Skip to main content
Cisco Meraki Documentation

Wi-Fi パーソナルネットワーク(WPN)

  1. Last updated
  2. Save as PDF

こちらのドキュメントは英語版原文を2022年12月22日付けで翻訳したものです。

最新の情報は原文をご確認ください。

概要

ユーザーが同じ Wi-Fi ネットワークを共有してデバイスを接続する大規模な企業環境には、独自の課題があります。たとえば、AirPlay などの検出プロトコルを使用する場合、ユーザーは同じネットワーク上の他のデバイスの中から自分のデバイスを発見することが困難な場合があります。さらに、悪意のあるアタッカーは、大学の寮、ホテル、高齢者施設などで、時には安全でない共用の無線ネットワークにアクセスした後、これらのプロトコルを悪用する可能性もあります。

ワイヤレス・パーソナル・ネットワーク(WPN)は、無線ネットワークをユーザーごとにセグメント化し、家庭のようなユーザー体験を提供することで、これらの課題を解決します。さらに、WPNでは、AirPlayなどのディスカバリープロトコルにより、他の機器が共有するSSIDに接続された自分の機器だけを発見できるなど、各ユーザーに分離された環境を提供します。

さらに、WPNでは、ディスカバリープロトコルやユニキャストトラフィックを1つのVLANでセグメント化できるため、フロアや部屋、場所ごとに異なるVLANを設定する負担がなく、ネットワーク管理を簡素化できます。

WPN Under the Hood

WPN を使用するには、RADIUS 機能を使用しない Identity PSK (iPSK without RADIUS) の利用が必要です。ユーザーごとに一意のiPSKを設定することで、ユーザーのすべてのデバイスが同じパスワードを使用してSSIDに認証され、グループ内で互いに通信できようになります。

WPN_UNDER_HOOD_1.png

WPNはGUE(Generic UDP Encapsulation)を活用し、GUEヘッダーにWPN IDを付加し、同一のWPN IDを持つ機器間でパケット転送を行うことで異なるiPSKグループに属する無線機器を分離しています。

同じ WPN ID を使用する同じ VLAN 上の 2 つの無線デバイスが異なる AP に接続されている場合、送信元 AP は WPN ID を挿入した GUE カプセル化ヘッダを追加して、トラフィックを LAN に送信し、通常はスイッチング・インフラによって転送されます。宛先 AP はパケットをカプセル化解除して WPN タグを削除し、同じ iPSK グループ内の無線クライアントに転送します。

Screenshot at May 31 14-06-55.png

WPNを有効にしたSSIDに接続した無線クライアントが送信するパケットには、デフォルトゲートウェイ宛てのパケットを除き、すべてWPN IDが付加されます。

WPN をサポートするモデルおよびファームウェア

WPN は MR29.4.1 以降のファームウェアがインストールされた以下のアクセスポイントでサポートされています。

MR ファミリー

MR モデル

最小ファームウェア
Wi-Fi 6E CW9162, CW9164, CW9166

MR 29.4.1 以降

Wi-Fi 6 and Wi-Fi 6E (802.11ax) 

MR45, MR55, MR28, MR36, MR36H, MR44, MR46, MR46E. MR56, MR76, MR86, MR57, MR78

Wi-Fi 5 Wave 2 (802.11ac Wave 2)

MR20, MR30H, MR33, MR42, MR42E, MR52, MR53, MR53E, MR70, MR74, MR84

 

注意事項・制限事項

  • WPN は認証方式にiPSK without RADIUS を選択した場合のみ有効にできます。

  • 1 つの SSID に設定できる iPSK グループは5,000 で、1 つのダッシュボードネットワークで WPN が有効な SSID は 2 つまで設定できます。

  • WPN対応SSID に接続された無線機器は、同じVLAN(L2ドメイン)上の有線機器とはデフォルトゲートウェイを除いて通信できません。

  • WPN対応SSIDに接続された無線機器は、L3ルーティングにより、異なるVLAN上の有線機器と通信することはできます。

  • Meraki DHCP (NAT モード) は WPN が有効になっている SSID ではサポートされていません。代わりに外部 DHCP サーバー割り当てモードを使用する必要があります。

  • ポートプロファイルが設定された AP の有線ポートでは WPN をサポートしていません。

設定方法

WPN を使用するには、RADIUS 機能を使用しない Identity PSK (iPSK without RADIUS) の利用が必要です。ユーザーごとに一意のiPSKを設定することで、ユーザーのすべてのデバイスが同じパスワードを使用してSSIDに認証され、グループ内で互いに通信できようになります。

Screenshot at May 31 10-27-34.png

WPN を設定するには以下の手順を実行します。

  1. ネットワーク全体 > グループポリシー でグループポリシーを 1 つ以上作成します。グループポリシーに関する詳しい情報はこちらを参照してください。

  2. ワイヤレス > アクセス制御へアクセスします。

  3. ページ上部で WPN を有効にしたい SSID を選択します。

 4. セキュリティで "RADIUSを使用しないIdentity PSK" をクリックし、”Identity PSKを追加”ボタンをクリックします。

 5. IPSK の名前と、パスフレーズ、グループポリシーを設定し、"追加"をクリックします。

clipboard_ec6f934d9350ee061f6f13377d458927e.png

 6. 続けて IPSK を設定する場合は設定後の画面で "追加" ボタンをクリックします。

 7. Wi-Fi パーソナルネットワーク(WPN) を "有効"にします。

注: 有効・無効の設定は、最低 1 つの iPSK が追加された場合に表示されます。

clipboard_ee173169cd658077cb77873147f4efbec.png

 8. ページ最下部にある "保存”をクリックします。

ユーザーのオンボーディング

大規模なデプロイメントでは、ユーザオンボーディングは通常セルフサービスポータル(例えば Splash Access)を使って行われ、ユーザは認証と API を介して Meraki ダッシュボードにプッシュされた固有の PSK を作成することができます。

USER_ONBOARDING.png

  1. Back to top
  • Was this article helpful?

Recommended articles

  1. Article type
    How-to
  2. Tags
    This page has no tags.