Meraki MRとCisco ISEを使って802.1x認証環境を構築

企業のWirelessネットワークではIEEE802.1xをつかった認証を行うことはとても一般的となっています。
クライアント証明書を使用したEAP-TLSとUserID/Passwordを利用したEAP-PEAP等様々な方式が存在しますが、今回は比較的構築・運用しやすいEAP-PEAPの環境をCisco ISEを使って設定してみたいと思います。
ISEの環境は前回のdCloudのSandboxを引き続き利用したいと思います。

candm-network.hatenadiary.jp

Merakiの設定

まずはMeraki側の設定を行いたいと思います。
ワイヤレス > 設定 > アクセス制御」へ移動します。
設定を行うSSIDを選択し、セキュリティ設定で「エンタープライズ認証」から「マイRADIUSサーバ」を選択します。

RADIUSサーバのIPアドレス、ポート番号、シークレット設定を行います。
アカウンティングの設定も同様に行います。
今回はGlobal IPで公開されているCisco ISEとなりますので、dCloud上の情報を確認してISEサーバのIPアドレスの入力が必要です。

Cisco ISEの設定

1.NAD(Network Access Device)の登録

Cisco ISEにログインし、「Administration > Network Resources > Netwotk Devices」へ移動します。

Add」にてNADの追加を行います。

NADの名前とIPアドレスを設定します。
繰り返しとなりますが、今回はInternetを介した通信となりますので、Meraki MR(NAT後)のGlobal IPを入力する必要があります。

1.のMerakiで設定したRADIUS Sharedシークレットを入力します。

2.ユーザの登録

企業の実環境においてはActive Directoryと連携をさせることが一般的ですが、今回はCisco ISEのInternal Userとしてユーザ登録を行います。
Administration > Identity Management > Identities」へ移動します。

「Add」でユーザの登録を行います。

ユーザ名、パスワードを設定します。

以上で設定は終了です。

端末を接続する

今回はiPhoneを使って接続を行います。

Merakiにて設定したSSIDCisco ISEで設定したユーザID、パスワードを設定します。

スクショを撮り忘れたのですが、この後EAP-PEAPによるCisco ISEのサーバ証明書を信頼するための確認画面が表示されますので、それを信頼します。
無事SSIDへのアソシエートができたと思いますのでSfari等を使って通信確認を行います。

Cisco ISEで通信確認を行う

Operations > RADIUS > Live Logs」へ移動します。

上記のiPhoneで接続を行ったLogが確認できます。

Merakiでの接続確認を行う

ネットワーク全体 > 監視 > クライアント」に移動して該当のクライアントを検索します。

ユーザが802.1x認証で使用したユーザIDとなっていることが確認できます。

まとめ

MerakiCisco ISEを使った802.1x EAP-PEAPの設定方法に関してまとめました。
今回は超基本的な内容となりましたが、Cisco ISEは複雑な設定が可能な認証サーバとなりますので別の機会で紹介していきたいと思います。