Co-term(同時終了)ライセンスを追加・更新する際の仕様と、実際によくお問い合わせいただく失敗例について、具体例を交えてご説明いたします。

ダッシュボードへのアクセスができない場合の対応や注意事項、管理者アカウント運用におけるベストプラクティスに関してご案内します。

ファクトリーリセット(初期化)が必要な理由を概説

Meraki Auto VPNとNon-Meraki VPNを併用した構成での通信経路についての記事です。

2024年度末よりMXのコンテンツフィルタリング機能にファームウェア制限が設けられる件についての記事です。

公式のドキュメントの内容に補足するコミュニティ記事となります。

MXの冗長構成を構成する際にご参考にいただけますと幸いでございます。

弊社で利用しているサードパーティベンダーにおいて問題が発生し、
弊社 Cisco Meraki を含む一部の顧客に対して

証明書の更新を要求していることが判明いたしました。

これに伴い、Meraki Cloud 認証で使用される RADIUS 証明書の更新を

2024年8月2日 10:30 JSTに実施いたします。

証明書の更新が完了すると、推奨される対応を実施しない場合、

特定のデバイスが Meraki Cloud 認証を正常に行えなくなるため、
下記のページをご参考にしていただき、ご対応を行なっていただければと存じます。

[2024年7月末に行われるMeraki 認証サーバー用証明書の更新について]
https://documentation.meraki.com/SM/Other_Topics/Meraki_Authentication_Server_Certificate_Rotation_-...

また、Meraki Cloud Authentication証明書更新に対して、

その他ご不明な点等がございましたら、サポートまでご連絡ください。
https://meraki.cisco.com/meraki-support/overview/

事前キッティング時にセーフコンフィグに保存されないなどの混乱を避けるため、

セーフコンフィグが保存されるまでの時間についての参考となれば幸いです。

PDLライセンスの仕様を誤認されている場合が多いため、注意事項や理解しておくべき仕様について、このコミュニティ記事にまとめました。

弊社サポートに対して、inSSIDer 等を使用して、無線環境のサーベイをした際に、

ダッシュボード側で設定していない非公開のSSID が送信されているといった様なお問い合わせがよく見受けられます。

本記事では、上記の事象に対して、紹介をさせて頂ければと存じます。

まず、ダッシュボード側で設定しているSSID のBSSID の情報は以下の箇所にて確認を行う事が可能となります。

Wireless > Access Points > 対象MR を選択 > 画面左側にある 'BSSID Details' をクリック

もし、上記のBSSID 以外の非公開SSID を検知している場合、

MR の機能の1つであるメッシュが原因となり、事象が発生している可能性が考えられます。

メッシュ機能が有効になっているかどうかは、以下の箇所より確認する事が可能となります。

ネットワーク全体 > 設定 > 一般 > 機器設定 > メッシュ

参考URL

Wireless Mesh Networking

本記事では、MRがDynamic Frequency Selection（以下DFS）を検知した際、その確認・対応方法について解説しています。

// 概要 //

MRは利用する環境によって、DFSイベントを検知する場合があります。

DFS自体は一般的にアクセスポイントに実装される機能及びその一連の動作の名称であり、設置場所で観測された軍事、気象、その他レーダー信号を検知し、干渉を防ぐために動的に自身のSSIDのチャネルを切り替えるものとなります。

日本においては特定5GHzチャネルであるW53（52ch～64ch）およびW56（100ch～144ch）が対象となりますが、MRがこのチャネル以外でSSIDをブロードキャストをしているような場合はDFS検知対象となりません。

※上記はチャネル52にてレーダー信号を32回検知しDFSが発動した例、上記イベントログのリンクより詳細確認も可能。

DFS イベントは上述のように複数種類のレーダー信号がトリガーとなるため、MR設置周辺に関連施設がある場合や、水路や空港等の近くでは特に多く発生する可能性があります。

また確認可能な事項は検知情報のみであり、どういった種別のレーダー信号なのか等の詳細はわからないものとなります。

なお、比較的近い場所でMRを複数台を利用されている場合でも、設置場所や条件等により発生有無や頻度に差分が出る場合もあります。

// 事象による影響 //

上述動作でSSIDのチャネルが切り替わることにより、対象APに5GHzで接続されていた端末の無線が一時的に切断されユーザ通信に影響が出る場合があります。

また、この場合2.4GHzのSSIDには影響は出ません。

// MRの基本的な動作 //

検知時のMRの動作について詳細はこちらをご確認ください。

また、移行先のチャネルは基本的には対象MRが利用しているRFプロファイルの許可チャネルが参考にされ、これはチャネルを固定している場合においても同様となります。

例えば全チャネル許可のRFプロファイルを適用したMRが52chを80MHzでブロードキャストしている状況において、上記例のように52chでDFS検知があった場合、DFS検知に伴い100ch等に移行するような形になります。その後再度100chでDFS検知された場合、再度動的なチャネル切り替えの処理を繰り返していくような動作となります。また移行に伴いチャネルボンディングが縮退する場合もあります。

なお屋外用MRについては、法令の規制に基づきW52（36ch～48ch）およびW53（52ch～64ch）での利用自体が出来ないことから移行先は常にDFSの検知対象チャネルとなる形となります。

// 事象原因と回避方法//

検知自体はDFSの仕組みに基づいた正常動作となります。また、DFSは各国の法律に基づき実装義務となっているものであり、この機能自体を無効化することは出来ません。

しかしながら、上述の通り5GHzの特定チャネル（W53、W56）がDFSの発動前提となっているため、環境的な制約や要件がない場合は以下どちらかの対応によって事象発生回避が可能です。

・手動で非DFSチャネルを選択

・自動チャネル割り当てからDFSチャネルを除外（Meraki Auto RF: Wi-Fi Channel and Power Management）

この場合、利用可能なチャネルの数自体が少なくなるため、特に隣接AP間においては別チャネルを利用し電波干渉を防ぐような対応が必要となる場合があります。

// 検知アラートについて //

検知時のアラート表示は24時間程度表示される場合がありますが、再検知された場合はその分表示が延長されるような動作となります。

またこの表示を手動で削除することはできないものとなりますが、特に表示されていること自体に問題はありません。しかし、検知頻度が多い場合は上述の通り検知対象とならない設定の検討が必要となる場合があります。

//参考情報//

Dynamic Frequency Selection (DFS) について

vMXでのトラブル発生時の切り分け対応は、ほぼ限定されている状況です。

vMXでのトラブル発生時に、再度SetUpをお願いすることがあるため、

この記事から参考にするSetUpマニュアルをご確認いただければと存じます。

本記事では、最新安定版Firmwareを推奨する理由及び
Firmware version status について説明させていただきます。

◼︎最新Firmwareを推奨する理由

Meraki Productは潜在的な危険性及び下記の理由等により
常に最新のファームウェアのバージョンを保つことを強く推奨しております。

セキュリティーの脆弱性

セキュリティー関連の脆弱性が確認された場合、
弊社の開発側では最新のファームウェアにて優先的に修正を行います。
そのため、最新Firmwareではないバージョンの場合、
修正対応が遅れる、また、場合によっては修正されない可能性もございます。

既知及び新たに確認された事象の修正対応

弊社の開発では、既知及び新たに確認された事象に対して、
セキュリティー関連の脆弱性の対応と同様に
最新のファームウェアにて優先的に修正を行なっております。

特にソフトウェアに起因する事象の場合、
最新の安定版ファームウェアで事象の再現性を確認する必要があり、
古いファームウェアではBest effort対応となり、修正されない場合がございます。

パフォーマンス低下

Merakiでは、常にパフォーマンス向上のために
努力を重ねており、新しくリリースされたファームウェアにて
最大のパフォーマンスを発揮します。
そのため、古いファームウェアでは、予期せぬパフォーマンス低下の問題が
発生する可能性がございます。

新しい機能の利用

Merakiではユーザー様へ多様な環境及び要望に応じるために、
常に新機能の実装を行なっております。
しかし、こちらの新しい機能は古いファームウェアままでは利用が不可なため、
必要に応じて、最新の安定版またはBeta版等へアップグレードをしていただく必要がございます。

◼︎ファームウェアのステータス

Merakiではより簡単にFirmware versionが管理できるように
Firmware versionを3つのステータスで区分しております。

Good (Green)🟢

こちらのステータスは現在のFirmware versionには特に問題がない状態で、
すぐにバージョンアップグレードの対応は不要な状態となります。

また、現時点で該当Firmwareは EFM(End of Firmware Maintenance)の見込みがない
もしくはEFMとなるまでに6ヶ月以上余裕がある場合「Good (Green)」と表示されます。

ただし、アップグレードが可能なマイナーバージョンはある場合がございますので、
リリースノートをご確認に上、必要に応じてアップグレードをご検討していただければと思います。

Warning (Yellow)🟡

こちらのステータスは現在のFirmware versionに対して、
6ヶ月以内で、EFM(End of Firmware Maintenance)になる際に、表示されるステータスとなります。

現時点ではまだ該当ファームウェアがEFMにはなっておりませんが、
近い内(180日以内)にEFMとなるため、アップグレードが可能な最新のバージョンを確認の上、
アップデートを推奨します。

また、Warningと横に記載されている日付が該当Firmware versionがEFMとなる日付となります。

Critical (Red)🔴

こちらのステータスは現在利用中のFirmware versionが、
すでにEFMとなった際に表示されるステータスとなります。

EFM(End of Firmware Maintenance)となったFirmwareにつきましては、
セキュリティー関連の脆弱性やパフォーマンス低下の恐れがございますので、
直ちにアップグレードを行っていただくことを強く、推奨いたします。

 

参考URL

[Firmware Version Status]

https://documentation.meraki.com/General_Administration/Firmware_Upgrades/Managing_Firmware_Upgrades...

モニターキャプチャをMRで取得する方法をご紹介

例えば、弊社サポートにお問い合わせ頂く内容として、以下の様な内容がよく見受けられます。

' MR しか登録していないのに、MS やMX に関するファームウェアアップグレードの通知が来た '

本記事では、登録していない機器に関するファームウェアアップグレードが発生してしまう原因について、

紹介させて頂きます。

// 原因 //

ネットワークを作成する際に、ネットワークの種類をCombined (統合ネットワーク) として

作成している事が原因として考えられます。

既に作成したネットワークの種類を確認するためには、以下の箇所で確認する事が可能となります。

オーガナイゼーション> 概要> 対象ネットワークを検索> 'ネットワークの種類'

Combined ネットワークは、一つのネットワーク配下で複数の機器(MR/MX/MS 等) を管理する事が可能となっており、

何も機器を登録していない場合、複数のネットワークが表示されます。

このネットワークに何らかの機器を登録すると、機器が登録されているネットワークのみが表示され、

機器が登録されていないネットワークは非表示となります。(* ネットワークは削除されている訳ではないです。)

- 何も機器を登録していない場合

- AP を登録した場合

一方、ファームウェアアップグレードのページで確認をすると、非表示になったMR 以外のネットワークは

存在する事が確認でき、登録していない機器のネットワークに対しても、自動アップグレードが実行される動作となります。

// 回避策 //

実際に機器を登録していなければ、アップグレードが実行されても、特に影響はないのですが、

通知等が煩わしい場合、不要なネットワークの種類を削除して頂く必要がございます。

1. オーガナイゼーション> 概要> 対象ネットワークを検索

2. 対象ネットワークにチェックを入れ、'ネットワークの分離' をクリック

3. '分割' をクリックし、それぞれの種類のネットワークが作成された事を確認

4. 不要な種類のネットワーク(今回はMR 以外) にチェックを入れ、削除

5. 機器を登録しているネットワークのみが表示される事を確認

// 参考URL //

Combined Dashboard Networks

本記事では、ダッシュボード上で設定可能なアラートをメールではなく、

Cisco Webex に通知する設定方法を紹介します。

// Cisco Webex 側の設定 //

1. アラートを受信するスペースをCisco Webex 側で作成してください

2. Webex のApp hub にアクセスしてください(Link)

3. ログインを実施し、"Incoming Webhooks" を検索してください

4. Connect をクリックしてください

5. 名前と手順1 で作成したスペースを設定してください

6. Add をクリックすると、Webhook URL が生成されますので、コピーしてください

// Meraki Dashboard 側の設定 //

1. Dashboard にログインをしてください

2. アラートの通知を行いたいネットワークにて、ネットワーク全体> 設定> アラート をクリックしてください

3. Webhook の項目において、以下の画像の様に設定を実施してください

名前: 任意の名前

URL: Cisco Webex 側の手順6 でコピーしたURL

共有パスワード: 空白

ペイロードテンプレート: Meraki

4. 設定を保存し、テストWebhook を送信してください

5. Cisco Webex 側で添付の様なアラートを受信しているかを確認してください

6. 受信したいアラートにチェックを入れ、受信者に Webhook: <名前> を追加し、保存してください

参考URL

Webhooks

本記事では、MR が有線接続されているにも関わらず、メッシュ(リピータ)として動作してしまっている際の

トラブルシューティングについて、紹介します。

// メッシュで動作する条件 //

弊社AP では、以下の2つの条件を満たす場合、メッシュで稼働する可能性がございます。

・AP 自身のゲートウェイからARP 応答がない場合

・DHCP 経由で有効なIP アドレスが取得できない場合

// 確認項目 //

・AP のIP 設定方法/内容を確認する (DHCP or Static)

・AP の管理VLAN と接続スイッチのVLAN が一致しているかを確認する

// パケットキャプチャによる切り分け //

* 本記事では、Wireshark を用いて、キャプチャファイルの確認を行います。

対象AP がメッシュで稼働しているかつオンラインになっている場合、ダッシュボード上では、

白抜きの緑色の丸で表示されます。

画像の様な状態であれば、ダッシュボードからパケットキャプチャを取得できる可能性があるため、

以下の手順でAP の有線側のパケットキャプチャを取得してください。

ネットワーク全体> 監視> パケットキャプチャ

キャプチャファイルのダウンロードが完了したら、AP のMAC アドレスでフィルタを設定して下さい

eth.addr == <AP のMAC アドレス>

- AP のIP 設定がDHCP の場合

以下の画像の様にDHCP 経由でIP アドレスが取得出来ていない事に起因して、事象が発生している事が想定されます。

この様な状態が発生する可能性としては、以下の原因が考えられます。

・AP の上位の機器において、DHCP 機能が有効になっていない

・AP と上位スイッチのVLAN が一致していない

- AP のIP がStatic の場合

以下の画像の様に固定設定しているIP を用いて、設定したゲートウェイに対して、ARP 解決ができていない事に

起因して、事象が発生している事が想定されます。

この様な状態が発生する可能性としては、以下の原因が考えられます。

・AP に設定しているゲートウェイのIP アドレスが誤っている

・AP と上位スイッチのVLAN が一致していない

// 参考URL //

Gateway AP Switches to Repeater Mode

Packet Capture Overview

本記事でが、MX 及びMS が存在する構成において、MS でL3 ルーティングを有効にする構成について、

紹介させて頂きます。

* あくまで、一つの構成例となりますので、予めご了承ください。

// 構成 //

// 本トポロジーにおける前提 //

・MX とMS 間は、Transit VLAN (今回は、VLAN 50) で設定 

・MS はL3 Routing が可能なモデル (サポートしているモデルの確認はこちらから)

・MS でDHCP Server を有効

・Client は、VLAN 100 に属する

// MX 側の設定 //

・VLAN の作成

セキュリティ＆SD-WAN>アドレス＆VLAN> ルーティング> サブネット> VLAN 追加

・MS と接続しているポートの設定変更

セキュリティ＆SD-WAN>アドレス＆VLAN> ルーティング> ポート単位のVLAN設定> 接続ポートをクリック

・スタティックルートの設定

セキュリティ＆SD-WAN>アドレス＆VLAN> ルーティング> スタティックルート> スタティックルートを追加

* サブネット: クライアントが属するVLAN のサブネット

  ネクストホップ: MS のTransit VLAN に属するインターフェイスのIP 

// MS 側の設定 //

・VLAN Interface の作成 (Transit VLAN 50)

スイッチ> ルーティング&DHCP > インターフェイスの作成

* デフォルトゲートウェイは、MX のIP に設定

  Transit VLAN 作成後、自動で生成されるデフォルトルートがMX のIP になっているかを確認

・VLAN Interface の作成 (Client VLAN 100)

スイッチ> ルーティング&DHCP> インターフェイス> 追加

* VLAN 100 では、DHCP を有効にする必要がある

・クライアントが接続するポートの設定変更

スイッチ> スイッチ> 対象スイッチを選択> 任意のポートのアイコンをクリック> 設定

//参考URL//

MX and MS Basic Recommended Layer 3 Topology

そもそも共同終了ライセンスとはなんぞやという、基本から運用管理まで知りたいという方に向けて作成した簡単ガイドです。

Upgrade RMA(旧Meraki Now)の際に、お客様側で対応しなければならない事項について把握していないシーンが多々あり

Upgrade RMA(旧Meraki Now) RMA受領時に、このコミュニティ記事ご案内することを想定して作成しています。

Meraki サポートの記事では、お問い合わせが多い様な内容やTroubleshooting に関するTips 等を

• MSの交換方法
• ちょっと待って！MSの設定テンプレートを作成しましたか？設定を複製しますか？
• シングル構成の場合
• スタック構成の場合
• Warm spare構成の場合
• デバイスの設定がMerakiCloudと同期できているかを確認する方法
• 参考資料

MSの交換方法

MSの交換の手順と注意時点について記載しております。

予備機やRMA時の代替機との交換作業時の、実地作業のご参考になればと存じます。

MSの交換に際して、シングル構成かスタック構成か、Warm spare構成なのかで手順が異なります。

それぞれの手順で注意していただきたい事項、Catalyst SWと混同してしまうケースが多々あるため、

こちらの記事でご紹介している手順をご参考にしていただけますと幸いでございます。

前提条件として、交換機を事前にオーガナイゼーション＞インベントリに登録済みとしております。
デバイスをインベントリに追加いただいてから下記の作業をご実施いただくようにお願いいたします。

インベントリの操作方法については下記のドキュメントをご参考にください。

Using the Organization Inventory - Cisco Meraki Documentation
https://documentation.meraki.com/General_Administration/Inventory_and_Devices/Using_the_Organization...

ちょっと待って！MSの設定テンプレートを作成しましたか？設定を複製しますか？

交換機をネットワークに登録し、もとの機器からポート設定を複製することができます。
※最も簡単な方法
スイッチの設定を複製(コピー)する - Cisco Meraki Documentation
https://documentation.meraki.com/MS/Other_Topics/Switch_Cloning_jp

また、スイッチのポート設定をスイッチテンプレートとして保存しておくことができます。
Templates for Switching Best Practices - Cisco Meraki Documentation
https://documentation.meraki.com/Architectures_and_Best_Practices/Cisco_Meraki_Best_Practice_Design/...

上記の設定の設定の複製機能とスイッチテンプレートは同一モデルでのみ利用可能な機能であるため、
別モデルでの機器交換の場合には改めて手動でのポート設定をいただく必要がありますので、ご注意ください。

シングル構成の場合

ダッシュボードより代替機をネットワークに追加いただき、故障機から設定を複製をお願いします。 
 
1.「スイッチ」タブにて代替機の「スイッチ追加」 。
　（上記によって、「スイッチ」タブにて代替機が表示される） 
2.「スイッチ」タブにて、設定複製、タグ内容など設定。 ※3
　PDLの場合、上記によって、障害機のライセンスを代替機に付け替えが必要。
3.故障機の電源OFF。 
4.代替機の電源ON。代替機にて初期設定、ローカルステータスページの設定内容があれば。なければスキップ。 
5.ステータスオンライン状態にすると設定がダウンロードされファームウェアがアップデートされる。 
6.代替機の詳細ページにて設定ステータスが最新となっているか確認。 

7.物理配線を新しいスイッチに付け替え。
8.故障機を「スイッチ」タブと「インベントリ」タブから両方削除 ※1※2

9.故障機取り外し 

スタック構成の場合

この手順では、ファームウェア不一致によるスタック失敗を回避することを考慮して作成しております。 
また、LAGをスイッチを跨いで設定している状況ですと、交換時にスタックメンバーで通信断が発生する事象が確認されています。 

※MS15.21.1まで事象発生、MS16.1以降にて修正済み
そのため、交換にはメンテナンス時間を設けて実施をお願いいたします。 
 
1.「スイッチ」タブにて代替機の「スイッチ追加」 
　（上記によって、「スイッチ」タブにて代替機が表示される） 
　PDLの場合、上記によって、障害機のライセンスを代替機に付け替えが必要。
2.スイッチ＞スタックスイッチ＞【対象スタック名】＞複製とメンバーの交換＞スタック内のスイッチの交換にて故障機と代替機を交換。

※設定は自動的に複製されます

スタックメンバーが3台以上の場合は、設定複製を行い新規スタックメンバとして代替機を追加、スタックメンバから故障機の削除する手順でも可能です。

3.故障機の電源OFF、故障機からスタックケーブルを外す。
4.代替機の電源ON。代替機にて初期設定、ローカルステータスページの設定内容があれば設定を行う。

　※なければスキップ。
5.ステータスオンライン状態にすると設定がダウンロードされファームウェアがアップデートされる。 
6.MSの詳細ページにて設定ステータスが最新となっているか確認。 
　※最新でないままにスタックケーブルを接続すると、ファームウェアや設定が不一致の状態となり、スタックに失敗することがあります。 
7.物理配線を新しいスイッチに付け替え、スタックケーブルを接続して復旧。 
8.故障機を「スイッチ」タブと「インベントリ」タブから両方削除 。※1※2

9.故障機取り外し 。
10.スイッチ＞スタックスイッチ＞【対象スタック名】＞メンバー管理 にてスタックステータスにエラーやアラートがないか確認。 

※ただしくスタックができていないというアラートが発生していることがありますが作業途中で発生したアラートが残っていることがあります。 
実機の方でステータスランプが緑色であれば正しくスタックができているため、無視して問題ありません。 

時間経過で解消されます。

Warm spare構成の場合

1.「スイッチ」タブにて代替機の「スイッチ追加」 。
　（上記によって、「スイッチ」タブにて代替機が表示される） 
2.「スイッチ」タブにて、設定複製、タグ内容など設定。 ※3
　PDLの場合、上記によって、障害機のライセンスを代替機に付け替えが必要。
3.故障機の電源OFF。 

4.Meraki ダッシュボードで[スイッチ] > [スイッチ]ページにてWarm Spare設定を、

古いスイッチから新しいスイッチに変更。

MS Warm Spare (VRRP) Overview - Cisco Meraki
https://documentation.meraki.com/MS/Layer_3_Switching/MS_Warm_Spare_(VRRP)_Overview

5.代替機の電源ON。代替機にて初期設定、ローカルステータスページの設定内容があれば設定を行う。

　※なければスキップ。

6.ステータスオンライン状態にすると設定がダウンロードされファームウェアがアップデートされる。 

7.設定のダウンロード及び、Firmwareアップグレードが完了したことを確認。
8.物理配線を新しいスイッチに付け替え。

9.故障機を「スイッチ」タブと「インベントリ」タブから両方削除 。※1※2
10.故障機取り外し 。

※ただしくWarm spareが構成できていないというアラートが発生していることがありますが作業途中で発生したアラートが残っていることがあります。 
実機の方でステータスランプが緑色であれば正しく構成ができているため、無視して問題ありません。

デバイスの設定がMerakiCloudと同期できているかを確認する方法

該当のMSの詳細ページを開いていただきますと、画面左側にMSのステータスが順に表示されております。

各ステータスの中に、CONFIG（設定）の項目があり、そちらがUp to date（最新）となっていれば同期がされていることがわかります。

参考資料

※1[オーガナイゼーション インベントリの使用方法] 
https://www.cisco.com/c/m/ja_jp/meraki/documentation/general-administration/inventory-and-devices/us... 
※2[ダッシュボードのネットワークに対するデバイスの追加と削除] 
https://www.cisco.com/c/m/ja_jp/meraki/documentation/general-administration/inventory-and-devices/ad... 

※3[設定の複製方法]

https://documentation.meraki.com/MS/Other_Topics/Switch_Cloning_jp

本記事では、MR でサポートされているIPSK (Radius server なし)の機能について、紹介させて頂きます。

// IPSK とは //

1つのSSID に対して、複数のパスワードを設定する事が可能となります。

従来のPSK では、1つのSSID で1つのパスワードしか設定できないため、

全てのクライアントに対して、同じパスワード・ポリシーが適用されるが、

IPSK の場合、クライアント毎にパスワードやポリシーの設定を行う事が可能となります。

弊社MR では、IPSK の設定方法として、以下の2種類がございます。

・Radius server なしのIPSK

・Radius server ありのIPSK

今回は、前者のRadius server なしのパターンについて、紹介させて頂きます。

// 制限事項 //

・サポートしているAP の型番は、Wi-Fi5 Wave2/Wi-Fi6/Wi-Fi 6E

・サポートしているファームウェアは、MR27.1 以降

・WPA3 は未サポート

・稼働しているファームウェアにより、設定可能なパスワード数が異なる

　MR27.x - MR29.x : 50

　MR30.1 以降 : 5000

// 設定方法 //

1. ネットワーク全体> 設定> グループポリシーをクリック

2. クライアントに適用したいグループポリシーを作成

3. ワイヤレス> アクセス制御> 対象SSID を選択

4. セキュリティの項目より、RADIUSを使用しないIdentity PSK を選択

5. Identity PSKを追加 をクリックし、名前・パスワード・グループポリシーを選択

// 接続確認 //

PSK でcisco123 を入力し、無線接続を行なった場合

PSK でcisco456 を入力し、無線接続を行なった場合

// 参考URL //

IPSK_Authentication_without_RADIUS

Creating_and_Applying_Group_Policies

本記事では、1つのAPに複数のクライアントが集中してしまう際に考えられる原因と

有効な対処方法について紹介させていただきますので、参考にして頂ければと思います。

■端末が接続するAPを判定する基準

端末は機種によって少し差異はありますが、一般的には該当端末にて
受信できる電波強度(RSSI:Received Signal Strength Indicator)によって接続するAPを判断するようになります。
そのため、複数のAPより同様のSSIDが確認できる際は端末自身の現在の位置より一番強い電波が受信できるAPへ接続を試すようになります。

■多数のクライアントが1つのAPに集中してしまう原因

//周囲の他のAPの電波強度が強い場合、または接続を意図したAPの電波が弱い場合//

　上記にも説明させていただきました通り、端末は受信できる
　電波強度より接続するAPを選択するため、無線環境において、接続を意図していない周りのAPの電波が強い場合、
　もしくは本来接続されるべきのAPの電波が弱い場合は、端末が意図したAPに接続されず、1つのAPに集中してしまう場合があります。


//CoverageのOverlappingエリアが正しく選定されていない場合//

　ローミングは、最初接続されているAPから端末が物理的に移動を行い、
　最初接続を行った電波信号が弱くなったタイミングで、他のAPへローミングが行われるようになります。
　しかし、CoverageのOverlappingエリアが広い場合、
　端末は移動を完了したものの、端末にて受信できる電波信号が、
　ローミング判定となるdBmまで減少していないためローミングは行われず、既存のAPに接続したままとなります。
　その結果、比較的に1つのAPの端末が集中されてしまう場合があります。

■多数のクライアントが1つのAPに集中してしまう際の有効な対策

//端末がAPに接続を行う場所にて、無線サーベイを行い、再度各APの電波強度を見直す//

　APへの接続は端末にて受信できる電波強度により、
　判断されるため、接続を意図したAPの電波強度を上げたり、
　接続を意図していないAPの電波強度下げることで、改善される場合があります。

　電波強度の設定は下記のページで設定可能です。
　ワイヤレス >> 電波設定 >> ターゲット出力
　
　[Manual Power]
　https://documentation.meraki.com/MR/Radio_Settings/Transmit_Power_and_Antenna_Configuration#Manual_Power


//端末側のローミング設定を変更する//

　端末側の設定でローミングの感度(Roaming Aggressiveness)を変更することで、
　よりローミングがしやすくなり、結果的に1つのAPの集中する問題の改善できる可能性があります。
　
　こちらの詳細については、以下のKBをご参照して頂ければと思います。

　[クライアントのローミングおよび接続の決定に関する説明]
　https://documentation.meraki.com/MR/Wi-Fi_Basics_and_Best_Practices/Client_roaming_and_connectivity_decisions_explained_jp
　

//APの物理的な移動、またはAPの増設を検討する//

　端末が接続を試す場所にて、複数のAPの距離が近すぎる場合
　どのAPの電波も強く受信するため、場合によっては特定のAPの偏ってしまう可能性があります。
　また、端末がAPへ接続を試す際、逆に該当APが端末の位置から遠すぎる場合も同様に意図したAPに接続されないため、
　APの物理的な移動や、増設、端末が接続を行う場所の変更等をご検討して頂ければと思います。
　

//クライアントバランシングを有効とする//

　こちらの機能を有効にしていただくことで、クライアントが接続を試す際、
　APの負荷状況により、ベストAPに接続が行われるように誘導(接続を拒否)することが可能です。

　ただ、本機能は、多くのデバイスでAPからの拒否を正しく処理できない場合があり、
　動作確認ができていない環境では非推奨となります。

　また、MR firmware 29.xx以降で、802.11vサポートする
　端末の場合は、接続後もアクティブにこの機能が働くため、
　より良いAPへ常に端末を優度するようになります。

　クライアントバランシングは下記のページで設定可能です。
　ワイヤレス >> 電波設定 >> 該当RFプロファイル選択 >> クライアントバランシング >> オン
　
　[Client Balancing]
　https://documentation.meraki.com/MR/Other_Topics/Client_Balancing

 // 概要 //

本記事ではMXのAuto VPN機能においてVPNトンネルの確立に問題が発生した場合の切り分け及び対応方法について解説しています。

VPNトンネルの確立後に発生する問題（VPN経由での通信不可事象や速度遅延、Auto VPN機能を前提とた各種SD-WAN関連機能における問題等）については、本記事の対象外としております。

VPNトンネルの確立において問題が発生する場合、通常”セキュリティ＆SD-WAM” > “VPNの状況”の画面において対向ピアとの接続が下記のように赤い状態となります。

またイベントログ上でも以下のように ピアのconnectivityがfalseに変化(復旧時にはtrue）した事が記録されます。

// Auto VPNについて//

MerakiのAuto VPNはこちらの仕組みによって実現されますが、前提として各機器の情報（パブリックIPアドレス、UDPポート）がVPNレジストリに登録され各機器がそれを参照し、MXがNATの背後であってもUDP hole punchingの仕組みによりVPNの通信を実現しています。

各MXは機器起動時に自身が送信元に利用するUDPポートをランダムに採択し、これは再起動によって変化しますが上述の通り都度VPNレジストリを介して対向ピアに伝達されることで、再度VPNの通信が確立される仕組みとなります。上記利用ポートについては”セキュリティ＆SD-WAM” > “VPNの状況”  の画面にて確認が可能です。

上記例においてはVPNレジストリへの接続に問題がなく、またMXがNAT配下で動作しており、MX自身のWANのIPアドレスは192.168.10.254でUDPポートは43610を利用しています。

上位のNATにてグローバルIPアドレス（xxx.xxx.17.166）に変換されポートは同じものが送信元ポートとして利用されています。

この箇所にてunfriendly NATで表示される場合や、そもそもVPNレジストリの接続に問題が出ているような場合はこちらの手順にしたがって事象解消をする必要があります。なお、VPNレジストリへの接続に問題があってもそれが即座にVPNの通信自体に影響を及ぼすわけではありません。

// 影響範囲の考え方について//

VPNトンネルの確立の問題においては、まずは事象発生タイミングがポイントの一つとなり以下のように整理します。

(1)新規の機器設置時（これまでに一度もVPNの通信が確立していない場合）
この場合、 再度通信要件を見直し下記に対して上流環境で制御を実施していないかを確認します。または該当環境の上流がunfriendly NATとなっていないか等を確認します。

・Ports used for IPsec tunneling:

Source UDP port range 32768-61000

Destination UDP port range 32768-61000

(2) 機器運用時における発生

上記の通信要件に関わるような変更作業などが特になかった場合、問題がある区間においてのトラブルシューティングを行いますがこの場合事象が単一区間か複数区間で発生しているかを確認します。

・単一区間
下記のような例の場合、事象は拠点AのSpokeだけで発生しておりその他の拠点については問題ないことから拠点A側の問題である可能性が高くなります。

HUB — 拠点AのSpoke

・複数区間

下記のような例で事象がすべての拠点で発生している場合、HUB側に事象発生要因がある可能性が高くなります。

HUB

┣拠点AのSpoke

┣拠点BのSpoke

┗拠点CのSpoke

以降に具体的な事象発生事例とそれぞれの確認・対応方法を記載します。

なお、事象がすでに解消している場合は事象発生時のパケットキャプチャ実施が実施できず原因特定が難しい場合もあります。

 //  主な原因と問題切り分け方法 //

上記にて事象発生箇所を絞り込んだ場合、特に事象発生時にリアルタイムでのトラブルシューティングを実施する場合はまずは調査対象の事象発生区間の情報を整理します。

その後、事象発生時においてそれぞれのMXのインターネットポートにてこちらの手順でパケットキャプチャを実施し、双方向通信ができているかを確認します。

この場合、本事象においてはインターフェースにSite-to-Site VPNは利用せず、WANポートである「インターネット」を指定します。

以下の例では事象発生が複数区間である場合において、上述のような”HUBと拠点A間”での調査パターンを例にしており、各MX のパブリックIPアドレスと利用ポートは下記の通りです。

また、それぞれFriendly NATの背後にありVPNレジストリへの通信も問題がない事を前提としています。

HUB (3.3.3.3:35000 behind NAT) ——  拠点A間 (4.4.4.4:40000 behind NAT)

この場合に期待される通信としては、 HUBは4.4.4.4に対し宛先ポート40000（送信元ポートは自身の35000）でUDP通信をし、その逆方向で拠点AのMXは3.3.3.3に対して宛先ポート35000（送信元ポートは自身の40000）でUDPパケットを送信します。

そのため、問題がない場合は互いのMXのWAN側では必ず双方向通信が確認できますが、いずれかのMXで片方向通信となっている場合としては主に下記のような事項が考えられます。

(1)MXの上流（機器・ISP）の障害

この場合MX自体もオフラインとなる場合がありますが、すでに事象が解消しているような場合は対象MX画面の「デバイスの履歴データ 」より「接続不可」等となっている箇所がないか、または「アップリンク」画面の「デバイスの履歴データ」にて事象発生時間に高い損失がないか等の詳細確認が可能です。

例：5/16の10:49頃から8分程度MXが接続不可となっている場合

例：5/10の12:00前後にアップリンクにて最大26.5%の損失が出ている場合

※この情報はインターネット上にある特定のIPアドレス(デフォルトではGoogle Public DNS(8.8.8.8))に対しての疎通確認であり、Meraki側サーバやデバイス動作との関連はありません。

(2)MX上流のNAT機器の問題

上記の問題がなく、また対向ピアがパケットキャプチャ上で正しいパブリックIPアドレスと宛先ポートに通信をしているにも関わらずそれが見えていないような場合、上流NAT機器が正常に動作しておらず配下のMXに必要な通信を届けられていないといったことが考えられます。

その場合、NAT機器のWAN側とMXと接続しているLAN側でパケットキャプチャをすることで詳細確認可能で、またはNAT機器再起動によって事象解消を試みることが可能です。

下記例のパケットキャプチャでは、NAT配下のHUB側（10.x.x.x）において対向ピア(xxx.xxx.165.2)からのUDPパケットが確認できず、下記のように自身の機器が対向ピアに送信している事だけが確認できます。

(3) UDP チェックサムにおける問題

互いのMXのWAN側で問題なく双方向通信となっていることが確認できた場合でも、UDP Checksum Errorsを原因とした（invalidもしくはbad UDP checksumが検知される等）ことでトンネルが確立できない問題が発生する場合があります。

この原因としては、主にMXの上流機器を経由することによってchecksumがinvalid になるようなケースです。

下記パケットキャプチャの例では対向ピアxxx.xxx.54.12からのUDPパケットのchecksumの箇所がBad checksumのErrorとなっています。

Wiresharkではパケットの詳細画面にて右クリック、“User Datagram Protocol” ＞ “Protocol Preferences”、“Validate UDP Checksum if Possible”にチェックを入れることで上記画面のようにわかりやすい形で確認可能です。

この場合、上位機器の再起動やファームウェアバージョンアップ等で解消しない場合は回避方法としては上流機器を介さない構成とするか、別の上位機器を利用することで改善を試みます。

 // 参考情報 //
Site-to-Site VPN Troubleshooting
Meraki Auto VPN - Configuration and Troubleshooting

本記事ではSystem Manager で管理されているiOS 端末の名前の挙動について、紹介をさせて頂ければと存じます。

デフォルトの設定では、ダッシュボード上で表示されている名前と実際に端末側で設定されている名前は同期されないため、

ダッシュボード側または端末側で名前を変更するとそれぞれ異なる名前を持つ様な挙動となります。

しかし、Supervised として管理されているiOS 端末に限り、ダッシュボード側で設定した名前をデバイス側に同期する事が可能となります。

管理しているデバイスがSupervised となっているかどうかは、以下の箇所で確認をする事が可能となります。

システムマネージャー> 監視> デバイス> 対象の端末をクリック

Supervised で管理されている端末においては、インストールするプロファイルにおいて、

以下の項目にチェックが入っていれば、ダッシュボード側で設定した名前が端末に同期される動作になります。

Restriction (制限事項)>管理対象iOSへの制限>デバイスの機能>デバイス名をダッシュボードの設定と同期

上記項目にチェックが入っている場合、ダッシュボード上で名前を変更した場合、端末側で保持される名前は同期される挙動となります。

// ダッシュボード側 //

// 端末側 //

// 参考URL //

Configuration Settings Payload - Restrictions

本記事ではMAC Flap Detection機能の検出条件及び、実際にL2ループが発生したいない場合においても

本MAC address flappingログが記録される例をご紹介させていただきます。

■MAC Flap Detectionとは?

MAC Flap Detection機能はMAC address forwarding tableを通じて、
短時間で同一のMACアドレスが複数のポートにて検出された際、その情報をイベントログに記録し、
潜在的なループを防ぐための機能となります。

■MAC Flappingと判断する基準

「同一のMACアドレスが、10秒以内に、異なる2つ以上のポートにて、3回以上検出された際」

■サポートモデル及びバージョン

サポートモデル
MS130/MS120/MS210/MS225/MS250/MS350/MS355/*MS390/MS410/MS420/MS425/MS450

サポートバージョン
MS12.8以降

*MS390の場合は、MS15.14+よりサポートしております。 

■ 一般的にMAC address flappingがイベントログに記録される例

 ①スイッチの1番ポートにPC(MAC AA:AA:AA:AA:AA:AA)が接続されている。



②L2 ループ発生によりPC(MAC AA:AA:AA:AA:AA:AA)のMACアドレスが短時間で、ポート2,3でも検知される。



③MSはForwarding table情報を参考し、イベントログに下記のMAC address flappingが記録する。

■頻繁なローミングによるMAC address flappingイベントログ記録例

①AP1に接続されていたPCが短時間でAP2,3へローミングを行う場合



②AP1に接続されていたPCが短時間で、AP2へローミングし再度AP1にローミングする場合

■参考URL

Loop and MAC Flap Detection on MS - Cisco Meraki
https://documentation.meraki.com/MS/Monitoring_and_Reporting/Loop_and_MAC_Flap_Detection_on_MS

本記事では、Splash Page を有効にしているSSID に対して、無線接続を実施した際に

Splash Page が表示されない事象について、紹介をさせて頂ければと存じます。

// 事象//

SSID の設定において、Splash Page の設定を実施しているにも関わらず、

Splash Page が表示されない挙動が発生する場合がございます。

// 原因 //

・対象クライアントに対して、ホワイトリスト等のGroup Policy が適用されている

・端末が無線接続時にHTTP パケットを送信していない

Splash Page をクライアント側で表示させるためには、MR でクライアントからのHTTP を受信する必要があります。

そのため、端末側でSSID 接続時にHTTP パケットを自動で送信しない様な挙動を行う場合、

Splash Page が表示されない事象が発生する場合があります。

例)

Apple 系の端末であれば、SSID 接続時にcaptive.apple.com にHTTP GET が送信されている事が確認できます。

クライアントからのHTTP GET を受信後、MR からxxx.network-auth.com へのRedirect URL を返している事が確認できます。

* 検証環境での結果になるため、今後Apple 側の動作等が変更される場合がございますので予めご了承ください。

// 対応策 //

・クライアントからGroup policy の設定を外す

・クライアント側で手動でHTTP パケット(http://1.1.1.1 等)を発生させ、Splash Page が表示されるかどうか

・端末側でSSID 接続時にHTTP パケットを送信する様な設定が可能かどうか

参考資料
Splash Page Traffic Flow and Troubleshooting

PDLライセンス形態への移行のフローがサポートを介して実施するように変更がなされました。
サポートへの問い合わせの際に、お客様へご留意いただきたい内容と確認事項をご案内しております。

こちらの記事に、PDLへの移行フローをご案内させていただきます。

本記事では、Meraki機器がDHCPサーバとして利用されている環境において、端末からのDHCPのリクエストがRejectされる事でDHCPエラーとなっている事象と、その調査方法について解説しています。

※1: MRもNATモードにおいてはDHCPサーバの役割を担いますが本記事では対象外となります。
※2: 本記事ではDHCPのNegative ACKnowledgementはNAKまたはNACKと表記されます。
※3: 本記事の内容ではMeraki機器がDHCPサーバとして稼働している前提ですが、他機器の場合でも発生する場合があります
※4: DHCP NAKは本記事に記載以外の要因や原因で発生する事もあり、その場合DHCPサーバ側の詳細ログ（Meraki機器以外の場合）等を含め詳細調査が必要となります。

 // 概要 //

事象は主に無線接続環境で発生する場合が多く、DHCPエラーとしてダッシュボード上で確認できますが、MRの接続ログにおいて端末のリクエストに対し下記のようにdhcp_nackでrejectされるログ（Client made a request to the DHCP server, but the DHCP server rejected the client's request）が確認できます。

またエラー発生後、実際には端末がDHCPのリクエストを再実施し正しいIPアドレスを取得できる場合があり、ユーザ側では接続時に時間がかかっているといった状況になっていると想定されます。

この事象は特にDHCPプールにおける枯渇がしていない状況下でも発生しますが、通信経路で取得したパケットキャプチャでは端末がDHCP Requestを出した後に、Meraki機器側がDHCP NAKを返す様子が確認できます。

例：MXのLAN側で取得した例で#80でMXがDHCP NAKを返している

// 事象原因 //

本事象は対象環境や設定によって発生することがあり、主に以下のような環境で発生します。

・MX（またはMS）をDHCPサーバとし、その配下にMRが接続されているような構成

・ダッシュボード上でNetworkが複数あり、同じ設定のSSIDを利用しているような設定 

 （または同一ネットワーク内でも、こちらの設定で異なるフロア等に配置されたAPに対し、Tagで割当VLANを変えているような場合）

・端末が上記異なるネットワーク間（同じ建物内の別フロア、広い施設における別の場所・別館等）を物理的に移動するような環境

上記において、端末が移動元で保持してるIPアドレスを移動先の場所で利用する際にDHCP RequestすることでMX（またはMS）がそれをNAKでRejectする場合があります。こちらの挙動は端末の種別やOSにも依存し、Apple iOSデバイスにおける詳細についてはこちらのKBをご参照ください。

該当箇所：
Before an Apple iOS device uses DHCP to obtain an IP address on a new network connection, it will first attempt to re-use the IP address configuration received from a previous networks DHCP server.

例：DHCP NAKの前に端末が#79で10.xx.xx.111でDHCP Requestをしている

上記NAKの理由としては以下のような場合が考えられますが、そのトリガーとしては上述の通り端末の挙動に依存します。

(1)端末が接続されたVLANとは異なるIPアドレスをRequestしている

(2)端末からRequestされたIPアドレスが既に別の機器で利用されている　

上記1に関しては異なるNetwork間でSSIDに対し割り当たるIPアドレスレンジが異なる場合に発生しますが、IPアドレスレンジが同じであっても、2のような理由でNAKになる場合もあります。

 // 事象対応方法 //

対応としては主に以下のようなものが考えられます。

1. クライアントの動作上やむをえず発生するエラーであるため、実影響を確認しダッシュボード上のエラー発生自体は許容する

2. ネットワーク構成、またはSSIDの変更

 // 問題切り分け方法 //
該当DHCPエラーが確認できた場合、通常下記のような順序での確認で詳細が分かる場合があります。

1. エラーが発生した端末のMACアドレスが該当時間に移動をしていたか

建物図面やユーザへの確認を行います

2. 移動をしている場合、移動元及び移動先のNetworkでの接続履歴を時系列に確認

ネットワーク全体 ＞ イベントログ ＞ アクセスポイント向けの画面で、端末MACアドレスでフィルタし確認

3. 移動元のNetworkでリースされたIPアドレスを確認
イベントログ上でMXまたはMSの画面に切り替え、移動元のNeytworkでDHCPリース時のIPアドレスを確認

4. NAKの理由の調査

移動先のNetworkで同じIPアドレスレンジの場合、上記3のIPアドレスが別端末で既に利用されていないか、または端末の接続VLANが移動元と異なるIPアドレスレンジになっているか確認。

5. パケットキャプチャの取得

必要に応じて該当端末で移動し事象再現をさせている間に通信経路（APの有線やMXのLAN側）でパケットキャプチャを実施し端末がRequestしているIPアドレスやその後のNAKを確認します。

//参考情報//

Configuring DHCP Services on the MX and MS

DHCP Services

VLAN Tagging on MR Access Points

IP Conflict Events Triggered by iOS Devices