【検証報告】NEC QX-W2120AC / QX-W1130 無線アクセスポイント と NetAttest EPS の認証連携を確認しました

ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」と、日本電気株式会社製 無線LANアクセスポイント 「QX-W2120AC / QX-W1130」を連携させ、エンタープライズ方式による認証が可能かを確認しました。

無線接続クライアントは、Windows、macOS、iOS、Android OS 搭載端末で、確認した認証方式はパスワード方式（EPS-PEAP）及び、電子証明書認証方式（EAP-TLS）です。

確認した環境

ネットワーク図

動作を確認した環境は下図の通りです。
認証サーバー、無線LAN機器、DHCPサーバー、同じL2スイッチ配下に接続しています。

機器の情報

各機器の製品名・バージョン、及びメーカーは下表のとおりです。

連携するための設定

無線機器と認証サーバーの連携検証に際して、エンタープライズ方式での認証・接続の有効化（無線機器側）、問合せ先の認証サーバーを指定（無線機器側）、RADIUSクライアントとして無線機器を指定（認証サーバー側）を行いました。

無線機器での設定

QX-W2120AC/QX-W1130の初期設定ではWebブラウザからのログインが有効になっていないためコンソールから各種設定を行いました。（初期設定およびRADIUS認証に必要な以下の設定を行いました。）

1. QX-W2120ACの初期設定
2. QX-W1130の初期設定
3. コントローラーでの無線設定
4. コントローラーとAPの連携

「3.コントローラーでの無線設定」について、QX-W2120ACのWebUIからRADIUSサーバーの設定を行います。ログイン完了後、左のメニューから「ネットワークセキュリティ」-「認証」を選択し、「RADIUS」タブへ移動し新規RADIUSの設定を行いました。

802.1X はクライアント、認証装置、認証サーバーの認証に関する情報を転送するために EAP（Extensible Authentication Protocol）を使用します。「ネットワークセキュリティ」-「アクセス制御」にてEAP 中継モードを有効にしました。

「ISPドメイン」タブへ移動し、作成したRADIUSの設定と紐づけます。

「クイックスタート」-「サービスの追加」を選択し、SSIDの設定を行います。

認証サーバーの設定

認証サーバー（NetAttest EPS）に、認証要求を発信してくる無線機器を登録します。

サービス管理画面の「管理」メニューにて｢RADIUS認証｣でフィルタリングし､｢NAS/RADIUSクライアント｣を選択します｡表示された画面で「新規登録」ボタンを選択し、RADIUSクライアントの登録を行います。

無線機器のIPアドレスや、シークレット（Shared Secret、共有シークレット）などを指定します。

確認した結果

無線クライアントとして用意した各OSについて、全て問題なく認証に成功しました。

無線機器側のログ

QX-W2120ACの認証ログは、「システム表示」-「システム」-「イベントログ」から確認します。 

EAP-TLS 認証の成功ログ

問題なく無線LANに接続されていることが確認できます。

EPA-PEAP認証の成功ログ

問題なく無線LANに接続されていることが確認できます。

認証サーバー側のログ

NetAttest EPSのRADIUS認証ログを、サービス管理画面の「管理」メニューにて｢ログ｣でフィルタリング､｢RADIUS認証ログ｣を選択し確認します。

EAP-TLS認証の成功ログ

問題なく認証に成功していることが確認できます。

EAP-PEAPの認証成功ログ

問題なく認証に成功していることが確認できます。

まとめ

ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」と、日本電気株式会社製 無線LANアクセスポイント 「QX-W2120AC / QX-W1130」を連携させ、エンタープライズ方式による認証が可能であることを確認しました。

今回の連携検証は、最もシンプルな構成で行っています。
企業ネットワークへの導入を検討するにあたっては、無線アクセスポイントの各種機能の評価も必要になります。より実環境に近い構成での確認をお奨めします。