ドキュメントに記載されていないベースURIのサポート終了のご案内

ローカルステータスページで使用する認証情報について概説します。

サポートに作業依頼する際のコツをご紹介します

ダッシュボードデザインがアップデートされました。

ファームウェアMX17+以降で有効な Cisco Talos Intelligence コンテンツ/URL フィルタリング機能のトラブルシュート方法を概説

パブリッククラウド（Azure・AWS・ISEなど）やVPN越しにRadiusサーバを利用する環境で発生しやすい、Radiusパケットのフラグメンテーションによる接続不具合について、原因・確認方法・解決策を解説します。

クライアントバランシング機能を有効にした場合の弊害についてまとめています。

Cisco Secure ConnectのOutage時に拠点間のVPNを担保するための設定についての記事です。

端末がインターネットに接続できない場合の原因を切り分けるための確認ポイントと、問題解決のための具体的なトラブルシュート手順を解説します。

ワイヤレス環境におけるデータレートの確認方法と、クライアント台数や信号強度の条件別に行ったスループット検証を紹介します。

スループットの問題発生した際に、iPerf を用いて影響範囲の特定やトラブルシューティング方法について解説します。

はじめに

クライアント端末のパフォーマンスに関する問題を切り分けるためには問題の発生箇所や影響範囲を正確に特定することが重要です。
この記事では、影響範囲を特定するための問診の進め方について解説します。

問診

**前提条件の整理**

- 有線接続でUSB NIC などを利用している場合、NIC の最大転送速度を確認。

(一部の USB-A または USB-C アダプターはUSB 2.0 を実行し、480Mbps が最大の場合があります。)

- 利用中のWAN 回線の速度を確認。

- MX を利用している場合、設定内容に応じた、デバイスの最大スループットをサイジングガイドまたは各モデルごとのデータシートで確認。 

特にVPN を利用している場合、スループットがさらに低下することを考慮してください。

**初期診断**

- 事象の発生日時を記録。例 2024-03-15 10:00

- 発生頻度や再現性はあるか確認。

- 事象が発生してから継続時間を記録。

- 影響を受けたクライアント端末のMac アドレスを記録。

  影響を受けていない端末がある場合は、それらのMACアドレスも記録。

- 事象が発生するデバイスの種類 (iOS、Windows)、ハードウェア (Macbook air、Lenovo X220)、およびドライバーの種類に共通点はあるか確認。

- 無線と有線、どちらに起因しているか確認。（例：MR接続時にのみ発生し、MX直結では発生しない。）

- VPN 経由の通信のみ影響があるか。L2, L3 間の拠点内通信でも事象が発生するか。

- 事象発生タイミングの傾向を確認（例：15 分ごとに発生する、15:00 頃によく見られる。）

- 対象までのICMP での遅延はどの程度であるか。

- パフォーマンス低下がすべてのトラフィックに影響しているか。

（例：TCP通信のみ問題があり、ICMPは問題なし。もし ICMPでも問題がある場合は、Tracerouteなどで経路を確認。）

被疑箇所が同一LAN 内であると想定される場合、以下の点を確認する。

- デュプレックスの不一致：設定の不一致が無いこと、コミュニティ記事を参考に物理的な切り分けを実施する。

- ケーブル不良または接触不良：コミュニティ記事を参考に物理的な切り分けを実施する。

- リンクの輻輳：利用可能な帯域を増やす、トラフィック シェービング ルールを適用して1ユーザ単位などで制御することは可能か。

- ファイアウォールが特定のトラフィックをブロックしている：FW の設定に誤りが無いか確認する。

- 経路上にて、MTU/MSS の問題がないか。パケットキャプチャを取得してフラグメンテーションが発生していないか。

- 事象発生日時付近にて設定や構成の変更はあったか。

- 特定のクライアント端末で発生するのか、それとも全体的に発生するのか。

特定の端末にて発生する場合は、無線ドライバー/USB NIC のアップデートなどを試して改善が見られるか。

- 事象発生時の利用クライアント端末数はどの程度か。

**追加の無線の診断**
- 事象が発生する特定のAP または SSID など特徴はあるか。
- 事象発生時のクライアント接続数はどの程度か。
- 悪天候、樹木の成長、新しく建てられた壁などの環境要因に変更はあるか。
- クライアントデバイスからAP までの距離はどの程度か。
- 信号対雑音比(SNR) の値は良好であるか。一般に、SNR 値が 20 dB 以上の信号はデータ ネットワークに推奨され、音声アプリケーションを使用するネットワークには 25 dB 以上の SNR 値が推奨されます。
- 干渉(無線、物理、電気)が発生していないか。
- 端末側でパフォーマンスの制限機能がないか。

追加リソース

https://community.meraki.com/t5/Meraki-サポートの記事/iPerf-を用いたスループット問題の特定とテスト/ba-p/270156

https://community.meraki.com/t5/Meraki-サポートの記事/ワイヤレススループットの計算とテスト/ba-p/268941

ローカルステータスページからMerakiデバイスのオフライン原因を確認する方法を紹介します

概要

本記事では、Auto VPN における、Unfriendly 状態の理解とトラブルシュートについて記載をしております。

Auto VPN におけるトンネル確立のトラブルシュートは以下の記事をご参照ください。

Auto VPN機能におけるVPNトンネル確立のトラブルシューティングについて - The Meraki Community

Auto VPN の前提理解

NAT デバイスのLAN 側でMX を利用する場合、通常のIPsec-VPN では、そのNAT デバイスでUDP port 500,4500 をMX に対してポートフォワーディングする設定が必要となります。

しかし、Auto VPN では、UDP ホールパンチングという仕組みを利用してNAT 配下の場合にも、特に設定変更を意識せずにVPN を構築することが可能となります。※NAT デバイスやFW が厳しい要件の場合の例外はあります。

Auto VPN のUDP ホールパンチングの仕組みについては深く解説しませんが、前提理解のため簡単に記載をいたします。

初めにVPN Registry と呼ばれるMeraki クラウド側のサーバと接続を実施し、同じダッシュボードネットワークでVPN を有効としている隣接情報を取得します。

これによって、接続先のIP アドレスとポート番号などの情報がMX 間で通知されます。

(Warm spare 構成の場合、Spare 機器に切り替わる際にもPrimary と同じポートが使われます。)

*構成例(アップリンクにファイアウォールデバイスが存在する想定)

その後、Registry から取得した情報をもとに拠点間でVPN のコネクションを実施します。

一般的に、ファイアウォールではWAN からのインバウンド通信に対してブロックされる動作となるため、図の通りにブロックされる動作となります。

その後、先ほどの通信で拠点のアップストリームファイアウォールではNAT テーブルが生成され、ステートフルファイアウォールによって戻りのトラフィックが許可されるため、

パケットがNAT デバイスを超えてMX に到達することになります。これが、UDP ホールパンチングという仕組みになります。

Auto VPN とUDP ホールパンチングの詳細については、以下のドキュメントも参考となります。

Meraki Auto VPN - Configuration and Troubleshooting - Cisco Meraki Documentation

Automatic NAT Traversal for Auto VPN Tunneling between Cisco Meraki Peers - Cisco Meraki Documentati...

Unfriendly 状態について

UDP ホールパンチングは、拠点間のMX で一貫した IP アドレスとポートである必要があります。

VPN Registry は冗長性のために2 つのサーバーが使用されており、どちらもMX が同じパブリック IP アドレスとポートで利用可能であることを確認しています。

Unfriendly 状態としてマークされる場合、以下の状態にあることが考えられます。

1. 一部のNAT デバイス(ファイアウォールなど)で、VPN registry ごとに異なるソースポートに書き換え通信を実施している。

2. 一部のNAT デバイスまたはロードバランサーで、VPN registry ごとに2つの異なるパブリックIP アドレスを用いて通信を実施している。

これは、SNAT Load Balancing とも呼ばれる機能となります。

また、このような環境やCarrier-Grade NAT(通信事業者がIP 枯渇の対策として利用する機能)環境においては、Auto VPN に関するポート番号が変更されることでUDP ホールパンチングが機能しない場合があります。

以下の例では、片側のファイアウォール にて送信元ポート番号が変更されたことでUDP ホールパンチングが機能せずVPN パケットが通過できない状態となっています。

トラブルシュート

解決策1：

MX のアップストリームのNAT デバイスでPreserve Source Port（送信元ポートの保持）設定を有効にする。

この問題は、パブリックIP とポート番号の組み合わせが変更されることによって発生するため、書き換えをしないことで解消する可能性があります。

以下の例では、赤い丸のデバイスが送信元ポート番号を変更しているため、設定対象となります。

NAT デバイスのPreserve Source Port 設定に関しては、ご利用機器のベンダに確認をいただくことが推奨されます。

解決策2：

MX のアップストリームファイアウォールデバイスによっては、MX のWarm spare の切り替わり時に、MX の送信元IP が変更となることで、転送時の送信元ポートを変更する動作をとる場合があります。

NAT 配下でMX を利用する場合、耐障害性を高めるためにも仮想IP を用いて、MX が利用するIP を1つとすることで解決する可能性があります。

以下の例では、Spoke 拠点がWarm spare 構成を取っていると仮定した時、赤い丸のデバイスが設定対象となります。

MX の仮想IP の設定方法は以下のドキュメントをご参照ください。

MX Warm Spare - High-Availability Pair - Cisco Meraki Documentation

NAT デバイスにて、SNAT Load Balancing などが利用されており、VPN Registry 宛ての通信が2つのパブリック IP アドレスに変換されてしまっている場合、

内部からのMX のトラフィックを単一のパブリックIP アドレスにマッピングするように設定を行います。

これにより、VPN レジストリで参照されるパブリック IP アドレスが常に同じになるため、解決する可能性があります。

以下の例では、赤い丸のデバイスがパブリックIP を複数のIP に変更している想定のため、設定対象となります。

SNAT Load Balancing は、Cisco RT などであればNAT Pool を用いたOverload の設定となるため、

これを1つのパブリックIP を利用するように設定変更を行う必要があります。(1:1 NAT など)

解決策4：

Meraki ダッシュボードにて、Auto VPN の手動ポート転送にて任意のポート番号を設定し、アップストリームファイアウォールでポートフォワーディング機能を有効にして、MX へトラフィックを転送する。 

これによってポート書き換えされたトラフィックを転送することが可能となるため、解決する可能性があります。

まずは、セキュリティ&SD-WAN > サイト間VPN > NAT トラバーサル > 手動: ポート転送 にて、左側の拠点で利用されるパブリックIP と任意のポート番号の指定を行います。（ポート範囲は1024-65535）

例の場合は、Spoke からHub に対してUDP 60000 を宛先としてUDP ホールパンチングが行われます。

次に、Hub 拠点のアップストリームファイアウォールにてUDP 60000 で受けたトラフィックをLAN 側のMX へ転送するようにポートフォワーディングの設定を行います。

これにより、Hub に到達できるようになります。

Hub はVPN Registry から取得した情報に存在しないSpoke から有効なAuto VPN パケットを受信すると、パケットのパブリックIP とUDP ポートを使用して新しいコネクションベースのエントリを追加してVPN 通信を開始します。

デモンストレーション

Fortigate 50E(v6.2.16 build1392 (GA)) を用いて疑似的にUnfriendly 状態を再現し、アップリンクデバイスにて状況を確認しました。

デモンストレーション構成は以下の試験構成となります。

※試験結果は、あくまで試験としての参考情報としていただけますと幸いです。

また、こちらはラボ環境の設定例となります。ファームウェアバージョンなどによっても変動する可能性はありますので、

設定などの詳細はベンダーへご確認ください。

シナリオ：NAT デバイスが送信元ポートを変更してしまう環境にて、Primary 機器をダウンさせた時の挙動

通常時、VPN Registry  への通信は、Primary 機器から送信されたものが確認されています。

Primary 機器の電源断を行い、Warm spare の切り替えを実施します。すると、新しくSecondary 機器のNAT テーブルが作成されます。

しかし、画像の通りにSecondary の通信の送信元ポートの書き換えが行われていることが確認できます。

この状態の場合、MXではUnfriendly 状態を検知します。

また、Secondary 機器から対向ピアに対してのVPN 通信のポート番号も変更されるため、VPN 通信に影響を及ぼすことになります。

この時、Fortigate におけるポリシーの設定では、Preserve Source Port（送信元ポートの保持）設定が無効となっていたため、有効として確認を行います。

ポリシー変更後、Primary 機器をもとに戻し、通常状態のNAT テーブルを確認します。

その後、Primary 機器の電源断を行い確認をすると、Primary 機器のNAT フローテーブルを保持せずに単一のNAT フローが残っている状態を確認することができます。

この状態の場合、MXではFriendly 状態を検知し、Auto VPN の通信に異常は見られませんでした。

また、上記検証では、MX にて個別のIP を利用する設定となっていたが、仮想IP を設定した場合には、2つのNAT フローが作成されることはなかったため、今回の事象は発生しませんでした。

追加リソース

Carrier-Grade NAT and Meraki Auto VPN - Cisco Meraki Documentation

Meraki Auto VPN - Configuration and Troubleshooting - Cisco Meraki Documentation

Meraki Auto VPN General Best Practices - Cisco Meraki Documentation

Auto VPN Hub Deployment Recommendations - Cisco Meraki Documentation

Automatic NAT Traversal for Auto VPN Tunneling between Cisco Meraki Peers - Cisco Meraki Documentati...

• MR 予期しない低電力モード（Unplanned low power mode）アラートの切り分け方法
• 本アラートの概要
• 本アラートのリスクと影響
• 本アラートの主な原因
• 本アラート発報時の基本的な切り分け方法
• 切り分けを行っても原因箇所が不明、事象が改善しない場合
• 追加のリソース

MR 予期しない低電力モード（Unplanned low power mode）アラートの切り分け方法

本記事では、「予期しない低電力モード（Unplanned low power mode）」というアラートの概要と切り分け方法についてご紹介いたします。

お使いのデバイスにて本アラートが発生した際、本記事がトラブルシューティングの一助となれば幸いです。

本アラートの概要

本アラートは、MR のサポートしているPoE 規格と異なるPoE スイッチに接続した場合、起動時の電力ネゴシエーションやPoE SW のバジェット不足にて電力が不足した場合などに発報されます。

低電力モードは、通常、AP が全機能をサポートするのに十分な電力を受け取っていないフォールバックした状態を示しております。

本アラートのリスクと影響

リスクと影響：

• 予期せぬ再起動のリスク：特にネットワーク負荷が高い場合、MR が予期せぬ再起動が発生する可能性があります。これは、十分な電力が供給されないことによって、デバイスが動作を安定して維持できないためです。

• 機能への影響：電力消費を抑えるために、いくつかの機能に影響が及ぶ可能性があります。これには以下が含まれます。
• Air Marshal：Air Marshal に関する、MR の専用スキャン無線インターフェースが無効となる可能性があります。これにより、不正なデバイスやその他の無線脅威の検出や防止が行えない状態となります。
• 無線：MR は、1つまたは複数の無線インターフェースを無効として、空間ストリームの数を減らす可能性があります。これにより、無線カバレッジやパフォーマンス、クライアント接続の処理能力を低下させることになります。
• USB インターフェース：IoT などの外部デバイスをサポートするためのUSB インターフェースが無効となる可能性があります。

低電力モード時の動作については、MR モデルによって異なる可能性があるため、インストールガイド をご参照ください。

本アラートの主な原因

低電力モードの主な原因は、通常、物理的な問題であり、以下のようなものが考えられます。

• 規格外のイーサネットケーブルの利用：規格外のイーサネットケーブルは、電力供給の不足につながる可能性があります。例えば、「IEEE802.3at」ではCat5e 以上のLAN ケーブルを使用しなければなりません。
• PoE バジェット不足：PoE スイッチに接続されたデバイスが多く、電力負荷がかかりすぎており、電力バジェットが不足している可能性があります。
• RJ-45 コネクタ、イーサネットケーブルの緩み：RJ-45 コネクタやイーサネットケーブルが緩んでいたり、正しく接続されていない場合、断続的に電力が供給されることがあります。これにより、MR の電力供給が不安定になり、低電力モードがトリガーされる場合があります。
• RJ-45 コネクタ、イーサネットケーブルの損傷：RJ-45 コネクタイーサネットケーブルに物理的な損傷（破損、切断、ねじれ、過度な曲げなど）がある場合、電力供給が不足する場合があります。
• 接続先スイッチにてLLDP が有効になっていない場合：電力ネゴシエーションの関係によってアラートが報告される場合があります。

本アラート発報時の基本的な切り分け方法

- POE の規格に沿ったケーブルを利用しているか。

例えば、「IEEE802.3at」ではCat5e 以上のLAN ケーブルを使用しなければなりません。

- MR の接続先デバイス、ポートで、CDP/LLDP が稼働しているか。

PoE+(802.3at)、PoE++(802.bt)などの規格の場合、追加の電力要求のためにCDP とLLDP の両方を使用して電力のネゴシエーションを実施する必要があります。

また、何らかの影響によって、起動処理の中で行われるPoE ネゴシエーション時に、CDP パケットがネゴシエーションの時間内に到達しない場合があります。

Meraki では可能な限り、接続先スイッチにてCDP と LLDP の両方を有効にすることを推奨しております。

Cisco switch でのLLDP の有効化については、ドキュメントをご参照ください。

- PoE バジェットが大幅に超過していないか。

接続先スイッチにてPoE バジェットの状況を確認します。容量が超過している場合は、接続しているPoE デバイスの接続数を減らした時に事象に改善が見られるかご確認ください。

Meraki MS をご利用の場合は、dashboard 上にてご確認をいただくことが可能となります。

ダッシュボードパス：「ワイヤレス > アクセスポイント > “アラート対象のMR” > 予期しない低電力モード: 詳細確認 > Suggested actions > 1. Check PoE budget」

ダッシュボードパス：「スイッチ > スイッチ > “接続先スイッチ” > 電源 > 割り当て」

※消費と割り当ての違いに関しては、ドキュメントをご参照ください。

- ケーブルテストを行い、物理ケーブルに問題が無いか。

ケーブルテストの結果に異常が見られる場合は、ケーブルを変更した後に事象に改善が見られるかご確認ください。

※このテストを使用すると、10 Mbps または 100 Mbps リンク上のトラフィックが中断される可能性があります。ギガビット リンクには影響はありません。

Meraki MS をご利用の場合は、dashboard 上にてご確認をいただくことが可能となります。

ダッシュボードパス：「ワイヤレス > アクセスポイント > “アラート対象のMR” > 予期しない低電力モード: 詳細確認 > Suggested actions > 2. Cable test」

ダッシュボードパス：「スイッチ > スイッチ > “接続先スイッチ” > ポート > 対象ポート選択 > トラブルシューティング > ケーブルテスト」

正常な結果

異常な結果

- 対象スイッチポートの再起動を実施して改善が見られないか。また、対象スイッチポートでパケットキャプチャの取得を行い、LLDP パケットのネゴシエーションに失敗していないか。

ケーブル再起動と同時にパケットキャプチャの取得を行い、改善が見られるかご確認ください。

改善が見られない場合は、LLDP パケットのネゴシエーションに失敗が見られないかご確認ください。

正常なLLDP パケットのサンプルは、ドキュメントをご参照ください。

Meraki MS をご利用の場合は、dashboard 上にてご確認をいただくことが可能となります。

ダッシュボードパス：「ワイヤレス > アクセスポイント > “アラート対象のMR” > 予期しない低電力モード: 詳細確認 > Suggested actions > 3. Cycle port on switch」

ダッシュボードパス：「ワイヤレス > アクセスポイント > “アラート対象のMR” > 予期しない低電力モード: 詳細確認 > Suggested actions > 4. Packet capture」

ダッシュボードパス：「スイッチ > スイッチ > “接続先スイッチ” > ポート > 対象ポート選択 > トラブルシューティング > ポートの再起動/パケットキャプチャ」

- 802.3at/PoE+ 規格に準拠する前のスイッチ(Cisco Catalyst 2960,3560など)を利用している場合の注意事項

802.3at/PoE+規格に準拠する前のスイッチの一部は、デフォルトでは802.3at のフル出力をネゴシエートしません。

そのため、これらのスイッチ（Cisco Catalyst 2960,3560など）では、電源供給を行うスイッチポートを、手動で30W の電力が供給されるように設定する必要があります。

これは、スイッチのインターフェースに入り、次のコマンドを使用してインライン電力を30W に設定することで実行できます。

実際にMR に電源を投入する前に、この設定を行ってください。

この設定を行わない場合、低電力状態が続くことで、MR が継続的に再起動する原因となる場合があります。

- パッチパネルやJJ コネクタなど中継して接続しているのか、それともスイッチと直接接続となっているか。

パッチパネルやJJ コネクタなどを中継しない場合に場合に同様の事象が確認されるのか。

改善される場合は、中継デバイス側の問題や、ケーブルの長さなどに起因する問題と考えられます。

例えば、LAN ケーブル最大の長さは一般的に100メートルとされています。

- ケーブルの交換や接続ポートを変更した場合、改善は見られるか。

ケーブル接続先を変更した際に改善が見られる場合は、接続先ポートの問題の可能性があります。

その場合、他のデバイスを元の接続先に接続しても同様の動作が見られるか確認します。

他のデバイスでは見られない場合は、MR 本体のポートの問題の可能性があります。

接続先を変更しても改善しない場合、ケーブル自体の交換を実施して改善が見られるか確認します。

改善が見られる場合は、ケーブルやRJ-45 コネクタの問題の可能性があります。

- MR ならびにMS の再起動または初期化

一時的な問題によりネゴシエーションに失敗していたり、MR の内部プロセスに一時的な問題が発生している可能性もございます。

この点を切り分けるため、MR の「再起動」および「初期化」を実施いただき、事象が改善するかご確認ください。

「初期化」の方法につきましてはドキュメントをご参照ください。

切り分けを行っても原因箇所が不明、事象が改善しない場合

上記をご参考に全ての切り分けをご実施いただいても問題が解決しない場合、または何かご不明点がある場合は、お気軽にサポートまでお問い合わせください。

なお、その際はより効果的なサポートをご提供するため、実施済みの切り分け内容及びその結果をケースにてご共有いただけますと幸いです。

Cisco Meraki テクニカルサポート - Cisco Meraki Documentation
https://documentation.meraki.com/General_Administration/Support/cisco_meraki_support_jp

追加のリソース

Root Cause Analysis (RCA) - Alert Based Workflows - Cisco Meraki Documentation

Low Power Mode - Cisco Meraki Documentation

Low Power Mode on Cisco Switches - Cisco Meraki Documentation

MR57 Installation Guide - Cisco Meraki Documentation

Troubleshooting PoE on MS switches - Cisco Meraki Documentation

こちらの記事はテクニカルフォーラム上の投稿を翻訳したものです。

翻訳内容の矛盾が生じた際は原文の投稿の内容が優先します。

サポートセンターページ がリニューアルされ、2025年3月28日よりご利用いただけるようになります。

このアップデートにより、サポートケースの提出やネットワークの問題解決のプロセスを効率化する新しい機能が多数追加されます。

サポートセンターケースの作成方法 についての詳細は、こちらのドキュメントをご確認ください。

新機能

• 新しいカテゴリー：問題を簡単に分類できる新しい製品およびプラットフォームカテゴリー
• ガイド付きワークフロー：ケースをより迅速に作成するためのガイド付きケース作成ワークフロー
• デバイスサポート：新しい「関連」テーブルにより、製品/プラットフォームカテゴリー、デバイスモデル、ネットワークをフィルタリングして、お問い合わせ対象のデバイス、サービスを素早く特定できます。
• 深刻度レベル：直面している問題のビジネスへの影響に基づいて、深刻度レベル（深刻度1～4）を選択します。
• サポートへの連絡方法: 選択した重要度に応じて、ご希望のサポート連絡方法を選択します。"Call Me Now" 、"Call in" 、Create a "Case" などがあります。

※ "Call Me Now" オプションは、現在(2025/3/31)ベータ モードとなっております。現在、日本語は未対応です。

操作方法

1. Merakiダッシュボード から、「？」（右上、緑のリボン）> 「ヘルプ&Merakiサポートケース」に移動します。
2. サポートが必要な問題に関連する製品またはプラットフォームのタイルを選択します。
3. ケースに関連付けるデバイスを選択します。
4. 問題が既存のケースに関連するものか、新規のものかを選択し、説明を入力します。新規のケースの場合は、ビジネスへの影響を最もよく表す深刻度レベルを選択します。
5. ご希望の連絡オプションを選択します（選択した深刻度に応じて利用可能）。
6. ケースを送信し、送信確認のサマリーとケースに割り当てた深刻度レベルを確認します。

確認メールが送信されます。または、"Call Me Now" を使用している場合は、Meraki support と電話がつながります。

※ "Call Me Now" オプションは、現在(2025/3/31)ベータ モードとなっております。現在、日本語は未対応です。

利用可能

この機能は、2025年3月28日より世界中で利用可能になります。新しいサポートセンターの使用方法については、ドキュメントを参照してください。

サブスクリプションライセンスへの移行計画を建てる際のご参考にください

MRのローカルステータスページの使用方法に関して概説します。

不測の事態を招く恐れがある、Air Mashalを利用する際の注意点についてまとめます。

はじめに

MX では、任意の宛先に対して、ICMP のテスト結果に基づいた、Uplink Statistics(遅延、損失データ) を取得することが可能になります。
デフォルトでは、8.8.8.8 向けの宛先に対してのテストを行い、これらの統計情報の出力を行っております。

この機能を応用することで回線側の調査やMX に直接接続されたアップリンクの監視を行うために役立てることができます。

本記事では、こちらの機能の活用方法について記載しております。

Meraki では、直接接続されたアップリンクを監視するために、MX のデフォルト ゲートウェイをこちらのリストに含めることを推奨しております。

本機能における制限事項

制限事項
- VPN トンネル越しのプライベートアドレスを宛先にすることはできません。

- MX のWAN インターフェースから到達可能でなければなりません。
- 宛先デバイスがICMP トラフィックに応答しなければなりません。
- ホスト名/FQDN はサポートされていません。

ダッシュボードリンク

設定ページ

- セキュリティ&SD-WAN > SD-WAN & トラフィックシェーピング > アップリンクの統計

確認ページ

- セキュリティ&SD-WAN > アプライアンスステータス > アップリンク タブ > Merakiデバイスの履歴データ

デモンストレーション

前述の通りにMeraki では、直接接続されたアップリンクを監視するために、MX のデフォルト ゲートウェイをこちらのリストに含めることを推奨しております。

例えば、アップリンクに回線貸与のルーター が存在する場合、デフォルトの8.8.8.8 のみの監視の場合では、

回線側に問題があったのか、ネクストホップのルーター に問題があったのか判断がつかない場合があります。

このリストにデフォルトゲートウェイの宛先を含めることでこの判断における情報を得られる可能性が上がります。

デモでは、8.8.8.8 宛てとMX のデフォルトゲートウェイ宛てに対してテストを実施します。

以下の例では、8.8.8.8 宛ての統計では、100% のロスを報告しております。

一方で、この同じ時刻に、MX のデフォルト ゲートウェイ宛ての統計では、0% のロスを報告しております。

この結果から、アップリンクのルーターのWAN 側に問題が発生していた可能性があることが判断可能となります。

※デモでは、アップリンクのルーターのWAN インターフェースを切断して100% を再現しております。

また、MX のInternet ポートでパケットキャプチャの取得を行うことでこの通信を確認することができますが、

宛先に対しては1秒に1発のICMP が送信されていることが確認できます。

応用

Auto VPN で頻発したダウン/アップ が報告される場合、特定の拠点間のグローバルIP に対して

このテストを行いフラッピングする事象に対して監視を行うことができます。

テストの統計とEvent log からVPN のアップダウンを確認して比較することができます。

※双方のグローバルIP がICMP に返信することが前提となります。

追加のリソース

SD-WAN and Traffic Shaping - Cisco Meraki Documentation

Meraki Auto VPN - Configuration and Troubleshooting - Cisco Meraki Documentation

Auto VPN機能におけるVPNトンネル確立のトラブルシューティングについて - The Meraki Community

• はじめに
• 概要
• デモンストレーション
• 追加のリソース

はじめに

Meraki ダッシュボード上では、多くの無線に関する情報が確認できますが、複雑なワイヤレス接続の問題のトラブルシューティングを行う場合、ワイヤレスパケットキャプチャが必要となる場合があります。

この記事では、無線パケットキャプチャツールを利用する際に便利なフィルタについてご紹介いたします。

また、これらの調査の際に、クライアント - AP の双方向パケットを確認するため、第三者デバイスによる無線空間パケットキャプチャ(モニターキャプチャ)が必要となる場合があります。

パケットキャプチャツールの使用方法、モニターモードキャプチャの使用方法については以下の記事をご参照ください。

https://community.meraki.com/t5/Meraki-サポートの記事/Meraki-ダッシュボードパケットキャプチャツールの使用方法/ba-p/260756
https://community.meraki.com/t5/Meraki-サポートの記事/MRを使ったモニターキャプチャの方法について/ba-p/207160
https://community.meraki.com/t5/Meraki-サポートの記事/無線パケットキャプチャについて/ba-p/73741

概要

現時点(2025-02-25)では、画像のインテリジェントキャプチャを利用してダッシュボードからパケットキャプチャを取得することが可能となります。
キャプチャフィルターには、いくつかのフィルター例を確認することができ、これらを用いてパケットを絞り込んで取得することで確認が容易となる場合があります。
これは、通信量が多くパケットを絞り込んで取得したい場合などにも役立ちます。

デモンストレーション

例えば、Associtation に関するトラブルシュートを実施する場合、Association のフローに関するパケットを確認する必要があります。

- Probe Requests and response
- Authentication request and response
- Association request and response

上記のパケットに絞り込んでフィルターを実施する場合、以下のフィルター条件にて絞り込みが可能となります。

※特にモニターモードキャプチャの場合、取得漏れを防ぐため、取得後にファイルのデータサイズが増加していること、

該当クライアント端末の通信が含まれていることをご確認いただくことが推奨されます。

以下の例では、間違ったパスフレーズを無線クライアント側で入力しており、

AP で設定しているパスワードと異なっており、EAPoL 4 way handshake が正常に完了せず、無線接続が正常に出来ていない事が分かります。

一般的なやりとりの図を参照すると、本来であればAP からEAPoL Message 3 を送信するはずですが、
AP で設定されているパスワードと異なるため、AP は無線クライアントにEAPoL Message 3 を返していない事が確認できます。

成功している例

他に、上記のパケットに限らず、特定のクライアント端末に絞り込んで取得する場合は、以下のフィルター条件にて絞り込みが可能となります。

こちらのフィルタ条件の場合、Probe Requests and response のパケットも含まれるため、アソシエーションの問題の切り分けが可能となります。

※特にモニターモードキャプチャの場合、取得漏れを防ぐため、取得後にファイルのデータサイズが増加していること、

該当クライアント端末の通信が含まれていることをご確認いただくことが推奨されます。

Wireless mac address については、クライアント端末側、または、接続後の情報をダッシュボードから確認することができます。

※Windows 11 にて、コマンドプロンプト > コマンドの実行にて確認。

ダッシュボードパス：「ワイヤレス > アクセスポイント > “対象のAP” > 現在のクライアント数」

追加のリソース

802.11 パケット構造とワイヤレス パケット キャプチャの分析方法に関して、以下の記事もご参考にいただけますと幸いです。

[Analyzing Wireless Packet Captures - Cisco Meraki Documentation]

https://documentation.meraki.com/MR/Wireless_Troubleshooting/Analyzing_Wireless_Packet_Captures

管理者アカウントのUnverified(未確認)状態の解消方法を概説します。

RMA時にMXの交換を行う際の、現地対応者向けのマニュアルとしてご活用ください。

本記事では、「イーサネットのアップリンク速度が低下 (Ethernet uplink speed degraded)」というアラートの概要と切り分け方法についてご紹介いたします。

日本語窓口営業時間外でのお電話をいただく際の注意点についてまとめます。

英語ドキュメントを読むための便利ツールのご紹介

ダッシュボードパケットキャプチャ実施方法を概説します。

PDLライセンス形態の対応終了とともにリリースされたサブスクリプションライセンスに関する記事です。

Co-term(同時終了)ライセンスを追加・更新する際の仕様と、実際によくお問い合わせいただく失敗例について、具体例を交えてご説明いたします。

ダッシュボードへのアクセスができない場合の対応や注意事項、管理者アカウント運用におけるベストプラクティスに関してご案内します。