今回もMeraki MRとCisco ISEの設定に関してまとめておきたいと思います。
今回は802.1xによるVLAN割り当て(Assignment)の設定を行います。
Merakiの設定
毎度ですがMerakiの設定は簡単です。
「ワイヤレス > 設定 > アクセス制御」へ移動します。
SSID名を設定し、セキュリティを「エンタープライズ認証」とし「マイRADIUSサーバ」を選択します。
RADIUSの設定も行います。
RADIUSからのVLAN情報を利用するための設定を行います。
「RADIUS応答による上書き」を「Override VLAN tag」に設定します。
Cisco ISEの設定
基本的な設定内容はCisco ISEによるMeraki Group Policyの設定とほぼほぼ同じです。
今回はユーザtest01に対してVLAN100をアサインする設定を行います。
1. Identity Groupの設定
「Administration > Identity Management > Groups」へ移動します。
「User Identity Groups」を選択し、「Add」でGroupを作成します。
適当な名前(今回はVLAN100-Group)を入力し、このグループに属させるUserを追加します。
2. Authorization Profileの作成
「Policy > Policy Elements > Results」へ移動します。
「Authorization Profiles」を選択し、「Add」で新しいProfileを作成します。
適当な名前(今回はVLAN100-Profile)を入力し、VLANにチェックを入れてIDに100を入力します。
その後「Attributes Details」として作成したProfileに対するRADIUS Attributeの詳細が表示されます。
802.1xによるVLAN割り当てを行うためには、
Tunnel-Type = VLAN(13)
Tunnel-Medium-Type = 802(6)
Tynnel-Private-Group-ID = <VLANID>
のAttributeが必要となるのですが、それらの情報が設定されたことが確認できたかと思います。
3. Policy Setsの設定
「Policy > Policy Sets」に移動します。
「+」をクリックして新しいPolicyを設定します。
適当な名前(添付のスクショでは名前つけ忘れました)を設定し、「Conditions」として「Wireles_802.1x」を設定、「Allowed Protocols」は「Default Network Access」を設定し、右矢印をクリックします。
Authorizations Policyの設定を行います。
「Conditions」として「Wireless_802.1x」、「IdentityGroup Name EQUALS User Identity Groups:VLAN100-Group」を設定します。
また「Profiles」として「VLAN100-Profile」を設定します。
これによりUser Group : VLAN100-Groupに属するユーザからの認証に対しては、VLAN100-Profileで設定したAttributeを返信することになります。
iPhoneで通信確認
iPhoneで通信を確認します。
SSIDはMerakiで設定したdot1x-testを、UserIDはVLAN100が割り当てられるtest01を入力します。