Close

Web認証ゲートウェイ

CISCO Meraki MXをWebオーセンティケータとして利用する

既設の無線LANアクセスポイントをCISCO Meraki MXというセキュリティアプライアンスにブリッジ接続することで、外部RADIUSサーバ / 外部Captive Portalサーバと連携し、高度なWeb認証を実現します。MXであれば、どのモデルでも可能です。

MXはEnterpriseライセンスを契約する必要があります。なお、Advanced Securityライセンスは不要です。

MXの「アドレッシングとVLAN」を設定する

「モード」を「ルーティングモード」に設定します。

MXの「DHCP」を利用する

「DHCPサーバの実行」と「DNSサーバ」を指定します。

MXの「アクセス制御」を設定する

「マイRADIUSサーバ」と「ウォールドガーデン」を指定します。

なお、「アカウンティングサーバ」は指定できません。

MXの「Splashページ」を設定する

「カスタムのSplash URL」「Splashの動作」を指定します。

wiffyの「AAA Data Broker」を設定する

「設定」「AAA Data Broker」「WLANベンダー」で「CISCO Meraki」を選択します。

MXのネットワークに市販の無線LANアクセスポイントをブリッジ接続する

Merakiのダッシュボードから、クライアントとして接続されていることを確認できます。

無線LANクライアントがwiffyのWeb認証を利用できることを確認する

MXはRADIUS Accountingに非対応のため、wiffyのRADIUSサーバの「認証ログ」にもAccountingログが残りません(Authenticationログのみ)。このため、「AAA Analytics」にも集計されませんので、あらかじめご了承ください。

3rdベンダーAPがVLANに対応している場合、MXでVLAN毎に異なるポリシーを適用する

例として、市販APの2つのSSIDに、以下の通りVLAN番号を付与します
  1. オフィス向けSSID名「.VLAN010 OFFICE INTRANET」・・・VLAN番号「10」
  2. ゲスト向けSSID名「.VLAN100 GUEST INTERNET」・・・VLAN番号「100」
MXの「VLANの使用」を設定する

「アドレッシングとVLAN」ページの「サブネット」にて、VLANエントリーを2つ用意します。

  1. 名前「office intranet」・サブネット「192.168.10.0/24」・MX IP「192.168.10.1」・VLAN ID「10」
  2. 名前「guest internet」・サブネット「192.168.100.0/24」・MX IP「192.168.100.1」・VLAN ID「100」

「ポート単位のVLAN設定」にて、市販APを接続したポートに対し、Trunkモードで「VLAN 10」「VLAN 100」のアクセスを許可します。

VLANにグループポリシーを紐付ける

「VLAN 10」「VLAN 100」それぞれについて、「稼働スケジュール」「帯域制限」「Layer3 ファイアーウォール」 「Layer7 ファイアーウォール」「トラフィックコントロール」「ブロックするWebサイトのカテゴリ」等のセキュリティポリシーを設定できます。

MXの「DHCP」でVLAN用のDHCPとDNSを設定する

「VLAN 10」「VLAN 100」それぞれについて、「DHCPサーバの実行」と「DNSサーバ」を指定します。

MXの「アクセス制御」で「VLAN 10」の動作を指定する

例として、直接インターネットに抜けるように設定します。

MXの「アクセス制御」で「VLAN 100」の動作を指定する

例として、外部RADIUSサーバと連携するよう設定します。

MXの「SPLASHページ」で「VLAN 100」の動作を指定する

例として、外部Captive Portalサーバと連携するよう設定します。