WLANオプション

これは、WLAN がクライアントに見せるためにブロードキャストする名前です。

無線ごとに最大 15 個のサービス セット識別子(SSID)を設定できますが、デバイス プロファイルと WLAN テンプレートの経験則として、AP ごとに 2 つまたは 3 つの WLAN のみを使用することをお勧めします。この考え方は、最小基本速度(MBR)で無線あたり102.4ミリ秒ごとに送信されるビーコン管理フレームによって発生する通信時間のオーバーヘッドを最小限に抑えることです。つまり、1 つの AP で 4 つ、6 つ、または 8 つのアクティブな WLAN を実現するためにデータ レートと同一チャネルの競合を慎重に検討する場合を除き、最大 AP あたり 2 つまたは 3 つの WLAN を推奨します。

AP が WLAN をブロードキャストするかどうかを設定するには、これを使用します。SSID を非表示にして、AP を名前でブロードキャストすることもできます。

WLAN でブロードキャストする無線周波数(2.4 GHz、5 GHz、または 6 GHz)を選択します。 ワイヤレス クライアントは、通常、2.4 GHz 帯域よりも 5 GHz 帯域に接続すると、5 GHz 帯域の方がチャネルが多く、同一チャネルの競合が少ないため、パフォーマンスが向上します。6 GHz 帯域は、さらに多くのチャネル、より広いチャネル、より高度なセキュリティ オプション、およびより優れたデータ レートを備えています。

RRM(無線リソース管理)を参照してください。

輻輳を防ぐために、WLAN に非アクティブ タイマーを設定します。APは、ここで設定した時間で定義されたとおりに、非アクティブなクライアントの認証を解除します。デフォルトの時間は 1800 秒です。

ジオフェンシングを使用すると、指定されたレベル未満の受信信号強度インジケーター (RSSI) を持つクライアントがネットワークに参加できないようにすることができます。無線帯域ごとに最小クライアント RSSI を設定して、所定の距離または範囲を超えているクライアントが WLAN に参加できないようにすることができます。ジオフェンシングは、最初の関連付けにのみ適用されます。したがって、クライアントがすでにネットワークに関連付けられている場合、RSSI 値が構成されたしきい値を下回っても、クライアントの関連付けは解除されません。デフォルトは、すべての無線帯域で無効になっています。

「 ジオフェンシングの有効化」を参照してください。

データ レートを設定して、接続の遅いクライアントが WLAN の全体的なパフォーマンスを低下させないようにします。

デフォルトは [ 互換] で、すべての接続が許可されます。その他のオプションは次のとおりです。

• レガシーなし(2.4G、11bなし):802.11bおよび802.11gデバイスがWLANに参加するのを防ぎます(これにより、事実上、ネットワークに容量が追加されます)。

• 高密度(すべての低レートを無効にする):802.11b および 802.11g クライアントがネットワークに参加できないようにし、接続するための最小信号レベルを設定します。この設定は、クライアントのローミングに影響を与える可能性があります。また、レガシー デバイスがネットワークに参加するのを防ぐこともできます (これは容量の観点から望ましい場合があります)、またはその逆の場合(たとえば、多数のレガシー デバイスが切断されている場合など)。

• カスタムレート - データレートを参照してください。

このオプションを使用して、WLAN レート制限を設定し、WLAN のアップリンク レートとダウンリンク レートを適用します。レート制限は、AP ごと、クライアントごと、およびアプリケーションごとに設定できます。また、特定のアプリケーションの合計帯域幅割り当てを制限することもできます。ただし、クライアントあたりの帯域幅のレート制限は、(ダウンロードを延長することで)クライアントの通信時間消費を増加させる効果があるため、多くの場合自滅的であることに注意してください。

クライアントごとにアップリンクとダウンリンクのレートを設定します。

このオプションは、指定したアプリケーションのクライアントごとのアップリンクまたはダウンリンク レートを制限します。アプリケーションは、その名前またはホスト名で識別する必要があります。

この WLAN を適用する AP を [すべて]、[特定]、または AP ラベルに従って選択します。

デフォルトでは、選択したサイトまたはサイト グループ内のすべての AP が WLAN 設定を取得し、SSID をビーコンします。ユースケースまたは要件に基づいて、フィルターを適用して、APラベルまたは特定のAPにのみWLANを設定できます。

セキュリティの種類

• エンタープライズ(802.1X)を使用するWPA3—RADIUSベースの認証。このセキュリティの種類では、追加のオプションを有効にすることもできます。

  • WPA3+WPA2 移行:移行モードは、既存のセキュリティの種類を提供することで、WPA3 および OWE への導入を容易にするのに役立ちます。詳細については、「 6 GHz ワイヤレスに関する考慮事項」を参照してください。

  • 192 ビット暗号化 - このオプションは、無線での GCMP-256 暗号化を提供し、より安全な証明書を必要とするため、Wi-Fi で最高レベルの 802.1X セキュリティを提供します。

• パーソナル(SAE)を使用する WPA3:パスフレーズベースの認証。1 つまたは複数のパスフレーズを設定できます。

• エンタープライズ(802.1X)を使用するWPA2—RADIUSベースの認証。

• WPA2 with Personal(PSK)— 標準の事前共有キー(PSK)を使用したWi-Fi保護アクセス(WPA)2。1 つまたは複数のパスフレーズを設定できます。

• 日和見ワイヤレス暗号化(OWE):移行モードの SSID を簡単に採用できるように、6 GHz マルチバンド SSID で WPA3/OWE 移行モードを設定できます。詳細については、「 6 GHz ワイヤレスに関する考慮事項」を参照してください。

• オープンアクセス:暗号化されておらず、通常はゲストネットワークに使用されます。

• RADIUS ルックアップを使用した MAC アドレス認証:デバイスを認証するために MAC アドレスが RADIUS サーバーに提示されます。一部のセキュリティタイプでは使用できません。

• [禁止されたクライアントの関連付けを禁止する] - このオプションは、[ネットワーク セキュリティ] ページで禁止されているクライアントがこの WLAN に関連付けるのを防ぎます。

• 高速ローミング:新しいクライアントを認証するための 802.11r に基づくセキュリティ方式。

VLAN

• タグなし—VLAN を使用しません。これは既定の設定です。

• タグ付き - ネットワーク上にスタティックVLANがある場合は、このオプションを選択します。表示されるフィールドに、VLAN ID を入力します。 アクセス ポイント(AP)に接続されているスイッチ ポートでもタグ付き VLAN が使用されていることを確認します。

• [プール(Pool)]:プールにリストされているVLANの1つからランダムに選択されたIPアドレスをワイヤレスクライアントに割り当てるには、このオプションを選択します。これをPSKベースのネットワークセグメンテーションに使用する場合は、PSKのVLAN IDフィールドに必要なすべてのVLAN IDを指定します(組織>WLANテンプレート>事前共有キー>キーの追加 ボタン、次にVLAN ID)。

  または、サイトに応じて異なるVLANにクライアントを配置するには、プールVLANのサイト変数を使用し、PSK設定ページでVLAN IDフィールドを空白のままにします。

• [ダイナミック(Dynamic)]:RADIUS サーバで設定された特定の VLAN にワイヤレス ユーザを接続するには、このオプションを選択します。

ピアツーピア分離は、同じWLAN、AP、または有線/無線サブネット上のレイヤー2ピアトラフィックを防ぎます。このオプションはデフォルトで無効になっています。(レイヤー3フィルタリングの場合は、WxLANポリシーを作成できます。)

サブネットの分離にはファームウェア バージョン 0.12 以降が必要であり、クライアントには DHCP アドレスが必要です。

• ARP
• ブロードキャスト/マルチキャスト
  • mDNS を許可する
  • SSDP を許可する
  • IPv6 近隣探索の許可
• ブロードキャストSSIDプローブ要求を無視する

これらのフィルターは、WLAN 内の AP から送信される管理フレームの量を削減します。フィルタリングにより、運用オーバーヘッドの日常的な部分として消費される無線の通信時間を解放することで、パフォーマンスを大幅に向上させることができます。

• ARP フィルターは、特定の WLAN インターフェイスへの ARP(アドレス解決プロトコル)ブロードキャスト要求を防止します。有効になっていない場合、プロキシARPは、フィルタリングされていないインターフェイスに要求をフラッディングすることによって、すべての不明なイーサネットアドレス要求を解決しようとします。ARP フィルターは有効のままにしておくことを推奨します。(デフォルトでは、Mist APはプロキシARPをサポートしているため、APはパケットを無線で転送するのではなく、クライアントに代わってARP応答を送信します)。
• ブロードキャスト/マルチキャスト フィルターは、AP がワイヤレス ネットワーク上でブロードキャスト フレームとマルチキャスト フレームを伝播できないようにします。IPv6 ブロードキャスト、マルチキャスト、および IPv4/IPv6 mDNS フレームをフィルタリングしますが、これらは個別に除外することもできます。DHCP ブロードキャストは、このフィルターに含まれません。

• • ブロードキャスト/マルチキャストフィルタリングが選択されている場合、このトラフィックがフィルタリングされないようにすることで、 mDNS フレームを許可します。Apple Bonjourがネットワークを検出するには、mDNSが必要です。

  • ブロードキャスト/マルチキャスト フィルタリングが選択されている場合、このトラフィックがフィルタリングされることを除外することで、簡易サービス検出プロトコル(SSDP)アドバタイズメント ビーコンを許可します。SSDP ユニバーサル プラグ アンド プレイ (UPnP) デバイス検出が必要です。

  • ブロードキャスト/マルチキャスト フィルタリングが選択されている場合、このトラフィックを除外することで、 IPv6 近隣探索 フレームを許可します。

• AP は、ワイヤレス クライアントからの ブロードキャスト SSID プローブ要求を無視 できます。つまり、(SSID、サポートされているデータ レート、およびその他の 802.11 機能をアドバタイズする)プローブ応答を送信できません。

• eth0 + PoE - デフォルト。Eth0 ポートからトラフィックを転送します。

• Eth1—AP の 2 番目のイーサネット ポートを介してトラフィックを転送します。このモードでは、WLAN VLAN にタグを付ける必要があります。ポート Eth1 を物理的に別の LAN に接続する必要があります。

このオプションを使用して、WLAN が特定の日時にのみ SSID をブロードキャストするようにします。無効にするようにスケジュールされている場合、AP は SSID をブロードキャストしません (つまり、SSID は使用可能なネットワークを検索するクライアントに表示されません)。ブロードキャスト ステータスを変更しても、無線がリセットされたり、AP が無効になったりすることはありません。

SSID スケジューリングでは、毎日複数の時間範囲がサポートされます。デフォルトでは、このモードは無効になっています。

802.1X Webリダイレクト

セキュリティ タイプが エンタープライズ(802.1X)の VLAN に適用されます。

サービス品質(QoS)を使用してトラフィックに優先順位を付け、輻輳時に重要なトラフィックがキューに滞り込まないようにします。ジュニパーのAPは、無線トラフィックに優先順位を付けることで、共有無線を最適化し、アプリケーションのパフォーマンスを最大限に高めることができます。

• 0 = バックグラウンド(ジュニパー AP では使用されません)

• 1 = ベスト エフォート

• 2 = ビデオ

• 3 = 音声

Wi-Fiマルチメディア(WMM)は、IEEE 802.11eワイヤレスQoS規格に基づくWi-Fiアライアンス仕様で、トラフィックの優先度設定をサポートします。この仕様では、次のアクセス カテゴリを使用して送信に優先順位を付けます。

複数の同時実行アプリケーションがネットワークリソースをめぐって競合する場合、ジュニパーAPはMMEを使用して、無線信号の品質とパフォーマンスを定義および向上させることができます。

マルチメディア拡張機能 (MME) は、マルチメディア ワークロードのパフォーマンスを向上させるための汎用プロセッサのアーキテクチャ拡張機能です。スループットは WMM によって保証されません。

AirWatch™は、3番目のパーティのモバイルデバイス管理システムです。この設定を有効にすると、AP は、AirWatch コンソールで既に識別されているクライアントに対してのみトラフィックの通過を許可します。有効にする場合は、管理対象デバイスの AirWatch コンソール URL、API キー、およびログイン資格情報を指定する必要があります。

デフォルトは未構成です。この設定は、WLAN 設定ページまたは WLAN テンプレートから、WLAN ごとに設定します。この機能は、ブロードキャスト/マルチキャストフィルタリングを自動的に有効にします。そのため、mDNSフレームを許可するオプションを選択してください。

次のサービスを使用できますが、検出可能にするには明示的に有効にする必要があります。

• AirDrop、AirPlay、AirPrint、Apple HomeKit
• Amazon Devices、GoogleCast、Roku、Spotify Connect
• NFS、スキャナー、スリーププロキシ(Wake-On-Network)

WLAN への Bonjour ゲートウェイの追加を参照してください。

WPA3、WPA2、レガシー、OWE、オープンアクセスに対応し、エンタープライズ(802.1X)とパーソナル(SAE)、単一または複数のパスフレーズ、TKIPなどをサポートします。

見る：

• WLAN での WPA2/WPA3 エンタープライズ(802.1X)セキュリティの有効化

• 不正、ネイバー、ハニーポットアクセスポイント

• 事前共有キーの設定と管理

高速ローミングを有効にして、WPA2 または WPA3 セキュリティを使用してネットワークに接続しているクライアントが AP 間をローミングするときに接続を維持できるようにします。高速ローミングでは、WPA2 および WPA3 クライアントは、同じネットワーク内の AP を変更するたびに認証サーバーで再認証する必要はありません。

• デフォルト:ローカル PMKID キャッシングのみ。ネットワーク上のMist AP間でPMKIDが共有されることはありません。これは、一部のユースケースに適している場合がありますが、拡張できません。

• .11r - 802.11r で説明されている、スタンダードベースの高速ローミング方式。

各 WLAN に必要です。AP がスイッチ接続で使用する VLAN のタイプを指定します。

• タグなし—VLAN を使用しません。これは既定の設定です。

• タグ付き - ネットワーク上のスタティック VLAN で使用します(AP に接続されたスイッチ ポートもタグ付き VLAN を使用する必要があります)。

• プール:プールにリストされているVLANの1つからランダムに選択されたIPアドレスをワイヤレスクライアントに割り当てるために使用します。

• [ダイナミック(Dynamic)]:RADIUS サーバで設定された特定の VLAN にワイヤレス ユーザを接続するために使用します。

セグメンテーションに事前共有キーを持つVLANプールを使用する方法については、 PSKでのロールの活用(ユースケース)を参照してください。

ゲストアクセスを有効にするには、Juniper Mistでサインインポータルを作成するか、独自の外部ポータルを使用するか、シングルサインオンを有効にします。詳細については、 WLAN ゲスト ポータルを参照してください。