WLANオプション

これは、WLAN がクライアントにブロードキャストする名前です。

無線ごとに最大 15 の SSID(サービス セット識別子)を設定できますが、デバイス プロファイルと WLAN テンプレートの経験則として、AP ごとに 2 つまたは 3 つの WLAN のみを使用します。この考え方は、無線ごとに 102.4 ミリ秒ごとに MBR(最小基本レート)で送信されるビーコン管理フレームによって発生する通信時間のオーバーヘッドを最小限に抑えることです。つまり、AP 上で 4 つ、6 つ、または 8 つのアクティブな WLAN を実現するためにデータ レートと同一チャネルの競合を慎重に考慮しない限り、AP あたり最大 2 つまたは 3 つの WLAN を推奨します。

これを使用して、AP が WLAN をブロードキャストするかどうかを設定します。また、次の操作を行うこともできます。

• SSIDを隠す

• APを名前でブロードキャストする

• Mist を設定して、AP に IP アドレスまたはデフォルト ゲートウェイがない場合に WLAN を無効にするか、Mist Edge トンネルがダウンしている場合にトンネル接続された WLAN を無効にします。これは、APが完全なネットワーク接続を持っていない場合や、Mist Edgeへの接続を失った場合に、クライアントの行き止まりを防ぐことを目的としています。

• バンドステアリングを有効にします。バンドステアリングテクノロジーは、接続されたクライアントにデュアルバンド(2.4GHzと5GHz)機能があるかどうかを検出します。過密なエリアで2.4バンドで送信する多くのデバイスは、ワイヤレス接続にノイズや干渉を引き起こす可能性があります。バンド ステアリングを有効にすると、信号が良好な場合、クライアントが 5 GHz 帯域に参加するように促すことで、これを軽減できます。

WLAN でブロードキャストする無線周波数(2.4 GHz、5 GHz、6 GHz)を選択します。 ワイヤレス クライアントは、通常、2.4 GHz 帯域よりも 5 GHz 帯域に接続した方が、5 GHz 帯域の方がチャネル数が多く、同一チャネルの競合が少ないため、パフォーマンスが向上します。6 GHz帯域は、さらに多くのチャネル、より広いチャネル、より高度なセキュリティオプション、およびより優れたデータレートを備えています。

輻輳を防ぐために、WLAN で休止タイマーを設定します。APは、ここで設定した時間までに定義されたように、非アクティブなクライアントを認証解除します。デフォルトの時間は 1800 秒です。

ジオフェンシングは、受信信号強度インジケータ(RSSI)が指定されたレベルを下回るクライアントがネットワークに参加するのを防ぐことができます。無線帯域ごとに最小クライアント RSSI を設定して、特定の距離または範囲を超えるクライアントが WLAN に参加できないようにできます。ジオフェンシングは、最初の関連付けにのみ適用されます。したがって、クライアントがすでにネットワークにアソシエートされている場合、RSSI値が設定されたしきい値を下回っても、クライアントのアソシエーションは解除されません。デフォルトでは、すべての無線帯域で無効になっています。

「 ジオフェンシングを有効にする」を参照してください。

データ レートを設定して、接続の遅いクライアントが WLAN の全体的なパフォーマンスを低下させないようにします。

既定値は [互換性あり] で、すべての接続が許可されます。その他のオプションは次のとおりです。

• No Legacy(2.4G, no 11b):802.11b デバイスが WLAN に参加するのを防ぎます(これにより、ネットワークに容量が追加されます)。

• 高密度(それより低いレートはすべて無効)—802.11b および 802.11g クライアントのネットワークへの参加を防止し、接続するための最小信号レベルを設定します。この設定は、クライアントのローミングに影響を与える可能性があります。また、レガシーデバイスがネットワークに参加するのを防ぐこともできます。これは容量の観点からは望ましいことですし、その逆もまた然りです。たとえば、切断されたレガシーデバイスが多数ある場合はその逆です。

• カスタムレート— Wi-Fiデータレート設定を参照してください。

WLAN のレート制限を使用して、WLAN 帯域幅のアップリンクとダウンリンクの制限を設定します。レート制限は、AP 単位、クライアント単位、アプリケーション単位で設定できます。また、特定のアプリケーションに対する帯域幅の総割り当てを制限することもできます。

レート制限フィールドは、値をハードコーディングする(つまり、グローバルにする)ためのオプションとして、WLANごとおよびクライアントごとのサイトレベルの変数もサポートしています。これは、WLAN テンプレートで特に便利です。一般的な使用のためにコア構成を構成しつつ、サイト固有の違いに柔軟に対応したい場合も同様です。変数は、組織>管理>サイト構成ページで追加できます。

クライアントごとにアップリンクとダウンリンクのレートを設定します。

このオプションは、指定されたアプリケーションのクライアントごとのアップリンクまたはダウンリンクレートを制限します。アプリケーションは、その名前またはホスト名で識別する必要があります。

この WLAN を適用する AP を [All]、[Specific]、または [AP ラベルに従って] から選択します。

デフォルトでは、選択したサイトまたはサイト グループ内のすべての AP が WLAN 設定を取得し、SSID をビーコンします。ユースケースや要件に基づいて、フィルタを適用して、AP ラベルまたは特定の AP でのみ WLAN を設定できます。

セキュリティの種類

• エンタープライズ(802.1X)を使用したWPA3—RADIUSベースの認証。このセキュリティタイプでは、追加のオプションを有効にすることもできます。

  • WPA3+WPA2 移行 - 移行モードは、既存のセキュリティ タイプを提供することで、WPA3 と OWE への導入を容易にするのに役立ちます。詳細については、「 6 GHz 無線に関する考慮事項」を参照してください。

  • 192ビット暗号化—このオプションは、GCMP-256暗号化を無線で提供し、より安全な証明書を要求することで、Wi-Fiで最高レベルの802.1Xセキュリティを提供します。

• WPA3 with Personal(SAE)—パスフレーズベースの認証。1 つのパスフレーズまたは複数のパスフレーズを設定できます。

• エンタープライズ(802.1X)を使用したWPA2—RADIUSベースの認証。

• WPA2と パーソナル(PSK)—標準の事前共有キー(PSK)を使用したWi-Fi Protected Access(WPA)2。1 つのパスフレーズまたは複数のパスフレーズを設定できます。

• Opportunistic Wireless Encryption(OWE):6 GHz マルチバンド SSID に WPA3/OWE 移行モードを設定して、移行モード SSID の導入を容易にできます。詳細については、「 6 GHz 無線に関する考慮事項」を参照してください。

• オープンアクセス—暗号化されておらず、通常はゲストネットワークに使用されます。

選択したセキュリティの種類に応じて、他のオプションは次のとおりです。

• RADIUSルックアップを使用したMACアドレス認証—MACアドレスは、デバイスを承認するためにRADIUSサーバーに提示されます。特定のセキュリティタイプでは使用できません。

• [禁止されたクライアントの関連付けを防止(Prevent banned clients from associating)]:このオプションは、[ネットワーク セキュリティ(Network Security)] ページで禁止されたクライアントがこの WLAN に関連付けられないようにします。

• 高速ローミング — 新しいクライアントを認証するための 802.11r に基づくセキュリティ方式。

VLAN

• タグなし—VLANを使用しません。これがデフォルトの設定です。

• [タグ付き(Tagged)]:ネットワーク上に静的 VLAN がある場合は、このオプションを選択します。表示されるフィールドに、VLAN IDを入力します。 アクセスポイント(AP)に接続されているスイッチポートも、タグ付きVLANを使用していることを確認してください。

• [プール(Pool)]:プールにリストされている VLAN の 1 つからランダムに選択された IP アドレスを無線クライアントに割り当てるには、このオプションを選択します。これを PSK ベースのネットワーク セグメンテーションに使用する場合は、PSK の VLAN ID フィールドに必要なすべての VLAN ID を指定します([組織> WLAN テンプレート>事前共有キー>キーの追加 ] ボタン、[VLAN ID])。

  または、サイトに応じてクライアントを異なるVLANに配置するには、プールVLANにサイト変数を使用し、PSK設定ページのVLAN IDフィールドを空白のままにします。

• [ダイナミック(Dynamic)]:RADIUS サーバで設定された特定の VLAN に無線ユーザを接続するには、このオプションを選択します。

ピアツーピア分離により、同じWLAN、AP、または有線または無線サブネット上のレイヤー2ピアトラフィックを防止できます。このオプションはデフォルトで無効になっています。(レイヤー3フィルタリングの場合は、WxLANポリシーを作成できます)。

サブネットの分離にはファームウェア バージョン 0.12 以降が必要で、クライアントには DHCP アドレスが必要です。

• ARP
• ブロードキャスト/マルチキャスト
  • mDNS を許可する
  • SSDP の許可
  • IPv6近隣探索を許可
• ブロードキャスト SSID プローブ要求を無視する

これらのフィルターにより、WLAN 内の AP から送信される管理フレームの量が減少します。フィルタリングは、運用オーバーヘッドの日常的な部分として消費される無線放送時間を解放することで、パフォーマンスを大幅に向上させることができます。

• ARP フィルターは、指定された WLAN インターフェイスへの ARP(アドレス解決プロトコル)ブロードキャスト要求を防止します。有効になっていない場合、プロキシ ARP は、フィルター処理されていないインターフェイスに要求をフラッディングすることで、不明なイーサネット アドレス要求をすべて解決しようとします。ARP フィルターは有効なままにしておくことをお勧めします。(デフォルトでは、Mist APはプロキシARPをサポートしています。つまり、APはパケットを無線で転送する代わりに、クライアントに代わってARP応答を送信します)。
• ブロードキャスト/マルチキャストフィルターは、APが無線ネットワーク上でブロードキャストフレームとマルチキャストフレームを伝搬するのを防ぎます。IPv6ブロードキャスト、マルチキャスト、およびIPv4/IPv6 mDNSフレームをフィルタリングしますが、これらは個別に除外できます。DHCP ブロードキャストは、このフィルターに含まれません。

• • ブロードキャスト/マルチキャストフィルタリングが選択されている場合、このトラフィックをフィルタリングから除外して 、mDNS フレームを許可します。mDNS は、ネットワーク検出のために Apple Bonjour に必要です。

  • ブロードキャスト/マルチキャスト フィルタリングが選択されている場合にフィルタリングされるこのトラフィックを除外することで、SSDP(Simple Service Discovery Protocol)アドバタイズメント ビーコンを許可します。SSDP は、ユニバーサル プラグ アンド プレイ (UPnP) デバイス検出に必要です。

  • ブロードキャスト/マルチキャスト フィルタリングが選択されている場合、このトラフィックを除外して 、IPv6 近隣探索 フレームを許可します。

• AP は、無線クライアントからの ブロードキャスト SSID プローブ要求を無視する 、つまり、プローブ応答(SSID、サポートされているデータ レート、およびその他の 802.11 機能をアドバタイズする)を送信しないようにすることができます。

• Eth0 + PoE—デフォルト。Eth0 ポートからトラフィックを転送します。

• Eth1—AP の 2 番目のイーサネット ポートを介してトラフィックを転送します。このモードでは、WLAN VLAN にタグを付ける必要があります。ポートEth1は、物理的に独立したLANに接続する必要があります。

• L2TPv3:スタンダードベーストンネル。このオプションを使用する場合は、Mist トンネルがダウンしたときに WLAN を無効にするように Mist を設定することもできます。

• Site Mist Edge—カスタム転送をサイトレベルのMist Edgeに設定し、トンネルを選択します。[ Disable WLAN when Mist Tunnel goes down ] チェックボックスをオンにして、トンネルのダウン時に WLAN を無効にするようにMistを設定することもできます。

• 組織 Mist Edge—このオプションを使用する場合、複数のトンネルを選択し、VLAN分離を使用して複数のMist Edgeクラスタにトラフィックを分割できます。つまり、ローカルブレイクアウトだけでなく、複数のMist Edgeトンネルにも転送するようにWLANを設定できます。WLAN 内では、VLAN ごとに転送動作を決定できます。VLAN 単位の転送制御により、AP は異なる Mist Edge クラスタに転送できるため、大規模な環境で非常に高いスケーラビリティを実現できます。もう 1 つの用途は、柔軟な転送による SSID の統合です。VLANが複数のトンネルで重複しないようにする必要があります。Mistを次のように設定することもできます。

  • [ Disable WLAN when Mist Mist Tunnel goes down ] チェックボックスをオンにして、 トンネルがダウンしたら WLAN を無効にします。

  • [ Reconnect clients when Mist Edge Cluster changes ]チェックボックスをオンにして、APのMist Edgeトンネルが別のMist EdgeクラスタのMist Edgeにフェイルオーバーしたときに、クライアントに強制的に再接続させます。これは、Mist Edgeクラスタ全体で同じIPサブネットが使用されていない場合に、クライアントを正常に切断するのに役立ちます。

このオプションを使用して、WLAN が特定の日時にのみ SSID をブロードキャストするようにします。無効にスケジュールされている場合、AP は SSID をブロードキャストしません(つまり、利用可能なネットワークを検索するクライアントには SSID が表示されません)。ブロードキャスト ステータスを変更しても、無線がリセットされたり、AP が無効になったりすることはありません。

SSID のスケジューリングは、毎日複数の時間範囲をサポートします。デフォルトでは、このモードは無効になっています。

802.1X Webリダイレクト

セキュリティ タイプが エンタープライズ(802.1X)の VLAN に適用されます。

輻輳時に重要なトラフィックがキューに滞留しないように、サービス品質(QoS)を使用してトラフィックに優先順位を付けます。ジュニパーAPは、無線トラフィックに優先順位を付けることで、共有無線を最適化し、アプリケーションのパフォーマンスを最大限に高めることができます。

Wi-Fi Multimedia(WMM)は、IEEE 802.11e無線QoS規格に基づくWi-Fi Allianceの仕様で、トラフィックの優先度設定をサポートします。この仕様では、次のアクセス カテゴリを使用して送信を優先します。

• 0=バックグラウンド(ジュニパーAPでは使用されません)

• 1=ベストエフォート

• 2=ビデオ

• 3=音声

複数の同時アプリケーションがネットワークリソースをめぐって競合する場合、ジュニパーAPはMMEを使用して無線信号の品質とパフォーマンスを定義し、向上させることができます。

マルチメディア拡張機能 (MME) は、マルチメディア ワークロードのパフォーマンスを向上させるための汎用プロセッサのアーキテクチャ拡張機能です。スループットはWMMによって保証されません。

AirWatch™は、サードパーティのモバイルデバイス管理システムです。この設定を有効にすると、AP は AirWatch コンソールですでに識別されているクライアントに対してのみトラフィックの通過を許可します。有効にする場合は、管理対象デバイスの AirWatch コンソール URL、API キー、およびログイン資格情報を指定する必要があります。

デフォルトは設定されていません。この設定は、WLAN 設定ページまたは [WLAN Templates] から WLAN ごとに構成します。この機能は、ブロードキャスト/マルチキャストフィルタリングを自動的に有効にします。そのため、mDNSフレームを許可するオプションを必ず選択してください。

次のサービスを使用できますが、検出可能にするには明示的に有効にする必要があります。

• AirDrop、AirPlay、AirPrint、Apple HomeKit
• Amazonデバイス、GoogleCast、Roku、Spotify Connect
• NFS、スキャナー、SleepProxy(Wake-On-Network)

「WLAN への Bonjour Gateway の追加」を参照してください。

WPA3、WPA2、レガシー、OWE、オープンアクセス、エンタープライズ(802.1X)とパーソナル(SAE)、および単一または複数のパスフレーズ、TKIPなどをサポートします。

見る：

• WLAN で WPA2/WPA3 エンタープライズ(802.1X)セキュリティを有効にする

• 不正、ネイバー、およびハニーポットアクセスポイント

• 事前共有キーの設定と管理

高速ローミングを有効にして、WPA2 または WPA3 セキュリティを使用してネットワークに接続しているクライアントが、AP 間をローミングしても接続を維持できるようにします。高速ローミングにより、WPA2 および WPA3 クライアントは、同じネットワーク内の AP を変更するたびに認証サーバーで再認証する必要がありません。

• [デフォルト(Default)]:ローカル PMKID キャッシュのみ。ネットワーク上の Mist AP 間で PMKID は共有されません。これは、一部のユースケースには適しているかもしれませんが、拡張性はありません。

• .11r:802.11rで説明されている標準ベースの高速ローミング方式。

各 WLAN で必須です。APがスイッチ接続で使用するVLANのタイプを指定します。

• タグなし—VLANを使用しません。これがデフォルトの設定です。

• タグ付き—ネットワーク上の静的 VLAN で使用します(AP に接続されているスイッチ ポートもタグ付き VLAN を使用する必要があります)。

• プール—プールにリストされているVLANの1つからランダムに選択されたIPアドレスを無線クライアントに割り当てるために使用します。

• [ダイナミック(Dynamic)]:RADIUS サーバーで構成された特定の VLAN に無線ユーザーを接続するために使用します。

セグメンテーションのための事前共有キーによるVLANプールの使用については、 PSKでの役割の活用(ユースケース)を参照してください。

ゲスト アクセスを有効にするには、Juniper Mist でサインイン ポータルを作成するか、独自の外部ポータルを使用するか、シングル サインオンを有効にします。詳細については、「 WLAN ゲスト ポータル」を参照してください。