会議室や応接室などで、来客者がインターネットを利用する場面はよくあると思います。
来客者が自らモバイルルーターを持参して自前で接続することもあるものの、立地によってはモバイルルーターの電波が弱い場合や、複数個所を結んだweb会議などではデータ量の多い通信もあり、そんな時にゲスト用のインターネットが使えると大変便利です。
↓PCトラブルなど社内IT環境にお困りなら↓
ゲスト用LANを用意したいけど…大丈夫?
ほとんどの企業は、インターネット接続の契約をしているはずですが、もちろんインターネットに接続するためには社内のネットワーク設定をしなければ使えません。
ゲスト用LANを分けたほうが良い理由
ゲスト用LANを提供するにあたり、持参いただいた機器に、IPアドレスを変更してもらうなど自社のネットワーク設定を行わせるようではゲスト用LANとは言えません。宿泊施設で利用可能なインターネット接続や公共WiFiのように、LANケーブルをつないだらすぐにインターネットが使えるべきです。無線LANであれば、SSIDとパスワードを提供するだけの状態にしたいところです。
ただし、社内ネットワークに参加させる形にすると、共有フォルダや社内接続機器が見えてしまう可能性があります。アクセス権を設定していれば実際にファイルに触れられることは無いかもしれませんが、万が一持ち込みした機器にコンピューターウイルスがいた場合はネットワークに接続できてしまうだけで何かしらの被害が出てしまう可能性があります。
また、部外者がネットワークに接続した時に社内機器が覗けてしまうことがわかると、逆に相手方からセキュリティ対策が大丈夫か不安にさせてしまうかもしれません。
自社のセキュリティ対策、そして来客者にとっても安心して使用できる環境のためにも、ゲストLANは単純に自社のネットワークを開放するのではなく、明確に分離して構築することが推奨されます。
ゲスト回線は独立した系統にするのが一番シンプル
一番シンプルなのは、業務で使用しているインターネット回線とは別に、もう一系統インターネット回線を用意することです。この回線を会議室や応接室までケーブルを敷設しLANハブを用意する、または無線LANを構築します。
ゲスト用であれば通常の一般家庭用のインターネット契約で問題ないですし、今は高速インターネット回線は1か月5千円程度で利用できます。ゲスト回線という用途だけならあまり頻度は高くないかもしれません。例えば、従業員に開放するフリーWiFiスポットとして活用する、なども検討してみてはいかがでしょうか。
業務にクラウドサービスを利用しているなど、ある程度インターネットに依存している業態なら、ちょっと値は張りますが、メイン回線とは物理的に異なる回線業者(例えばメインがNTT系なら、ゲスト回線はUSENなど)を引き込むと、万が一メイン回線に障害が発生したときの予備系統として、平常時はゲスト用ネットワークとしておく手もあります。
別回線を用意しなくても安全に分離できる?
とはいえ、やはり使用頻度的にそこまで高くないゲスト回線にコストはかけられない…。
そのような場合は、1つのインターネット回線から、論理的な分離をすることで安全性を確保する方法があります。もちろんそのためには若干の手間と知識が必要となりますので、本記事を参考に、安全なゲスト用回線の構築を検討してみてください。
↓PCトラブルなど社内IT環境にお困りなら↓
無線LANルーターの場合:ゲスト用wifiを活用
ゲスト用SSID(ゲストポート)とは?
無線LANルーターを使用している場合、「ゲスト用wifi(ゲストポート)」が使える場合があります。
ゲストポートは、無線LANルーター内で通常のネットワーク接続とは別に、インターネットをつなぐためだけのSSIDを用意するものです。これを適切に使うことで、業務用に使っているインターネット回線をそのままゲスト回線に使うことが可能です。
来客者も多くの場合は無線LAN接続が可能な機器を使用しているでしょうし、運用方法さえ明確なら、難しい知識もなく安全なゲスト回線を用意することが可能です。
標準的なゲスト用Wifiの設定の仕方
ゲストポートの設定の仕方は無線LANルーターによってそれぞれ異なるため、マニュアルやヘルプページを参照して確認しましょう。ここでは代表的な方法を記載します。
ゲストSSIDが最初から用意されている場合(ゲストポートの有効/無効化)
あらかじめゲストポート用のSSIDが固定され、単純にON・OFFにするだけとなります。もっとも簡易に設定できますが、SSIDやIPアドレスの変更ができない場合もあり、セキュリティ的には若干不安があります。必要な場合のみONにし、明確に使わない時期は無効にする運用を検討ください。
複数SSIDを設定する中でゲストポートを選択できる場合
複数のSSIDが利用可能な場合や、2.4GHz/5GHz両方の無線LANアンテナを同時に使える場合に、そのうちの設定の1つをゲストポートにすることができる場合です。SSIDを設定する手順の中で、そのSSIDをゲストポートにするかどうかの選択肢が含まれており、有効にすることでインターネットだけ利用可能なSSIDにすることが可能です。
SSIDを追加するという設定で少しだけ手間はかかりますが、SSIDやパスワードを任意に変えられるほか、もう少し詳細なネットワーク設定もできることから、セキュリティ的にもある程度配慮できる仕組みです。
(特殊)ログインユーザによってゲスト用アクセスに変更する場合
一般の無線LANルータでは、SSIDとパスワードが一致すればそのまま無線LAN接続が可能ですが、SSIDの認証の後に、さらにネットワークログインも求める、高度なセキュリティを指定できるパターンです。
ゲスト用ユーザを無線LANルータの設定に登録し、ログインする際にゲスト用に発行したユーザIDとパスワードを適切に入力することで、そのIDでログインしたユーザはインターネット接続だけが利用可能なゲストユーザとなります。
ゲスト用アクセスの機能は登録可能数に上限があるなどの制限があるため、ある程度利用者が固定されている場合などで活用できます。
(参考)ゲストポート・ゲスト用wifiに対応した無線LANルータの例:
(参考)ゲスト用wifiのセキュリティは?
ゲスト用wifiやゲストポートは、ルータの工場出荷時に無効にされ、設定により有効化できる場合がほとんどです。セキュリティ的に問題があるということでしょうか?
SSIDに対してパスワードを設定する、ゲストポートであってもEPA2などの通信の暗号化を使う、変更可能であればSSIDやパスワードをデフォルトから変更するなど、基本的な手間をすこしかければ、セキュリティは十分担保されます。
簡易的なゲストポートで、パスワードを設定できない、通信を暗号化できない仕組みの場合は、使用しない場合は都度ゲストポートを無効にすることを推奨します。不特定多数が自由に利用できてしまう環境は、基本的には常時開放しない方が良いでしょう。
さらにひと手間工夫をするとすれば、パスワードを定期的に変えてみてはどうでしょうか。頻度としては数か月に1回(年数回)で十分です。ゲストポート自体はネットワーク分離され、配下のネットワーク機器へ侵入することは不可能ですが、万が一ゲストポートのパスワードを知った悪意のある利用者が、ゲストポートを介して大量のデータを送り付け、ルータの負荷を高め、処理速度低下などといった攻撃を受ける可能性もゼロではありません。
↓PCトラブルなど社内IT環境にお困りなら↓
ルーター、L2/L3スイッチの「VLAN」を使う(中級)
VLANとは?
無線LANのゲストポートの運用が難しい場合や無線LAN自体が導入できず有線LANしか使えない場合は、ルーター、L2/L3スイッチの機能の一つである「VLAN」によってゲストLAN用の分離を安全に行うことができます。VLAN自体は一般的な機能ですので、追加費用なく使えるのですが、ちょっと複雑なので仕組みを理解する必要があります。
(参考) VLANを搭載したスイッチ:
シンプルな構成なら「ポートVLAN(アクセスリンク)」
ポートVLANは、同じ筐体のL2/L3スイッチを、ポート単位に論理的に分離する、シンプルな設定です。
L2/L3スイッチは5ポートから、最上位モデルでは48ポート以上搭載するモデルもあります。デフォルトではどのポートにLANケーブルを接続しても同じように使えますが、ポートVLANを設定することで、特定のポート同士のみ通信可能な論理的な制御が可能となります。
VLANにはVLAN IDと呼ばれる数値の識別を設定します。初期設定の場合デフォルト値、例えばVLAN ID=「1」を指定している場合、「1」以外のVLAN IDを指定し、指定のポートへ登録することで、そのポートはVLAN ID=1のポートとは原則、通信ができなくなります。
ゲストポート構築の場合、このようにVLANを設定し、ゲスト用に使いたいLANケーブルを指定したポートへ接続することで、ネットワークの独立性を確保できます。
1系統のインターネット接続から、VLANを使って利用可能にするためには、さらにWANやルーティング設定の変更が必要となりますが、設定については個々の機器によって異なるため、サポートサイトやマニュアルを確認しましょう。
複数のスイッチを経由するなら「タグVLAN(トランクリンク)」
ポートVLANはシンプルですが、複数台のL2/L3スイッチにまたがって構成する場合、ポートVLANだけで構築する場合に限界があります。
同じネットワーク下にあるVLAN IDは共有して利用できますが、ポートVLANだけで構築する場合で複数台のスイッチがある場合、ポートVLAN同士で構築しないと当然ですが通信はできません。メインの系統とゲスト回線だけの2系統だけならそれほど影響はないですが、VLANがもっと多い環境や複数のスイッチにまたがる場合は、タグVLANを利用すべきです。
タグVLANはトランクリンクとも呼ばれ、シンプルに言うと、ポートVLANとは別の専用ポートを用意し、このポートは別のスイッチにつながるように構成します。こうすることで、スイッチに利用するポート数を減らして、VLANをシンプルに構成できる仕組みとなります。
↓PCトラブルなど社内IT環境にお困りなら↓
どうしても上手くいかない時は
インターネットで検索して色々な方法を試してみたけどうまくいかない…
とげおネットまで
お気軽にご相談ください!!
電話・メールフォームから
お問い合わせください!
▼ ▼ ▼
とげおネットでは
出張サポートにて
お力になれます!
インターネットで検索して色々な方法を試してみたけど上手くいかない場合はとげおネットまでお気軽にご相談ください。出張サポートにてお力になることが可能です。
まとめ:ゲストLAN構築で気にしないといけない事
ゲストLAN構築で留意すべき点について、本記事がご参考になれば幸いです。ゲストLANやVLAN構築でお悩みの際は、お気軽にとげおネットにお問合せください。
その他ネットワーク設定やトラブル対応に関する記事を以下にまとめましたので併せてご参考ください。
弊社ネットワークサポート事例
弊社のネットワークサポート事例は以下のとおりです。
