正解はEです。

 無線LANは,BCMSN(Building Converged Cisco Multilayer Switched Networks)およびONT(Optimizing Converged Cisco Networks)試験で新分野として追加され,CCNA(Cisco Certified Network Associate)にも追加が予定されています。

 今回はシスコの無線LANソリューションの概要と集中管理型ソリューションの動作について学習します。

 無線LANとは,文字通り無線を使用して通信を行うネットワークです。無線LANに対応したノートパソコンなどの機器をクライアントと呼びます。無線LANの通信形態には,クライアント同士の直接無線通信であるアドホック通信と,アクセスポイント経由で無線通信を行うインフラストラクチャ通信の2種類があります(図1)。

図1●アドホック通信とインフラストラクチャ通信
図1●アドホック通信とインフラストラクチャ通信

 アドホック通信は端末間の接続であり,通信の中継を行う機器は必要なく,携帯型ゲーム機の通信機能などに使用されています。これに対し,インフラストラクチャ通信ではアクセスポイントという機器が必要となります。

 アクセスポイントは無線端末間および有線ネットワーク間の通信を中継する機器で,クライアントと有線ネットワークを接続することができます。インターネットアクセスや企業ネットワークにおいては,インフラストラクチャ通信が一般的です。

 大規模な企業ネットワークでは,オフィスなどに多数のアクセスポイントが設置されるため,構成管理や電波チャネルの調整,セキュリティポリシーの実装といったアクセスポイントの運用管理が課題となります。

 現在,シスコの無線LAN管理ソリューションには,分散管理型と集中管理型の2種類が存在し,使用される機器(アクセスポイントの種類など)と動作が異なります(図2

図2●分散管理型と集中管理型ソリューション
図2●分散管理型と集中管理型ソリューション [画像のクリックで拡大表示]

 分散管理型は,単体で動作,設定が可能なAutonomousアクセスポイントを使用する従来からのアクセスポイントの管理ソリューションです。アクセスポイントが1台ずつ独立して動作するため,アクセスポイント以外の機器が必要ない反面,アクセスポイント1台ずつの設定管理が必要となったり,クライアントのIPアドレスがアクセスポイントのネットワークに依存するため,クライアントが通信中に移動すると,IPアドレスの更新が必要になったり,無線と有線のネットワークを分割できなかったりという課題があります。

 これに対し集中管理型は,コントローラ(WLC=Wireless Lan Controller)による制御が必要なLightweightアクセスポイントを使用する新しいソリューションです。Lightweightアクセスポイントは個別設定不要なアクセスポイントで,単体動作ができないため,必ずコントローラが必要です。アクセスポイントで送受信した無線データはコントローラを経由して有線ネットワークに接続されるため,クライアントのIPアドレスは常にコントローラのネットワークアドレスが使用され,無線セキュリティの実装が容易です。

 なお,多くのシスコ製アクセスポイントではOS変更により,Autonomous・Lightweightのモード切替が可能です。

 BCMSN/ONTいずれの試験においても,Lightweightソリューションが試験範囲となりますので,以下でLightweightソリューションの基礎について見ていきましょう。

 Lighweightソリューションの構成に必ず必要なのが,Lightweightアクセスポイントとコントローラです。通常,Lightweightアクセスポイントは起動時にDHCPでIPアドレスを取得し,コントローラを検索します。コントローラが見つからない場合,アクセスポイントは再起動を繰り返します(コントローラがアクセスポイントと同一ネットワークに存在しない場合,コントローラを自動的に発見できないためDHCPのベンダーオプションコードを使用して,コントローラのIPアドレスを通知することができます)。

 コントローラを発見するとデジタル証明書による認証を行い,正しいアクセスポイントとコントローラであることを相互に確認します。認証に成功するとコントローラとアクセスポイント間にLWAPP(Light Weight Access Point Protocol)トンネルを形成し,以後のアクセスポイントとコントローラ間のトラフィックはLWAPPトンネルを経由します(図3)。

図3●LWAPPトンネルの概要
図3●LWAPPトンネルの概要 [画像のクリックで拡大表示]

 なお,LWAPPトンネルには,データがイーサネットフレームで直接カプセル化されるレイヤ2LWAPPとUDPパケットでカプセル化されるレイヤ3LWAPPの2種類があり,アクセスポイントとコントローラが同一ネットワークに存在しない場合は,必ずレイヤ3LWAPPを使用する必要があります(多くのLWAPP対応アクセスポイントはレイヤ3LWAPPのみサポートされています)。

 また,LWAPPトンネル内でアクセスポイントとコントローラの制御メッセージは,暗号化キーなどの重要なメッセージが含まれるため,AES(Advanced Encryption Standard)により暗号化されます。これに対し,無線クライアントからのユーザーフレームは,たとえ無線部で暗号化されていた場合でもLightweightアクセスポイントで暗号化が解除された上でLWAPPトンネルを通過します。有線端末から無線端末へのデータ送信も同様に,LWAPPトンネル内でフレームは暗号化されません。有線端末からのデータはコントローラが受信し,LWAPPトンネルを経由してLightweightアクセスポイントに転送され,Lightweightアクセスポイントによって無線部の暗号化が施されます(図4)。ユーザーフレームの暗号化,および暗号化の解除を各Lightweightアクセスポイントに作業を分散させることで,コントローラの負荷を軽減することができます。

図4●LWAPPトンネルを経由するデータトラフィック
図4●LWAPPトンネルを経由するデータトラフィック [画像のクリックで拡大表示]

 従って,今回の問題の選択肢では,Eの「無線部の暗号化は解除し,LWAPPトンネル経由でコントローラに転送する」が正解となります。

 最後に,LWAPPの例外として,WANを経由するLWAPPトンネルではWANへの負荷が大きくなるため,REAP(Remote Edge Access Point)機能を使用することにより,LWAPPトンネルからデータトラフィックを切り離すことが可能です。