1ヶ月ほど前の記事で Meraki MR とグループポリシーを使用して MAC アドレス認証の実現方法を公開しました。この記事を公開してしまったせいか、MX の無線モデルで同様なことを実現できないか聞かれました。MX の無線モデルには MX64W、MX65W、MX67W、MX68W、MX68CW があります。他の記事でも記載しましたが、Media Access Control (MAC) アドレス認証はセキュアではありません。使用するのであれば MAC アドレス認証を使用する VLAN はインターネットの接続を遮断し、レイヤ 2 よりも上のレイヤのプロトコルで通信を暗号化しなければいけません。正常性バイアスによって惑わされ、この 2 つの条件を満たさずに使用するのは非常に危険です。
設定手順
今回は MX で作成する VLAN で全ての通信を遮断したグループポリシーをデフォルトで適用するよう設定します。そして、接続を許可した端末には Layer 3 ファイアーウォールにてセグメンテーションがしっかりと実施されたグループポリシーを割り当てます。MAC アドレスが許可されていない端末が SSID に接続しようとすると、デフォルトのグループポリシーが適用され、全ての通信が遮断されます。逆に MAC アドレスが許可されている端末は、Layer 3 ファイアーウォールで許可された宛先には通信が可能になります。設定手順は下記の通りです。
1. 全ての通信を遮断したグループポリシーを作成
「ネットワーク全体」> 「グループポリシー」から Block All というポリシーを作成します。
「ファイアーウォールとトラフィックシェーピング 」にて「カスタムのネットワークファイアウォールとシェーピングの各ルールを作成」を選択し、全てのトラフィックを遮断する Access Control List (ACL) を「Layer 3 ファイアーウォール 」で定義します。
2. VLAN を作成
「セキュリティ & SD-WAN 」>「アドレスと VLAN」で MAC アドレス認証で接続するクライアントのサブネットを作成します。Virtual Local Area Network (VLAN) ID 200、 サブネット 192.168.200.0/24 を入力し、グループポリシーでは 1 で作成した Block All を設定します。
3. SSID を作成
「セキュリティ & SD-WAN 」>「ワイヤレス設定」にて、Service Set Identifier (SSID) を新規に作成します。今回も se-japan-mac という名前にしました。そして、1 で作成した VLAN を選択します。
この時点でクライアントが se-japan-mac に接続すると、MX で設定した Block All というグループポリシーが適用されます。IP アドレスは取得できますが、どこにも通信することはできません。
3. セグメンテーションが設定されたグループポリシーを作成
次に、「ネットワーク全体」> 「グループポリシー」から MAC Address Auth というポリシーを作成したいと思います。これは MR の記事とほぼ同じですが、「Layer 3 ファイアーウォール 」にて通信先を許可するだけです。Splash は今回使用しないので設定しません。
4. グループポリシーを端末に適用
このステップは MR の記事と同じです。端末にグループポリシーを適用するために、「ネットワーク全体」> 「クライアント」の「クライアント追加」から「接続や SSID によって異なるポリシー」にて se-japan-mac のみに 3 で作成した MAC Address Auth を適用します。
APICLI 