有線LANでは、ケーブルとポートさえ守れば通信を制御できました。ケーブルの無い無線LANで、部外者が勝手に電波をつかんで接続するのを防ぐには、どうすればよいでしょうか?
Stage05の前半で学んだWPA2/WPA3の暗号化方式を思い出してください。実機では、SSIDの設定と合わせて、どの暗号化・認証方式を選ぶかがポイントになります。
この演習でできるようになること
- 無線ルータ(またはAP)にSSIDを設定し、ブロードキャストを制御できる
- WPA2-Personalの暗号化方式とパスフレーズを設定できる
- ノートPC(無線LANアダプタ搭載)から正しいSSID・パスフレーズで接続し、疎通確認できる
使用トポロジ
Wireless Router(WRT300N相当)を1台、ノートPC(Laptop-PT)を2台使用します。ノートPCにはあらかじめ無線LANアダプタ(PT-LAPTOP-NM-1W)を挿しておきます。無線ルータのLANポート側にサーバーPCを有線接続し、無線経由でそのサーバーへpingが通ることを最終的に確認します。
準備
- Packet Tracerで Wireless Router-PT(またはAP-PT + 別途ルーター)を1台配置します。
- Laptop-PT を2台配置し、それぞれの物理タブから有線NICをPT-LAPTOP-NM-1W(無線)に差し替えます(電源をいったんオフにしてから交換します)。
- 無線ルータのLANポートに、サーバーPCをストレートケーブルで接続します。
- ノートPCと無線ルータの間はケーブル不要(電波接続)です。
手順
無線ルータのGUI設定画面(デバイスをクリックして「GUI」タブ)を開き、無線設定を行います。この演習ではまだIOSコマンドを使わない機種を想定しているため、GUI操作中心です。
- SetupタブでLAN側のIPアドレス(例:192.168.2.1)を確認・設定します。
- Wirelessタブに移動し、Network Name (SSID) に
CCNA-LABと入力します。 - Wireless Security の項目で、Security Mode を
WPA2-Personalに設定します。 - Encryption は
AESを選択し、Passphrase(事前共有鍵)に8文字以上のパスフレーズ(例:ccnalab2026)を入力して保存します。
続いて、ノートPC側の設定です。ノートPCをクリックし、DesktopタブのPC Wireless(または似た項目)を開きます。
- 「Connect」タブに表示されるSSID一覧から
CCNA-LABを選択します。 - Security Mode に
WPA2-Personal、暗号化方式にAESを選び、先ほど設定したパスフレーズを入力して接続します。 - 接続が確立したら、Desktop > IP Configuration でDHCPによりIPアドレスが自動取得されているか確認します(無線ルータ側でDHCPサーバー機能が有効になっている前提です)。
確認
ノートPCのコマンドプロンプトから、無線ルータのLAN側に接続したサーバーPCへpingを送ります。
Laptop> ping 192.168.2.10
Reply from 192.168.2.10: bytes=32 time=1ms TTL=128
Reply from 192.168.2.10: bytes=32 time=1ms TTL=128
Reply from 192.168.2.10: bytes=32 time=1ms TTL=128
Reply from 192.168.2.10: bytes=32 time=1ms TTL=128
Ping statistics for 192.168.2.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)
すべて応答があれば、無線経由での通信が正常に確立しています。あわせて、誤ったパスフレーズを入力した場合に接続が失敗することも試し、認証がきちんと機能していることを確認しておきましょう。
合格チェックリスト
- 無線ルータにSSID「CCNA-LAB」が設定され、ノートPC側の一覧に表示される
- Security ModeがWPA2-Personal、暗号化がAESに設定されている
- 正しいパスフレーズを入力したノートPCのみ接続でき、IPアドレスをDHCPで取得できる
- 誤ったパスフレーズでは接続が拒否される
- 無線ノートPCから有線側のサーバーPCへpingが通る
つまずきポイント
- Security Modeの選び忘れ:
Disabledのままにしていると誰でも接続できてしまいます。必ずWPA2-Personal(またはWPA3対応機種ならWPA3-Personal)を選びましょう。 - 無線NICへの交換忘れ:ノートPCのデフォルトは有線NICのままのことが多く、無線設定タブ自体が表示されないことがあります。物理タブで電源をオフにしてから無線NICに差し替える手順を忘れずに。
- パスフレーズの文字数不足:WPA2のパスフレーズは8文字未満だと設定を受け付けない場合があります。エラーが出たら文字数を確認しましょう。
無線ルータでSecurity Modeを「Disabled」のままにしていた場合、最も懸念されるリスクは何でしょうか?
答えを見る
暗号化・認証が一切行われず、SSIDを知っている(あるいは電波が届く範囲にいる)誰もが自由に接続できてしまうリスクがあります。WPA2-PersonalやWPA3-Personalを設定し、パスフレーズによる認証と通信の暗号化を必ず有効にする必要があります。
SSIDの設定、WPA2-PersonalとAES暗号化、パスフレーズでの接続——電波という目に見えない境界線を、実際にGUIで区切って守る体験ができたね。有線と違って設定画面の場所が変わっても、守るべき考え方(認証と暗号化)は同じだよ。次はSTAGE05の総仕上げ、セキュリティ総演習のドリルだよ。