前回、有線LANをdot1xにしたけど、本命の無線LANのdot1x化を実施。
と言っても、対応装置を使えば何もすることは無かった。 最初、手元に余っていたBuffalo WHR-600Dにdd-wrtを導入してdot1x設定を行っていくらやっても繋がらず・・・追いかけていったら単純に当該のdd-wrtはメニューにあるけどうまく動作していなかった。 コンソールで入って中にあったradclientで試すと正常に動いたが、メニューでいくら設定してもradius認証のパケットが飛ばなかったので、無線側の実装問題があるのかもしれない。
その後、更に古いがハードウェア的に強いNetgearのWDNR4500にdd-wrtを導入してみたところ、2.4GHzではdot1x出来るが5GHzではdot1x出来ない(NICがそれぞれに付いていてドライバが異なるので実装の問題だろう) また、こいつは450Mbpsの11nまで対応だし、そもそも消費電力が非常に高い(12V5AのACアダプタ付属)と言うことで、結局、dot1xに正式対応した機材を購入した。
選定した機材は、ASUSTek RT-AC1200HPと言うヤツ。 5000円台の低価格ながら11ac 866Mbps対応(11nは2.4/5GHzとも300Mbpsの2×2仕様)でdot1x対応品。 付属のACアダプタは1A品で、単純に先のNetgearの1/5、電力計でチェックしたが866リンク状態のローカルファイル転送(40MB/s程度)でも10W以下で動く。
一般的なブランド品でdot1x出来るヤツは2万くらいするのを考えると非常にコスパがいい。 ただ、値段なりに弱点はあって、CPUパワー的には先のNetgearと大差ない(866状態で適切なファイアウォールポリシーを組み合わせたルーティングなどさせる余力は無い)、WANインタフェイスだけGbEでLANインタフェイス・スイッチはFE等はあるけど、我が家は既存のGbEスイッチとIX2215等がそろっているから、単純に無線LAN APモードとして使うため問題が無かった(APモードであればWAN側GbEインタフェイスもブリッジされるため)
AC1200HPでは何も考えずに、電源投入、初期設定を適当に済ませてから管理設定でAPモードに切り替え、再起動後に無線LAN設定画面でWPA2-Enterpriseを選択して、RADIUSサーバ設定画面でサーバのIPとSecretを入れて再起動。 何もせず、普通にRADIUS認証が飛ぶようになった。
サーバ側は前回のスイッチに設定した通りで問題なくPEAP等もそのまま動作して、すんなりいってくれた。 クライアント側はWindows10/8.1U1/7でBroadcom/Intel/Realtekにて検証。
あとはしばらく試験運用して安定性など問題なければ、そのまま職場のAPを全部こいつでリプレースしていきたい。
ただし、RADIUSサーバが停止すると致命的なので、RADIUSサーバのバックアップとしてDiginosStickかRPi2あたりにRADIUSサーバを構築して自動切り替え動作させたいところ(このAPではRADIUSのSlaveが登録できなかったため、バックアップ機でマスタサーバにRADIUS認証を定期的に実行して認証に失敗したらIPを乗っ取るようなスクリプトを作るか、バランサーかNATか何かを噛ませて切り替えてやる必要があるな)
(817)