Meraki MRとCisco ISEを使ったMAB(MAC Authentication Bypass)の設定

本日はMeraki MRにMAC認証専用のSSIDを設定し、Cisco ISEで認証を行う設定をまとめておきたいと思います。
Merakiの設定は相変わらず簡単で特に問題はないのですが、Cisco ISEの設定は慣れていないと案外大変で、設定サンプルもInternet上にあまり多くないようなので自分の忘備録のためにまとめておきます(というかこのBlogの内容は自分のために書いてあるのは内緒)。

Merakiの設定

先にも書きましたが、Merakiの設定はとても簡単です。
「ワイヤレス > 設定 > アクセス制御」へ移動します。
MABを行わせるSSID名を入力し、セキュリティを「MACアドレスベースのアクセス制御」で設定します。

もちろんRADIUSサーバの設定も行います。

MABに関わる設定は以上です。

Cisco ISEの設定

1. Endpoint Identity Groupの設定

MABの対象とするMACアドレスをまとめるためのEndpoint Identity Groupを作成します。

Administratoin > Identity Management > Groups」へ移動します。

Endpoint Identity Groups」を選択し、「Add」で新Groupを作成します。

適当な名前(今回はMAB-Group)を設定して保存します。

2. MACアドレスの登録

ここが一番分かりにくかった設定箇所です。
簡単に設定箇所に辿り着くことができなかったので私は以下の方法でアクセスしました。
検索ウィンドウから「Endpoints」と入力し、「Work Centers > Network Access > Identities > Endpoints」へ移動します。

「Add」にてMACアドレスを追加していきます。

MACアドレス(xx:xx:xx:xx:xx:xxの形式)と1.で作成したIdentity Group(MAB-Group)を設定・選択します。

3-1. Policy Setsの設定

次に認証の設定を行っていきます。
Policy > Policy Sets」へ移動します。

「+」でポリシーセットを追加します。
適当な名前(今回はMAB-Policy)を入力し、Conditionsとして「Wireless_MAB」および「Radius:Called-Station-ID ENDS_WITH mab-test」を設定します。
これは無線LANからのMAB認証で、SSIDが(先にMerakiで設定した)mab-testであることを示します。
Allowed Protocolsは特に問題なければ「Default Network Access」を設定し右矢印アイコンをクリックします。

3-2. Authentication Policyの設定

認証先として「Internal Endpoints」を選択します。

Option設定にて「If User not found」を「CONTINUE」を選択します。

これはルール設定にもよりますが、EndpointとしてMACアドレスが登録されていなかった場合に認証失敗とするのではなく次のルールへと滑らせるために設定します。

3-3. Authorization Policyの設定

Authorization PolicyとしてConditionsを「IdentityGroup/Name EQUALS Endpoint Identity Groups:MAB-Group」を設定します。
Resultsは「PermitAccess」で設定します。

設定は以上となります。

iPhoneで接続確認を行う

iPhoneで接続・通信確認をしたいと思います。
SSIDはmab-testにし、セキュリティはなしで接続を行います。

ISEのログも確認したいと思います。

MABにて該当のMACアドレスで認証されていることが確認できました。

まとめ

今回はMeraki MRとCisco ISEの組み合わせでMAB認証を行う設定を行いました。
注意するポイントとしては、この設定においては無線部分の暗号化がされていないOpen通信になっているということです。
重要なトラフィックが流れることが想定される場合はEAPを使った認証方式を採用することを強くお勧めします。