Merakiの時刻同期について
Merakiデバイスの時刻同期の仕様について、公式のドキュメントの内容を捕捉する記事です。
クラウド接続のためのアップストリームファイアウォールルール - Cisco Meraki ドキュメント
時刻同期の動作は、Merakiデバイスのステータスに寄っており、工場出荷状態・オンライン状態・オフライン状態で変化するため以下に項目に分けてご説明します。
⚠️NTPの同期先の指定はできません
以下のいずれの状態においても、お客様がお持ちのLocal NTP Serverを指定して同期を行うことはできません。
Meraki デバイスの仕様として、使用するNTPはpool.ntp.org により名前解決されたNTPサーバーのIPアドレスを使用もしくは、Meraki CloudとNTPSyncいたします。
・工場出荷状態
工場出荷状態のMeraki デバイスは初めて Meraki Cloud と接続する際に pool.ntp.org と通信を行い時刻同期を行います。
時刻同期が完了し、 Meraki Cloud と通信ができるようになると以後は、上位で記載の通り、TCP のポート443 を使用して Meraki Cloud との管理通信で時刻同期を行います。
これは、Meraki デバイスを工場出荷時にリセットした場合も同様です。
このとき、使用するNTPはpool.ntp.org で名前解決されたサーバーIPアドレスを使用するため、LAN側のNTPサーバーを指定することができない仕様となっております。
pool.ntp.org: the internet cluster of ntp servers
上記のため、初めて Meraki Cloud と接続する際にはpool.ntp.orgが名前解決が可能であり、ファイアーウォール上で許可されている環境が必要です。
pool.ntp.org にUDP ポート 123 でアクセスできる環境作りをいただけますと幸いでございます。
・オンライン状態
時刻同期はMeraki Cloudとの管理通信で行われています。
Meraki デバイスが、Merakiダッシュボード上でオンラインであれば、NTP同期は正確にされていると判断をいただいて問題はありません。
Meraki デバイスについてはNTP同期はMeraki Cloudとの管理通信を使用してMeraki Cloud 上のNTPサーバー同期しております。
TCP443のMeraki Cloudとの通信でのNTP同期はダッシュボードで設定しているタイムゾーンをもとに同期を行っているため、ダッシュボードのネットワーク全体>一般 ページから時刻同期したいタイムゾーンを指定することができます。
※Merakiデバイスが設置された環境(IPアドレスのジオロケーション)とタイムゾーンが異なる場合にはダッシュボード上でアラートが生成されます。
・オフライン状態
Meraki Cloudとの管理通信に失敗した場合、Merakiデバイスはpool.ntp.org 宛にUDP ポート 123で時刻同期を図ります。
オフラインとなり、Meraki Cloudと時刻同期ができない状態でも、クライアント側の通信断等は発生はしません。
この時刻同期の頻度については、具体的な間隔値について公開されている情報がありませんが、弊社ラボ環境にて確認する限り、約5分間隔にて送信されていることが確認しています。
※公式のドキュメントに記載がない数値であるため、今後のファームウェアリリースで変更される場合があります
設置された環境がpool.ntp.org 宛にUDP ポート 123で時刻同期ができない環境であった場合でもクライアント側の通信断等は発生はしません。
しかし、時刻同期ができないことで、切り分けを行う際に採取する各種のLOG,Packet captureなど、正確なタイムスタンプの表示が行われないため、ログの整合性を担保できません。
そのため、問題が発生した際の正確な切り分けを実施することが難しくなることが想定されるものとなります。
これらが解放されていない状態では切り分けやサポートを十分に行うことができません。
そのため、弊社サポートでは以下のドキュメントに記載されているFirewall rule の解放することを強く推奨しております。
