本記事では、アプリまたはProfileがインストールできない際、まず確認必要がある項目についてご紹介させていただきます。

①該当アプリ、ProfileページからデバイスがScope内であることを確認します。

　・アプリ（システムマネージャ >> アプリ >> 該当アプリを選択

　・Profile (システムマネージャ >> 設定 >> 該当Profileを選択)

システムマネージャ >> デバイス >> デバイス詳細ページにて上記のようなStatusが表示されていない場合は、

該当端末は、Scope内ではない可能性が高いです。

②アプリ・Profileをアップデートまたはインストールしてから、

該当端末がインターネット(Meraki Cloud)へアクセスができるかご確認ください。

③以下のオンラインステータスページ(デバイスの詳細ページ)より、

アプリ・ProfileををPushしてから、チェックインが行われているかご確認ください。

   チェックインが行わっていなければ「今すぐチェックイン」ボタンを押してください

④該当デバイスがロックされていないか・電源ONになっているかご確認ください。(アプリ・Profile両方)

⑤該当デバイスの詳細ページにて、該当アプリの活動ログを確認してください。(アプリのみ)

　例えば状態がpendingの場合は端末がまだMeraki Cloudにチェックインしていないことを示します。

⑥該当デバイスのiTuneアカウントで支払い方法が設定されているかご確認ください。

　無料のアプリの場合でも支払い方法を選択が必要な場合がございます。

　(アプリのみ、VPP Device Licenseの場合は不要）

⑦該当デバイスの詳細ページのProfile項目より、該当Profileがインストールされているか、

　または最新Versionであるかをご確認ください。(Profileのみ)

　Profileがインストールされていない場合、あるいは最新Versionではない場合は

　「不足/更新プロファイルをインストール」をクリックしてください。

⑧上位FWや、Proxy ServerでMeraki Cloudへアクセスを拒否するようなルールはなく、

　それでも正常にMeraki Cloudへチェックインが行われない場合は、

　System Managerアプリを該当デバイスから削除、該当デバイスをネットワークから削除していただき、

　再度ご登録をしチェックインが行われるかご確認ください。

上記の全てを確認してからも正常にアプリまたはProfileがインストールできない場合はMeraki Technicalサポートまで

お問い合わせください。

[Managed device does not receive deployed app or settings profile]

https://documentation.meraki.com/SM/Profiles_and_Settings/Managed_device_does_not_receive_deployed_a...

本記事では、Schedule tag及びGeofencing tagについてご紹介させていただきます。

Schedule tag及びGeofencing tag両方とも該当タグを利用し、アプリやプロファイルの適用を制御することができます。

Schedule tagとは

指定している時間範囲内、範囲外で

アプリまたはプロファイルをインストールまたはアンインストールすることができます。

例えは、スケジュールを平日09:00 ~ 17:00と設定し、ご希望のアプリやプロファイルを紐付けると、

09:00 ~ 17:00間ではアプリやプロファイルが有効(インストールされる）ですが、

時間外となると、アプリや、プロファイルが削除されるようになります。

Geofencing tagとは

指定した場所に端末が位置しているか、していないかによって、

アプリやプロフィルのインストール、アンインストールすることができます。

Geofencing tagを作成し、特定の場所を指定した際、

端末がその場所に位置する場合は、準拠デバイス(compliant)tag

端末がその場所に位置しない場合は、違反デバイス(violating)tagというオートタグが付与されるようになります。

これらのタグを利用し、ご希望のアプリやプロファイルを紐づけ、

場所によって該当アプリや、プロファイルの制御することが可能となります。

Schedule tagの設定方法

①システムマネージャー　>> タグ >> +タグを追加

②スケジュールタグを選択し次へ >> 新規スケジュールを作成。

③システムマネージャー >> デバイスより、チェックインを行い、端末がMDMサーバへ到達できるか確認を行う。

④以下のページより、端末が正常に登録されているか確認する。

⑤ご希望のアプリや、プロファイルを紐付ける。

⑥指定している時間によって、アプリや、プロファイルがインストール、またはアンインストールされるか確認する。

Geofencing tagの設定方法

①端末側で、GPSより位置情報取得が許可がされているか確認する。

端末のGPS設定方法はこちらの記事を参照してください。

②システムマネージャー >> ジオフェンシング >> +新規追加

③名前と、デバイスの適用範囲、猶予期間を設定する。

④ご希望の新規場所を追加し、保存する。

⑤システムマネージャー　>> タグ >> ジオフェンシングにて、準拠デバイス、違反デバイスを確認する。

⑥準拠デバイスまたは、違反デバイスタグにご希望のアプリやプロファイルを紐付ける。  

⑦端末の位置によって、紐づいているアプリや、プロファイルがインストール、またはアンインストールされるか確認する。

[Schedule Tag]

https://documentation.meraki.com/SM/Tags_and_Policies/Tags_Management_Page_for_Systems_Manager#Sched...

[Geofencing with Managed Devices]

https://documentation.meraki.com/SM/Tags_and_Policies/Geofencing_with_Managed_Devices

本記事では、Passcode Payloadについてご紹介させていただきます。

Passcode Payloadは、MDMより管理しているデバイスに対して、ユーザ側でパスワードや、パスコードを設定する際、必要な要件を指定することが可能な機能となります。

※リモートから管理しているデバイスのパスコードやパスワードを直接設定するような機能ではありません。

設定可能なパスコード項目は以下となります。

■簡単な文字列を許可

簡単な文字列の入力を許可します。例）1111, 1234, abcdなどなど

■1つ以上の英数字の組み合わせ必須

英数字の組み合わせが必須となります。例）数字のみ1111, アルファベットのみabcdは入力不可。

■ 最小長

パスコードの長さは、指定の長さ以上である必要があります。(0~14).

■最小特殊文字数

最小特殊文字数以上の特殊文字を入力する必要があります。(0~4).

■パスコードの最大有効期間

パスコード変更要求が行われない最大有効期間を指定します。

0から730まで設定が可能となります。（1 = 1日）

■自動ロック

自動ロックがかかるまでの時間を指定します。

■パスコード入力の失敗回数制限

パスコード入力の失敗回数を指定することが可能となります。

(4~10)

iOS オプション

■デバイスロック解除後、パスコード猶予時間

デバイスロック解除後、再度パスコードを入力を行われなくても良い時間。

■パスコード履歴

再利用が不可能な以前のパスコード数( 1 ~ 50 )

■Touch ID

ユーザーにTouch ID設定の変更を許可

Androidのオプション

■仕事用プロファイルのみロックする。

-----------------------設定方法は以下をご参照くださいませ。-----------------------

システムマネージャー >> 設定 >> 該当Profileを選択

＋設定を追加 >> パスコードポリシー

ご希望のパスコードポリシーを設定し、保存する。

[Systems Manager Passcode Payload]

https://documentation.meraki.com/SM/Profiles_and_Settings/Systems_Manager_Passcode_Payload

本記事では、System Manager で管理している端末のイベントログに表示されるNotNow により、

アプリやプロファイルがインストールされない事象について紹介いたします。

アプリのインストールやプロファイルのインストールを実施した際に、

端末の状況に応じては、NotNow のステータスが返され、インストールが完了しない様な事が発生する可能性が考えられます。

このステータスが返される主な原因としては、端末側でパスコードが有効になっている事が考えられます。

端末が、パスコードを解除し、ダッシュボードにチェックインした際に、こちらの操作は再度自動で実施されます。

弊社ダッシュボード側では、以下の操作により、端末のパスコードを解除する事が可能となります。

* 再度パスコードを有効にするには、端末側での設定が必要となります。

システムマネージャー> 監視> デバイス> 対象機器の選択> MDM コマンド> モバイルセキュリティ> パスコードを消去

参考URL
Status of "NotNow" in Systems Manager Event Log

1. はじめに

本記事では新しい機器を追加した場合や、RMAなど機器交換が発生した際に便利なMSシリーズでのswitch cloningの機能について紹介します。switch cloningを利用すると、いくつかのスイッチレベルとポートレベルの設定をソーススイッチから別のスイッチにコピーすることができます。switch cloningでは、クローン元/クローン先のスイッチが同じモデルの必要があります。

2. ダッシュボードでの設定手順について

1. ダッシュボードにてSwitch > Switches へ移動。Clone先のスイッチのチェックボックスをクリック (複数選択可)。

2. "Edit" ボタンをクリックして、Clone を選択。

3. Clone元のスイッチを選択し、Cloneボタンを押下。

3. Clone対象の設定

下記設定項目がクローン先へコピーされます。

スイッチレベルの設定

• STPブリッジのpriority
• ポートミラーリング

ポートレベルの構成

• ポート名
• ポートタグ
• インターフェイスの状態
• スパニングツリー
• STPガード/ BPDUガード
• PoE
• リンク
• ポートスケジュール（アクセスのみ）
• インターフェイスタイプ
• アクセスポリシー（アクセスのみ）
• MACホワイトリスト（アクセスのみ）
• ホワイトリストに登録されたMAC（アクセスのみ）
• スティッキーMACホワイトリスト（アクセスのみ）
  • ホワイトリストのサイズ制限（アクセスのみ）
• VLAN（トランクのみ）
• 音声VLAN（アクセスのみ）
• 許可されたVLAN（トランクのみ）

参考元 :
https://documentation.meraki.com/MS/Other_Topics/Switch_Cloning

本記事ではMeraki機器オフライン時の切り分け方法について、影響範囲やそれぞれの状況からフローを用いて実施する方法をご案内します。

※フロー上に該当しないパターンなどが発生する可能性もあり、ケースオープン時にはどこまで切り分けを実施

したかの情報を記載いただくと、その後調査を円滑に実施することが可能となります。

// 概要 //

Meraki機器は通常クラウドに対し定期的に通信をしていますが、その用途は設定ダウンロード、統計情報の送信、モニタリング、ファームウェアのダウンロード等、多岐に渡ります。またこの通信は通常は特にユーザ操作に関わるものではありません。

この通信が何らかの原因によってクラウド側から確認できない場合、オフライン状態となります。

(オフライン時のメッセージの一例)

// 切り分けの考え方 //

上記原因は大きく分けて以下の３つに分類されます。

1)機器要因

ハードウェアの不具合、プロセスなどのソフトウェア側の問題等

2)環境要因

利用回線/ISP等の問題、Firewall等による遮断、電源喪失等

3)クラウド要因

クラウド側の障害、メンテナンス等による影響

これらは、オフラインの事象発生タイミングや影響範囲などから上記のいずれかに絞り込みが可能で、さらに詳細な原因特定へとすすめる事が可能です。

特に影響範囲は重要で、特定機器のみで発生している場合は主に機器側に問題があり、複数もしくはネットワーク内の全台で発生している場合は環境やクラウドに起因した問題である可能性が高くなります。

// 切り分けフロー//

本記事では以下のフローを以下の２パターンに分けており、それぞれの状況に応じてご確認ください。

※各ファイルはダウンロードしてご確認ください。

■事象発生が一台のみの場合

　（場合によっては複数機器で発生することもあります）

■事象発生が複数台もしくは全台の場合 

//参考情報//

Upstream Firewall Rules for Cloud Connectivity
Using the Cisco Meraki Device Local Status Page

Common Dashboard Alerts for Device Connectivity

本記事では、System Managerの管理設定のみ削除(Selective wife)及びデバイス初期化(Erase Device)について

ご紹介させていただきます。

■管理設定のみ削除コマンド

該当端末をFactory Resetすることはなく、

SMよりインストールされているProfile、Appを削除することが可能なコマンドとなります。

管理設定のみ削除コマンドは、主にBYOD(各々の端末を持ってきて使う)の環境で、

該当DeviceがそのOrganizationに所属から離れる際、よく使われます。

■デバイス初期化コマンド

該当端末をFactory Resetすることになります。

本コマンドはSMよりインストールされたProfile、Appはもちろん端末のContentsや設定等全てが初期化され

工場出荷時の状態になります。

「管理設定のみ削除コマンド」は以下のどちらの方法でも実行可能となります。 

①Client Listにより

システムマネージャー >> デバイス >> 隔離 >> 管理設定のみ削除

②Client Details pageにより

システムマネージャー >> デバイス >> 該当デバイス選択 >>MDMコマンドにて「管理設定のみ削除」

デバイス初期化コマンドは以下から実行可能となります。

System Manager >> Device >> 該当Device選択 >>MDMコマンドにて「デバイスを初期化」

Selective Wife and Device Quarantine in System Manager

https://documentation.meraki.com/SM/Monitoring_and_Reporting/Selective_Wipe_and_Device_Quarantine_in...

Using Systems Manager to Locate a Missing or Stolen Device

https://documentation.meraki.com/SM/Monitoring_and_Reporting/Using_Systems_Manager_to_Locate_a_Missi...

本記事では、Gateway Mode AP及び、Repeater Mode APについてご紹介させていただきます。

LANに接続され、インターネットへの経路を持っている場合MRは基本的にGateway Modeとなります。

このModeは、Dashboard上で意図的にRepeater Modeへ設定、Gateway Modeへ設定することはできず、

以下のどちらの場合に当てはまる場合、Gateway ModeからRepeater ModeへFailoverするようになります。

・接続されているLANのデフォルトゲートウェイからARP応答がない場合。

・DHCPから有効なIPアドレスが取得できない場合。

　※条件：周囲にインターネットへアクセスができる他のMRが存在している

以下のAPページの一覧から、現在のAPモードを確認することができます。

Wireless >> Access points

Gatewayの項目で(self)となっているAPは現在Gateway Modeとなります。

Gatewayの項目で他のAPのホスト名となっているAPは現在Repeater Modeとなります。

Gateway Mode APになる想定のMRがRepeater Modeになる場合に対処方法

・APの代わりにPCを接続し、DHCPから正しいIPが取得できるか、Default GWへPing疎通ができるか確認する。

・DHCPから正しいIPアドレスが取得できない場合、DHCPサーバの正常性及設定を確認する

・Default GWからARP応答がない場合、Default GWの正常性及設定を確認。

関連URLは以下となりますので、必要に応じてご参照していただければと思います。

[Gateway AP switches to Repeater Mode]

https://documentation.meraki.com/MR/Monitoring_and_Reporting/Gateway_AP_Switches_to_Repeater_Mode

本記事では、こちらのURL に記載のあるアプリ カタログの作成方法についてご紹介します。

// 作成方法 //

1. 管理対象の端末をSystem Manager のネットワークに登録して下さい。

2. 管理対象の端末に、System Manager のアプリをインストールして下さい。(インストール方法はこちら)

3. Meraki のダッシュボードにログインして下さい。

4. システムマネージャー> 管理> アプリ をクリックしてください。

5. 画面右上のアプリの追加 より、端末にインストールしたいアプリを検索してください。

6. アプリを追加する際のオプションで "自動インストール/自動アンインストール" のチェックを外してください。

7. インストール範囲を対象の端末が含まれる様に設定したら、設定の保存をし、アプリを追加してください。

8. 端末側のSystem Manager のアプリ内のApps に対象のアプリが表示されているかご確認ください。

本記事では、System Managerに登録されているデバイスのGPS位置情報の取得方法・位置情報収集の種類について

ご紹介させていただきます。

位置情報の収集の方法は以下のものがございますが、最も正確な位置情報を取得できる方法は

GPSによるものとなります。こちらの設定はGPS機能をサポートしている端末のみ設定が可能となります。

・マニュアル

・GPS Location

・Meraki 製品による位置情報

・Wifiによる位置情報

・IPによる位置情報

iOSデバイスで、GPS Locationをenableにする方法は以下となります。

端末側

設定 >> プライバシー >> 位置情報サービス >> Meraki MDM >>常に

Dashboard側

システムマネージャー >> デバイス >> 該当デバイス選択 >> おおよその場所にてロケーションの更新

住所がvia GPSになっていることを確認。

本記事では、VPP 側で購入したApp をMeraki のダッシュボードにインポートできない事象に対しての

対処法についてご紹介をさせて頂ければと存じます。

// 問題 //

VPP 側でアプリを購入し、ダッシュボードのシステムマネージャー> VPP には対象のアプリが登録されている状況となっている。

システムマネージャ> アプリ> インポート> ライセンスされたiOS アプリ> 対象のアプリにチェックを入れ、インポートを実行しても、システムマネージャ> アプリ の一覧には表示されない。

// 対処法 //

一部のアプリでは、アプリのバージョン情報が正常に取得できず、以下の画像の様な表示がされる事があります。

===

Unable to find version information for this app.

This means that (1) the app is no longer listed in the app store, or (2) is listed privately in the B2B iTunes store .

It will be ignored on import unless overridden below.

===

その場合、アプリを選択する画面の一番下にある 'Ignore version check' にチェックを入れて、インポートを実行して下さい。

本記事では、DEP 端末の登録作業を行なっている際に、'リモードマネージメント' の画面において、

以下のエラーメッセージと共にユーザ名・パスワードを求められた際の対処法についてご案内します。

Maximum licensed devises already enrolled

上記のエラーメッセージが表示された場合、ダッシュボードのライセンス体系がPer Device License (PDL) となっており、

ライセンスがSystem Manager のネットワークに登録されていない可能性が考えられます。

そのため、以下の画面より、ライセンスがネットワークに割り当てられているか確認をしてください。

オーガナイゼーション> ライセンス情報> ライセンス数 > 'SME' と検索

対象ネットワークが空白や状態が'unused' または'unused active' の場合、

ネットワークにライセンスが割り当てられていないので、こちらを参照して

ライセンスの適用後、DEP 端末の登録作業を行なって頂ければと存じます。

本記事では、ライセンス体系をPDL を使用しているダッシュボードにおいて、

登録している機器のRMA 等が発生した場合のライセンスの紐付け手順についてご案内します。

1. 故障機から以下の手順にて、ライセンスを解除して下さい。

オーガナイゼーション> ライセンス情報> ライセンス数> 対象機器にチェック> Actions > Unassign from device

2. 解除したライセンスキーを、以下の手順にて新規の機器に割り当てて下さい。

オーガナイゼーション> ライセンス情報> デバイス> 新規の機器にチェック> Actions > Assign licenses

3. ライセンスの適用が完了しましたら、同画面にて、有効期限が反映されたどうかご確認下さい。

本記事では、問題が発生(ケースオープン) してから、問題が解決されるまでの

大まかな流れについて、ご紹介いたします。

// 問題発生 //

弊社製品を使用している環境で何らかの問題が発生した場合、

ダッシュボードまたは電話にて、ご連絡を頂き、ケースを作成して頂く必要がございます。

ケースの作成方法については、こちらをご確認ください。

// ヒアリング //

ケースに申告して頂いた問題の詳細や調査方法を決定するために、

事象発生時の状況や機器に関する情報を確認させて頂く場合がございます。

事前にこちらの問診票に必要な情報を記載して頂く事で

調査を開始するまでの時間を短縮する事が可能となります。

// 解決策提示 //

ヒアリングした内容に基づき、弊社サポートにて設定変更等のお願いを実施する場合がございます。

また、必ずしも一度のやりとりで解決できるとは限らないため、試行錯誤をしながら調査を進めていく必要がございます。

// 事象発生時の情報取得 //

ヒアリングした内容だけでは、問題の原因を究明できない場合、

事象発生時の情報取得をお願いする場合がございます。

事象内容にもよりますが、サポートよりお願いする取得情報の内、

主な情報として、有線・無線のパケットキャプチャの取得をお願いする場合が多いです。

有線パケットキャプチャの取得方法はこちら

無線パケットキャプチャの取得方法はこちら

また、こちらも必ずしも一度のやりとりで解決できるとは限らないため、試行錯誤をしながら調査を進めていく必要がございます。

本記事では、PDL のオーガナイゼーション間でライセンス移行が失敗してしまう問題についてご紹介します。

PDL のオーガナイゼーション間でライセンス移行を実施する際、サポートを介さずに、Admin の方自身で

ライセンスを移行する事が可能となっています。

しかし、以下の条件に合致する場合、ライセンスの移行作業が失敗する問題が報告されています。

* 送信元のオーガナイゼーションに1つもネットワークが作成されていない場合

// 解決策 //

解決策としては、送信元のオーガナイゼーションに1つ以上のネットワークを作成した後に

ライセンス移行作業を実施する事となります。

指定したオーガナイゼーションにライセンスが移行出来ている事が確認できます。

本記事では、MX でのClient VPN の設定方法及びトラブルシューティングの方法について、ご紹介します。

なお、設定方法については、Meraki 上でユーザを管理する(AD サーバやRadius サーバ不要) 方法をご紹介します。

// 設定方法 //

// MX 側 //

1. ダッシュボードにログインした後に、セキュリティ＆SD-WAN> 設定> クライアントVPN をクリックして下さい。

2. クライアントVPN サーバを有効にした後に、以下の項目を設定して下さい。

　サブネット: クライアントVPN で使用するサブネット *

　DNSサーバ: クライアントVPN で使用するDNS サーバ

　共有パスワード: クライアントVPN 接続時に必要になるパスワード

　認証: Meraki クラウド認証 を選択して下さい

*MX で保持していないAuto VPN やVLAN と被らないサブネットで設定して下さい

3. 同画面の下部にある ユーザ管理> 新規ユーザの追加 をクリックして下さい。

4. ユーザ名・パスワードに任意の値を入力し、認証済みを有効にして、ユーザの認証期限を設定して下さい。

* ダッシュボードに既に登録されているユーザ名・パスワードを使用したい場合には、アカウントをクリックして、認証済みの箇所を有効に変更して下さい。

クライアントVPNの承認 がYes になっていれば、そのユーザはクライアントVPN で使用可能なユーザとなります。

// クライアント側 //

クライアント側の設定方法についてはOS によって異なるため、こちらのURL をご参照頂ければと存じます。

// トラブルシューティング //

様々な要因で クライアントVPN 接続に失敗する事が考えられますが、

大きく分けて二つの要因で失敗する事が考えられます。

- クライアントとMX 間の経路上の問題

- クライアントまたはMX の設定の問題

上記を切り分けるにあたり、以下の方法でMX までクライアントからパケットが届いているかどうか

確認する事が可能と考えています。

ネットワーク全体> イベントログ をクリックしていただき、All Non-Meraki / Client VPN でフィルターをかけて下さい。

イベントログに何も表示されていない場合、MX にクライアントからのパケットが届いていない可能性が高い事が考えられます。

上記の様な状況の場合、以下の点について切り分けを実施して頂ければと存じます。

・クライアント側で指定しているIP アドレスまたはホスト名があっているかどうか

・(MX がNAT 配下にある場合) 上位のルータでUDP 500/4500  が許可されているかどうか

* 上位ルータによっては、MX に対してPort Forwarding の設定を実施する必要があります。

・クライアントが接続しているネットワークを異なるネットワークに変更した場合、接続可能かどうか

* クライアントVPN 接続を試みているMX 配下のネットワークからは、MX に対してクライアントVPN 接続をする事は出来ません。

・異なるOS (Windows/macOS/iPhone...) で接続可能かどうか

イベントログ配下に、クライアントVPN が失敗している様なログが表示されている場合、

以下の様な切り分けを実施して頂ければと存じます。

・クライアント側の設定(L2TP/IPSEC になっているか、Shared Key があっているか、クレデンシャルがあっているか等)

・MX 側で接続を試みているユーザがクライアントVPN ユーザとして、承認されているかどうか

・異なるOS (Windows/macOS/iPhone...) で接続可能かどうか

もし、WIndows 10 でクライアントVPN 接続が出来ない場合、Windows 側でエラーコードを確認する事で

問題の切り分けを実施する事が可能となります。

Windows のエラーコードについては、こちらのURL をご参照下さい。

// 参考URL //

[Troubleshooting Client VPN]

https://documentation.meraki.com/MX/Client_VPN/Troubleshooting_Client_VPN

[Client VPN OS Configuration]

https://documentation.meraki.com/MX/Client_VPN/Client_VPN_OS_Configuration

1. はじめに

本記事では、Non-Meraki VPN peersを構築しているMXにおいて、対向のthird party VPN機器へfull tunnelを構築する場合の設定方法について紹介いたします。

2. Split tunnel と Full tunnel について

Split tunnel (デフォルトルートなし) : VPNを経由して、サイト間VPNトラフィックのみを送信します。つまり、宛先サブネットがリモートサイトにある場合、そのサブネット宛てのトラフィックはVPN経由で送信されますが、トラフィックがVPNメッシュ内にないネットワーク（たとえば、www.google.com などのWebサービスに向かうトラフィック）宛ての場合、トラフィックはVPN経由で送信されません。このトラフィックは別の使用可能なルートを使用してルーティングされ、一般的にはローカルのMXデバイスからインターネットに直接送信されます。

Full tunnel (デフォルトルートあり) : MXが持つデフォルトルートの宛先を対向機器に向けます。したがって、他のルートを介して到達できないサブネットを宛先とするトラフィックは、全てVPNを介す形でパケットが送信されます。

3. Non-Meraki VPN peers へのfull tunnel 設定方法

Non-Meraki VPN peers の設定項目内にて、対向のthird party VPN機器配下に存在するネットワークを指定して、VPN経由で接続させるPrivate subnetsという項目があります。通常は、該当箇所のネットワークレンジ宛の通信の際に、VPNを経由するような設定をしますが、下図のように、こちらに、0.0.0.0/0 と設定することで、この対向機器に向いたデフォルトルートを定義することができます。

※注意点として、MXデバイスがNon-Meraki VPN peersへのデフォルトルート（0.0.0.0/0）で構成されている場合、VPN接続がダウンしてもトラフィックはWAN側にfailoverしない点に気をつけていただければと思います。

参考元 : 

https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-site_VPN_Settings#Non-Meraki_VPN_peers

本記事では、Proxy 環境でMeraki 製品を使用する際の設定方法や注意事項についてご紹介します。

// 使用例 //

Meraki 製品では、クラウドとの通信(Management Traffic) にUDP 7351 を用います。

しかし、一部の環境ではUDP を上位の機器でブロックしており、Proxy サーバー経由で通信しなければならない場合があるかと思います。

その際に、バックアップ通信として、Management Traffic をTCPを用いて送信する事が可能です。

// 設定方法 //

1. 機器のLocal Status Page にアクセスして下さい。

2. 'Configure' タブに移行して下さい。

3. 画面下部にある'Web proxy' の設定を'Yes' に変更して、各設定を実施して下さい。

* Local Status Page にログイン方法はこちらをご参照下さい。

// 注意事項 //

・クラウドサーバーとの通信にUDP 7351 を用いていないため、機器のステータス画面に以下の様なエラーメッセージが表示されます。

・UDP よりTCP 通信の方が時間を要するため、以下の機能が失敗または遅延する事があります。

　* 設定のダウンロード

　* Live Tool 

　* ファームウェアダウンロード

　* Meraki 認証

・モデルや稼働しているファームウェアによって、サポート可否がございます。

　以下の組み合わせでは、Proxy 機能をサポートしておりませんので、ご留意いただければと存じます。

- MR : Wi-Fi6 対応のMR かつMR28.x/MR29.x

- MS : MS15.x 以降

- MX : MX16.x 以降

* MR30.x 以降については、HTTP CONNECT Proxy がサポートされております。

  詳細は、こちらのURL をご参照頂ければと存じます。

参考URL: Upstream Firewall Rules for Cloud Connectivity

本記事では、新しいライセンス体系としてリリースされておりますPer Device License (以下、PDL) に移行する際の

手順及び注意事項について、ご紹介します。

// 移行手順 //

1. ダッシュボードログイン後、オーガナイゼーション> ライセンス情報をクリックして下さい。

2. 画面上部にある ' デバイスごとのライセンス(Per-Device Licensing) に移行する' をクリックして下さい。

3. はじめに、PDL の概要の説明が表示されます。

4. 次に移行した際にどの様にライセンス期間が保持されるかの説明が表示されます。

5. 最後に移行するか確認する旨のメッセージが表示され、元に戻せない事を了承する箇所にチェックを入れて、convert をクリックして下さい。

6. 移行作業が完了すると、PDL の表示に切り替わっている事が確認できます。

一覧の作業を動画に保存していますので、参考にして頂ければと存じます。

// 注意事項 //

* 一度PDL へ移行すると、Co-termination には戻せません

* Co-termination からPDL へ移行すると、90 日のActivate Window は消失しますのでご注意下さい。

(例)

1. 新しく5年分のライセンスを購入します。

2. ダッシュボードは、まだCo-termination で先行して、ライセンスのみ登録します。

* Co-termination では、ライセンスの発行日から有効期限がスタートするため、この段階でライセンスはActive になります。

3. PDL に移行する

4. Co-termination で登録したライセンスは、既にActive として認識され、機器にも登録されていないため、unused/active の状態になります。

* ライセンスの状態については、こちらをご参照下さい。

本記事では、MR シリーズでサポートしているClient Isolation 機能についてご紹介します。

// 機能 //
同一SSIDに接続している無線クライアント間の通信を制御する事や同じVLAN に属するゲートウェイ以外の機器との通信を制御する事が可能となります。

// 注意事項 //
本設定は、SSID の動作モードがブリッジモードでのみ動作します
Static IP のクライアントに対しては、現段階で動作しません

// 設定方法 //
設定をしたいSSID にて、下記の箇所の設定を有効にして下さい。

ワイヤレス> ファイアウォールとトラフィックシェーピング> IP/ポート制御> レイヤ2 クライアント間通信遮断

参照URL: https://documentation.meraki.com/MR/Firewall_and_Traffic_Shaping/Wireless_Client_Isolation

本記事では、Per Device License (PDL) モデルにおけるライセンスの状態について、ご紹介させていただきます。

// active //

ライセンスがデバイスに紐づいており、ライセンスが有効である事を表しています。

// unused active //

90日間のActivation Window が経過している状態かつデバイスにライセンスが紐づいていない状態を表しています。

この状態の場合、ライセンスの有効期限は消費されている状態となります。

また、unused active の場合、ライセンスが割り当てられていない新規のデバイスのみにライセンスを割り当てる事が可能です。

Co-termination 形態でライセンスが余っている状態でPer Device License 形態に移行すると、余っているライセンスはこの状態へと遷移します。

//unused //

90日間のActivation Window が経過していない状態かつデバイスにライセンスが紐づいていない状態を表しています。

この状態の場合、ライセンスの有効期限は消費されていない状態となります。

また、unused の場合、ライセンスが割り当てられていない新規のデバイスまたはライセンスが既に割り当てられている既存のデバイスにライセンスを割り当てる事が可能です。

// recently queued //

ライセンスが既に割り当たっている既存のデバイスの有効期限を延長するために、新しいライセンスを割り当てた状態を表しています。

この状態は、1週間以内であれば、'Undo queue' を用いて、元に戻す事が可能です。

// expiring in next 90 days //

割り当てられているライセンスが90 日以内に失効する事を表しています。

本記事では、MG21 の初期設定方法についてご紹介します。

// 設定手順 //

1. MG21 に対して、PoE 等で電源を入れて下さい。

2. MG21 のLAN ポートに対して、有線でPC を接続して下さい。

3. 有線PC でブラウザを開いて頂き、MG21 のローカルステータスページ(http://mg.meraki.com /http://my.meraki.com)にアクセスして下さい。

4. Configure> Access Point Name Configuration> Celluar Override > Override SIM settings に変更して下さい。

* Configure タブに移動するためのデフォルトのユーザ名・パスワードは以下の通りとなります。

ユーザー名: <MG21 のシリアル番号> (例: Q2xx-xxxx-xxxx)

パスワード欄には、何も入力しなくて大丈夫です。

5. 変更すると、APN / Username / Password 等の情報が表示されるため、SIM 情報を入力して下さい。

6. ダッシュボード上でMG21 を登録するためのネットワークを作成し、MG21 をそのネットワークに追加して下さい。

* ネットワークの作成・機器の登録方法については、こちらのURL を参考にして下さい。

7. MG21 がダッシュボード上でオンラインになると、以下の箇所で3G/4G ネットワークのアップリンクトラフィックが表示されます。

セルラーゲートウェイ> セルラーゲートウェイ> アップリンク> アップリンクトラフィック

また、3G/4G 経由でクラウドと通信を実施している場合、LED の色が紫色となります。

// 有線経由でMG21 をオンラインにしたい場合 //

SIM の設定はまだ実施していない状況で、インターネットにアクセス可能なネットワークにLAN経由で

MG21 をダッシュボードでオンラインしたい場合、'Safe Mode' をローカルステータスページ上で有効にする必要があります。

Safe mode を有効にしていないと、インターネットにアクセス可能なネットワークにLAN ケーブルを挿してもMG21 のLED は橙色に点灯します。

逆に、Safe mode が有効の場合、SIM 情報が正しく入力されていても、3G/4G回線ではなく、有線経由でインターネットにアクセスしようと試みます。

MG21 のSafe Mode に関する説明は、こちらのURLに記載されています。 

1. はじめに

MXがルーテッドモードで動作している場合、ダッシュボードの Security & SD-WAN > Addressing & VLANs から、static routeの設定が可能になります。本記事では、弊社へよくお問い合わせいただくstatic route設定時のエラーについて紹介いたします。

2. エラーについて

Static routeを設定し保存した際に、下記のエラーが出て保存できないというお問い合わせをいただきます。

こちらのエラーが出る原因としては、MXは自身のAddressing & VLANsにて設定したLAN の範囲内で、Static RouteのNext hopを指定する事が可能です。したがって、例えば、outbound trafficに関して、MXのWAN側にてスタティックルートで設定しようとする際、MXのAddressing & VLANsにて該当のネットワークが定義されておらず、今回のようにエラーとなるものになります。

1. はじめに

MSシリーズにおいて、アクセスポートへクライアントを接続するような構成の際に、port isolation 機能を使用することにより、ネットワーク管理者は特定のポート間でトラフィックが送受信されるのを防ぐことができます。スイッチのポートが分離されている場合、MSは当該機能が有効化されたポートから別のポートにレイヤ2トラフィックを送信しません。 本記事では、このport isolationの機能についてご紹介します。

2. ダッシュボードでの設定手順について

1. ダッシュボードにてSwitch > Switch ports 選択。
2. 各ポートの左側にあるチェックボックスをクリック。

    

3. "Edit" ボタンをクリックして、ポートの編集画面にてPort isolationをEnabledに設定。

    

※本機能を利用する際、インターネットアクセスを許可しながら、クライアント間の通信をブロックする形になると思いますが、例えば、あるスイッチAのアップリンクポートにも本機能が有効化された際、スイッチAの他のport isolationのポートに接続されているクライアントが、自身のゲートウェイと通信できなくなるため、注意いただければと思います。

本記事では無線空間のパケットキャプチャ(以下、無線キャプチャ)　を取得する目的や取得方法の一例について、ご案内いたします。

// 取得する目的 //
無線クライアントとAP 間では無線接続に必要な情報をやりとりしており、これらの内容を確認する際に無線キャプチャが必要になるケースがございます。
主に取得する事例としては、無線クライアントが接続できないといった問題が発生した際にAP 側の問題なのか、

クライアント側の問題なのかを切り分ける際に調査に有効な情報となります。

// 一例 //
今回はAP でWPA2-PSK のSSID を設定している際に無線クライアントが接続できない事例を無線キャプチャを用いてご紹介いたします。

一般的に、WPA2-PSK のSSID に無線クライアントが接続する際にAP とクライアント間では以下の様なやりとりが実施されます。

このやりとりの中のどこかで失敗していると、無線接続に失敗し、通信ができません。

以下の例では、WPA2-PSK で設定しているSSIDに接続が成功した時の例と失敗した時の例をご紹介します。

[ 成功例 ]
+ Event log

+ 無線キャプチャ

[ 失敗例 ]
+ Event log

+ 無線状況診断

+ 無線キャプチャ

失敗している際には、間違ったPSK を無線クライアント側で入力しているのですが、AP で設定しているパスワードと異なる場合、

EAPoL 4 way handshake が正常に完了せず、無線接続が正常に出来ていない事が分かります。
一般的なやりとりの図を参照にすると、本来であればAP からEAPoL M3 を送信するはずですが、

AP で設定されているパスワードと異なるため、AP は無線クライアントにEAPoL M3 を返していない事が確認できます。

この様に無線キャプチャを用いると、第3者からの観点でAP と無線クライアント間のやりとりが確認できるため、

トラブルシューティングを実施するにあたり、非常に有用な情報となります。

// 取得方法 //

今回私が使用した方法について、ご紹介します。
機種: MACBook Pro
Version: macOS Mojave (10.14.6)

1. Wireless Diagnostics を開きます。

2. Windows を選択し、’ Sniffer’ を選択してください。

3. チャネルとチャネル幅が選択する事ができるので、AP で使用している値を入力して下さい。

4.‘Start’ をクリックすると、無線キャプチャが開始されます。

   無線キャプチャを終了すると、/var/tmp 配下に(null)_<チャネル>_<日付>_<時間>.pcap のファイルが自動で生成されます。

1. はじめに

MRに設定されているSSIDに関して、デフォルトでは、ネットワーク内のすべてのAPから有効化されている全てのSSIDを同時にブロードキャストします。 お客様環境によっては、特定のAPのみから特定のSSIDのみを出力させたいシナリオがあるかと思いますので、本トピックでは、上記方法について紹介いたします。

2. ダッシュボードでの設定手順について

1. Wireless > Access points の一覧画面にて、特定のSSIDを出力させたいAP全てにチェックを入れ、タグを付与する。タグの付与方法の詳細については、こちら
2. Wireless > SSID availability 画面にて、上部の"SSID" ドロップダウンメニューから設定したいSSIDを選択。
3. Per-AP availability から "This SSID is enabled on some APs..." を選択。
4. 上部で選択されているSSIDを出力させたいタグを選択し、完了。

本記事では、弊社が公開しているドキュメントで英語で記載されている資料をGoogle Chrome 上で

日本語で表示するための方法についてご案内いたします。
* 使用している端末や設定、ブラウザのバージョンによっては、動作しない場合がございますので、参考程度として見て頂ければと存じます。

1. Google Chrome を開き、Chrome の設定ページを開いて下さい。
2. 画面下までスクロールして頂き、詳細設定をクリックし、言語を選択して下さい。
3. 英語を追加して頂き、’この言語のページで翻訳ツールを表示する’ にチェックを入れて下さい。

4. Meraki の英語ドキュメントを開いて下さい。

[Using the Cisco Meraki Device Local Status Page]
https://documentation.meraki.com/zGeneral_Administration/Tools_and_Troubleshooting/Using_the_Cisco_M...

5. URL タブの左側に表示されるボタンをクリックし、翻訳を実施してください。

* 上記のボタンが表示されない場合、右クリックを実施して、”日本語に翻訳” を選択して下さい。

6. 翻訳ボタンを押すと以下の様に、日本語訳されたページが表示されます。

(注1)Google Chrome の翻訳の機能となるため、誤訳があった場合には英文を正と判断して頂ければと存じます。

(注2)あくまでも、一例となりますので、上記でうまく行かない場合には、Google Chrome 側で調査を頂ければと存じます。

[Chromeの言語を変更してウェブページを翻訳する]

https://support.google.com/chrome/answer/173424?hl%3Den%26ref_topic%3D7439724%26co%3DGENIE.Platform%...

本記事では、1つのAP に複数個SSID を設定する際の注意事項についてご紹介します。

* 3 つ以上のSSID を一つのAP に設定しない
* バンドステアリングを有効にする
* レガシーなデータレートを無効にする
* 必要なSSID のみAP 上で有効にする
* カバレッジエリアが重複する場合、同じチャネルを使用しない
* 各SSID 毎にVLAN を分ける

上記の中で、今回配慮頂きたいのが、SSID 数となります。
SSID の数が多ければ多い程、そのチャネルにおけるSSIDの数が多くなるため、干渉が大きくなります。
その結果、無線通信の遅延が発生したり、切断される様な事象が発生する可能性が考えられます。
弊社サポートからも上記の様なお問い合わせを頂いた際に、SSID の数を減らした際に事象が変化するかどうか
確認をさせて頂く事がありますので、ご留意頂ければと存じます。

[Multi-SSID Deployment Considerations]

https://documentation.meraki.com/MR/WiFi_Basics_and_Best_Practices/Multi-SSID_Deployment_Considerati...

本件ではよくお問い合わせのある社内LAN へ無線経由で通信が出来ない問題についてご紹介します。

// トポロジー図 //

// 問題 //
無線クライアントのデフォルトゲートウェイであるRouter(10.10.10.1) にPing が出来ない

// 解決策 //
ダッシュボードにログインし、ワイヤレス> ファイアウォールとトラフィックシェーピング> レイヤ3ファイアウォールルールを確認し、

ローカルLAN に対するポリシーが拒否になっていないかを確認してください。

本設定が有効になっている場合、下記の宛先に対する通信が拒否されています。

* 10.0.0.0/8
* 172.16.0.0/12
* 192.168.0.0/16

そのため、上記の宛先に対して無線経由で通信できない場合、ローカルLAN に対するファイアウォールを許可する様に設定変更を実施してみて下さい。

https://documentation.meraki.com/MR/Firewall_and_Traffic_Shaping/'Deny_Local_LAN'_settings_in_Cisco_...

* SSID1 に対しては、デフォルトで'拒否'が設定されています。