Si vous avez fouillé dans les options de votre dashboard Cisco Meraki, vous avez peut être vu une option en beta appelée "Meraki SecureConnect". On en parlait ici et voici plus de détails.
Que permet la fonction SecureConnect?
SecureConnect, qui n'est pas supporté par toutes les bornes & switches, permet de faire tomber automatiquement une borne WiFi Meraki dans le bon VLAN de management et s'authentifier de façon forte auprès du switch Cisco Meraki.

Comment ça marche une fois activé ?

Les switches compatibles vont identifier les bornes Meraki MR qui leur sont directement connectés et qui font partie du même "dashboard" (même organisation).
Le switch va ensuite modifier la configuration des ports concernés pour qu'ils ne permettent que le DHCP et la communication vers le Cloud Meraki.
La première fois qu'une borne se connecte avec ce mode au Cloud Meraki, elle récupère un certificat de sécurité émis par Cisco Meraki ainsi que sa configuration. Une fois sa configuration obtenue, la borne va s'authentifier en 802.1X auprès du switch.
Le switch vérifie la validité de ce certificat auprès du cloud Meraki, confirme l'authentification et donne accès au réseau à la borne.
Voici comment cela se présente dans le dashboard:

Ici le port 1, en Orange est en cours d'authentification quand les ports 2 à 9 sont bel et bien authentifiés.
Quels peuvent être les états d'un port de switch avec SecureConnect ?
| Désactivé | SecureConnect est désactivé sur le réseau | Le port ne change pas de configuration |
| Activé | SecureConnect est actif mais le switch ne détecte pas de borne MR compatible | Le port ne change pas de configuration |
| En cours | Une borne MR compatible est connectée au port mais n'a pas encore fini son processus d'authentification | Le port passe en mode Trunk, avec comme VLAN natif le même VLAN de management que les switches, le seul VLAN autorisé est celui de management, pas d'access policy appliquée. Le reste des réglages spécifiques au port s'appliquent. |
| Authentifié | La borne MR est authentifiée avec succès auprès du Cloud Meraki | Le port est mode Trunk, avec comme VLAN natif le même VLAN de management que les switches, tous les VLANs sont autorisés, pas d'access policy appliquée. Le reste des réglages spécifiques au port s'appliquent. |
| Restreint | La borne ne s'authentifie pas correctement ou il y a eu un timeout | Le port passe en mode Trunk, avec comme VLAN natif le même VLAN de management que les switches, le seul VLAN autorisé est celui de management, pas d'access policy appliquée. Le reste des réglages spécifiques au port s'appliquent. |
Quels sont les switches et bornes compatibles à date ?
Les bornes Wifi Cisco Meraki 802.11ac Wave 2 (WiFi 5) MR20, MR30H, MR33, MR42, MR42E, MR52, MR53, MR53E, MR70, MR74, MR84 sont compatibles et les bornes Wi-Fi 6 (802.11ax) MR45, MR55, MR36, MR46, MR46E, MR56, MR76, MR86 sont compatibles.
Côté switches Cisco Meraki, il faut soit des séries MS210, MS225, MS250, MS350, MS355,MS410, MS425 ou MS450.
Plus d'informations sur le site de Meraki ici.
Questions fréquentes
À quoi sert Meraki SecureConnect ?
SecureConnect automatise l’authentification et le placement réseau de bornes Meraki compatibles connectées à des switches Meraki compatibles.
Quel problème SecureConnect cherche-t-il à résoudre ?
Il réduit le risque de mauvais branchement ou de mauvaise configuration de port en plaçant la borne dans le bon VLAN de management et en utilisant une authentification forte.
Comment une borne s’authentifie-t-elle avec SecureConnect ?
La borne récupère un certificat auprès du cloud Meraki, puis s’authentifie en 802.1X auprès du switch, qui valide le certificat avant d’ouvrir les VLAN autorisés.
Pourquoi faut-il vérifier la compatibilité avant activation ?
La fonction dépend des modèles de bornes, de switches et de firmware. Un parc mélangé doit être audité pour éviter des états restreints ou des ports mal configurés.
BoucheCousue peut-il activer SecureConnect sur un parc existant ?
Oui. Nous pouvons vérifier la compatibilité, préparer les VLAN de management, tester les états de ports et documenter la procédure de déploiement.
