• 概要
• ログ出力のサンプル
  • Flowログとアクセス可否のログの混在
  • Flowログの出力を無効化時
• 関連設定
  • Syslog servers の設定
  • Outbound rules の設定
  • Site-to-site outbound firewall の設定
• Flowログの出力を無効化するためのサポートへの依頼

概要

Meraki MXでOutbound方向のアクセス可否のログを取得したい場合は、 Syslog servers の Roles で Flows を指定をしたうえで、Outbound rules または Site-to-site outbound firewall の Syslog オプションにチェックを入れる必要があります。
しかし、Flows を指定すると ip_flow_start と ip_flow_end のFlowログが(アクセス可否のログとは別に)出力されるため、ログの肥大化を避ける場合はサポートへ依頼しての無効化が必要になります。

該当する公式ドキュメントは Syslog Server Overview and Configuration の Flows のセクションになります。

documentation.meraki.com

Flowログの無効化に関しては公式ドキュメントに明確な記載がないようであったため、2022年03月頃にサポートへ問い合わせたうえで実機で挙動の確認をしました。

また、Inbound rules にも Syslog オプションがありますが、Inbound rules はサポートへ有効化の依頼が必要な機能であるため本記事内では取り扱いません。

ログ出力のサンプル

ip_flow_start と ip_flow_end がどのように出力されるのか比較するためのサンプルを掲載します。

Flowログとアクセス可否のログの混在

Mar 16 08:16:21 10.255.11.254  1647352121.770117590 MX67W flows src=10.255.11.1 dst=8.8.8.8 mac=**:**:**:**:**:** protocol=tcp sport=58613 dport=443 pattern: allow tcp && (dst 8.8.8.8/32)
Mar 16 08:16:21 10.255.11.254  1647352121.770165190 MX67W ip_flow_start src=10.255.11.1 dst=8.8.8.8 protocol=tcp sport=58613 dport=443 translated_src_ip=10.255.201.2 translated_port=58613
Mar 16 08:17:14 10.255.11.254  1647352174.852326694 MX67W ip_flow_end src=10.255.11.1 dst=8.8.8.8 protocol=tcp sport=58574 dport=443 translated_src_ip=10.255.201.2 translated_port=58574
Mar 16 08:17:37 10.255.11.254  1647352198.071691414 MX67W flows src=10.255.11.1 dst=1.1.1.1 mac=**:**:**:**:**:** protocol=tcp sport=58621 dport=443 pattern: deny tcp && (dst 1.1.1.1/32)
Mar 16 08:17:38 10.255.11.254  1647352199.080955614 MX67W flows src=10.255.11.1 dst=1.1.1.1 mac=**:**:**:**:**:** protocol=tcp sport=58621 dport=443 pattern: deny tcp && (dst 1.1.1.1/32)
Mar 16 08:17:40 10.255.11.254  1647352201.090315974 MX67W flows src=10.255.11.1 dst=1.1.1.1 mac=**:**:**:**:**:** protocol=tcp sport=58621 dport=443 pattern: deny tcp && (dst 1.1.1.1/32)
Mar 16 08:17:44 10.255.11.254  1647352205.096665414 MX67W flows src=10.255.11.1 dst=1.1.1.1 mac=**:**:**:**:**:** protocol=tcp sport=58621 dport=443 pattern: deny tcp && (dst 1.1.1.1/32)
Mar 16 08:17:52 10.255.11.254  1647352213.099215734 MX67W flows src=10.255.11.1 dst=1.1.1.1 mac=**:**:**:**:**:** protocol=tcp sport=58621 dport=443 pattern: deny tcp && (dst 1.1.1.1/32)
Mar 16 08:19:13 10.255.11.254  1647352293.575189734 MX67W ip_flow_end src=10.255.11.1 dst=8.8.8.8 protocol=tcp sport=58601 dport=443 translated_src_ip=10.255.201.2 translated_port=58601

Flowログの出力を無効化時

Mar 18 19:14:06 10.255.11.254  1647564404.147778219 MX67W flows src=10.255.11.1 dst=8.8.8.8 mac=**:**:**:**:**:** protocol=tcp sport=51260 dport=443 pattern: allow (dst 8.8.8.8/32)
Mar 18 19:14:46 10.255.11.254  1647564443.635272872 MX67W flows src=10.255.11.1 dst=1.1.1.1 mac=**:**:**:**:**:** protocol=tcp sport=51266 dport=443 pattern: deny (dst 1.1.1.1/32)
Mar 18 19:14:47 10.255.11.254  1647564444.648729352 MX67W flows src=10.255.11.1 dst=1.1.1.1 mac=**:**:**:**:**:** protocol=tcp sport=51266 dport=443 pattern: deny (dst 1.1.1.1/32)
Mar 18 19:14:49 10.255.11.254  1647564446.650971792 MX67W flows src=10.255.11.1 dst=1.1.1.1 mac=**:**:**:**:**:** protocol=tcp sport=51266 dport=443 pattern: deny (dst 1.1.1.1/32)
Mar 18 19:14:53 10.255.11.254  1647564450.651563792 MX67W flows src=10.255.11.1 dst=1.1.1.1 mac=**:**:**:**:**:** protocol=tcp sport=51266 dport=443 pattern: deny (dst 1.1.1.1/32)
Mar 18 19:15:01 10.255.11.254  1647564458.657929952 MX67W flows src=10.255.11.1 dst=1.1.1.1 mac=**:**:**:**:**:** protocol=tcp sport=51266 dport=443 pattern: deny (dst 1.1.1.1/32)

関連設定

Outbound方向でのアクセス制御は、Outbound rules と Site-to-site outbound firewall の2つの設定方法があるため、Syslog出力を有効化する設定箇所も分かれます。
アクセス制御の観点が異なる点に留意してください。

Syslog servers の設定

Syslogのログ種別はいくつかありますがアクセス可否のログを取得したい場合は、 メニュー: Network-wide > General の設定項目: Syslog server で Roles に Flow を指定します。

Outbound rules の設定

Outbound rules は「LANからUplinkへの物理Interfaceの出力方向」に適用されるルールになります。
通信ログを取得したい対象のルールで Syslog オプションを有効化します。

Site-to-site outbound firewall の設定

Site-to-site outbound firewall は「Auto VPNトンネル経由の出力方向」に適用されるルールになります。
通信ログを取得したい対象のルールで Syslog オプションを有効化します。

Flowログの出力を無効化するためのサポートへの依頼

Flowログの出力を無効化するには、サポートに依頼を行う必要があります。

設定対象の指定には2つの方法があります。

• MerakiデバイスのSerial Numberを対象にする。
• Merakiの管理単位であるNetworkを対象にする。

Serial Numberで申請を行っていると、障害で機器交換が発生した際に代替機のSerial Numberを申請しなおす必要があるため、 本番環境ではNetworkを対象として無効化するのが好ましいと考えられます。

また、検証環境でMerakiデバイスのNetworkの作成や削除を繰り返す場合は、 Network設定に依存しないSerial Numberを対象にした方が好ましい場合もあるため、適している設定方針を検討してください。

更にどちらの場合にしても、設定対象の管理をパラーメータ シートや管理台帳などで適宜行ってください。

状況によってはサポートへの依頼が間に合わないケースも生まれるため、ログの肥大化を確実に避けるのであればSyslog Server側でFlowログをフィルタも検討してください。

• 概要
• Meraki MXのRouted Modeの特性
• Meraki MXと境界型のアクセス制御
• Meraki MXのRouting Protocol対応状況
• Meraki MXはLAN内のRouting Deviceとしての導入には不向き
• Meraki MX (Routed Mode)が適さない設計
• Meraki MXの制約を前提としたネットワーク設計
• 最後に

概要

Meraki MXには Routed Mode と Passthrough or VPN Concentrator がありますが、本記事では Routed Mode に焦点を当てて製品特性を整理します。

Meraki MXのRouted Modeの特性

Meraki MXのRouted Modeは、Internet Firewallに分類される製品特性を備えています。 基本的にRouted Modeの場合はInternetに面しての設置が想定されており、拠点へのInternet接続用のGatewayとしての導入が適しています。

セキュリティの側面ではInternet接続用のGatewayとしての役割が大きいのが理由で、 WAN←→LAN (North-South)の通信のアクセス制御に特化しております。
表現を変えると、境界型 (Zone-based)のFirewallではないため、 システム間のようなLAN←→LAN (East-West)の通信のアクセス制御には不向きとなります。

Meraki MXと境界型のアクセス制御

Meraki MXには境界型 (Zone-based)のアクセス制御の概念がないため、Firewall Policyの制御は運用性が高くありません。
Merakiはクラウド管理型の特性でInternetへの接続を前提としておりますが、その中でもMeraki MXはInternet接続用のGatewayの側面が強いため、 どうしてもLAN←→LAN (East-West)の通信の制御には不向きになっています。

Meraki MXのLayer 3 Firewall RulesにはZoneの概念はないため、送信元アドレスや宛先アドレスをベースとしたアクセス制御になります。

Meraki MXのRouting Protocol対応状況

Meraki MXはModeと設定によってRouting Protocolの対応状況が異なります。
Merakiはクラウド管理型のため、アーキテクチャ的にInternet側に流れる管理系の通信が異常な流量にならないような設計になっております。
その中でもMeraki MXは動的ルーティングでルートのフラップが発生しにくくなるように、状態変化が少なくなるアーキテクチャになっています。
そのため、OSPFはルートの広報は出来ますが、OSPF Neighborからのルートの動的な学習ができない仕様になっていると推察されます。

Routing Protocol対応状況の中でも特に注意が必要なのが、 Routed ModeはLAN settingの設定により、OSPF (広報のみ・学習なし)の対応可否が異なる点です。
拠点によってLAN側の収容設計を変える場合は、本仕様の影響を受ける可能性があるため留意してください。

一般的なRouting & Switchの知識があるベテランほど、状態変化が少なくなるアーキテクチャにハマりやすい点があるため、下記の記事も適宜参照してください。

myhomenwlab.hatenablog.com

myhomenwlab.hatenablog.com

Meraki MXはLAN内のRouting Deviceとしての導入には不向き

Meraki MXのRouted ModeはInternet接続用のGatewayとしての機能に特化しているため、 LAN内でのRouting Deviceとしての導入には不向きとなります。

UplinkはInternetへの接続を前提としているアーキテクチャとなっているため、Uplink側でOSPFとStatic Routeは設定できません。
Static RouteはLAN側に対して設定できますが、Uplinkに対する個別のStatic Routeは設定できないので勘違いしないように注意してください。

OSPFはAuto VPN Peerからのルートを広報をしますが、OSPFによる学習は行いません。 OSPFをルートの交換ではなく、経路を一方的に広報するのに使用するイメージとなります。

Meraki MXはUplinkでSource NATを行うため、LAN内のアドレスは隠蔽されます。 BETA機能 (2022年03月頃)のNAT Exceptions / No NATでSource NATの無効化は行えますが、 Internet接続用のGatewayは送信元NATがあってこそ成り立つため、Meraki MXの製品特性が瓦解しかねません。
その一例として、UplinkのWAN1とWAN2を用いたWAN負荷分散の機能は、 送信元NATを行って同じ出力Interface (WAN1,WAN2)に確実に通信が戻ってくるようにして成り立っています。

Meraki MX (Routed Mode)が適さない設計

Meraki MXで LAN setting を VLANs にして、多数のVLAN且つ1 Hop越えのセグメントを収容するのは不向きになります。
何故なら動的ルーティングの制御が弱いため、Meraki MX配下のL3 Deviceに対して多数のStatic Routeを設定する必要があるためです。
そして、Meraki MXのVLANs設定ではOSPF (広報のみ・学習なし)を設定できませんし。Meraki MXの配下のOSPF Router同士は、Meraki MXが介在してのOSPFでの経路交換も行えません。

Meraki MXの制約を前提としたネットワーク設計

Meraki MXで多数のVLANやセグメントを収容するは難しいため、 1 Hop越えのセグメントを収容する場合は、通信を通過 (Transit)させるためのTransit VLANを1つ作成して、配下のMS (L3SW)にGatewayを一任するのが現実的です。

明確な設計意図があるなら、Transit VLANをサービス系と管理系で2つで分けるなども良いかとは思います。
ただし、Tagged VLANを使用するために、LAN setting を VLANs にするとOSPF (広報のみ・学習なし)は使用できない点に留意してください。

MerakiのMXとMS (L3SW)のLayer 3 Topologyの情報に関しては、下記のドキュメントに記載があります。

documentation.meraki.com

MS (L3SW)がEndpointのGatewayとなると、Meraki MXのFirewall Policyによるアクセス制御は行えないのが欠点になりますが、 そもそもMeraki MXはLAN←→LAN (East-West)のアクセス制御が不向きである点を思い出してください。

上述の内容は、あくまでも「1 Hop越えのセグメントを収容する場合」であるため、 MS (L2SW)のLayer 2 TopologyにてMeraki MXで多数のVLANやセグメントを収容するのは、管理性や運用性に問題が出なければそれも1つの設計方法だとは思います。

最後に

Merakiは機能が限定されていてシンプルが故に、設計箇所が限定されるため素早く大量展開を行いやすいのが利点です。
逆にシンプルさ故に多機能さによる設計のリカバリはできないため、Merakiの不向きな環境に無理やりに複雑な設計で導入するのは製品特性に大きく反してしまいます。
そのため、製品が不得意とする側面を理解した上で、製品特性の長所を活かす形での導入をオススメします。

• Firmware Upgradeの基礎知識
• Upgrade windowの指定
• リスケジュールの注意点
• 運用方法を確立する重要性
• Firmware Upgrade中のサービス断時間の観点
• 関連ドキュメント
• 関連記事

MerakiのFirmware Upgradeの運用方法に関わる点を整理します。

Firmware Upgradeの基礎知識

MerakiのFirmwareは新しいVersionが登場すると、自動的にスケジューリングされて約1～2週間前にメールで通知されます。
注意点として、手動でリスケジュールした場合は2度目のメール通知は来ません。

Upgrade windowの指定

自動でスケジューリングされる曜日と時間は、Upgrade window にてNetwork単位で指定が可能です。 メニュー: Network-wide > General に Upgrade window の設定が存在します。 Network単位となるため、全てのNetworkを網羅するように設定が必要です。見逃しがないように注意してください。

リスケジュールの注意点

リスケジュールする場合は約1ヶ月以内の範囲内での指定となります。

Firmware Upgradeの運用方法を顧客と合意形成されていない場合は、Upgradeを一時的に見送る場合が考えられます。 その場合はリスケジュールではなく、不意にUpgradeの処理が走らないように CANCEL でスケジュール自体の削除も検討してください。

運用方法を確立する重要性

Firmware Upgradeの管理を怠っていると、実際にUpgradeの処理が走ってからスケジューリングされていたことに気づく事故が起こりかねません。 そのような事故が実際に発生してしまうと、影響があった拠点を急いでめぐる全国行脚が発生する可能性もあり、事後処理のコストが高くなります。

特にConfiguration Templateを使用して全国のNetworkを管理していると、 Firmware Versionを統一して整合性を取るために、紐付けられているNetworkのFirmware Upgradeが順次実行されるため、 全国規模で機器の再起動が発生して取り返しがつかない事態に発展する可能性があります。

もしメール通知の見落としが懸念されるのであれば、 週次定例などの機会を利用して、関係者が定期的にMeraki Dashboardからスケジューリングがされていないか確認する運用方法なども検討してください。

そして何よりも重要なのが、最悪のケースを避けるためには、Firmware Upgradeの運用方法は顧客と早期に合意形成をすべき点です。
顧客との合意形成がないと、Upgrade window を指定するためのメンテナンス時間の確保すらままなりません。

Firmware Upgrade中のサービス断時間の観点

サービス断時間を懸念してFirmware Upgradeの頻度を少なくして、重要な脆弱性のみに限定してUpgradeを適用していくような顧客要望も想定されますが、 Merakiはクラウド管理型で進化が早く、安定的な利用をしたい場合はFirmwareを安定版 (Stable)で更新し続けるべきです。 延々とFirmware Upgradeを先送りにするような運用方法は好ましくありません。

Meraki Communityに最新Firmwareが推奨される背景情報が整理されたので、顧客説明への根拠情報が増えました。(2023年10月頃 追記)

community.meraki.com

そして、そもそも論として、メンテナンスのためのダウンタイムも許されないような環境であれば、Merakiの製品特性が顧客環境に向いていません。 同じCisco製品であればCatalystシリーズなどの提案を検討してください。

関連ドキュメント

• FirmwareのBest Practiceのドキュメント
  documentation.meraki.com

• Firmwareの管理に関するドキュメント
  documentation.meraki.com

関連記事

myhomenwlab.hatenablog.com