My Home NW Lab

逸般の誤家庭のネットワーク

Duo CentralからMeraki DashboardへSingle Sign-Onを行う

Duo CentralからMeraki DashboardへのSingle Sign-Onを行うための設定手順を整理しました。 Meraki DashboardへのSingle Sign-On 本記事ではIdP (Identity Provider)としてDuo Securityを取り扱います。 なお、Meraki Dashboard側でのRole設計やSingle Sign-…

Meraki MXにおけるClient VPN (IPsec)のGuest Userの追加や削除は、Client VPN server が Enabled 且つ Meraki Cloud Authentication を指定した状態で行う

Meraki MXにおけるClient VPN (IPsec)には接続アカウントとしてGuest Userの登録が可能であり、メニュー: Security & SD-WAN > Client VPN の IPsec Settings タブより User management セクションで管理が行われます。 User management セクション そして、…

Duo SecurityでDuo Centralの認証ソースとしてAzure ADを使用する

Duo SecurityでDuo Centralの認証ソースとしてAzure Active Directory (Azure AD)を使用する場合の設定手順を紹介します。 認証連携が行われる都合で関連要素が多いため、重要な要素は個別に解説を入れております。 全体概要図 設定対象の範囲 (本記事のスコ…

Duo SecurityのAdmin Panelは接続元のグローバルIPアドレスが変わるとログアウトする

Duo SecurityのAdmin Panelは認証セッションがクライアントIPアドレスと紐付いているため、接続元のグローバルIPアドレスが変更されるとログアウトします。 イメージ図 頻繁にグローバルIPアドレスが変わってしまう環境だと作業に支障が出るため留意してくだ…

Duo SecurityでAzure ADのDirectory情報を取り込む

Duo SecurityからAzure Active Directory (Azure AD)のDirectory情報を取り込む際の技術要素や設定方法を整理しました。 概要 AzureのEnterprise Applicationの観点 Azureのアカウントの観点 検証時の環境情報 設定手順 Azure AD側で取り込み対象のGroupの用…

Meraki MXのHTTPS Inspection機能の現状 (2022年09月頃の情報)

Meraki MXのHTTPS Inspectionは、HTTPS通信のSSL復号化を担う機能で、本記事の執筆時点でBeta機能であるためサポートへの有効化依頼が必要になります。 HTTPS Inspection のドキュメントの非公開化 Meraki MXのHTTPS InspectionのドキュメントのURLは下記に…

MerakiのFirmware Upgrade時のTime Zoneの考慮

MerakiはFirmware Upgrade時に実行タイミングを指定できますが、時刻は対象Networkに紐付いているTIme Zoneの設定が参照されます。 Firmware Upgrade時のTime Zoneの扱い 対象NetworkのTime Zoneの設定に依存するため Schedule firmware change の画面では (…

MerakiのFirmwareのPatchと自動スケジューリングの有無

MerakiのFirmwareにはPatchの立ち位置のRelease (便宜上、Patch Release)が存在して、自動スケジューリングされるか否かはMerakiのエンジニア チームの一存で決まります。 よって、自動スケジューリングされない場合はRelease notesの情報などを元にして各自…

Splunk Add-on for Cisco Merakiのログ取得時の遡り期間

Splunk Add-on for Cisco Merakiのログ取得時の遡り期間は、ログの種別に応じて2パターンあります。 Add-onでの Inputs の設定時に、Auditログは Start from でログ取得の遡り期間を指定可能で初回のみ適用されます。 Audit以外のログ種別は Inputs を初めて…

Meraki CommunityのFirmware Upgrades Feed (Communityによる最新Firmwareリリースの通知)

Meraki Communityに最新のFirmwareの情報が自動的に投稿されるようになりました。 community.meraki.com バージョンの情報は自動スケジューリングによるメール通知でも気づけますが、Organizationによって自動スケジューリングのタイミングが前後します。 ま…

Meraki MRの無線ネットワーク情報を外部公開する設定 (Public status page)

Meraki MRには無線ネットワークに関わる情報を外部に公開するための Public status page と呼ばれる設定があります。 利用用途の一例としては、公衆無線LANサービスの利用者向けに、無線APの情報を提供するような活用法が考えられます。 Meraki社が公開して…

ThousandEyesのユニット消費の計算と、Enterprise & Cloud Agentのユニット消費の比較

ThousandEyesのユニット消費の計算方法 ThousandEyesのユニット消費の計算はURL: https://app.thousandeyes.com/calculator のUnit Calculatorから行えます。 Unit Calculatorの利用にはログインが必要で、既に設定済みのテストがある場合は自動で表示されま…

ThousandEyesのEmbed Widgetで情報を外部公開する

ThousandEyesのEmbed Widgetで情報を外部公開する設定方法を記載します。 Embed Widgetは社内ポータルや障害状況の公開サイトで、サービスの状況を公開するような用途に活用できます。 Embed WidgetはThousandEyes社のServerでホストされており、誰でもアク…

特定UserやGroupからのAzure Portalへのアクセスをブロックする

特定UserやGroupからのAzure Portal (https://portal.azure.com/) へのアクセスをブロックする設定方法を記載します。 一般的に考えうるセキュリティ設計だと、権限が必要なアカウント (例: 管理者アカウント)のみからAzure Portalへのアクセスを許可して、…

BIG-IP Forward ProxyのiRulesによるFirewall Policyライクな実装例

BIG-IP Forward Proxyでは標準機能による実装には限界があるため、iRulesによるコード拡張を用いざるを得ないケースがあります。 そのため、PoC (Proof of Concept)としてiRulesによるirewall Policyライクな実装例をGitHubで公開しました。 github.com 実装…

Meraki Dashboardへの送信元IPアドレス制限の設定時は、許可対象のIPアドレスからアクセスする必要がある (Fool Proofの挙動)

Meraki Dashboardへの送信元IPアドレス制限の機能がありますが、設定時は許可対象のIPアドレスからアクセスしている必要があります。 設定変更作業によってロックアウトされないようにするためのFool Proofの挙動になっています。 そのため、許可対象のIPア…

DatadogでMerakiのイベント ログ種別ごとの比率を割り出す

Datadogの使い方を学ぶ一例として、Merakiのイベント ログ種別ごとの比率を割り出す手順を書き留めます。 自環境でどのようなイベント ログの種別が多いのかを大まかに把握するのを目的にしています。 Merakiのイベント ログ種別ごとの比率 手順 メニュー: L…

DatadogでMeraki Dashboard APIを用いてMerakiのログを取得する

DatadogでMeraki Dashboard APIを用いてMerakiのログを取得する設定方法を紹介します。 DatadogのTrial期間の機能で試せるので、Merakiの検証環境があるのであれば使用感に活用できます。 DatadogのMerakiの連携のサンプル画面 DatadogのサービスからMeraki …

ThousandEyesで新しいAccount Groupを作成して切り替える (切り替えメニューの表示には要再ログイン)

ThousandEyesで新しいAccount Groupを作成して切り替える[移動する]一連の手順を紹介します。 注意点ですが、新しく作成されたAccount Groupへ切り替えるためのポップアップ メニューを表示するには、一度ログアウトしてから再度ログインする必要があります…

ThousandEyesのDashboardにEnterprise & Endpoint Agentを世界地図上に表示する

ThousandEyesのDashboardにEnterprise AgentとEndpoint Agentを世界地図上に表示する設定方法を記載します。

MerakiのRelease NotesはDashboardが一次情報源になる

Merakiの各製品のFirmwareのRelease Notesは、Meraki Dashboardのメニュー: Organization > Firmware upgrades が一次情報源になります。 ニュー: Organization > Firmware upgrades Release Notesの情報には、主に下記の観点が含まれています。 Important n…

資料作成用のMerakiの製品イメージやアイコン (Marketing assets)

Merakiの製品イメージやアイコンは、下記のページにて公開されています。 https://brandfolder.com/meraki/media Images (2022年08月20日時点) Graphics (2022年08月20日時点) 特に各モデルの様々な角度からの製品イメージ (Images)は、障害機器の交換手順の…

Meraki MRのWireless Overview画面

2022年08月頃に、Meraki MRのAccess pointsの表示画面に Overview タブ (Wireless Overview画面)の機能が実装されました。 本記事の執筆時点 (2022年08月頃)ではBeta機能の位置付けであり、サポートへの有効化依頼が必要になります。 有効化後はメニュー: Wi…

SSO用のメール アドレスに紐付くMerakiアカウントが既にあると、Meraki DashboardへのSSOは出来ない

Meraki DashboardへのSSO (Single Sign-On)は、SSO用のメール アドレスに紐付くMerakiアカウント (Non-SAML User)が既に存在しているとSSOに失敗します。 注記しますが、(SSO先のOrganizationに限定されず、)Organization問わずにMerakiアカウント (Non-SAML…

Meraki Dashboardの送信元アドレス制限はSAML Userには適用されない

Meraki Dashboardには送信元アドレス制限 (Login IP ranges)がありますが、SSO (Single Sign-On)でログインするSAML Userには適用されません。 Meraki Dashboardの送信元アドレス制限 より正確には、メニュー: Organization > Settings の Security 設定がSA…

【取り扱い注意】Meraki Dashboard APIのEarly API Access (Beta版API)について

Meraki Dashboard APIには、Beta版APIが利用可能となるEarly API Accessがあります。 2022年08月頃に、メニュー: Organization > Early Access の 設定項目: Early API Access より、有効化と無効化の制御が可能となりました。デフォルトでは無効化になって…

EICARのテスト ファイルをHTTP (80/tcp)でダウンロードする (2022年08月02日時点)

EICARのテスト ファイルは本記事の執筆時点 (2022年08月02日時点)で、公式サイトからのHTTP (80/tcp)でのダウンロード提供が終了しています。 HTTPS (443/tcp) のダウンロードは継続して提供されていますが、セキュリティ アプライアンスで検知を行いたい場…

Meraki MXのBGPは1,500 Prefixesがサイジングの推奨値 (2022年07月時点)

Meraki MXでは設定条件を満たすとBGPを使用できますが、BGPルートのサイジング推奨値が1,500 Prefixesとなっています。 (2022年07月時点) documentation.meraki.com Platform Sizing Considerations For Z3/c platforms we recommend only advertising a han…

ThousandEyesでCloud AgentのIPアドレスを特定する

ThousandEyesでCloud AgentのIPアドレスの範囲を特定する場合は、APIを利用して情報を取得します。 また、Cloud Agentだけでなく、Enterprise AgentのIPアドレスの特定も可能です。 ただし、Cloud AgentのIPアドレスの情報は比較的に一定ではあるものの変動…

ThousandEyes社によって共有/提供されているテスト情報の表示

ThousandEyesのテスト情報には、メーカー自らによって共有/提供されているものがあり、Unit消費がなく利用できます。 有名所のサービスへのテスト情報が公開されているため、(通信経路上に依存しないような)全世界のサービス利用者に共通する障害情報などを…