類を選択します。
• オープン — オープンとは、セキュリティ暗号化が適用されていないということです。通常、このオプションは、パブリック ゲスト ネットワークに使用されます。
• OWE — 強化オープンとも呼ばれる Opportunistic Wireless Encryption (OWE) は、Wi-Fi 6 (802.11ax) アクセス ポイントに利用できる最も安全な最新オープン プロトコルです。これにより、クライアントとワイヤレス ネットワーク間のデータ交換を保護する暗号化を各ユーザーに提供することができます。これを利用することで、認証なしでデータのプライバシーを保護できるオープン ネットワークを構築することができます。OWE がサポートされていないクライアントからは、OWE で構成されている SSID には接続することができません。アクセス ポイントとクライアントの両方で OWE がサポートされている必要があります。
• WPA2 パーソナル (既定) — WPA2 は、802.11a/b/g/n/ac アクセス ポイント向けの最も安全な最新プロトコルです。ワイヤレス ユーザーがこの SSID に接続する際に使用しなければならない パスフレーズ を入力する必要があります。
• WPA3/WPA2 — WPA3 と WPA2 プロトコルを組み合わせたミックス モードです。ワイヤレス ユーザーがこの SSID に接続する際に使用しなければならない パスフレーズ を入力する必要があります。
• WPA3 パーソナル — WPA3 は、Wi-Fi 6 (802.11ax) デバイス向けの最も安全な最新プロトコルです。WPA3 では、保護されている管理フレーム (802.11w) が有効化されるため、セキュリティが向上します。WPA3 を使用するには、ワイヤレス クライアントでも 802.11ax がサポートされているいる必要があります。ワイヤレス ユーザーがこの SSID に接続する際に使用しなければならない パスフレーズ を入力する必要があります。
• パスフレーズ — WPA2 パーソナルや WPA3 パーソナルなどの事前共有キーを使用するセキュリティ方式が選択されている場合は、使用するパスフレーズを入力します。ワイヤレス ユーザーは、SSID に接続する際にこのパスフレーズを提示する必要があります。

WPA3 がサポートされていない旧式のオペレーティング システムを搭載しているワイヤレス クライアントには、混合 WPA3/WPA2 セキュリティで SSID に接続できないという未解決の問題が存在します。詳細については、WatchGuard ナレッジ ベース を参照してください。

• WPA2 エンタープライズ — エンタープライズ RADIUS 認証を使用する WPA2 プロトコルです。アクセス ポイント ファームウェア v2.1 以降では、SSID の詳細設定で、Called Station ID (コール先ステーションID) と NAS ID の RADIUS 属性をカスタマイズすることができます。詳細については、アクセス ポイントの RADIUS 認証を構成する を参照してください。
• WPA3 エンタープライズ — エンタープライズ RADIUS 認証を使用する WPA3 プロトコルです。WPA3 エンタープライズの場合は、192 ビット モード（WPA3 エンタープライズ スイート B) を有効化して、機密性の高いエンタープライズ環境の暗号化セキュリティを高めることもできます。WPA3 エンタープライズの 192 ビット モードでは、アクセス ポイント ファームウェア V2.1 以降が必要となります。アクセス ポイント ファームウェア v2.1 以降では、SSID の詳細設定で、Called Station ID (コール先ステーションID) と NAS ID の RADIUS 属性をカスタマイズすることができます。詳細については、アクセス ポイントの RADIUS 認証を構成する を参照してください。
• 認証ドメイン — WPA2 エンタープライズまたは WPA3 エンタープライズ セキュリティ モードを選択した場合は、ドロップダウンリストから、構成されている RADIUS サーバーにおける認証ドメインを選択する必要があります。詳細については、アクセス ポイントの認証ドメイン を参照してください。認証ドメインが構成されていない場合は、構成 > 共有構成 > 認証ドメイン の順に移動して、認証ドメインを追加する必要があります。
• 詳細については、アクセス ポイントの認証ドメイン を参照してください。
• RADIUS を使用してワイヤレス クライアントを認証する方法の詳細については、アクセス ポイントの RADIUS 認証を構成する を参照してください。

SSID QR Code

QR Code を生成して印刷することができます。この QR Code により、ワイヤレス ユーザーがアクセス ポイント SSID に容易に接続できるようになります。詳細については、アクセス ポイントの SSID QR Code を構成する を参照してください。

ネットワーク

• VLAN の有効化 — ワイヤレス ネットワークの SSID をネットワークの VLAN にマッピングするには、VLAN を有効化する チェックボックスを選択します。たとえば、VLAN を構成して、プライベート SSID やゲスト SSID といった SSID 間のトラフィックを分離することができます。SSID ごとに 1 〜 4094 の VLAN ID を割り当てることが可能です。VLAN とワイヤレス ネットワークの詳細については、アクセス ポイントと VLAN を参照してください。
• ブリッジ (既定) — アクセス ポイントとアクセス ポイントに関連付けられているクライアントが同じサブネットにある場合は、ブリッジ ネットワークを使用します。
• NAT — クライアントとアクセス ポイントを別々のサブネットに配置する場合は、ネットワーク アドレス変換 (NAT) を使用します。ワイヤレス クライアントでは、アクセス ポイントから割り当てられたプライベート IP アドレス プールが使用されます。アクセス ポイント VPN でこの SSID を使用する場合は、NAT を使用する必要があります。詳細については、アクセス ポイント VPN を構成する を参照してください。NAT を使用する場合は、高速ローミングが無効となります。
  
  NAT を有効化する際に、以下の設定を構成する必要があります。
• ローカル IP アドレス (Gateway) — 選択されたネットワークの DHCP アドレス プール外の IP アドレス。このアドレスは、ワイヤレス ネットワークのクライアントのゲートウェイ アドレスとして使用されます。
• サブネット マスク — 選択されたネットワークのネット マスク。
• DHCP プールの開始 IP アドレス — 選択されたネットワークの DHCP アドレス プールの開始 IP アドレス。
• DHCP プールの終了 IP アドレス — 選択されたネットワークの DHCP アドレス プールの終了 IP アドレス。
• リース時間 — DHCP リース時間 (時間単位/1 〜 24)。
• プライマリとセカンダリ DNS サーバー — ワイヤレス クライアントから DNS クエリが実行されるプライマリとセカンダリの DNS サーバー。

MAC アドレスに基づいて特定のワイヤレス クライアントのアクセスを制御するには、MAC アドレス アクセス制御リスト を有効化します。

• 許可された MAC アドレス リスト を使用して、指定したクライアント MAC アドレスのアクセスのみを許可します。
• ブロックされた MAC アドレス リスト を使用して、指定した MAC アドレスに基づいて、ワイヤレス クライアントをブロックします。

新しいアドレスを追加するには、MAC アドレスを追加する をクリックします。完了したら、追加 をクリックして、アクセス制御リストを保存します。

サポートされている MAC アドレスの最大数は、アクセス ポイントのファームウェア バージョンによって異なります。

• ファームウェア バージョン 1.1.24 以降を実行しているアクセス ポイントでは、最大 256 個の MAC アドレスがサポートされています。
• 1.1.24 以前のファームウェア バージョンを実行しているデバイスでは、最大 32 個の MAC アドレスしかサポートされていません。こうしたデバイスのインポート リストは、32 個のアドレスで切り捨てとなります。

MAC アドレス リストをインポートする

複数の MAC アドレスのリストをアップロードするには、MAC アドレス リストをインポートする をクリックします。

MAC アドレス リストをボックスにドラッグ＆ドロップするか、MAC アドレス リスト ファイルを選択します。

MAC アドレス リスト ファイルは、カンマ区切り値形式 (CSV) で、MAC アドレスとオプションの説明が含まれている必要があります。

たとえば、説明付きでアドレスをインポートする場合は、以下のようになります。

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2, Description

たとえば、説明なしでアドレスをインポートする場合は、以下のようになります。

00:aa:00:bb:00:c1
00:aa:00:bb:00:c2

説明付きまたは説明なしでアドレスをインポートする場合は、以下のようになります。

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3, Description
00:aa:00:bb:00:c4

インポートされたファイルの分析時に、インポートする MAC アドレスを選択することができます。保存 をクリックして MAC アドレスをインポートします。

この SSID の Wi-Fi アクセスを有効化する時間を指定します。これは、構成する時間に基づいてこの SSID へのアクセスを制限します。たとえば、営業時間中のみにワイヤレス ゲストのアクセスを制限することを検討してください。時間は最小 30 分間隔で、24 時間形式です。

既定は 常に使用可能 となります。月曜日〜金曜日の午前 8 時〜午後 5 時までという事前構成済みスケジュールを選択すること、また カスタム スケジュール を作成することができます。

この SSID に構成されているアクセス ポイントの VPN は、構成されている SSID スケジュールに応じて有効化/無効化されます。詳細については、アクセス ポイント VPN を構成する を参照してください。

帯域幅制御を有効化することで、この SSID 帯域幅の使用を制限することができます。たとえば、ゲスト SSID の制限を有効化することが可能です。そうすれば、ゲスト ユーザーが帯域幅を使いすぎて、プライベート ワイヤレス ネットワークのワイヤレス パフォーマンスに影響が出るような事態を防止することができます。

帯域幅の制御を有効化するには、SSID 帯域幅制御 を選択します。

アップロード制限 と ダウンロード制限 を Mbps で指定します。1 〜 999 Mbps の値を選択することができます。

こうした制限は、SSID 全体のトラフィックに適用されます。

SSID で、個々のユーザーにこうしたアップロード制限とダウンロード制限を適用するには、対応する クライアントごと チェックボックスを選択します。

詳細オプションで、この SSID の追加管理、セキュリティ、およびステアリング オプションを構成することができます。

• 保護されている管理フレーム (802.11w) — WPA2 と WPA3 セキュリティ暗号化の場合は、追加の管理フレーム保護を有効化して、deauthntication/disassociation フレームが送信されるスプーフィング攻撃を防止することができます。802.11w 対応のクライアントのみが保護される すべてのクライアントを許可する、または 802.11w 対応クライアントのみを許可する を選択することができます。802.11w は必須で、WPA3 暗号化で自動的に有効化されます。
• Called Station ID/NAS ID — WPA2 と WPA3 エンタープライズ認証の場合は、RADIUS 属性をカスタマイズすることができます。この属性により、認証時にアクセス ポイントとクライアントが RADIUS サーバーで識別されます。事前定義された変数と組み合わせて、カスタム テキスト [a-z、a-z、0-9、-] を入力することができます。最大長は 84 万文字です。変数を使用する際は、最大長を超過しないように注意してください。
• %m — アクセス ポイント イーサネット インターフェイスの MAC アドレス
• %s — SSID 名
• %n — デバイス名

この機能には、アクセス ポイント ファームウェア v2.1 以降が必要となります。詳細については、アクセス ポイントの RADIUS 認証を構成する を参照してください。

• 高速ローミング (802.11k/r) — WPA2 セキュリティ暗号化を選択すると、高速ローミングを有効化することができます。これにより、ワイヤレス クライアントで 1 つの WatchGuard アクセス ポイントから別のアクセス ポイントへのローミングが発生する際に、ワイヤレス クライアントの再認証時間を短縮することが可能となります。高速ローミングを使用することで、ワイヤレス クライアントでワイヤレス通信が迅速に移行できるようになるため、VoIP やビデオ ストリーミングなどのストリーミング集約型アプリケーションのパフォーマンスと安定性を向上させることができます。高速ローミングを使用するには、ワイヤレス クライアントで 802.11k と 802.11r 規格がサポートされている必要があります。SSID で NAT が有効化されている場合は、高速ローミングは無効となります。WPA3 では、高速ローミングが自動的に有効化されます。
• バンド ステアリング — バンド ステアリングにより、ワイヤレス クライアントが 2.4 GHz 帯域から混雑の少ない 5 GHz 帯域に積極的に誘導されるため、アクセス ポイントの 2.4 GHzと5 GHz 無線間で、関連付けられているクライアントのバランスを取ることができます。また、バンド ステアリングにより、802.11v サポートが有効化されてクライアントのローミング動作が改善されます。および、より良好なアクセス ポイントを見つけて関連付けることが可能となります。

以下の設定から選択することができます。

• クライアントのバランス：2.4 GHz と 5 GHz 無線間でワイヤレス クライアントの負荷を分散します。バランス比 テキスト ボックスに、5 GHz 無線の使用を許可するクライアントの割合を指定します。残りの割合 (％) のクライアントでは、2.4 GHz 無線が使用されます。
• 5 GHz を優先 (既定)：構成されている RSSI しきい値 (既定：-75 dbm) よりも 5 GHz のクライアントの信号強度が高くなると、クライアントが 5 GHz 帯域に誘導されます。
• 5 GHz を強制：追加の管理パケットを使用して、クライアントが常に 2.4 GHz 無線から切断され、クライアントからアクセス ポイントへの再接続が発生した場合に 5 GHz 無線に誘導されます。
• クライアント隔離 — デバイスが同じ SSID に接続されている場合に、ワイヤレス クライアントから他のワイヤレス クライアントまたは有線クライアントへの直接通信が発生するのを防止することができます。クライアント隔離により、ネットワークのゲスト クライアント/他のクライアントとデバイス間の通信が防止されます。これは、典型的なゲスト Wi-Fi アクセスの配備に有用となります。SSID がゲスト SSID として構成されている場合は、クライアント隔離が既定で有効となります。
• ネットワーク アクセス強制 — ネットワーク アクセス強制により、ワイヤレス クライアントから企業ワイヤレス ネットワークへの接続が発生した際に追加のセキュリティ層が得られます。ネットワーク アクセス強制で、デバイスからワイヤレス ネットワークに接続できるようにするには、ワイヤレス クライアントに WatchGuard Endpoint Security 製品 (WatchGuard Advanced EPDR、EPDR、EDR、EDR Core、EPP のいずれか) がインストールされている必要があります。ネットワーク アクセス強制では、アクセス ポイント ファームウェア v2.1 以降が必要となります。詳細については、アクセス ポイントのネットワーク アクセス強制 を参照してください。