前回まででMerakiの新しいサービスであるAccess Managerを使ってEntraIDと連携したEAP-TLS認証の方法をまとめてきました。

今回は同じくAccess Managerを使って無線LAN環境でPSKを使いながらもMACアドレス登録された端末のみ接続可能にする方法(MAB)を検証してみました。

実はこれまでも無線LAN環境でMABは存在した

Access Managerが登場する前にも実はMerakiにて無線LANにてMABを行うことは可能でした。

スクリーンショットにもある通り、この方法では無線部分は暗号化されないため、一般的な用途では使用できるものではありませんでした。

Access Managerを利用したMABの設定

1.SSIDの設定

無線部分をPSKで暗号化しながらもAccess ManagerでMABを行うには、「RADIUSを使用したIdentity PSK」を利用します。
RADIUSサーバとしてAccess Managerを選択します。

これ以外の無線SSIDの設定は割愛します。

2.MACアドレスの登録

「アクセスマネージャ > 設定 > クライアント」へ移動します。
クライアントのMACアドレスを登録します。
一般的なケースでは複数台の端末のMACアドレスを登録すると思いますので、クライアントグループも作成しておきます。

3.ルールの作成

認証・認可のルール設定を行います。
「アクセスマネージャ > ポリシー > アクセスルール」へ移動します。
「ルールを追加」でルールを作成します。
「属性ソース 1」として今回利用するSSIDを選択します。

SSIDの代わりに「認証方法」としてMABを選択してもOKです。

次に「属性ソース 2」として先に作成したクライアントグループを選択します。

最後に認可設定を行います。
「制限付きアクセス許可」を選択し、「Identity PSK」にて利用するPSKを設定します。

これで設定は完了です。

MACアドレスを登録している端末から、ルールで設定したPSKを使って接続を行います。
「アクセスマネージャ > 監視 > セッションログ」から認証結果を確認します。

もちろん接続を行なった端末においても通信が可能になっていると思います。

まとめ

Access Managerは11月6日現在ではアーリーアクセス機能として無償で利用可能となっています。
しかしこの機能は2025年11月10日をもって正式サービス化となり有償となる予定です。
正式なサービス開始後のLicense体系等は情報が公開され次第このBlogでも共有をしたいと思います。

有償サービスになるとはいえ、Merakiの環境において簡単にPSKを使いながらもMAB認証が行えることが確認できました。

単純なPSKではセキュリティ上少し不安という場合には有効な設定になり得ると思います。