クライアントのブロックとホワイトリスト登録
場合によっては、Cisco Merakiネットワーク上の特定のクライアントをホワイトリストに登録するか、ブロックする必要が生じます。この設定はクライアント単位で行われ、変更内容はただちにクライアントに適用されます。ホワイトリスト登録とブロックは、Cisco Meraki MXセキュリティ アプライアンスとMRアクセス ポイントの両方でサポートされています。現時点では、Cisco Merakiスイッチではクライアントのホワイトリスト登録とブロックはサポートされていません。
デバイスがネットワーク クライアント リストに登録されると、クライアント ポリシーがデバイスに設定されます。未登録のクライアントに対しては、ネットワーク ポリシーを事前に設定できます。
組み込みのクライアント ポリシー
クライアントに設定できる組み込みのポリシーには、ホワイトリストとブロックの2つがあります。各クライアントのデフォルト設定は「Normal(ノーマル)」であり、ネットワーク全体のすべての設定がクライアントに適用されます。設定されている場合は、以下で説明する手順と同じ方法でクライアントにグループ ポリシーを適用することもできます。
ホワイトリスト
次の設定がクライアントに適用されます。
- クリックスルー スプラッシュ ページをバイパス
- SSIDを使用して課金(有料アクセス)スプラッシュ ページをバイパスし、支払いや認証なしでネットワークにアクセス
- 認証なしでサインオン スプラッシュ ページをバイパス(MXセキュリティ アプライアンスとMRアクセス ポイントの両方に適用)
- クライアント単位の帯域幅制限を免除(MXセキュリティ アプライアンスとMRアクセス ポイントの両方に適用)
- トラフィック シェーピング ルールを免除(MXセキュリティ アプライアンスとMRアクセス ポイントの両方に適用)
- MXセキュリティ アプライアンスでコンテンツ フィルタリングをバイパス
- 制限付きのYouTubeコンテンツは、コンテンツ フィルタリングの一部とみなされないため、ホワイトリストに登録されたクライアントによってバイパスされません。
- Security and SD-WAN(セキュリティ&SD-WAN) > Threat Protection(脅威からの保護)にリストされているIDS/IPSはバイパスされません。
注記:デバイスは引き続き、MRアクセス ポイントでの関連付け要件とSSID単位の帯域幅制限、およびMXセキュリティ アプライアンスでのアップリンク設定とセキュリティ フィルタリングの対象となります。
ブロック
次の設定がクライアントに適用されます。
- ネットワーク上の他のデバイスとの通信をすべてブロックするファイアウォール ルールを適用(ブロックが設定されたCisco Meraki Deviceを経由するトラフィックにのみ適用)
- ユーザがWebページを読み込もうとすると、Blocked Splash Page(ブロックされたスプラッシュページ)が表示されます
注記: デバイスは引き続きIPアドレスを受信し、DNS名を解決できます。
クライアントのブロックまたはホワイトリスト登録
Cisco Merakiダッシュボードでクライアントをホワイトリストに登録する方法とブロックする方法は2通りあります。
注記:ホワイトリストに登録できるはクライアント数は3,000台まで、ブロックできるクライアント数は3,000台までに制限されています。3,000台を超えるクライアントをホワイトリストに登録するかブロックしようとすると、エラーが表示されます。
クライアント リストの使用方法
Network-Wide(ネットワーク全体) > Clients(クライアント)に移動し、ホワイトリスト登録またはブロックするクライアントのチェックボックスをオンにします。クライアント リストの上のPolicy(ポリシー)ドロップダウンをクリックして、blocked(ブロック)またはallowlisted(ホワイトリスト)を選択します。SSID単位で、またはMXセキュリティ アプライアンスでのみホワイトリストまたはブロックを適用するには、Different policies by connection and SSID(接続やSSIDによって異なるポリシー)を選択します。 設定をクリアするには、blocked(ブロック)またはallowlisted(ホワイトリスト)ポリシーを削除して、normal(ノーマル)を選択します。
注記:セキュリティ アプライアンスおよびSSIDでユーザをブロックするかホワイトリストに登録するための単一の設定ペインは、統合ネットワークでのみ使用可能です。統合ネットワーク以外では、ダッシュボード ネットワークごとに、これらの設定を行う必要があります。
設定完了後、クライアントをフィルタリングすることで、どのクライアントにポリシーが設定されているかを確認できます。
クライアントがネットワークに接続されていない、またはクライアント リストに登録されていない場合でも、ポリシーを適用できます。これを行うには、Network-wide(ネットワーク全体)> Monitor(監視) > Clients(クライアント)ページのAdd client(クライアントの追加)ボタンを使用します。デバイスのわかりやすい名前、MACアドレスを入力し、適用するポリシーを指定します。次に、Save changes(変更を保存)をクリックします。
クライアントの詳細ページの使用方法
クライアントの詳細ページでは、表示されている現在のポリシーを更新できます。上記と同様に、SSID単位で、またはMXでのみホワイトリストまたはブロックを適用するには、Different policies by connection and SSID(接続やSSIDによって異なるポリシー)を選択します。リストされたオプションを使用して、SSID単位で、およびMXセキュリティ アプライアンス上でblocked(ブロック)またはallowlisted(ホワイトリスト)を設定できます。設定をクリアするには、blocked(ブロック)またはallowlist(ホワイトリスト)ポリシーを削除して、normal(ノーマル)を選択します。統合ネットワークでは、次に示す画面で設定を行います。
ダッシュボード ネットワークがワイヤレスまたはアプライアンス ネットワークの場合(統合以外)、クライアントの詳細ページの表示内容は少々異なります。blocked(ブロック)およびallowlisted(ホワイトリスト)の設定は、ダッシュボード ネットワークごとに、クライアントの詳細ページのEdit Details:(詳細の編集:)で指定します。
「Client Details(クライアントの詳細)」設定で、クライアントをブロックまたはホワイトリストに登録できます。