Si vous avez fouillé dans les options de votre dashboard Cisco Meraki, vous avez peut être vu une option en beta appelée “Meraki SecureConnect”. On en parlait ici et voici plus de détails.
Que permet la fonction SecureConnect?
SecureConnect, qui n’est pas supporté par toutes les bornes & switches, permet de faire tomber automatiquement une borne WiFi Meraki dans le bon VLAN de management et s’authentifier de façon forte auprès du switch & de Meraki.
Comment ça marche une fois activé?
Les switches compatibles vont identifier les bornes Meraki MR qui leur sont directement connectés et qui font partie du même “dashboard” (même organisation).
Le switch va ensuite modifier la configuration des ports concernés pour qu’ils ne permettent que le DHCP et la communication vers le Cloud Meraki.
La première fois qu’une borne se connecte avec ce mode au Cloud Meraki, elle récupère un certificat de sécurité émis par Cisco Meraki ainsi que sa configuration. Une fois sa configuration obtenue, la borne va s’authentifier en 802.1X auprès du switch.
Le switch vérifie la validité de ce certificat auprès du cloud Meraki, confirme l’authentification et donne accès au réseau à la borne.
Voici comment cela se présente dans le dashboard:
Ici le port 1, en Orange est en cours d’authentification quand les ports 2 à 9 sont bel et bien authentifiés.
Quels peuvent être les états d’un port de switch avec SecureConnect?
| Désactivé | SecureConnect est désactivé sur le réseau | Le port ne change pas de configuration |
| Activé | SecureConnect est actif mais le switch ne détecte pas de borne MR compatible | Le port ne change pas de configuration |
| En cours | Une borne MR compatible est connectée au port mais n’a pas encore fini son processus d’authentification | Le port passe en mode Trunk, avec comme VLAN natif le même VLAN de management que les switches, le seul VLAN autorisé est celui de management, pas d’access policy appliquée. Le reste des réglages spécifiques au port s’appliquent. |
| Authentifié | La borne MR est authentifiée avec succès auprès du Cloud Meraki | Le port est mode Trunk, avec comme VLAN natif le même VLAN de management que les switches, tous les VLANs sont autorisés, pas d’access policy appliquée. Le reste des réglages spécifiques au port s’appliquent. |
| Restreint | La borne ne s’authentifie pas correctement ou il y a eu un timeout | Le port passe en mode Trunk, avec comme VLAN natif le même VLAN de management que les switches, le seul VLAN autorisé est celui de management, pas d’access policy appliquée. Le reste des réglages spécifiques au port s’appliquent. |
Quels sont les switches et bornes compatibles à date?
Les bornes Wifi 802.11ac Wave 2 (WiFi 5) MR20, MR30H, MR33, MR42, MR42E, MR52, MR53, MR53E, MR70, MR74, MR84 sont compatibles et les bornes Wi-Fi 6 (802.11ax) MR45, MR55, MR36, MR46, MR46E, MR56, MR76, MR86 sont compatibles.
Côté switches, il faut soit des séries MS210, MS225, MS250, MS350, MS355,MS410, MS425 ou MS450.
Plus d’informations sur le site de Meraki ici.
