Meraki Adaptive policyとISE連携について（＋Catalyst ）

この記事はCisco Systems Japan Advent Calendar 2024の６日目の記事となります。

Cisco Systems Japan Advent Calendar

2017年版: https://qiita.com/advent-calendar/2017/cisco 2018年版: https://qiita.com/advent-calendar/2018/cisco 2019年版: https://qiita.com/advent-calendar/2019/cisco 2020年版 1枚目: https://qiita.com/advent-calendar/2020/cisco 2020年版 2枚目: https://qiita.com/advent-calendar/2020/cisco2 2021年版 1枚目https://qiita.com/advent-calendar/2021/cisco 2021年版 2枚目https://qiita.com/advent-calendar/2021/cisco2 2022年版(1,2): https://qiita.com/advent-calendar/2022/cisco 2023年版: https://qiita.com/advent-calendar/2023/cisco 2024年版: https://qiita.com/advent-calendar/2024/cisco <---こちら

はじめに

MerakiのMS130XでAdaptive Policyがアーリーアクセスプログラムより利用できるようになりました(2024年12月時点)。これによりエンドポイントに近い場所で、Security group tags (SGTs) が割り当てられます。
また、ISEとMerakiが連携することで、Catalyst&Meraki双方を共通ポリシー（Common Policy）で運用が可能となります。
今回はISE‐Meraki連携方法、MerakiのAdaptive Policy設定方法、Catalyst・Meraki混在の環境の設定方法について記載しています。
※SGTやポリシーの設定は完了している状態からISEとMerakiを連携しております。（本文中にざっくり記載しています）

構成品

• ISE(version:3.3.430)
• MS130-8X (version:MS 17.1.2)
• MR55 (version:MR30.7)
• C9200CX-12P-2X2G
• C9800-L-C-K9
• Windows端末

Meraki Adaptive Policy ＆ ISE（＋Catalyst ）設定の流れ

MerakiダッシュボートとISEの連携についてです。設定方法は以下の流れとなっており、参照したURLを記載しております

• ISE‐Meraki連携方法
  　→ISE and Meraki Integration for the SGT Policy、動画
• Meraki Adaptive Policyの設定と確認
  　→Adaptive Policy Configuration Guide
• ISEネットワークデバイス・ポリシー設定
  　→Adaptive Policy and Cisco ISE
• Merakiダッシュボードでのデバイス設定
  • MSスイッチのアクセスポリシー
    　→MS Switch Access Policies
  • Meraki MSにおけるAdaptive Policyの設定
    　→Adaptive Policy MS Configuration Guide
• Catalyst Switchと接続時の設定（Catalyst、MS）
• Adaptive Policy構成ガイド、LisenceについてAdaptive Policy Configuration Guide
  Adaptive Policyを実施するにあたりLicenseはAdvancedgが必要です。

※2024年12月時点で、MS130XはMerakiアーリーアクセスプログラムよりお試しができますので本機能をONにして検証しました。
オーガナイゼーション->新機能を試す

Meraki Adaptive Policy ＆ ISEイメージ

MerakiとISEを連携させ、MSに接続しているサーバーやクライアント端末のアクセス制御を行います。

Meraki Adaptive Policy ＆ ISE

ISE IntegrationsよりMeraki連携

ISEのポリシーをMerakiへ連携するために、ISEで設定を行います。

ワークセンタ->TrustSec->Integrations->Meraki->Overview->Connect Meraki

Connect Meraki

• Connection name:任意
• Meraki Dashboard API Hostname(API URL)：api.meraki.com
• API Key：自身のKeyを入力

３点を記載後「Connect」を実行し、ISEとMerakiの接続が完了すると「Connected」となります。
次に、Organizationをプルダウンより選択します。

APIキーが不明な場合

Merakiのダッシュボードから確認を行います。

人ボタン->MyProfile

• API access
  こちらに記載されているAPIをISEへ登録します。

Sync Interval
同期の間隔を設定します。設定変更後に手動で同期することもできます。

• Sync Interval：５～３０分

Select Egress Policies
Meraki Organizations と同期する Egress Policies を選択します。

Select ACLs
Meraki Organizations と同期する SGACL を選択します。

Select SGTs
Meraki Organizations に同期する Security Groups を選択します。

Summary
設定内容を確認して「Finish」をクリックします。
これでISEとMerakiを連携できました。

Meraki Adaptive Policy

ISEと連携したポリシーを確認します。
オーガナイゼーション->Adaptive Policy
ISE連携を行う前のMerakiのポリシーは以下のようになっていると思います。

ISE連携を行うと次のキャプチャーのように、ISEからポリシー情報などが連携されます。
ISEとMerakiで表現が異なりますね。

• ポリシー（Egress Polices）
  

• グループ（SGTs）
  

• カスタムACL（ACLs）
  

• ネットワーク
  ネットワークでAdaptive Policyを適応するNetworkを選択します。状態が緑色になっているNetworkでAdaptive Policyが利用できます。
  

ISEのネットワークデバイス・ポリシー設定

ISEが認証要求を処理するため、Cisco ISE内でMerakiデバイスを RADIUSクライアントとして設定する必要があります。

MS130Xのネットワークデバイス登録

ISEへネットワークデバイスとして登録します。

管理->ネットワークデバイス->ネットワークデバイス->追加(add)

設定は次の項目を実施します。

• 名前
• IPアドレス（今回は１台のみ登録）
• 共通秘密キー※後程Merakiダッシュボードへの登録時使用
• TrustSec

デバイス登録時のキャプチャ

ISEへアクセス制御に必要なポリシーやSGTなどを登録

CatalystSwitchで制御する際と同じように設定が必要となります。
１度MerakiとISEを連携した後に、項目追加などの変更があった場合はIntegrationで再設定します。

ワークセンター->TrustSec>Integration->Sync Selections

• アクセスの条件は以下のように設定しています
  • EmployeesはEMサーバーへアクセス可能、HRサーバへアクセス不可
  • HRはHRサーバへアクセス可能
  • GuestはEMサーバー・HRサーバーへアクセス不可

ISEの設定内容は参考で載せています。

• セキュリティグループ
  ISEでグループを作成します。（例：HR）
  ワークセンタ->TrustSec->コンポーネント

• ポリシー
  ポリシー->ポリシーセット

  • 認証ポリシー
    認証ポリシーでクライアントのクレデンシャル情報を確認
    
  • 認可ポリシー
    認可ポリシーで認証に政教したユーザへSGTを割り当てアクセス制御
    

• マトリクス
  

Merakiダッシュボードでデバイスの設定

アクセスポリシー
Radiusの設定、秘密キーの設定を行います。

Switch->構成->アクセスポリシー

本設定では１つのポートでそれぞれ認証させたいのでマルチ認証(MulutiAuth)としています。

MS130XにおけるAdaptive Policyに基づくアクセス制御の設定
・ISEと連携しクライアントが802.1x（PEAP,EAP)やMAB認証
・SwitchのポートにAdaptive Policyグループを割り当てる
・ネットワークデバイス接続の際の設定

クライアント端末が802.1xを行い接続する設定例
クライアントがISEと認証を行い、SGTが割り当てられます。ISEの認証情報からMerakiダッシュボード上でもAdaptive Policyグループ情報が表示されます。

MSスイッチのポートにAdaptive Policyグループ設定
スイッチのポートに接続した端末をすべて指定のAdaptive Policyグループに割り当てる設定です。

ネットワークデバイス（MRなど）接続時の設定例

クライアント端末接続時の例

Adaptive Policyグループが各クライアントに割り当てることができました。ISEへ設定されている内容の通り、通信の制御が可能となります。

Catalyst ＆ Meraki

ネットワーク内にCatalyst・Meraki同時に配置されている場合も、ISEのポリシーで制御が可能となります。また、Catalyst SwitchだけではなくWirelessも同様に制御が可能です。

C9200CXとMeraki MS130X接続時の設定

お試しでC9200CXとMeraki MS130Xを接続してみました。

Meraki MS130X
Meraki MS130XがCatalyst Switchと接続する際の設定は、MerakiのMRなどネットワークデバイス接続と同様に以下のように設定します。

• Adaptive policy Group:２
  

C9200CX
C9200CXはMerakiのポート設定に合わせて、手動でSGTを設定します。設定例は以下のようになります。

switchport trunk native vlan 1
switchport mode trunk
cts manual                  #TrustSecを手動で設定
policy static sgt 2 trusted #スタティック許可ポリシーを設定

MS130Xのパケットキャプチャ
MerakiダッシュボードでMS130がCatalystと接続するポートでキャプチャを取得しました。
Catalystにサーバを接続し、Merakiへクライアントを接続して、HRユーザがHRサーバにPingしている際のキャプチャです。

※C9200CXでパケットキャプチャーを行う場合は該当のポートをミラーリングしてキャプチャを取得することをお勧めします。C9200CXのGUIでパケットキャプチャーは取得できるのですが、なぜかSGTが見えなかったためです。

C9200CXとMerakiMS130Xで接続して、各々接続されているクライアントで制御することができました。

おわりに

MerakiのAdaptive Policyを試すにあたって、Meraki・ISE連携を行いました。また、MerakiだけではなくCatalystも連携し、ポリシー制御が行えました。

ISEが共通ポリシー（Common Policy）としてCatalyst・Merakiを制御できるようになったことで、各々ポリシー制御する必要がなくなりますね。

とても長い投稿となりましたが、最後までお読みいただきありがとうございます。

免責事項

本サイトおよび対応するコメントにおいて表明される意見は、投稿者本人の個人的意見であり、シスコの意見ではありません。本サイトの内容は、情報の提供のみを目的として掲載されており、シスコや他の関係者による推奨や表明を目的としたものではありません。各利用者は、本Webサイトへの掲載により、投稿、リンクその他の方法でアップロードした全ての情報の内容に対して全責任を負い、本Web サイトの利用に関するあらゆる責任からシスコを免責することに同意したものとします。