My Home NW Lab

逸般の誤家庭のネットワーク

Meraki

Duo CentralからMeraki DashboardへSingle Sign-Onを行う

Duo CentralからMeraki DashboardへのSingle Sign-Onを行うための設定手順を整理しました。 Meraki DashboardへのSingle Sign-On 本記事ではIdP (Identity Provider)としてDuo Securityを取り扱います。 なお、Meraki Dashboard側でのRole設計やSingle Sign-…

Meraki MXにおけるClient VPN (IPsec)のGuest Userの追加や削除は、Client VPN server が Enabled 且つ Meraki Cloud Authentication を指定した状態で行う

Meraki MXにおけるClient VPN (IPsec)には接続アカウントとしてGuest Userの登録が可能であり、メニュー: Security & SD-WAN > Client VPN の IPsec Settings タブより User management セクションで管理が行われます。 User management セクション そして、…

Meraki MXのHTTPS Inspection機能の現状 (2022年09月頃の情報)

Meraki MXのHTTPS Inspectionは、HTTPS通信のSSL復号化を担う機能で、本記事の執筆時点でBeta機能であるためサポートへの有効化依頼が必要になります。 HTTPS Inspection のドキュメントの非公開化 Meraki MXのHTTPS InspectionのドキュメントのURLは下記に…

MerakiのFirmware Upgrade時のTime Zoneの考慮

MerakiはFirmware Upgrade時に実行タイミングを指定できますが、時刻は対象Networkに紐付いているTIme Zoneの設定が参照されます。 Firmware Upgrade時のTime Zoneの扱い 対象NetworkのTime Zoneの設定に依存するため Schedule firmware change の画面では (…

MerakiのFirmwareのPatchと自動スケジューリングの有無

MerakiのFirmwareにはPatchの立ち位置のRelease (便宜上、Patch Release)が存在して、自動スケジューリングされるか否かはMerakiのエンジニア チームの一存で決まります。 よって、自動スケジューリングされない場合はRelease notesの情報などを元にして各自…

Splunk Add-on for Cisco Merakiのログ取得時の遡り期間

Splunk Add-on for Cisco Merakiのログ取得時の遡り期間は、ログの種別に応じて2パターンあります。 Add-onでの Inputs の設定時に、Auditログは Start from でログ取得の遡り期間を指定可能で初回のみ適用されます。 Audit以外のログ種別は Inputs を初めて…

Meraki CommunityのFirmware Upgrades Feed (Communityによる最新Firmwareリリースの通知)

Meraki Communityに最新のFirmwareの情報が自動的に投稿されるようになりました。 community.meraki.com バージョンの情報は自動スケジューリングによるメール通知でも気づけますが、Organizationによって自動スケジューリングのタイミングが前後します。 ま…

Meraki MRの無線ネットワーク情報を外部公開する設定 (Public status page)

Meraki MRには無線ネットワークに関わる情報を外部に公開するための Public status page と呼ばれる設定があります。 利用用途の一例としては、公衆無線LANサービスの利用者向けに、無線APの情報を提供するような活用法が考えられます。 Meraki社が公開して…

Meraki Dashboardへの送信元IPアドレス制限の設定時は、許可対象のIPアドレスからアクセスする必要がある (Fool Proofの挙動)

Meraki Dashboardへの送信元IPアドレス制限の機能がありますが、設定時は許可対象のIPアドレスからアクセスしている必要があります。 設定変更作業によってロックアウトされないようにするためのFool Proofの挙動になっています。 そのため、許可対象のIPア…

DatadogでMerakiのイベント ログ種別ごとの比率を割り出す

Datadogの使い方を学ぶ一例として、Merakiのイベント ログ種別ごとの比率を割り出す手順を書き留めます。 自環境でどのようなイベント ログの種別が多いのかを大まかに把握するのを目的にしています。 Merakiのイベント ログ種別ごとの比率 手順 メニュー: L…

DatadogでMeraki Dashboard APIを用いてMerakiのログを取得する

DatadogでMeraki Dashboard APIを用いてMerakiのログを取得する設定方法を紹介します。 DatadogのTrial期間の機能で試せるので、Merakiの検証環境があるのであれば使用感に活用できます。 DatadogのMerakiの連携のサンプル画面 DatadogのサービスからMeraki …

MerakiのRelease NotesはDashboardが一次情報源になる

Merakiの各製品のFirmwareのRelease Notesは、Meraki Dashboardのメニュー: Organization > Firmware upgrades が一次情報源になります。 ニュー: Organization > Firmware upgrades Release Notesの情報には、主に下記の観点が含まれています。 Important n…

資料作成用のMerakiの製品イメージやアイコン (Marketing assets)

Merakiの製品イメージやアイコンは、下記のページにて公開されています。 https://brandfolder.com/meraki/media Images (2022年08月20日時点) Graphics (2022年08月20日時点) 特に各モデルの様々な角度からの製品イメージ (Images)は、障害機器の交換手順の…

Meraki MRのWireless Overview画面

2022年08月頃に、Meraki MRのAccess pointsの表示画面に Overview タブ (Wireless Overview画面)の機能が実装されました。 本記事の執筆時点 (2022年08月頃)ではBeta機能の位置付けであり、サポートへの有効化依頼が必要になります。 有効化後はメニュー: Wi…

SSO用のメール アドレスに紐付くMerakiアカウントが既にあると、Meraki DashboardへのSSOは出来ない

Meraki DashboardへのSSO (Single Sign-On)は、SSO用のメール アドレスに紐付くMerakiアカウント (Non-SAML User)が既に存在しているとSSOに失敗します。 注記しますが、(SSO先のOrganizationに限定されず、)Organization問わずにMerakiアカウント (Non-SAML…

Meraki Dashboardの送信元アドレス制限はSAML Userには適用されない

Meraki Dashboardには送信元アドレス制限 (Login IP ranges)がありますが、SSO (Single Sign-On)でログインするSAML Userには適用されません。 Meraki Dashboardの送信元アドレス制限 より正確には、メニュー: Organization > Settings の Security 設定がSA…

【取り扱い注意】Meraki Dashboard APIのEarly API Access (Beta版API)について

Meraki Dashboard APIには、Beta版APIが利用可能となるEarly API Accessがあります。 2022年08月頃に、メニュー: Organization > Early Access の 設定項目: Early API Access より、有効化と無効化の制御が可能となりました。デフォルトでは無効化になって…

Meraki MXのBGPは1,500 Prefixesがサイジングの推奨値 (2022年07月時点)

Meraki MXでは設定条件を満たすとBGPを使用できますが、BGPルートのサイジング推奨値が1,500 Prefixesとなっています。 (2022年07月時点) documentation.meraki.com Platform Sizing Considerations For Z3/c platforms we recommend only advertising a han…

MerakiのPDL (Per-Device Licensing)方式の場合は、ライセンス期限切れの事前通知はされない

MerakiのPDL (Per-Device Licensing)方式の場合は、ライセンス期限切れの事前通知はされない仕様になっています。 補足ですが、ライセンス期限切れに伴ってコンプライアンス違反状態になっている場合は、Meraki Dashboard上には通知される挙動にはなっており…

Meraki MXのBGPのAS番号は 、Auto VPN Domain (SD-WAN Fabric)全体でひとつ

Meraki MXのBGPのAS番号は、Auto VPN Domain (SD-WAN Fabric)全体でひとつになります。 Meraki MXにおけるBGPのAS番号はAuto VPN Domain (SD-WAN Fabric)でひとつ 補足 Meraki MXはAuto VPNトンネルにより、Organization内でAuto VPN Domain (SD-WAN Fabric)…

Meraki MXのNon-Meraki VPN peersは、Availabilityの設定項目で対象Networkを限定できる

Meraki MXの Non-Meraki VPN peers はOrganization全体に対しての設定項目となり、必要に応じて Availability の設定項目でSite-to-Site VPNトンネルを張る対象Networkを限定できます。 Non-Meraki VPN peers の設定箇所 Non-Meraki VPN peers の設定は、メ…

Meraki DashboardにSSO (Single Sign-On)しているUser (SAML User)ではAPI Keyの発行ができない

Meraki Dashboardに関わる操作を行うためのAPIがありますが、SSO (Single Sign-On)しているUser (SAML User)ではAPI Keyの発行はできません。 そのため、Meraki Dashboard APIを用いた自動化などを行う場合は、通常のMerakiアカウントを発行して管理する必要…

Meraki MXのローエンド モデルのLAN側ポートをWAN2として代替する

Meraki MXはWAN1とWAN2のUplinkを用いて負荷分散やWANリンクの冗長性を持たせられます。 しかしながら、MXのローエンド モデルはUplinkとして物理的なWAN2のポートがないモデルがあります。 ですが、LAN側のポートの一部をWAN2として代替させる機能が存在し…

Meraki MXのパフォーマンス状況と上位モデルへのアップグレードの指標

Meraki MXのパフォーマンスの状況と、上位モデルのアップグレードの指標はSummary reportの Device Utilization の情報を参考にします。 Device utilizationの情報 PoCなどで特定の拠点だけ先行導入をしているようなケースでは、その後の本格導入に向けて活…

MerakiのCo-Termination方式でのデバイス数の超過によるライセンスの失効パターン

MerakiのCo-Termination (Co-Term)方式では、障害時の筐体交換などで一時的にでもデバイス数が超過してライセンス更新の猶予期間 (Grace Period)を過ぎてしまうと、ライセンスの有効期間が残っていても失効するパターンがあります。 パターン1 特にMeraki MR…

MerakiのCo-Termination方式でライセンス期限が切れた場合の挙動の一例 (2019年当時)

2019年当時の情報となりますが、MerakiのCo-Termination方式でライセンス期限が切れた場合の挙動の一例を紹介します。 本記事は「Co-Termination方式で、ライセンスが切れ場合に実際にどのような挙動になるのか知りたい。」旨の問いを想定して、それに回答す…

Meraki vMXのNAT Mode Concentrator (Limited NAT mode)の特長や設定方法

Meraki vMX (Virtual MX)のModeには One-Armed Concentrator と NAT Mode Concentrator (Limited NAT mode) の2種類があります。 Concentrator Mode One-Armed Concentrator 備考: デフォルトのModeです。 NAT Mode Concentrator (Limited NAT mode) 備考: …

One-Armed ConcentratorのMeraki vMXは、Outbound向けの送信元NATに非対応

Meraki vMX (Virtual MX)には2種類のConcentrator Modeがありますが、One-Armed Concentrator (デフォルトのMode)ではOutbound向けの送信元NATに非対応です。 そのため、拠点のMXからPublic Cloudの vMX (Virtual MX)に対してFull Tunnelを張っても、 vMX (V…

Meraki vMX (Virtual MX)のSpoke設定時はFull Tunnelをサポートしていない (2022年05月時点)

仮想アプライアンスであるMeraki vMX (Virtual MX)は、Spoke設定時に他のMXシリーズに対してFull Tunnelの指定ができません。 表現を変えると、Meraki vMX (Virtual MX)はSpoke設定時にSplit Tunnelでのみ動作します。 補足ですが、Full Tunnelとはサービス…

Meraki DashboardのShardの意味合い

Meraki Dashboardには Shard と呼ばれる用語があります。 Meraki DashboardのURLは https://nXXX.meraki.com/ のようなフォーマットになっておりますが、nXXX の部分が Shard の情報となります。 Shard は破片のような意味合いがあるようですが、Meraki Dash…