【事例】認証と通信サイズ制限2つの設定をVLANで使い分け
発行日
2023年10月31日
件名
【事例】認証と通信サイズ制限2つの設定をVLANで使い分け
お知らせ事項
先日皆様に配信させていただいたメールの中で、POPCAHT-X機器の設置に伴うネットワーク設計上の配慮事項の一つとしてご紹介した、以下の項目に対して、次の通りお問い合わせを頂戴しました。
▼先日のメールに記載した配慮事項より
> POPCHAT-X機器1台で認証の対象として収容、認識できるネットワークは、1セグメント(1サブネット)だけです。
▼対して頂戴したお問い合わせ内容
> VLANのTagには対応できないのか?
> 想定する用途としては、SSIDごとの使用時間で制限したい。
> 一部のエリアは、時間帯 8:00~21:00 で使用可能
> 他一部のエリアは、24時間使用可能
> このようにSSIDで(VLAN)で分けたいが、その際は各セグメントごとに合計2台のPOPCHATを設置するしかないのか?
今回のメールでは、このお問い合わせ内容に対する回答と事例を皆様にも共有させて下さいませ。
- POPCHAT-X機器の非常に珍しい特性:VLAN対応について
- POPCHAT-XのVLANグループ管理によるマルチモード対応について
- 事例
- お問合せ
1.POPCHAT-X機器の非常に珍しい特性:VLAN対応について
上記のお問い合わせで想定されている使い方の対応可否について、結論から申し上げると、「可能」です。
現行最新モデルPOPCHAT-Xシリーズ製品のみならず、旧POPCHAT製品の頃から現在開発中の次ファームOSに至るまで、全てのPOPCHAT機器には、非常に珍しい特性がありまして、1セグメントで複数の異なるVLANタグIDの値を認識できます。
クライアント端末が発信し、APやスイッチを経由してPOPCHATに届いた通信にVLAN-IDタグが付帯するという構成の場合、POPCHATの特性(仕様)を活かして、認証やその後のインターネット接続通信の度に、当該VLAN-ID数値を認識し、履歴のログに記録を残す設定か、そのVLAN-IDを認識せず無視する設定、どちらか選んで導入可能です。
POPCHATは、1セグメントで複数の異なるVLANタグIDの値を認識できる、とお伝えしましたが、別途、前述の特性事項(以下に再掲)、
> POPCHAT-X機器1台で認証の対象として収容、認識できるネットワークは、1セグメント(1サブネット)だけです。
…がある訳なので、1台のPOPCHAT機器で、複数のセグメントの異なるVLANを認証の対象として収容し認識する、ということは出来ません。
ですので、POPCHAT機器LAN側配下のネットワーク構成機器であるスイッチや無線APでVLAN-IDを設定していただく際に、もし当該製品がセグメントに関わらずVLAN-IDを設定できる仕様であれば良いなのですが、セグメントの重複を弾いてしまうような仕様の場合には、POPCHAT機器の上記のVLAN対応の機能を活用していただくことが出来ません。
その点で、同セグメントで異なる複数のVLAN-IDを設定可能な製品と組み合わせていただく場合、現行最新モデルのPOPCHAT-Xシリーズなら、次に紹介するような使い方が可能となります。
2.POPCHAT-XのVLANグループ管理によるマルチモード対応について
POPCHAT-Xシリーズでは、POPCHAT-X機器に認識させたいVLAN-ID数値を予めの設定で登録しておけば、上述の通り、認証ログや接続ログに記録を残すという事が可能です。
加えて、当該VLAN-ID群をグルーピングして「VLANグループ」として設定し、一つずつのVLANグループごとに、以下の認証に関する設定項目について異なる設定値で設定しておけば、対象いずれかのVLAN-ID付帯のアクセスを、未認証の端末から検知した際に、VLAN-ID識別に基づいて適用する認証設定内容を振り分ける、という使い方が可能です。
・インターネット接続可能な時間帯制限
・認証方式(認証フォームの種類)
・接続時間/回
・利用可能回数/日
・認証保持有効期間
・認証完了画面からのURLリダイレクト
更に加えて、同じく一つずつのVLANグループに対して、以下の通信サイズ制御機能の設定項目についても、異なる設定値を用意しておき使い分ける、という事も可能となっています。
通信サイズ制御(端末あたり)の設定項目
・(NAT)セッション数の上限値
・セッション数上限オーバー該当端末に対する通信制限の持続時間(分)
・帯域使用量の上限値(Kbps)
・帯域オーバー該当端末に対する通信制限の持続時間(分)
・通信制限適用時の帯域絞り込みサイズ(Kbps)
※通信制限の内容は、設定項目によりパケットシェイプと遮断があります。
■補足1
上記の認証設定、通信サイズの制御設定を、POPCHAT-X機器1台で複数パターン使い分けできる事を指して「マルチモード対応」と呼称しています。
Webサイト「商品」ページや、各機種ごとの製品仕様書などに記載の通り、POPCHAT-Xシリーズの1機種ごとに、設定可能な
・登録して識別可能なVLAN-ID管理数
・認証/制御設定のマルチモード対応数
…が異なりますので、導入ご検討の際には機種ごとの該当スペック情報をご確認ください。
■補足2
旧POPCHATⅢまでのシリーズでは、VLAN-ID識別による認証設定の使い分けが、POPCHAT機器本体に内蔵のごく簡易で限定的な認証機能の範囲内でしか出来ませんでした。例;メールアドレス認証やアンケート認証が使えない。
また、通信サイズ監視機能の設定値使い分けには、全く対応していませんでした。
この点、POPCHAT-Xシリーズで機能が向上した要素となっています。
POPCHAT-Xシリーズでの、上記機能の活用事例を、次にご紹介いたします。
3.事例
上述のようなVLANグループ管理の機能により、適用する設定を使い分けを行ったこれまでの事例を、幾つか簡単にご紹介させていただきます。
■1.病院(病床数約400/関東)
院内で患者用SSIDを3つに分けたのに伴ってPOPCHAT-Xで3つのVLANグループを作成し、院内でそれぞれの患者Wi-Fiに別々に適用する設定内容を行い、使い分けの事例。
【 VLANグループNo.1 】
・アクセスID認証
→産科患者向けWi-Fi用の設定
【 VLANグループNo.2 】
・ベーシック認証
→有料個室向けWi-Fi用の設定
【 VLANグループNo.3 】
・Hospital Pay Wi-Fi(有料Wi-Fi)認証
→その他入院病棟向けWi-Fi用の設定
■2.病院(病床数約100床/関東)
院内で患者用SSIDを2つに分けたのに伴ってPOPCHAT-Xで2つのVLANグループを作成し、院内でそれぞれの層の利用者向けに通信サイズ制御の上限設定を変えて、差別化の事例。
【 VLANグループNo.1 】
・通信サイズ上限設定無し
→有料個室向けWi-Fi用の設定
【 VLANグループNO.2 】
・1利用者あたりの帯域上限を最低限に設定
→その他入院患者及び外来スペース向けWi-Fi用の設定
■3.自治体(人口約31万人/東海)
Wi-Fiエリアの異なる2つSSIDに対して、POPCHAT-Xで2つのVLANグループを設定し、導入した認証方式はどちらも、総務省ガイドラインで推奨の以下の3種類で共通だが、接続時間設定と認証保持期間の設定をVLANグループで使い分けの事例。
◎2つのVLANグループ共通の認証方式
・メールアドレス認証(利用確認を伴う)
・OPEN-ID認証(SNSログイン連携で本人確認)
・コールバック認証(SMS自動返信で本人確認)
【 VLANグループNo.1 】
・接続時間 3日間/回
・回数無制限
・認証保持期間 3日間
※3日間、何度でも再認証不要でシームレスに利用再開可能
→市内公衆Wi-Fi用の設定
【 VLANグループNo.2 】
・接続時間 9時間/回
・回数無制限
・認証保持期間 0日間
※9時間経過の都度、SNSログイン等上記いずれかの再認証が必要。
→市庁舎2階のWi-Fi向け限定の設定
■4.文教(学生数約6千人/九州)
POPCHAT-XでVLANグループを2つ設定して、それぞれ以下の用途に使い分けの事例。
【 VLANグループNo.1 】
・RADIUS認証
→学生向け学内Wi-Fi用の設定
【 VLANグループNo.2 】
・ベーシック認証
→施設内に備え付けのPC(有線LAN接続)用の設定
以上、少ない例で恐縮ですが、ご紹介させていただきました。
もし今後の参考に、もう少し細かい設定例が知りたい場合などには、お気軽にお問い合わせ下さい。
4.お問合せ
今回のお知らせに関するお問い合わせ窓口は、以下の通りです。
POPCHAT-Xシリーズ製品に関する導入やお見積りのご希望
・POPCHAT総合受付<contact@popchat.jp>
POPCHAT-Xシリーズ製品に関するテクニカルサポート
・POPCHATサポートデスク<support@popchat.jp>
または、
・Web問い合わせフォーム<https://popchat.jp/inquiry/>
