格安3.6万円のSMB向け統合Wi-Fiルーター「UniFi Dream Machine」で3つのネットワークを作ってみる

オフィス用

　事務所用ネットワークには、事務処理をするためのPCなどが設置されている。このネットワークに参加する端末は、店舗用とゲスト用のネットワークにもアクセスできるが、逆に、ほかの2つのネットワークから、このネットワークへはアクセスできない。Wi-Fiの接続は、ユーザー名とパスワードをRADIUSサーバーで認証する「WPA Enterprise」（802.1X）を使う。

• Wi-Fi名：OfficeWi-Fi（WPA Enterprise）
• 周波数帯：2.4GHz帯＋5GHz帯
• 有線LAN名：OfficeLAN
• IPアドレス：192.168.102.0/24
• VLAN ID：2000
• IPv6：有効
• DNSフィルター：Security

店舗用

　店舗のレジや予約システムなどを接続するためのネットワーク。オフィス用ネットワークからのアクセスは受け付けるが、そのほかのネットワークには接続できない。Wi-Fi接続は、オーソドックスなパスワード方式だ。

• Wi-Fi名：StoreWi-Fi（WPA PSK）
• 周波数帯：5GHz帯
• 有線LAN名：StoreLAN
• IPアドレス：192.168.103.0/24
• VLAN ID：3000
• IPv6：無効
• DNSフィルター：Adult

ゲスト用

　こちらも店舗で使うネットワークだが、来訪者向けに提供するゲストネットワークとして利用する。ほかの2つのネットワークからは独立させ、ゲスト接続端末間の通信も遮断する。Wi-Fiの認証は、オーソドックスなパスワード接続だが、キャプティブポータルを作成し、ユーザーが規約に同意した場合に1時間だけ利用可能とする。

• Wi-Fi名：GuestWi-Fi（WPA PSK＋キャプティブポータル）
• 周波数帯：2.4GHz帯
• 有線LAN名：GuestLAN
• IPアドレス：192.168.104.0/24
• VLAN ID：4000
• IPv6：無効
• DNSフィルター：Family

標準設定ネットワーク

　UDMは、初期設定のウィザードでセットアップを行うと、「LAN（有線）」と、任意の名前（ここではUFDM）のWi-Fiネットワークの2つが自動的に作成される。このうちLANは、メンテナンスや共通サーバー接続用に残しておくが、Wi-Fi（ここではUFDM）に関しては利用しない。

1．LANを追加

　UDMの［NETWORKS］にある［Local Networks］から［Create Advanced Network」を選択し、上記3つのネットワークを作成する。

OfficeLANの設定。ほかも同じように作成しておく

　必須なのはVLAN IDだ。ネットワークごとに異なる値を設定することで、端末をグループ分けできる。同じVLAN IDを持つ端末同士は通信できるが、異なるVLAN IDとは基本的に（実際はできるので後でフィルターで遮断する）通信できない。

　IPアドレスはVLAN IDと関連付けておくと分かりやすいが、DHCPで配布するIPアドレスの範囲などは、好みで設定して構わない。

　OfficeLANとStoreLANは、［Network Purpose］を［Corporate］で作成するが、GuestLANは［Guest］で作成する。これで基本的に（例外があるので後でフィルターを追加する）ゲスト用ネットワークは、ほかのネットワークから独立する。

2．ポートに割り当てる

ポートにLANのプロファイルを割り当てる

　3つのネットワークができたら、UDMの背面のポートへこのネットワークを割り当てる。「デバイス」からUDMを開き、「ポート」設定で設定したいポートを編集して、［スイッチポートのプロファイル］に作成したLANを割り当てておく。

　なお、UDMの配下にさらにスイッチを追加し、そちらでもタグVLANを使う場合は、ポート1などに「ALL」のプロファイルを割り当て、Trunk用に利用する。配下のスイッチが802.1Qに対応していれば、同様にタグを設定することでVLANを利用可能だ。

試しにUDMのポート1を「ALL」に設定し、TP-Linkのスマートスイッチ「TL-SG105E」を接続して802.1Q準拠のVLANを構成。ポート1同士で接続し、TL-SG105Eのポート2を「OfficeLAN（2000）」、ポート3を「StoreLAN（3000）」で構成。ポート4とポート5は「Untagged」とし、UDMのLAN（タグなし）で使えるように設定できた

1．WANを構成する

　もしも、IPoE IPv6を利用する場合は、［INTERNET］の［WAN Networks］で、IPv4を［DHCP］や［Static］に設定し（PPPoEだとPPPoEからIPv6を取得しようとするのでNG）、［Using DHCPv6］で構成する。［Prefix Delegation］は、ひかり電話ありとなしで異なるので、注意が必要だ。筆者の環境はひかり電話ありなので、「60」に設定してある。

2．LANを構成する

　続いてLAN側を構成する。今回はOffice LANでのみIPv6を有効にするので、［IPv6 Configuration］の［IPv6 Interface Type］を［Prefix Delegation］に設定すればいい。

　ただし、この状態では名前解決がうまくできなかったので、RDNSSを［Manual］に変更し、Google Public DNSのアドレスをクライアントへ配布するように構成した。

IPv6用のWAN設定。IPv4にDS-LiteやMAP-Eは使えない上、PPPoEだとIPv6をPPPoEから取得しようとするので、変則的な構成が必要だ。IPv6を使いたければ、IPv4は上位HGWを用意してDS-Lite/MAP-E/PPPoEで接続する必要がある

LAN側はPD（Prefix Delegation）で配布。ただし、DNSがうまく引けないので、RDNSSを手動で構成する

1.グループを作る

Wi-Fi Groupを追加。画面はWi-Fiが割り当て済みだが、作成直後はグループのみで中には何も登録されていない状態になる

　Wi-Fiは、まず「Wi-Fi Group」を作成する。［Wi-Fi］の［Wi-Fi Network Groups］に、［Default］が作成されているが、今回は2.4GHz帯と5GHz帯を各ネットワークに割り振るので、［5GHzGroup］と［24GHzGroup］の2つを作成する。

2．Wi-Fiを追加する

GuestWi-Fiのみ作成時に［Guest Policies］をオンにすることを忘れずに

　続いて［Wi-Fi Networks］でWi-Fiを3つ追加する。「Create New Wi-Fi Network」をクリックし、［Create Advanced Wi-Fi］で、SSIDや認証方式など各項目を入力していく。

　基本的に、SSIDやパスワードなどを好みで設定すればいいが（OfficeWi-FiのRADIUS設定は後述するので、とりあえずWPAで構成）、大切なのは、GROUPとVLAN IDの設定だ。

OfficeWi-Fiは2つ作成し、それぞれに2.4GHzと5GHzのグループを割り当てておく

　VLAN IDは、LANと同じものを設定しておけばいいが、GROUPは注意が必要だ。基本的には、作成したWi-Fiが5GHz帯と2.4GHz帯のどちらを使うかで、1.で作成した［5GHzGroup］か［24GHzGroup］を割り当てればいい。

　ただし今回、OfficeWi-Fiに関しては、2.4GHz帯でも5GHz帯でも。どちらでも接続可能にしたい。このため、OfficeWi-Fiに関しては、全く同じ名前で2つのWi-Fi Networkを作成し、片方は［5GHzGroup］、もう片方は［24GHzGroup］を割り当てておく。これで、OfficeWi-FiというSSIDに接続する際、2.4GHz帯と5GHz帯のいずれでも接続できるようになる。

3．グループを各周波数帯に割り当てる

各周波数帯に作成したグループを割り当てると、グループ内のWi-Fiプロファイルが割り当てられる仕組み

　最後に、作成したWi-Fi GroupをUDMの無線に割り当てる。LANのポート割り当てと同様に、［デバイス］のUDMから、［構成］を開き、［WLANS］の［WLAN2G］に1.で作成した［24GHzGroup］、［WLAN5G］に［5GHzGroup］を割り当てる。

1．現状チェック

　ここまでできていれば、有線LANにしろWi-Fiにしろ接続できるようになっているので、まずは現状をチェックしてみよう。

　実際に接続チェックをすると、次のような結果になるはずだ。

　おおむね期待通りだが、Guest同士の通信は許可されてしまっている。加えて、今回はOfficeへのほかのネットワークからのアクセスを制限したいがStoreからのアクセスは許可されているので、この2つを変更する必要がある。

2．StoreからOfficeへのアクセスをフィルタリングする

　ネットワーク間の通信はファイアウォールを使ってフィルタリングする。StoreLANからOfficeLANへのアクセスを禁止したいのであれば、［LAN IN］に次の2つの設定を追加すればいい。

店舗からオフィスへのアクセスを禁止（逆は許可）

ソースがStoreLANで、宛先がOfficeLANの通信をドロップ。ただし、OfficeからStoreへのアクセスは許可したいので、Office→Storeの戻ってきた通信を受け入れるため［確立済み（Match State Established）］と［Match State Related］を許可する

3．Guest端末同士の通信を遮断する

　この設定は、「Guest」プロファイルを適用することで自動的に構成されるかと思ったが、そうではなさそうなので追加したものだ。2.と同様に、ファイアウォールで次のフィルターを［LAN IN］に追加すればいい。

ゲスト同士の通信をフィルターする

ソース、宛先ともに「GuestLAN」の通信をドロップする

1．Guestにキャプティブポータルを構成

　キャプティブポータルの設定はシンプルだ。設定画面の［HOTSPOT］で機能を有効化すればいい。

ゲストはキャプティブポータルを経由しないと接続できない

［HOTSPOT］をオンにすればキャプティブポータルが使えるようになる

接続を許可する時間も設定できる

　認証をどうするかは運用方法次第だが、今回はGuestWi-FiがWPA-PSKなので、「No Authentication」で規約に同意したときに接続を許可すれば十分だろう。［Simple Password］で共通のパスワードを入力させる方法なども選択できる。

　あとは画面のデザインなので、好みで設定すればいいが、［Advanced］を選択すると、接続可能な時間も選択できる。ここでは、1時間に設定しておいた。

2．OfficeWi-FiをWPA Enterpriseに変更する

　UDMは、認証用のRADIUSサーバーを内蔵しているため、単体でWPA EnterpriseでのWi-Fi接続を構成可能だ。

　通常のWPA-PSKであれば、接続ユーザー全員がWi-Fi接続時に共通のパスワードを入力するが、WPA Enterpriseで設定すると、ユーザー名と、ユーザーごとに個別のパスワードで認証ができるようになる。

　OfficeWi-Fiの設定を［WPA Enterprise］に変更し、［Radius Profiele］を［Default(UDM)］に設定。その後、［GATEWAY］の項目にある［RADIUS］でRADIUSサーバーをオンにし、［Create New User］からユーザーを追加しておけばいい。これで、Wi-Fiに接続する際、ユーザー名とパスワードが要求されるようになる。

オフィスのWi-Fi接続認証をユーザー単位にする

RADIUSサーバー内蔵なので、単体でWi-FiをWPA Enterpriseで構成できる