Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

MS スイッチ アクセス ポリシー(802.1 X)

Cisco Meraki MS スイッチには、アクセス ポリシーを設定する機能が備えられています。このアクセス ポリシーは、ネットワーク アクセスが許可される前に、接続デバイスを RADIUS サーバに対して認証するために必要になります。 これらのアクセス ポリシーは通常、許可されていないデバイスがネットワークに接続するのを防ぐために、アクセス レイヤ スイッチ上のポートに適用されます。

この記事では、アクセス ポリシーに使用できるオプション、ダッシュボードでアクセス ポリシーを設定する方法、および RADIUS サーバの設定要件について説明します。

MS 9.16 以降、既存のアクセス ポリシーへの変更は、そのポリシー用に設定されたすべてのポートでポート バウンスの原因になります。

 

ホスト モード

すべてのホスト モードは、MS 10.12 でサポートされています。

 

選択できる 4 つの認証ホスト モードがあります。

  • シングル ホスト(デフォルト)
    シングル ホスト認証では、すべての接続デバイスが認証を試行します。許可されていないデバイスはセキュリティ違反になります。このモードは、クライアントが 1 つだけ接続されるスイッチポートに推奨します。
     
  • マルチドメイン
    マルチドメイン認証では、データと音声の VLAN それぞれで 1 台のデバイスを認証できます。いずれかの VLAN で 2 台目のデバイスが検出された場合、ポートはブロックされた状態になります。 このモードでは、ハイブリッド認証が使用され、音声 VLAN 認証が必要になります。 このモードは、電話機とその電話機の背後にあるデバイスに接続されるスイッチポートに推奨します。 認証は各 VLAN に依存せず、相互のフォワーディング ステートにも影響を与えません。
    音声 VLAN にデバイスを配置する場合、Cisco Meraki スイッチは、Access-Accept フレーム内で次の属性のペアを必要とします

    • Cisco-AVPair

      • device-traffic-class=voice

 

  • マルチ認証
    マルチ認証では、接続された各デバイスを認証する必要があります。各ポートに複数のデバイスを接続することもできます。VLAN がポート上のホストに割り当てられると、後続のホストは一致する VLAN 情報を持つ必要があり、この情報がなければポートへのアクセスを拒否される。音声 VLAN では、1 つのクライアントのみをサポートします。このモードでは、ゲスト VLAN はサポートされません。

 

  • マルチホスト
    マルチホストでは、成功した 1 回の認証でポートをフォワーディング ステートにします。 後続の認証の試行はすべて無視されます。このモードは、認証されたデバイスがネットワークにアクセスするポイント(たとえば、ハブやアクセス ポイント)として機能する展開に推奨します。

 

アクセス ポリシー タイプ

ダッシュボードでアクセス ポリシーに使用できる 3 つのオプションがあります。

  • 802.1X(デフォルト) 
    スイッチポートで 802.1X アクセス ポリシーを有効にすると、そのスイッチポートに接続するクライアントでドメイン クレデンシャルを入力するよう求められます。 RADIUS サーバがこれらのクレデンシャルを有効なものとして受け入れた場合、デバイスにはそのネットワークへのアクセス権が付与され、デバイスは IP 設定を取得します。認証が試行されない場合、「ゲスト」VLAN に配置されます(定義されている場合)
    既存のドメイン userbase に対して認証できるため、通常、エンタープライズ環境では 802.1X アクセス ポリシーが使用されます。
     
  • MAC 認証バイパス(MAB
    MAB アクセス ポリシーがスイッチポートで有効にされている場合、ユーザに入力を求めなくても、クライアントの MAC アドレスは RADIUS サーバに対して認証されます。サーバがネットワークの有効なクレデンシャルとして MAC を受け入れると、デバイスはアクセスを許可されます。
    MAB アクセス ポリシーは、ユーザに入力を求めずに特定のデバイスにネットワークを制限することができ、ユーザ エクスペリエンスをよりシームレスにするのに役立ちます。
     
  • ハイブリッド認証
    スイッチポートでハイブリッド アクセス ポリシーが有効にされると、クライアントで 802.1X 認証のドメイン クレデンシャルを提供するよう求めるプロンプトが最初に表示されます。802.1X 認証が失敗すると、クライアントは拒否され、MAB 認証には移りません。 スイッチが EAP パケットを何も受信しないと、802.1X 認証は 8 秒でタイムアウトになり、クライアントの MAC アドレスは MAB を介して認証されます。802.1X 認証がタイムアウトし、MAB も失敗した場合、デバイスは「ゲスト」VLAN に配置されます(定義されている場合)
    ハイブリッド認証は、MAB がフェールオーバーとして機能するため、すべてのデバイスが 802.1X 認証をサポートしていない環境で役立ちます。
    MS 802.1X auth flow chart.png

認可変更(CoA)

Meraki MS スイッチは、RADIUS の再認証と切断で CoA をサポートします。 詳細については、次の KB 記事を参照してください。

  • URL リダイレクト ウォールド ガーデン(MS210/225/250/350/410/420/425 でサポート)
    デフォルトでは、CoA を利用する URL リダイレクトが有効になっています。 これは、クライアントを認証用の Web ページにリダイレクトするために使用できます。 認証前に、クライアントはすべての HTTP リソースにアクセスできます。 ウォールド ガーデンは、Web サーバのみにアクセスを制限するために使用できます。 この機能は、ネットワーク内にサポートされているスイッチが 1 つ以上ある場合にのみ有効になります。 この機能の設定は、サポートされていないスイッチでは無視されます。

これらのオプションが表示されない場合は、最新のベータ版ファームウェアについて Meraki のサポートに問い合わせてください。

 

その他の RADIUS 機能

  • RADIUS アカウンティング
    RADIUS アカウンティングは、接続されたクライアントをトラッキングする目的で、開始、中間更新(デフォルトの間隔は 20 分)、および停止のメッセージを設定済みの RADIUS アカウンティング サーバに送信するために有効にできます。Meraki の実装は、IETF の RFC 2869 標準規格に従います。
    MS 10.19 以降、強化されたデバイス プロファイリングのためにデバイス センサー機能が追加されました。これは、CDP/LLDP 情報に RADIUS アカウンティング メッセージを含めることによって実現されています。
     
  • RADIUS のテスト
    Meraki スイッチは、RADIUS サーバが到達可能なことを確認するため、ID「meraki_8021x_test」を使用して、Access-Request メッセージをこれらの RADIUS サーバに定期的に送信します。 到達不能な場合、スイッチは次の設定済みサーバにフェールオーバーします。
     
  • RADIUS モニタリング
    RADIUS のテストのメカニズムに加えて、すべての RADIUS サーバが到達できない場合に、認証を試みるクライアントを「ゲスト」VLAN に配置する機能があります。 サーバへの接続が回復すると、認証を開始するため、スイッチポートは再起動されます。 この機能を有効にするには、Meraki サポートにお問い合わせください。
    MS 9.13 では、テスト メッセージは 30 分ごとに送信されます。

     

  • ダイナミック VLAN 割り当て
    MS スイッチは CoA の代わりに VLAN を Tunnel-Pvt-Group-ID 属性で渡して割り当てることによって、VLAN をデバイスに動的に割り当てることができます。NPS を使用して構成する方法の詳細については、VLAN のネットワークポリシーの構成に関する Microsoft の記事を参照してください。
     
  • ゲスト VLAN
    許可されていないデバイスのアクセスを限られたネットワーク リソースにのみ許可するために、ゲスト VLAN を使用できます。 これは、音声 VLAN/ドメインではサポートされません。

アクセス ポリシーをダッシュボードに作成する

  1. ダッシュボードで、[設定(Configure)] > [アクセスポリシー(Access Policies)] に移動します。
  2. メイン ウィンドウでリンク [アクセスポリシーの追加(Add Access Policy)] をクリックして、[サーバの追加(Add a server)] リンクをクリックします。 
  3. RADIUS サーバの IP アドレス、ポート(デフォルトは 1812)、以前に作成した鍵を入力します。
  4. 前述のように、必要なオプションを選択します。
  5. [変更の保存(Save changes)] をクリックします。

スイッチ ポートにアクセス ポリシーを適用する

  1. [設定(Configure)] > [スイッチポート(Switch Ports)] に移動します。
  2. アクセス ポリシーを適用するポートを選択して、[編集(Edit)] ボタンをクリックします。
  3. ポートのタイプを [トランク(trunk)] から [アクセス(access)] に変換します。 注:アクセス ポリシーは、アクセス ポートにのみ適用できます。
  4. [アクセスポリシー(Access policy)] ドロップダウン ボックスから、作成したアクセス ポリシーを選択して、[ポートの更新(Update ports)] をクリックします。