用件

・外部のゲストに無線LANを提供する。
・ゲストが社内LANに入ってきてもらっては困る。
・ただし内部の人はここからでも社内ネットワークを使わせたい。

設計

1.完全隔離

インターネット
  /
  |
  新規xSDL---ブロードバンドルーター+--無線LAN
                  |                |
                  |VPN(P2TP)       +--有線LAN
                  /
--社内ネットワーク
  |
  /
インターネット

新規にxSDLを引き込みます。
既存のネットワークと完全隔離なので精神的に安心できます。
ただし維持費が少しかかります。月額5000円ぐらい？
また、いざというときのバックアップ回線だったり、テスト用の回線にもなるよね。

社内ネットワークへは VPN(P2TP) を経由してアクセスします。

2.MAC VLAN

インターネット
  /
  |
既存の上位ネットワーク--MAC VLAN---+--無線LAN
  |                      |         |
  |                      |         +--有線LAN
社内LAN                  |認証端末
  \--社内LAN-------------/

VLANでセグメントに閉じ込めてしまいます。
ただし、最終的には既存のネットワークを通じて外にでれます。
MAC VLANなのでマックアドレスで社内ネットワークに入れるか否かを決定します。
ただし、機材のMACを登録しないといけないので設定がメンドイですね。。。

無線LAN

次に無線LANを考えてみます。

セキュリティを考えるとステルスタイプにしたいところなんですが、これは結構利用者に負担をかけると思います。
理由としては、windowsの無線LAN一覧に表示されないところが大きいと思います。

表示されないので、自分で詳細設定をしないといけません。これがすごい手間だと思います。
たいていどこがミスってつながらないハメなるのではないかと。
そうこうしているうちに10分ぐらい時間が失われていき、つながらないとゲストは怒るはで大変な思いをしそうですw

そもそも、ゲスト用のネットワークだと割り切ってしまえば、そこまでしなくてもいいと思うんですよ。
#できればフリースポットみたいにweb認証とかやりたい。。。

なんで、非ステルスにして、パスワードで守っておけばよいといいと思うんです。
そしてパスワードをころころ変更するようにしておけば大丈夫でしょう。
機械的に毎朝新しいパスワードを自動で発行するなんてことはできないんでしょうかね？

また、何かの不手際でパスワードがばれてしまって、接続されてしまったとしても、それだけでは社内LANにはログインできません。
社内LANに入りたければVPNか MACアドレスの登録が必要なんですし。。。。
彼らにできることは、インターネットで遊ぶことぐらいです。
もちろん、爆破予告とかされちゃったら困りますけどね。。。
そこらへんはプロキシをはさむなりしてログをきちんととって対応するしかないと思います。

と、こんな感じで、ゲストにも内部の人にも使いやすい環境ができるのではないかと思うんだけど。
どげんなもんでしょう？
実務で無線LANを運用している人のノウハウが知りたいなぁ。