企業で無線LANを構築する上で、来客(ゲスト)に対してゲスト用無線LANを提供することは多くあると思います。
むしろ提供しないケースの方が少ないかもしれません。
Merakiではゲスト用無線LANの提供方法として幾つかの仕組みを持っていますが、本日はMRにて実現できるスポンサーゲスト機能に関して紹介したいと思います。
スポンサーゲスト機能とは?
この機能はMRが持っているSplashページ機能を使って、スポンサー(ゲスト無線LANを提供している社員)に承認を得て接続を行う機能になります。
接続までの流れとしては、
1-1. ゲストがゲスト用のSSIDにアソシエートする
1-2. 端末にSplashページが表示され、自分の名前、メールアドレス、スポンサーのメールアドレスを入力する
2.で入力されたスポンサーのメールアドレスに対して承認を促すメールが届く
3. スポンサーはメールの中のリンクをクリックしてアクセスを承認する
4. ゲストはゲスト用SSIDを使って通信が可能になる
というものです。
設定方法
「ワイヤレス > 設定 > アクセス制御」へ移動します。
ゲスト用のSSID名を作成し、セキュリティ設定を行います。
ゲスト無線アクセスにおいては一般的には「オープン」とするケースが多いと思いますが、今回はPSKを設定しました。
次にSplashページの設定を行います。
「スポンサーゲストのログイン」を選択します。
また、「スポンサーemailドメイン」の入力も行います。
これは、ゲストがSplashページにてスポンサーとして自分のメールを入れ、承認が行えてしまうことを防ぐために、メール送信先の制限を行うために必ず必要な設定です。
設定は以上で完了です。
Merakiの設定はいつも簡潔です。。
ゲスト端末が無線LANに接続できるようになるまで
1. ゲスト端末にSSIDの設定を行う
今回はiPhoneで接続試験を行います。
Meraki MRに設定したSSID(および今回の設定ではPSKも)を設定して接続を行います。
アソシエートが完了すると自動でSplashページが表示されます。
利用者(ゲスト)の名前とメールアドレスを入力します。
「Continue」をタップします。
ここでは「スポンサーのメールアドレス」を入力します。
「Request Internet Access」をタップしてゲストはスポンサーが承認するのを待ちます。
2. スポンサーが承認を行う。
ゲストが入力したスポンサーのメールアドレスに対して承認を行うためのメールが届きます。
「Click here to approve access」をクリックして承認を行います。
そうすると、Webブラウザが開き承認が完了した旨のメッセージが表示されます。
これで、ゲストユーザは無線LANを使って通信を行うことが許可されるということになります。
まとめ
企業内におけるゲスト用無線LANへのアクセスは誰にでも使わせるのではなく、社員の承認を得てから通信が行えるようになるため、セキュアに運用が可能になると思います。
実際にセキュアかどうかはその他の設定に依存するのですが、変なことをさせない抑止力としては十分に機能するとは思っています。
また、実際にはゲスト用SSIDからの通信に対しては社内LANへのアクセスができないようにWLAN Concentratorを介して論理的にネットワークを分離させる等の必要となりますので注意が必要です。