今回もMeraki MRとCisco ISEの設定に関してまとめておきたいと思います。
今回は802.1xによるVLAN割り当て(Assignment)の設定を行います。

Merakiの設定

毎度ですがMerakiの設定は簡単です。
「ワイヤレス > 設定 > アクセス制御」へ移動します。
SSID名を設定し、セキュリティを「エンタープライズ認証」とし「マイRADIUSサーバ」を選択します。

RADIUSの設定も行います。

 

RADIUSからのVLAN情報を利用するための設定を行います。
「RADIUS応答による上書き」を「Override VLAN tag」に設定します。

Cisco ISEの設定

基本的な設定内容はCisco ISEによるMeraki Group Policyの設定とほぼほぼ同じです。
今回はユーザtest01に対してVLAN100をアサインする設定を行います。

1. Identity Groupの設定

「Administration > Identity Management > Groups」へ移動します。

「User Identity Groups」を選択し、「Add」でGroupを作成します。

適当な名前(今回はVLAN100-Group)を入力し、このグループに属させるUserを追加します。

2. Authorization Profileの作成

「Policy > Policy Elements > Results」へ移動します。

「Authorization Profiles」を選択し、「Add」で新しいProfileを作成します。

適当な名前(今回はVLAN100-Profile)を入力し、VLANにチェックを入れてIDに100を入力します。
その後「Attributes Details」として作成したProfileに対するRADIUS Attributeの詳細が表示されます。

802.1xによるVLAN割り当てを行うためには、
Tunnel-Type = VLAN(13)
Tunnel-Medium-Type = 802(6)
Tynnel-Private-Group-ID = <VLANID>
のAttributeが必要となるのですが、それらの情報が設定されたことが確認できたかと思います。

3. Policy Setsの設定

「Policy > Policy Sets」に移動します。

「＋」をクリックして新しいPolicyを設定します。
適当な名前(添付のスクショでは名前つけ忘れました)を設定し、「Conditions」として「Wireles_802.1x」を設定、「Allowed Protocols」は「Default Network Access」を設定し、右矢印をクリックします。

Authorizations Policyの設定を行います。

「Conditions」として「Wireless_802.1x」、「IdentityGroup Name EQUALS User Identity Groups:VLAN100-Group」を設定します。
また「Profiles」として「VLAN100-Profile」を設定します。
これによりUser Group : VLAN100-Groupに属するユーザからの認証に対しては、VLAN100-Profileで設定したAttributeを返信することになります。

iPhoneで通信確認

iPhoneで通信を確認します。
SSIDはMerakiで設定したdot1x-testを、UserIDはVLAN100が割り当てられるtest01を入力します。

接続を確認後IPアドレスを確認してみます。
VLAN100のセグメントでIPアドレスが取得できていれば確認完了です。