すみぞめの墓場

~DIYからプログラミングまで~

ゼミにCisco APを導入したお話。

この記事は、SPC同好会 Advent Calendar 2017 - Adventarの7日目の記事です。

どうも、すみぞめです。自分の所属するゼミにCisco AP を導入したお話です。

f:id:sumizome0213:20171208231900j:plain

導入前の状態

我々の同好会が"プロコンゼミ"となりました。 それに伴い、部屋が今までの"八畳"ほどから"二十四畳"ほどに広くなりました。また、今年は1年生の勧誘に成功し、いきなり部員が"40人"にもなりました。

そういう事もあって、今まで使っていたASUSの家庭用APでは通信が厳しくなり、新たなAPが必要になりました。

APの選定

APを選定するにあたって、幾つかの条件を考慮する必要があります。

  1. 同時接続台数
  2. 使用可能周波数帯
  3. 安定性
  4. メンテナンス性

メーカーの選定

ゼミの会員は全40人おり、それぞれ"ノートPC,スマホ,タブレット端末"の3台同時接続するとして、計"120台"の同時接続数を確保しなければなりません。

f:id:sumizome0213:20171205103520j:plain (引用 : 同時接続数が多くなると製品ごとの差が大きくなる)

家庭用APだと、グラフのように同時接続台数が多くなると 途端にスピードが低下してしまいます。それに比べ業務用APであるAironetでは、64台でも速さがそこまで落ちてません。これより業務用APを使用しないといけません。

主な業務用APと特徴

  1. Cisco Aironetシリーズ
    • 大規模施設でよく使われる
    • ネットワーク最大手&世界APシェア1位
    • Cisco IOSで管理できる
    • WLC(Wireless LAN Controller)を利用した集中管理型での利用が一般的
    • 保安契約を結ばないと新品購入は厳しい
  2. YAMAHA WLXシリーズ
    • 事務所などの小規模施設でよく使われる
    • 日本の会社なので日本語記事、資料豊富
    • Web設定がまともに使える(一部を除く)
    • 保安契約を結ばなくてもAmazonなどで購入可能
  3. Buffalo AirStationシリーズ
    • 個人向けがクソなので調べる気力が起きない...
    • 個人業務用合わせて日本ではシェア1位
  4. ARUBA
    • 大規模施設で時々導入されている
    • 日本語の資料があまりない

新品で購入することは、保安契約を結べない・高い(1台7~8万する)ため、中古での購入を考えます。 "ネットワーク機器といえばCiscoやろ!!!"ってことでAironetを導入することにします。

製品の選定

Ciscoロゴ世代はあまりに古いので新Ciscoロゴ世代だけで比較します。 最近のAironetシリーズは製品名でグレード・世代がわかります(一部を除く)

例)Aironet 3600

  • 4桁目 : グレード
    • 1 : 小規模向け
    • 2 : 中規模向け
    • 3 : 大規模向け
    • なし : 入門向け
  • 3桁目 : 世代
    • 500
    • 600
    • 700
    • 800

それぞれの具体的な製品の違いはこんな感じです。

//Todo : 表を作る

2.4GHz帯はチャンネル数が少ないため、Wi-Fiの治安が悪い部室では、チャンネル数が多い5GHz帯使わないわけには行きません。

購入

新品での購入は高いので、中古市場から購入します。 Cisco製品を多く取り扱っている店では、だいたい保安契約を迫られてしまうため、ヤフオク/ebayから購入することにします。

Aironetはアンテナや国によってそれぞれAPが違うため、多数の型番が存在します。

例)AIR-CAP3502I-Q-K9

  • 初期FW
    • CAP : LightweightFW(集中管理型)
    • SAP : AutonomousFW(自律型)
  • 製品名
  • アンテナの種類
    • I : 内蔵アンテナ
    • E :外部アンテナ
  • 国別コード
    • Q : 日本(技適あり)
    • UX : グローバルモデル(技適あり)

FWはあとから書き換えられるため、製品、アンテナ、国別コードから選びます。

まず、日本で使用するため技適対応のものでなければなりません。(個人ではなくゼミでの運用ですからね)そうなると国別コードは"Q" or "UX" を選ぶ必要があります。

今回の環境では室内で一般的に利用するため、外部アンテナである必要はないため、外部・内蔵アンテナのどちらでも良いでしょう。ただし外部アンテナ版を購入する場合は、別途アンテナを用意する必要があります。Ciscoのアンテナのソケットは、家庭用のAPのアンテナ端子と違うため、注意が必要です。(おそらく純正以外ない)

これらと、当時販売されていた商品の兼ね合いで、"Aironet 3500 (AIR-CAP3502E-Q-K9)"をヤフオクで5000円で購入し、アンテナをebayで3本セット送料込み5000円で購入しました。

f:id:sumizome0213:20171208231929j:plain

設定

Ciscoの製品は基本的にコマンドで各種設定します。中で動いているのはCiscoIOSというCisco独自のfwなのですが、ルーターなどの製品と同じため情報量が多く、なんとかなるでしょう。

設定にはこれらのものが必要です。

  • USB-シリアル
  • RJ45-RS232C (通称シスコ紐)

f:id:sumizome0213:20171208231816j:plain

まぁ皆さん持ってますよね。

セットアップは全てシリアル通信でコマンドを叩いて行います。 セットアップするにあたって、シリアル通信が出来る環境とconfigファイルをバックアップするTFTPサーバーを建てられる環境を構築し、DHCPのあるローカルネットワークに双方接続して下さい。

APの設定はこれらの資料がとても参考になります。

今回ゼミに導入するにあたり、これらの設定をしました。

  1. AutonomousFW(自律型)への書き換え
  2. enable(管理者モード)のpass変更
  3. hostname変更
  4. ユーザーid・passの変更
  5. 2.4GHz・5GHz wpa2暗号化 最大出力 自動チャンネル設定

それぞれ丁寧に解説しようと思いましたが、大江将史さんの講義資料が有能すぎて、書く意義をなくしてしまったので軽く紹介します。(一部編集)

ap> enable        //特権モードに入る
password: Cisco        //初期設定のpassは"Cisco"
ap# configure terminal        //設定モードに入る
ap(config)# enable secret level 15 ********        //特権モードのpassを"********"に変更
ap(config)# service password-encryption        //passを暗号化
ap(config)# hostname AP2        //hostnameを"AP2"に変更
AP2(config)# username spc password 0 ********        //ユーザーにuser:"spc" pass:"********" を追加
AP2(config)# no username Cisco        //ユーザー"Cisco"(初期)を消去
AP2(config)# dot11 ssid spc24-J        //ssid"spc24-J"を追加・設定モード
AP2(config-ssid)# authentication open        //セキュリティなし
AP2(config-ssid)# guest-mode        //ssidをシークレットにしない
AP2(config-ssid)# #interface dot11Radio 0        //2.4GHz帯(0)の設定モード
AP2(config-if)# ssid spc24-J        //ssid"spc24-J"を割り当て
AP2(config-if)# channel least-congested        //チャンネル自動割当
AP2(config-if)# power local maximum        //出力最大
AP2(config-if)# encryption mode ciphers aes-ccm        //暗号化にする
AP2(config-if)# dot11 ssid spc24-J        //ssid"spc24-J" 設定モード
AP2(config-ssid)# authentication key-management wpa version 2        //wpa 2で暗号化
AP2(config-ssid)# wpa-psk ascii 0 ********        //暗号化pass"********"
AP2(config-ssid)# dot11 ssid spc5-J        //ssid"spc5-J"を追加・設定モード
AP2(config-ssid)# authentication open        //セキュリティなし
AP2(config-ssid)# guest-mode        //ssidをシークレットにしない
AP2(config-ssid)# #interface dot11Radio 1        //5GHz帯(1)の設定モード
AP2(config-if)# ssid spc5-J        //ssid"spc5-J"を割り当て
AP2(config-if)# channel least-congested        //チャンネル自動割当
AP2(config-if)# power local maximum        //出力最大
AP2(config-if)# encryption mode ciphers aes-ccm        //暗号化にする
AP2(config-if)# dot11 ssid spc5-J        //ssid"spc5-J" 設定モード
AP2(config-ssid)# authentication key-management wpa version 2        //wpa 2で暗号化
AP2(config-ssid)# wpa-psk ascii 0 ********        //暗号化pass"********"
AP2(config)# end

最後にこの設定を本体に保存します現在の状況では再起動したときに、この設定が消えてしまいます。

AP2# copy running-config startup-config

また、本体がリセットされたときでも大丈夫なように、tftpサーバーへバックアップしときます。予め保存するファイル名の中身がからのファイルをtftpサーバー内に作っておいて下さい。(この場合は"backup")

AP2# copy running-config tftp://192.168.x.xx/backup

リストアするときは反対にすれば良いです。

AP2# copy tftp://192.168.x.xx/backup running-config 

これが、今回設定した内容(configファイル)です。(一部編集)

!
! Last configuration change at 04:23:30 UTC Fri Mar 1 2002
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AP2
!
!
logging rate-limit console 9
enable secret 5 $1$abyj$whQ7FvG4orNEnV1dRDhl0/
!
no aaa new-model
no ip source-route
no ip cef
ip domain name spc-aironet2
!
!
!
!
dot11 syslog
!
dot11 ssid spc24-J
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   wpa-psk ascii 7 ******************
!
dot11 ssid spc5-J
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   wpa-psk ascii 7 ******************
!
!
!
no ipv6 cef
!
!
username spc password 7 ******************
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 !
 encryption mode ciphers aes-ccm 
 !
 ssid spc24-J
 !
 antenna gain 2
 station-role root access-point
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
 no ip address
 !
 encryption mode ciphers aes-ccm 
 !
 ssid spc5-J
 !
 antenna gain 3
 peakdetect
 no dfs band block
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 mac-address f866.f21d.3a30
 ip address dhcp client-id GigabitEthernet0
 ipv6 address dhcp
 ipv6 address autoconfig
 ipv6 enable
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 login local
 transport input all
!
end

効果

まだ実際に設置してないので後日... (まだゼミないのDHCPではIPが拾えなくて機能しない...)

終わりに

やっとこさAironetの設定が終わりました。これまではGUIで設定して使ってたのですが、GUIではうまく設定できず2.5GHz帯しか出ませんでした。こう考えるとYAMAHAGUIは優秀ですねw。(CISCOGUIは使えない)

設置されたCisco APはやっぱいいですね。できればアンテナ内蔵・ac対応の2700iとかを、きちんとマウント使って固定したいですけどw

今回は単純に電波を飛ばしただけですが、ルーター・サーバーを含めてゼミ全体のネットワークを一回見直しVLANの構築、冗長性の確保などをして人権のあるネットワークを整えたいと思います。これはいずれどこかのタイミングで...(これも記事書くよ)

なんだかんだ今回始めて、ブログ書きます。 予定をたった4時間過ぎただけ(ハワイ標準時を基準とする)なのでまぁまぁのできかなと思っています()

8日目のSPC同好会 Advent Calendar 2017の投稿者はTemuulan Dulbadrakhですねってあれ、もう投稿されてる!?