コンサルティング・トレーニング 会社案内 お問い合わせ

HOME > 中小企業向けシスコ製品の特徴 > シスコvsバッファロー ワイヤレスLAN比較

<レポート>中小企業向けシスコ製品の特徴について

シスコvsバッファロー ワイヤレスLAN比較 2009年11月13日 PDF [1.2MB]

シスコvsバッファロー ワイヤレスLAN(AP単体比較) 2009年12月14日 PDF [208KB]【新規コンテンツ】

  • 要約
●Cisco vs Buffalo 小規模拠点用 ワイヤレスLAN比較
アクセスポイント(AP)1台でカバーできる小規模な拠点用のワイヤレスLANソリューションとして、
CiscoのAP付ルータとBuffalo製品を比較した。

【結果】
Buffaloの一般消費者向け製品(WZR-HP-G300NH)は、ワイヤレス区間のセキュリティ方式として
固定キー(PSK)しか利用できないため、法人用途には適さない。
セキュリティを高めるためには、法人向けアクセスポイント(WAPM-APG300N)とルータ
(ここではYamaha RTX1200)および認証サーバを組み合わせる必要があり、
総コストでは割高となる。

また、Buffaloの無線LANは管理パスワードを1つしか設定できないため、複数の管理者が同じ
パスワードを共有する必要があり、法人利用には適さない。
Ciscoのアクセスポイント内蔵ルータは、法人利用のために必要なセキュリティ(WPA2-EAP)と
認証サーバ機能、高度な運用性を備えており、シンプル且つ低コストで小規模拠点の
ワイヤレスLANを構成できる。

●Cisco vs Buffalo 大中規模拠点 ワイヤレスLAN比較
複数のアクセスポイントが必要な大中規模拠点のワイヤレスLAN製品として、Ciscoの集中管理型
ソリューションとBuffaloの法人向け製品を比較した

【結果】
複数のアクセスポイント(AP)を用いてオフィス全体でワイヤレスLANを利用する場合には、
コントローラを用いた集中管理制御のメリットが発揮される。
Buffalo製品には集中管理機能がないため、オフィス全体のワイヤレス化には適していない。



pagetop


Cisco vs Buffalo 小規模拠点用 ワイヤレスLAN比較 アクセスポイント(AP)1台でカバーできる小規模な拠点用のワイヤレスLANソリューションとして、CiscoのAP付ルータとBuffalo製品を比較した 結果 Buffaloの一般消費者向け製品(WZR-HP-G300NH)は、ワイヤレス区間のセキュリティ方式として固定キー(PSK)しか利用できないため、法人用途には適さない。セキュリティを高めるためには、法人向けアクセスポイント(WAPM-APG300N)とルータ(ここではYamaha RTX1200)および認証サーバを組み合わせる必要があり、総コストでは割高となるまた、Buffaloの無線LANは管理パスワードを1つしか設定できないため、複数の管理者が同じパスワードを共有する必要があり、法人利用には適さないCiscoのアクセスポイント内蔵ルータは、法人利用のために必要なセキュリティ(WPA2-EAP)と認証サーバ機能、高度な運用性を備えており、シンプル且つ低コストで小規模拠点のワイヤレスLANを構成できる 比較表 運用性 本体価格(*7) ルータ機能 対応するIEE802.11規格 セキュリティ機能 a b g n (2.4G) n (5G) 性能(*1) PPPoE ルーティングプロトコル QoS VPN FW WPA2-PSK WPA2-EAP GUI操作 アカウント管理 Cisco 861W × ○ ○ ○ × 170 Mbps ○ △(RIPのみ) × ○ ○ ○ ○ ○ ○ \98,280 Cisco 881W × ○ ○ ○ × 180 Mbps ○ ○ ○ ○ ○ ○ ○ ○ ○ \122,880 Cisco 892W ○ ○ ○ ○ ○ 760Mbps ○ ○ ○ ○ ○ ○ ○ ○ ○ \147,000 BuffaloWZR-HP-G300NH × ○ ○ ○ × 60Mbps ○ × × × △(*2) ○ × ○ ×(*3) \13,600 Buffalo WAPM-APG300N+Yamaha RTX1200 ○ ○ ○ ○ ○ 320Mbps ○ ○ △ ○ △(*2) ○ ×(*4) × ×(*3) \173,700(*5) Buffalo WAPM-APG300N+ Yamaha RTX1200+ 認証サーバ ○ ○ ○ ○ ○ 320Mbps ○ ○ △ ○ △(*2) ○ ○ × ×(*3) \173,700 +α (*6) (*1) ルータとしてのIP転送能力を示す(パケットサイズ354Byte) (WAPM-APG300Nはルータ機能が装備されていないのでYamaha RTX1200の性能を示す) (*2) パケットフィルタによる簡易FW機能 (*3) Buffaloの無線LAN製品は、ユーザーIDが「root」固定であり、ユーザー毎のパスワードを設定することができない (*4) WAPM-APG300NにはWPA2-EAP機能があるが、別途認証サーバーが必要である (*5) Buffalo WAPM-APG300N \49,800 + Yamaha RTX1200 \123,900 の合計 (*6) 認証サーバは、単独で設置せずに他のサーバと併用したり、本社側に配置するなど様々な形態が考えられ一概に価格を算出できないため「+α」とした (*7) Cisco製品の価格は、ダイワボウ情報システム株式会社のカタログ表示価格を使用 補足説明 ワイヤレスのセキュリティと認証サーバ機能について 今回の比較構成について 現在、最も安全と考えられているワイヤレスLANのセキュリティ規格がWPA2 (IEEE802.11i)である。 Ciscoルータはアクセスポイント機能および認証サーバ機能を統合しているため、1台でWPA2-EAPの高度なセキュリティを導入できる。 WPA2には全てのクライアントPCに同じ固定キーを設定するPSK方式と、認証サーバを用いるEAP方式がある。 ●WPA2-PSK Buffalo WZR-HP-G300NH は一般消費者向けの製品であり、簡易ルータ機能を内蔵しているが、WPA2-EAPには対応していない。 PSK方式には固定キーを解析される脆弱性があることが知られており、不正侵入を目的としたキー解析ツールが出回っている。 また、全てのクライアントPCに同じキー(パスフレーズ)を設定する必要があるため、従業員の不注意などでキーが漏えいするリスクが高い。(IT管理者からのワイヤレス設定方法を指示するメールが流出するなど) キー漏えいの可能性が発見された場合、全てのクライアントでキーを再設定しなければいけない。 ●WPA2-EAP Buffalo WAPM-APG300N はWPA2-EAPに対応しているが、別途、認証サーバが必要である。 また、ルータ機能は内蔵していないため、別途ルータを用意する必要がある。 (ここではYamaha RTX1200を使用) EAP方式では、クライアントにインストールされたソフトウェア(サプリカント)と認証サーバの間で認証が行われ、PSKのような脆弱性は発見されていない。 クライアント毎のID/パスワードから動的にキーを生成し、且つキーの変更も自動的に行われるので安全である。 コントローラによる集中制御について CiscoのAP付ルータは、コントローラを用いた大中規模拠点との一括管理が可能。 アカウント管理について (集中制御のメリットについては裏面に記載) Buffaloの無線LAN製品は管理者用のIDが「root」固定であり、パスワードが1つしか設定できない。従って、複数の管理者が同じパスワードを共有することになり、「いつ、誰が、どんな」操作を行なったか、証跡を残すこともできないため、法人利用には適さない。 Cisco製品では、管理者ごとに異なるIDを利用する。 法人利用に不適 法人利用には 欠かせない機能 Cisco vs Buffalo 大中規模拠点 ワイヤレスLAN比較 複数のアクセスポイントが必要な大中規模拠点のワイヤレスLAN製品として、Ciscoの集中管理型ソリューションとBuffaloの法人向け製品を比較した 結果 複数のアクセスポイント(AP)を用いてオフィス全体でワイヤレスLANを利用する場合には、コントローラを用いた集中管理制御のメリットが発揮される。Buffalo製品には集中管理機能がないため、オフィス全体のワイヤレス化には適していない。 特徴比較 大中規模拠点向けの運用管理機能 対応するIEE802.11規格 1コントローラあたりの最大AP数 電波の自動調整 AP冗長化 負荷の分散 ゲストアクセス 無線可視化ツール LAP1131AGCisco + WLC2106 a / b / g 6 ○ ○ ○ ○ ○(別途WCSが必要) LAP1142NCisco + WLC5508-12 a / b / g / n(2.4G/5G) 12 ○ ○ ○ ○ ○(別途WCSが必要) BuffaloWAPM-APG300N a / b / g / n(2.4G/5G) -(*1) × × × × × (*1)WAPM-APG300Nはコントローラを使用しないため該当なし 運用管理機能 電波の自動調整 負荷の分散 ワイヤレスAPの電波出力は、工場出荷時に最大(最強)となっているものが多く、そのまま使用すると電波が必要以上に飛びすぎることによってセキュリティのリスクが増大したり、電波干渉の可能性が高くなる。また、専門業者に依頼し、無線アナライザを利用した電波強度の調整を行なった場合でも、使用開始後に電波環境が変化すると、その都度、最調整が必要となってしまう。 例えば、ミーティングルームに多数のノートPCを持った社員が集まった場合など、特定のAPに負荷が集中すると無線LANのアクセス速度が極端に低下する。 Ciscoの集中管理型ワイヤレスLANでは、RRM (Radio Resource Management) 機能により、各APの電波強度やチャネルを自動的に調整するため、オフィスレイアウトの変更や近隣企業の無線LAN導入などにより電波環境が変化した場合でも、動的な調整が行なわれる BuffaloのワイヤレスAPは集中制御できないので、ネットワーク全体を監視して適切な負荷分散を行なうことは出来ない。 Buffaloのユーザーマニュアルには、同時アクセス数を制限して特定のAPに負荷を集中させない方法が記載されているが、本当に同時アクセスが必要なシチュエーション(近隣APが故障した場合など)でも接続数が制限されてしまうのでお勧めできない。 AP冗長化 Ciscoの集中管理型ワイヤレスLANでは、コントローラが持つ負荷分散機能によって、特定のAPに負荷が集中しないよう自動的に調整される。 集中管理型のワイヤレスLANでは、APが故障した場合でもコントローラが自動的に近隣APの電波出力を最大化し、故障APのエリアをカバーするので、信頼性の高いシステム構築が可能。 (例)12台のAPがあり、各APのスループットが100Mbpsとした場合の、クライアントあたりの平均スループット比較 Buffalo製品は集中管理できないため、AP故障時には代替APの設置や電波出力の調整などの専門知識を必要とする作業が発生してしまう。 Ciscoの集中管理型ワイヤレスLANでは、AP故障時にもサービスが継続し、代替APを設置する際にはコントローラが自動的に設定情報のダウンロードや電波出力の調整を行なう。 無線可視化ツール (比較例) APが故障した場合の対応の違い 例えば、同じビルのフロアを利用している他の企業がセキュリティ設定をせずにワイヤレスLANを使用しており、自社の従業員が間違って接続してしまうようなトラブルが起こりえる。 利用停止期間 追加の作業費用 Buffalo 1週間程度 発生 (代替APを入手し、再調整が必要) Cisco なし なし ゲストアクセス 来客者や派遣業者などへ一時的なインターネットアクセスを提供したい場合などに、配線が不要なワイヤレスLANを利用できれば便利である。 Buffalo製品でも、SSIDとVLANのマッピング機能を利用して、ゲスト用のSSIDでワイヤレスLANに接続するとインターネットのみへアクセスできるような設定を行なうことは可能である。 しかし、このような簡易な方法では、SSIDがわかれば誰でもアクセス可能となってしまうので、犯罪に悪用される恐れや、不正利用によるLANのトラフィックが増加するなどのリスクがあり、法人利用には適さない。 Ciscoの集中管理型ワイヤレスLANの管理システム(WCS)を使用すると、自社の管理外の無線機器の存在を常にチェックできる。 Ciscoの集中管理型ワイヤレスLANでは、コントローラに内臓されたWEBポータル機能でゲスト用の一時アカウントを簡単に発行できる。ゲストは、ログイン画面からIDとパスワードを入力することでネットワークにアクセスできる。ゲストアカウントは決められた期限が過ぎれば使用できなくなる。 発見された未確認の無線機器のMACアドレスとIPアドレスにより、自社のLANに接続されているかどうかを確認できる。 また、不正なAPに自社のクライアントが接続しないよう、妨害信号を送信できる。 Buffalo製品の適用領域 ・会議室だけ補助的にワイヤレスLANを使いたいなど、信頼性(冗長性)を確保する必要が無い場合 ・セキュリティに関してはIPSec-VPNなどの暗号化技術を組合わせて利用する場合 オフィス全体へのワイヤレスLAN導入には適していない Cisco vs Buffalo 法人向け ワイヤレスLANアクセスポイント 比較 CiscoAP1142N BuffaloWAPM-APG300N 機能解説 機能 802.11a ○ ○ 5GHz, 最大54Mbps 無線 802.11b ○ ○ 2.4GHz, 最大11Mbps 802.11g ○ ○ 2.4GHz, 最大54Mbps 802.11n (2.4G) ○ ○ 最大300Mbps 802.11n (5G) ○ ○ 最大300Mbps 11a/gの速度向上 ○ × 既存の無線LAN環境を11nに置き換えた場合でも、旧型のパソコンなど11a/gしか対応しないクライアント機種も残るのが一般的である。シスコAPではClientLinkと呼ぶ技術を用いて既存の11a/gクライアントも通信速度を向上させることが可能であり、11nクライアントとの混在環境で無線LAN全体の総スループット(つまり利用者の利便性)を向上させる 複数のSSID利用 ○ ○ 複数のSSIDを利用できる SSIDとVLANのマッピング ○ ○ 無線クライアントが使用するSSIDに応じて、あらかじめ定義されたVLANが割り当てられる SSIDの一括管理 ○ × シスコAPでは、Radiusサーバを使用してSSIDの一括管理ができるので、複数のAPを用いて無線LANを構築する際に、APごとに複雑な設定をする必要がなく運用性の向上や設定ミスの削減につながる DHCPサーバ機能 ○ × シスコAPにはDHCPサーバ機能が内蔵されているため、APが1台だけで完結するような小規模な無線LANを構築する際に、DHCPサーバを別途用意する必要がない ネットワーク機能 802.3af PoE ○ △(独自仕様) シスコAPは802.3af標準のPoEに準拠しているため、汎用的なLANスイッチからPoE給電が可能である。バッファローAPのPoEは独自仕様であり、専用のPoEインジェクターを別途購入する必要がある ブリッジ機能 ○ ○ 有線LANを延長するブリッジとして利用可能 スパニングツリー ○ ○ ブリッジとして使用する際のL2ループを防止する ARPキャッシング ○ ○ APがARPテーブルをキャッシングすることで、無線区間での無駄なブロードキャスト通信を削減(プロキシーARP) 優先制御 ○ ○ VoIP通信などを優先するQoS機能 帯域制限 ○ × シスコAPはIP DSCPやCOS値に応じて帯域制限が可能であり、非優先のトラフィックが帯域を使いきらないように制御できる IGMPスヌーピング ○ ○ マルチキャスト通信によって発生する無駄なブロードキャストを抑制する MACアドレス認証 ○ ○ 無線クライアントのMACアドレスで認証を行う※MACアドレスは容易に詐称できるので、法人用途で使用すべきでない セキュリティ WPA2-PSK ○ ○ 最新の認証規格(固定キー)※固定キーのPSK方式には脆弱性があり、法人用途で使用すべきでない WPA2-EAP ○ ○ 最新かつ最も安全と言われている認証方式※別途、認証サーバが必要 認証サーバ機能 ○ × シスコAPはEAPの認証サーバ機能を内蔵しているため、外部の認証サーバが不要であり、小規模ネットワーク構築時の総コストを低減できる AES暗号化 ○ ○ 最新かつ最も安全と言われている暗号化方式 802.1XダイナミックVLAN ○ × EAPの認証結果に基づいてVLANを割り当てる機能。ユーザー権限に応じて異なるネットワークに接続させることが出来る MACアドレスフィルター ○ × 送信元や宛先のMACアドレスによって通信の可否を設定できる レイヤ3/4フィルター ○ × レイヤ3以上の情報に基づいたトラフィックのフィルタリング機能。同じパソコンでも有線LAN接続時と無線LAN経由時ではアクセスできるネットワークを変える、といったことが出来る 無線端末間の通信制限 ○ ○ 無線クライアント間での通信を禁止する。公衆ホットスポットなどでセキュリティ強化のために利用される SSIDの秘匿化 ○ ○ SSIDをビーコン信号に含めず、容易に取得できないようにする※シスコではデフォルト設定 GUI操作 ○ ○ 運用機能 複数アカウント管理 ○ × バッファローAPは管理者IDが"root"固定であり、複数の管理者でパスワードを共有しなければいけない(法人用途では致命的な欠点) 複数のアクセス権限 ○ × シスコAPでは、電波強度の変更のみ可能な管理者と全ての操作が可能な管理者など、役割に応じた管理者権限を設定できる アカウント管理の一元化 ○ × シスコAPでは、外部のRADIUSサーバによるアカウント管理の一元化が可能。ルータやLANスイッチなど他のネットワーク機器を含めて管理することも可能 暗号化されたアクセス ○ ○ SSHまたはSSLを用いた、管理者アクセスの暗号化 NTP/SNTPサポート ○ ○ システムクロックをNTPサーバに自動で同期させる 近隣ノードの検出 ○ × シスコAPはCDPに対応しており、隣接するネットワークノードを検出し状態表示を行うことで、ネットワーク構成の把握やトラブル切り分けが容易になる。(CDPはルータやLANスイッチなど主要なシスコ製品の全てに実装されているプロトコル) SNMP対応 ○ ○ NMSによる一元管理を可能とする System Logging ○ ○ システムログを外部サーバへ送信する 集中管理モードへの対応 ○ × コントローラ(別途購入が必要)を導入することで、電波出力の自動調整や負荷分散などが可能。当初はAPが2~3台程度でスモールスタートし、無線LANの大規模展開に合わせてコントローラを導入することも可能 無線の可視化ツール ○ × シスコ無線LANシステムではWCSなどの管理ツールによって、フロアマップ上に電波のカバー状況をビジュアル表示するなどの「可視化」が可能であり、これによって運用性やセキュリティが著しく向上する。(別途、管理ツールの購入が必要) 位置情報サービスの提供 ○ × シスコの無線LANシステムでは、電波強度や遅延時間によって無線クライアントの位置情報を検出し、把握・表示するサービスが提供できる。(別途、位置情報管理用のサーバが必要) クライアント接続性 ◎ ○ シスコAPは世界の無線LAN機器の業界団体であるWi-Fiアライアンスにて802.11n仕様の接続テストの標準機として用いられ、あらゆるメーカーの11nクライアントとも接続性が確認されている。また、IntelやAppleなど主要メーカーと共同で大規模な実環境テストも実施している。(Intelとの共同テストによる802.11n実測値:195Mbps)また、シスコはCCX (Cisco Compatible Extensions Program)と呼ばれる無線LAN機器の互換性認定を行っている。CCXに準拠したデバイスは高速なローミングや通信速度の安定化などのメリットが期待できる その他 実績 ◎ ○ シスコAPは世界シェア60%以上の実績がある \159,720 (*1) \49,800 (*2) (*1) シスコ認定ディストリビュータのダイワボウ情報システム標準価格(*2) メーカー標準価格 価格