Meraki SecureConnect, à quoi ça sert?

Si vous avez fouillé dans les options de votre dashboard Cisco Meraki, vous avez peut être vu une option en beta appelée “Meraki SecureConnect”. On en parlait ici et voici plus de détails.

Que permet la fonction SecureConnect?

SecureConnect, qui n’est pas supporté par toutes les bornes & switches, permet de faire tomber automatiquement une borne WiFi Meraki dans le bon VLAN de management et s’authentifier de façon forte auprès du switch & de Meraki.

Comment ça marche une fois activé?

Les switches compatibles vont identifier les bornes Meraki MR qui leur sont directement connectés et qui font partie du même “dashboard” (même organisation).

Le switch va ensuite modifier la configuration des ports concernés pour qu’ils ne permettent que le DHCP et la communication vers le Cloud Meraki.

La première fois qu’une borne se connecte avec ce mode au Cloud Meraki, elle récupère un certificat de sécurité émis par Cisco Meraki ainsi que sa configuration. Une fois sa configuration obtenue, la borne va s’authentifier en 802.1X auprès du switch.

Le switch vérifie la validité de ce certificat auprès du cloud Meraki, confirme l’authentification et donne accès au réseau à la borne.

Quels peuvent être les états d’un port de switch avec SecureConnect?

DésactivéSecureConnect est désactivé sur le réseauLe port ne change pas de configuration
ActivéSecureConnect est actif mais le switch ne détecte pas de borne MR compatibleLe port ne change pas de configuration
En coursUne borne MR compatible est connectée au port mais n’a pas encore fini son processus d’authentificationLe port passe en mode Trunk, avec comme VLAN natif le même VLAN de management que les switches, le seul VLAN autorisé est celui de management, pas d’access policy appliquée. Le reste des réglages spécifiques au port s’appliquent.
AuthentifiéLa borne MR est authentifiée avec succès auprès du Cloud MerakiLe port est mode Trunk, avec comme VLAN natif le même VLAN de management que les switches, tous les VLANs sont autorisés, pas d’access policy appliquée. Le reste des réglages spécifiques au port s’appliquent.
RestreintLa borne ne s’authentifie pas correctement ou il y a eu un timeoutLe port passe en mode Trunk, avec comme VLAN natif le même VLAN de management que les switches, le seul VLAN autorisé est celui de management, pas d’access policy appliquée. Le reste des réglages spécifiques au port s’appliquent.

Quels sont les switches et bornes compatibles à date?

Les bornes Wifi 802.11ac Wave 2 (WiFi 5) MR20, MR30H, MR33, MR42, MR42E, MR52, MR53, MR53E, MR70, MR74, MR84 sont compatibles et les bornes Wi-Fi 6 (802.11ax) MR45, MR55, MR36, MR46, MR46E, MR56, MR76, MR86 sont compatibles.

Côté switches, il faut soit des séries MS210, MS225, MS250, MS350, MS355,MS410, MS425 ou MS450.

Plus d’informations sur le site de Meraki ici.

Laisser un commentaire