🎓 レベル:標準 | 重要度:B(重要) 📎 前提:イーサネットとMACアドレス
要点(BLUF)
- 無線LAN(Wi-Fi)は電波を共有メディアとして使うため、衝突を避けるCSMA/CAで送信を調停します(有線のCSMA/CDとは別)。
- 規模が大きくなると、各APを個別管理せずWLC(無線LANコントローラ)で集中管理します。
- セキュリティはWPA2→WPA3が現行。暗号(AES)と認証(個人=PSK/企業=802.1X)の組み合わせで決まります。
無線の基礎
- SSID:無線ネットワークの名前。端末はSSIDでネットワークを選びます。
- チャネル:使う周波数の区画。2.4GHz帯は重なりが多く、1/6/11の非重複チャネルを使うのが定石。5GHz/6GHzは重なりが少なく高速。
- CSMA/CA:電波は全二重にできず衝突検出も難しいため、「送る前に空きを確認し、必要なら待つ」衝突回避で調停します。
graph TD STA["無線端末(station)"] AP["アクセスポイント(AP)"] SW["有線スイッチ"] STA -->|"電波(SSID・チャネル)"| AP AP -->|"有線LANへ橋渡し"| SW
APは本質的に無線と有線を橋渡しするL2装置です。フレームは無線区間で802.11、有線区間で802.3に変換されます。
AP/WLCのアーキテクチャ
- 自律AP(Autonomous):各APが単独で設定を持つ。小規模向きだが台数が増えると管理が破綻。
- 集中管理(Lightweight AP + WLC):APは最小機能だけ持ち、設定・認証・チャネル/出力調整をWLCが集中管理。CAPWAPトンネルでWLCと通信します。
大規模キャンパスでは後者が標準で、APを足してもWLCのポリシーが自動適用され、ローミング(AP間移動)もスムーズになります。WLANの作成やセキュリティ設定はWLCのGUIで行います(CCNAでGUI操作が問われる)。
無線セキュリティの進化
電波は壁を越えて誰でも受信できるため、暗号化が必須です。
| 規格 | 暗号 | 主な認証 | 状態 |
|---|---|---|---|
| WEP | RC4(脆弱) | 共有鍵 | 廃止 |
| WPA | TKIP | PSK/802.1X | 非推奨 |
| WPA2 | AES-CCMP | PSK/802.1X | 広く現役 |
| WPA3 | AES-GCMP・SAE | SAE/802.1X | 現行・推奨 |
- 個人(Personal):事前共有鍵(PSK=パスフレーズ)。家庭・小規模。
- 企業(Enterprise):802.1X/EAPでユーザーごとに認証(RADIUSサーバ連携)。ユーザー単位で管理・失効できる。
- WPA3の改善:SAE(Simultaneous Authentication of Equals)でオフライン辞書攻撃に強くなり、PSKでも安全性が向上。
なぜ有線より暗号が重要か(設計の直観)
有線は物理的にケーブルへアクセスしないと盗聴できませんが、電波は建物の外にも漏れ、誰でも受信できます。つまり無線は「常に盗聴されている前提」で設計せねばならず、暗号化と強い認証が不可欠です。WEP→WPA3の歴史は、攻撃手法の進化に追われて暗号と鍵交換を強化し続けた記録そのものです。TLS等の暗号理論の詳細はサイバーセキュリティ分野へ繋ぎます。
⚠️ よくある誤解
- 「無線はCSMA/CDで衝突検出する」ではない。無線は送信中に自分の電波で他を聞けず衝突検出が難しいので、**CSMA/CA(回避)**を使います。
- 「SSIDを隠せば安全」ではない。SSID非通知は気休めで、暗号化の代わりにはなりません。WPA2/WPA3の暗号が本質。
- 「WPA2-PSKなら企業でも十分」ではない。PSKは全員同じ鍵で失効管理ができません。組織は**802.1X(Enterprise)**でユーザー単位の認証が原則。
対応 lab
- なし(WLC GUI操作・実機/シミュレータでの確認を推奨)
関連
- L2の基礎:
[[02-01_イーサネットとMACアドレス]]/章ハブ:[[07-00_ネットワークサービスとアクセス制御_目次]] - 暗号・認証の深掘りはサイバーセキュリティ分野へ