ゲストWi-Fi用のSSIDとVLANを「NETGEAR Insight」でまとめて設定だ

（※このストーリーはフィクションです。ネットギア以外の実在する人物・組織には一切関係ありません）

うちのオフィスにも来客用のゲストWi-Fiを用意したい！

「――うちの会社のWi-Fiって、お客さんに使ってもらってもいいんですかね？」

出社してエレベーターに乗り込んだケンタロウに、営業のサカグチが質問した。先日、食材の仕入れ先である地元農家の人が来社した際、持ち込んだPCをネットにつなげたいからとスマホでテザリングしているのを見て、オフィスのWi-Fiを貸してあげられないのかなと、ふと疑問に思ったのだという。

現在、ゴチソー弁当オフィスでは社員向けのWi-Fiしか用意していない。このネットワークに接続すると、LANを通じて社内のファイル共有サーバーや業務システムにもアクセスできてしまうので、社外の人にはつながせない（SSIDやパスワードを教えない）ルールになっている。

実はケンタロウも、取引先でゲストWi-Fiを使わせてもらったことがあり、ゴチソー弁当にもそういう仕組みがあれば便利だと思って調べてはいた。

しかし、Wi-Fiを「社員用」「来客用」に切り分ければよいということまでは理解できたが、解説するWebページでは「VLAN」「マルチSSID」といったよくわからない言葉が出てきて難易度が高い。自分には難しいかもしれないと諦めかけていたところでの、サカグチからの相談だった。

「そうですよね、やっぱりゲスト用のWi-Fiがあるほうがお客さんにも親切ですよね。ちょっと難しいかもしれないけど、やってみます！」

どこかにNETGEAR Insightアプリで設定できると書いてあった気もするので、なんとかなるだろう。……とは言え独学でやるのはさすがに不安なので、終業後、ケンタロウはさっそくSIerに勤務する友人のリョースケに電話をかけたのだった。

ネットワークを仮想的に分割する「VLAN」の仕組み

オフィスネットワークでゲストWi-Fiを設置するためには、大まかに言って「ゲストWi-FI用SSID」と「VLAN」の設定が必要になる。社内にあるルーターやアクセスポイント、スイッチの設定を変更していく作業になるが、NETGEAR Insightの場合は、それがスマートフォンアプリから一括してできるので非常に便利かつ簡単だ。

具体的な設定手順の紹介に入る前に、VLANについて簡単に説明しておこう。

VLAN（Virtual Local Area Network）は、物理的に1つのネットワークを仮想的に複数のサブネットワークに分割、隔離するための技術だ。あるVLANに接続された端末（PCやサーバー、スマートフォンなど）を、別のVLANにはアクセスできないよう設定できる。

今回の場合は、もともと社員用のLANとして使ってきたが、これを社員用と来客用のVLANに分割してしまう。そのうえで、ゲストWi-Fiに接続した端末のトラフィックは来客用VLANに収容し、来客用VLANはインターネットへのアクセスのみを許可する（社員用VLANへのアクセスを禁止する）よう設定すればよい。

VLANの仕組みは大きく分けて「ポートVLAN」と「タグVLAN」の2種類がある。

ポートVLANは、ルーターやスイッチの物理ポートごとに1つのVLAN IDを割り当て、そのポートに接続したデバイスのトラフィックはすべて同じVLANに収容される仕組みだ。一方でタグVLANは、トラフィック（Ethernetフレーム）に「VLAN ID」というタグ（識別子）を付けて転送することで、そのトラフィックがどのVLANに所属するのかを識別し、処理する。この仕組みにより、タグVLANは1つの物理ポートで複数のVLANトラフィックを扱うことができる。

今回のネットワーク模式図。ゲストWi-Fi用に接続した端末のトラフィックはタグVLANの仕組みで分割され、社員用VLANにはアクセスできない

今回設定するのはタグVLANのほうだ。VLAN IDとして使える番号は1～4094までで、NETGEAR Insightの初期設定では、VLAN ID 1が管理トラフィック用、2がWANトラフィック用、4088がVoIP（IP電話などのプロトコル）トラフィック用、4089が動画（ビデオ会議システムなど）トラフィック用に予約されている。いずれも変更／削除は可能だが、ここでは空いている番号を使って、ゲストWi-Fiトラフィック用のVLANを新規作成すればよい。