Cisco Meraki MRの802.1X 無線認証にSecureW2のクラウドRADIUSを利用する
今回は、Cisco社が提供するネットワークソリューションMerakiのアクセスポイント製品であるCisco Meraki MRと、弊社が提供するクラウド型認証ソリューションのSecureW2との連携について検証を行いました。本記事では下記2つのテーマについて検証レポートをまとめておりますので、これからCisco Merakiの導入をお考えの方や、クラウドRADIUSによるEAP-TLS(クライアント証明書認証)にご関心がある方はぜひ最後までご覧ください。
検証テーマ
- Cisco Meraki MRの無線LAN認証にSecureW2のRADIUSサーバーを利用する
- SecureW2によるユーザーに応じたネットワークの動的制御(Dynamic VLAN)を実現する
Cisco Meraki MR アクセスポイントのご紹介
今回は弊社の検証環境にあるCisco Meraki MR33を使用して動作検証を行いました。機器のスペックやその他製品の詳細情報はCisco社のモデル一覧 をご覧ください。
Cisco Merakiは日本で最も普及しているネットワークソリューションの一つです。その最大の特徴は、直感的に操作できるGUIと無線コントローラーがクラウド上に存在する点でしょう。今まではネットワークの設定をするために現地に赴き、CLIを使用してネットワーク設定を行う必要がありました。しかし、Cisco Merakiではクラウドを通じて設定を行うため、管理者が場所や時間に縛られることなく、遠隔からのGUI操作で簡単にネットワークの設定・監視・制御をすることが可能になります。
ゼロタッチキッティングにも対応しているので、管理者がクラウド上であらかじめ設定を済ませておけば、アクセスポイントをインターネット環境に接続するだけで自動的にネットワーク設定が完了します。SecureW2が物理アプライアンス不要のクラウドRADIUSであることに加え、SecureW2が2023年11月より提供を開始した Real-Time Intelligence にCisco Merakiが対応している点からも相性の良さが伺えます。
前提条件
今回の検証では、以下の項目を前提条件としています。
- SecureW2の管理者アカウントをお持ちであること
- Cisco Merakiの管理者アカウントをお持ちであること
- Cisco Merakiのダッシュボードにアクセスポイントが登録済みであり、ライセンスが割り当てされていること
- クライアントPCにSecureW2発行のクライアント証明書の配布・登録が済んでいること
動作概要
IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。
EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いることが特徴です。
EAP-TLS認証の流れは次のとおりです。
- ユーザーがアクセスポイントに対してネットワークのアクセスを要求
- アクセスポイントがユーザーにクライアント証明書の提示を要求
- ユーザーはアクセスポイントに対して適当なクライアント証明書を提示
- アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行う
- SecureW2がクライアント証明書を検証し、認証結果と認証許可した場合にはVLAN等の属性情報をアクセスポイントに返す
- アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否する
※VLAN IDなどのRADIUS属性やベンダー固有属性(VSA)は、5番目の段階で認証結果と共にアクセスポイントに返されます。
このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。 加えて、RADIUSサーバーとしてActive DirectoryやIDaaSであるOneLogin, Okta などを利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。
作業詳細
主な作業内容は、Cisco MerakiとSecureW2でそれぞれ次のとおりです。
基本的なCisco MerakiとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。お客様によって認証に加えて認可でもRADIUSを利用されたい場合には、SecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性(VSA)を認証結果に付与することもできます。
基本的な無線LAN SSIDの設定とSecureW2 RADIUSの設定
まずはSecureW2のクラウドRADIUSをCisco Merakiの無線LANで参照するように設定します。
設定を始める前にSecureW2の以下の画像の情報(IPアドレス、ポート番号、シークレット)を控えておいてください。実際の値は管理コンソールのRADIUS Configurationからご確認いただけます。
補足
2023年11月より、クラウドRADIUS AsiaPacific-1リージョンの無償提供が開始されました。これにより従来のサーバーよりも地理的距離が近くなるため、レイテンシの向上と高速な通信レスポンスを実現できます。そのため、ペンティオではAsiaPacific-1リージョンをプライマリRADIUSサーバーとして設定することを推奨しております。 詳しくはこちらをご覧ください。
- お手持ちのアカウントでCisco Merakiの管理ダッシュボードにアクセスし、ワイヤレス > SSIDをクリックします。
- 未使用のSSIDを有効化して名前をつけます。名前をつけたら画面下部の変更内容を保存をクリックします。
- ワイヤレス > アクセス制御 をクリックして、上部のプルダウンから先ほど作成したSSIDを選択します。
-
以下の表に従って各項目に設定をしていきます。
項目名 設定値 セキュリティ エンタープライズ認証 → マイRADIUSサーバ を選択 WPA暗号化 WPA2のみ Splashページ 無し(ダイレクトアクセス) -
続いてRADIUSサーバーの設定を行います。ページをスクロールしてRADIUSサーバーの項目の下部にあるサーバー追加からRADIUSサーバーを3つ追加します。以下の表に従って先ほど控えておいた情報を参考に設定します。
項目名 設定値 ホストIPまたはFQDN SecureW2の以下の値をそれぞれ入力
AsiaPacific-1...Primary IP Address(①) と Secondary IP Address (②)
Global-1...Primary IP Address(⑤)認証ポート SecureW2のAuthentication Portの値(③or⑥)を入力 シークレット SecureW2のShared Secretの値(④or⑦)を入力 - 今回はSecureW2のRADIUS属性を使用してDynamic VLANを実現します。SecureW2から払い出されるVLAN IDを利用するために、クライアントIPとVLANのRADIUS応答による上書きの項目でVLANタグを上書きするを選択してください。
- 設定が完了したら、画面下部の保存をクリックしてCisco Merakiの設定は完了です。
VLANの設定
IEEE802.1X認証において、RADIUSサーバーが接続許可を意味するAccess-Acceptメッセージを返すとき、認証結果とあわせてVLAN IDなどのRADIUS属性やベンダー固有属性をRADIUSサーバーからRADIUSクライアントへ連携すると、接続先のネットワークを制御することなどが可能です。SecureW2ではネットワークポリシーの設定を行うだけで簡単にRADIUS属性の指定やユーザー・デバイスに応じた値の定義が可能です。
また、このレポートでは詳細は割愛いたしますが、OneLogin・Okta・Microsoft Entra IDをはじめとするIDaaSと連携するDynamic RADIUSも併用すると、Active DirectoryやLDAPなどのレガシーな認証基盤に依存しないクラウドネイティブなRADIUS基盤としてもご活用いただけます。
- SecureW2 Managemant Portal(管理コンソール)の Policy Management > Network Policies からNetwork Policyを追加します。
- ポリシーの名前を入力し、Saveをクリックします。
- Conditionsタブに移動し、Add Ruleをクリックします。Conditionsタブでは、このNetwork Policyを適用させる対象の条件として利用する変数の種類を指定します。
-
ここでは例としてSecureW2のRoleを変数として設定します。各環境に合わせて適切な変数を指定してください。
IdentityからRoleを選択してSaveをクリックします。画面上部に「'Role' selected」と表示されれば成功です。 -
正常に設定が反映されると、以下の画像のように変数の値を指定できます。今回は例として、前もって作成しておいたPentio Roleを値として設定します。
変数の値を設定できたら、Updateをクリックします。 - Settingsタブに移動し、Add Attributeをクリックします。この画面で使用するRADIUS属性の設定を行います。
-
DictionaryのプルダウンからRadius:IETFを選択します。今回のシナリオではDynamic VLANの利用を想定しているため、以下の表を参考にそれぞれ設定を行います。
Radius:IETFの属性(Attribute:) 値(Value:) 説明 Tunnel-Type 13 VLAN(固定値) Tunnel-Medium-Type 6 IEEE-802(固定値) Tunnel-Private-Group-ID 任意のVLAN-ID(1-4094) 認証対象のユーザーや機器が認証をパスした後に所属させるVLAN-ID
(例:100, 200) - 画像のように設定できたら、Updateをクリックして設定を終了します。他のNetwork Policyが存在している場合は、適宜ポリシーの優先度を操作してください。
今回はDynamic VLANが実現可能かを検証するために、同じ手順でVLAN-ID=200のネットワークポリシーも作成しておきます。
動作確認
以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。今回はWi-Fiの接続設定や証明書の配布を手作業で行っていますが、Microsoft Intune、Jamf ProなどのMDM(モバイルデバイス管理)製品とSecureW2を連携しておくと、これらも自動化することができます。
- Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
- 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。
- 以下のようなウィンドウが表示されたら、続けるをクリックします。
- 以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。
- 作成した無線LANへの接続ができたことが確認できました。
-
今度はVLAN-IDが正しく付与されて、DHCPで指定した範囲内のIPからアドレスが払い出されているか確認します。
今回の例では、VLAN-IDが100の際にDHCPサーバーから192.168.100.2/24 - 192.168.100.254/24
の範囲で、200の場合は192.168.200.2/24 - 192.168.200.254/24
でIPアドレスを割り振る設定にしているため、設定した範囲のIPアドレスが正しく割り振られていることが確認できます。WiresharkからもVLAN-IDが正常に割り振られていることが確認できました。
"example@pentio.com
"というユーザーがネットワークに参加する場合はVLAN=100
"hanako.sato@pentio.com
"というユーザーがネットワークに参加する場合はVLAN=200に所属させていることがわかります。
SecureW2からも、それぞれのVLAN用ネットワークポリシーに基づいて「Pentio_test」への接続が許可されたログを確認することができました。
おわりに
今回の検証ではCisco Meraki MRの無線LAN認証にSecureW2のRADIUSサーバーを利用し、SecureW2から発行されたクライアント証明書を用いてIEEE802.1XのEAP-TLS認証ができるかの検証を行いました。また、SecureW2からのRADIUS属性の割り当てを行うDynamic VLANの動作検証も行い、ユーザーごとに異なるVLANへの割当も確認することができました。
Cisco Merakiはクラウド上にコントローラーが存在しており、無線コントローラーを拠点ごとに設置する必要がありません。また、ゼロタッチキッティングも可能で、クラウド上のコンソールからの直感的なGUI操作でネットワークの設定・管理をすることが可能です。また、SecureW2は物理アプライアンスの設置が一切不要なクラウド型RADIUSです。日本国内外問わず世界中のどこからでも自社の認証基盤としてRADIUSエンドポイントを提供します。さらに、SecureW2が2023年11月より提供を開始したReal-Time IntelligenceはCisco Merakiをサポートしており、リアルタイムなネットワークアクセス制御を実現できます。
この2製品の組み合わせは、多拠点展開の際に課題となりやすかった統合認証基盤の導入や、無線LANコントローラやRADIUSアプライアンスの設置・管理・維持コストを最小限に抑えられるという点で相性が良いと言えるでしょう。企業の本社や大規模オフィスをはじめ、地方に分散した支社・営業所に対して統合認証基盤の導入が可能となり、毎拠点ごとに物理アプライアンスやコントローラを設置することなく、国内外問わず全拠点同じ水準のセキュリティを担保することができます。ぜひCisco MerakiとSecureW2の導入を併せて検討してみてはいかがでしょうか。以上で「Cisco Meraki MRの802.1X 無線認証にSecureW2のクラウドRADIUSを利用する」検証レポートを終わります。
参考
本検証で使用した機種のスペックシート
MR36(MR33の後継機) | MR46 | MR56 | |
---|---|---|---|
無線規格 | IEEE 802.11ax(Wi-Fi6)対応 | ||
アンテナ | 内蔵(2.4GHz/5GHz) | ||
MIMO | SU-MIMO / DL MU-MIMO / UL MU-MIMO 2×2 MIMO 2ストリーム |
SU-MIMO / DL MU-MIMO / UL MU-MIMO 4×4 MIMO 4ストリーム |
SU-MIMO / DL MU-MIMO / UL MU-MIMO 4×4 MIMO 4ストリーム(2.4GHz) 8×8 MIMO 8ストリーム(5GHz) |
ネットワークインターフェース | 1Gポート×1(PoE対応) | 2.5Gポート×1(PoE+対応) | 5Gポート×1(PoE+対応) |
設置場所 | 屋内(天井・壁面など) | ||
サイズ | 25cm* 12cm * 3.6cm | 30.6cm * 12.84cm * 4.426cm | 32.6cm * 14.079cm * 4.47cm |
重量 | 492g | 800g | 1000g |
データシート | データシート | データシート | データシート |
ソリューション詳細パンフレットをダウンロード
この資料でわかること
・MerakiコントローラとSecureW2の連携
・Cisco Meraki CW9164 特徴
・SecureW2クラウドRADIUSの機能
(資料の一部)SecureW2 RADIUSは、無線APに接続できるデバイスをクライアント証明書で制限できます。Cisco Meraki Wi-Fi CW9164等の無線APへの接続には、あらかじめEAP-TLS認証の証明書をデバイスに配布します。SecureW2 RADIUSはデバイスからの証明書認証要求に、世界リージョンに点在するクラウドRADIUSサービスで応えます。
*本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。
問い合わせはこちら
ペンティオでは、SecureW2の無料トライアルを承っております。社内環境をヒヤリングさせていただいた後にトライアル環境を準備いたします。
※トライアル環境のご手配には数日お時間をいただきます