My Home NW Lab

逸般の誤家庭のネットワーク

Meraki

Meraki MXのBGPのAS番号は 、Auto VPN Domain (SD-WAN Fabric)全体でひとつ

Meraki MXのBGPのAS番号は、Auto VPN Domain (SD-WAN Fabric)全体でひとつになります。 Meraki MXにおけるBGPのAS番号はAuto VPN Domain (SD-WAN Fabric)でひとつ 補足 Meraki MXはAuto VPNトンネルにより、Organization内でAuto VPN Domain (SD-WAN Fabric)…

Meraki MXのNon-Meraki VPN peersは、Availabilityの設定項目で対象Networkを限定できる

Meraki MXの Non-Meraki VPN peers はOrganization全体に対しての設定項目となり、必要に応じて Availability の設定項目でSite-to-Site VPNトンネルを張る対象Networkを限定できます。 Non-Meraki VPN peers の設定箇所 Non-Meraki VPN peers の設定は、メ…

Meraki DashboardにSSO (Single Sign-On)しているUser (SAML User)ではAPI Keyの発行ができない

Meraki Dashboardに関わる操作を行うためのAPIがありますが、SSO (Single Sign-On)しているUser (SAML User)ではAPI Keyの発行はできません。 そのため、Meraki Dashboard APIを用いた自動化などを行う場合は、通常のMerakiアカウントを発行して管理する必要…

Meraki MXのローエンド モデルのLAN側ポートをWAN2として代替する

Meraki MXはWAN1とWAN2のUplinkを用いて負荷分散やWANリンクの冗長性を持たせられます。 しかしながら、MXのローエンド モデルはUplinkとして物理的なWAN2のポートがないモデルがあります。 ですが、LAN側のポートの一部をWAN2として代替させる機能が存在し…

Meraki MXのパフォーマンス状況と上位モデルへのアップグレードの指標

Meraki MXのパフォーマンスの状況と、上位モデルのアップグレードの指標はSummary reportの Device Utilization の情報を参考にします。 Device utilizationの情報 PoCなどで特定の拠点だけ先行導入をしているようなケースでは、その後の本格導入に向けて活…

MerakiのCo-Termination方式でのデバイス数の超過によるライセンスの失効パターン

MerakiのCo-Termination (Co-Term)方式では、障害時の筐体交換などで一時的にでもデバイス数が超過してライセンス更新の猶予期間 (Grace Period)を過ぎてしまうと、ライセンスの有効期間が残っていても失効するパターンがあります。 パターン1 特にMeraki MR…

MerakiのCo-Termination方式でライセンス期限が切れた場合の挙動の一例 (2019年当時)

2019年当時の情報となりますが、MerakiのCo-Termination方式でライセンス期限が切れた場合の挙動の一例を紹介します。 本記事は「Co-Termination方式で、ライセンスが切れ場合に実際にどのような挙動になるのか知りたい。」旨の問いを想定して、それに回答す…

Meraki vMXのNAT Mode Concentrator (Limited NAT mode)の特長や設定方法

Meraki vMX (Virtual MX)のModeには One-Armed Concentrator と NAT Mode Concentrator (Limited NAT mode) の2種類があります。 Concentrator Mode One-Armed Concentrator 備考: デフォルトのModeです。 NAT Mode Concentrator (Limited NAT mode) 備考: …

One-Armed ConcentratorのMeraki vMXは、Outbound向けの送信元NATに非対応

Meraki vMX (Virtual MX)には2種類のConcentrator Modeがありますが、One-Armed Concentrator (デフォルトのMode)ではOutbound向けの送信元NATに非対応です。 そのため、拠点のMXからPublic Cloudの vMX (Virtual MX)に対してFull Tunnelを張っても、 vMX (V…

Meraki vMX (Virtual MX)のSpoke設定時はFull Tunnelをサポートしていない (2022年05月時点)

仮想アプライアンスであるMeraki vMX (Virtual MX)は、Spoke設定時に他のMXシリーズに対してFull Tunnelの指定ができません。 表現を変えると、Meraki vMX (Virtual MX)はSpoke設定時にSplit Tunnelでのみ動作します。 補足ですが、Full Tunnelとはサービス…

Meraki DashboardのShardの意味合い

Meraki Dashboardには Shard と呼ばれる用語があります。 Meraki DashboardのURLは https://nXXX.meraki.com/ のようなフォーマットになっておりますが、nXXX の部分が Shard の情報となります。 Shard は破片のような意味合いがあるようですが、Meraki Dash…

Meraki MXではFull Tunnelで対向のHubがダウンしてもルートは切り替わらない

Meraki MXではDC-DC Failover構成を除いて原則的にAuto VPN Peerに対するTrackingを行いません。 そのため、Full Tunnelを張る設定になっている場合は、対向のHubがダウンしてもルートが切り替わりません。 Full Tunnelで対向のHubがダウンしてもルートは切…

Meraki MXのActive-Active Routed Mode MX Scalingでは冗長性を保ったままAuto VPNには参加できない

Meraki MXにはActive-Active Routed Mode MX Scalingと呼ばれる展開方式があります。 documentation.meraki.com ドキュメント上ではActive-Active Routed Mode MX Scaling (Outbound Only)と表現されており、Outbound Only の文言が目につきます。 Outbound …

MerakiのFirewall Informationには、Meraki Cloudに関わる通信しかリストされていない

Meraki Dashboardでは Firewall Information にてMeraki Cloudに関する通信要件を表示できます。 Firewall Information の画面 ここで重要な点は、Meraki Cloudに関する通信しかリストされない点です。 そのため、Meraki MXではAuto VPNトンネルの形成に関わ…

Azure版のMeraki vMXでClient VPNを動作させるにはAZをNoneにする必要がある (2022年04月時点)

Azure版のMeraki vMXでは、冗長性構成にするためにAvailability ZoneをNone以外に指定してしまうとClient VPNが動作しなくなります。 情報源 情報源はMeraki Communityとなります。 community.meraki.com 本挙動の背景には、Meraki vMXの zone (Availability…

Meraki MX (Routed Mode)のWarm-Spare構成時の筐体障害交換の一例

Meraki MX (Routed Mode)のWarm-Spare構成時の筐体障害交換の手順をまとめました。 なお、本手順はあくまでも一例となります。環境や交換方法の指針によって手順の変更が必要になる可能性があります。 ドキュメントには該当するトピックがないため、筆者が個…

Meraki DashboardのAdministratorアカウント (Non-SAML User)は必ず1つは残す必要がある

Meraki DashboardのAdministratorアカウント (Non-SAML User)は、必ず1つは残す必要があります。

Cisco Duo SecurityによるMeraki DashboardへのSingle Sign-Onの利用イメージ

Cisco Duo SecurityによるMeraki DashboardへのSSO (Single Sign-On)では、Duo Centralと呼ばれるPortalを介したSSOとなります。

MerakiのSAMLによる認証のログはSAML login historyから確認する

Meraki DashboardでSAMLによる認証時のログをトラブルシューティングなどの目的で追いたい場合は、 メニュー: Organization > Administrators の画面内にある SAML login history から確認できます。 メニュー: Organization > Administrators SAML login hi…

Meraki vMX向けの冗長化切り替え用AWS Lambdaスクリプトの挙動

Meraki vMX向けのAWS Quick Startsには、冗長化切り替え用のAWS Lambdaスクリプトが用意されておりますが、 実案件で使用するには挙動を把握しておく必要があるため各種情報を整理しました。 CloudFormationのテンプレートを用いたデプロイは下記の記事を参…

AWS環境でのMeraki vMXのDC-DC Failover構成 (AWS Quick StartsによるVPC新規作成パターン)

Meraki vMXはWarm-Spareを組めないため、AWS環境ではVIP (Virtual IP)を用いたGatewayの冗長化が行えません。 そのため、Primary vMXとSecondary vMXの2台のMeraki vMXを用意しても、AWS側のRoute TableにはNext hopを1つしか設定できず、 障害時には何かし…

Meraki Dashboard APIでスクリプトを組むときは、必要なAPIが実装されているか事前に確認すべき

Meraki導入環境において、運用の効率化などのためにMeraki Dashboard APIを用いた作業の効率化を検討される場合は、 事前に必要なAPIが実装されているか確認するのが好ましいです。 Meraki DashboardのWeb UIには機能として表示されるものの、APIとしては実…

Meraki MXにおけるDC-DC Failoverの特性

Meraki MXでDC間の冗長化や、Warm-Spareに非対応なMeraki vMX (Virtual MX)で冗長化する場合は、DC-DC Failoverの構成を取る必要があります。 DC-DC Failoverの情報は下記の公式ドキュメントに記載がありますが、「何故そのような仕組みになっているのか?」…

Meraki MXのSite-to-site outbound firewallと非対称ルーティング時の挙動 (Statefulの判定範囲)

Meraki MXのSite-to-site outbound firewallはStatefulである点はドキュメントに明示されてますが、DC-DC Failoverの構成にて、非対称ルーティングの状況が生まれた際の挙動は明記されていないためサポートに確認を行いました。

Meraki MXのAuto VPNトンネル間のアクセス制御は、Organization全体で共通設定のOutbound制御になる

Meraki MXはAuto VPNトンネルを通るOutbound方向の通信に対しては Site-to-site outbound firewall でアクセス制御を行えます。 ただし、MerakiのOrganization全体で共通の設定となります。

Meraki MXのDC-DC Failoverは、Hub間でループするのが想定動作であり、実際にはループしていなくてもループする前提で扱う

概要 Meraki MXのDC-DC Failover構成では、Hub間でループするのが想定動作になります。 筆者がDC-DC Failover構成の検証をMXとvMXで行った際は、実際にはループが発生しませんでした。 そのため仕様の確認をサポートに行いましたが、 例え実際にはループが発…

Merakiの公式ドキュメントの重要な変更点を、Meraki Communityの情報から追う

Meraki Communiyの Label: Documentation Digest のTopicには、Merakiの公式ドキュメントの重要な変更点の情報が書き込まれています。(2022年03月時点) Topics with Label: Documentation Digest - The Meraki Community Merakiの公式ドキュメントには変更点…

Site24x7サービスからのMeraki Dashboard APIへのアクセス制限

概要 Site24x7のサービスからのみMeraki Dashboard APIが利用できるように、許可対象の送信元IPアドレスを絞る方法を紹介します。 Site24x7によるMeraki Dashboard APIを用いたMerakiデバイスの監視の設定自体は、下記の記事を参考にしてください。 myhomenw…

Site24x7によるMeraki Dashboard APIを用いたMerakiデバイスの監視

概要 Meraki Dashboard APIの用意 OrganizationレベルでAPIの有効化 AccountでAPI Keyを生成 Site27x7側の設定 MerakiのOrganization登録メニューへの移動 Step 1: Details Step 2: Choose Meraki Organization Step 3: Select Meraki Devices Step 4: Disco…

MerakiのSNMP Trapは、Meraki CloudからアラートがTrapとして発報される

MerakiのSNMP Trapは、Meraki CloudからアラートがTrapとして発報されます。Merakiデバイスではなく、Meraki Cloudである点に留意してください。 また、MerakiでSNMP Trapを有効化するにはサポートへの依頼が必要になります。