ダッシュボードアラート - コネクティビティの問題
このドキュメントは原文を 2023 年 11 月 9 日付で翻訳したものです。
最新の情報は原文をご確認ください。
概要
このドキュメントでは、”コネクティビティ”に分類されるすべてのアラートと表示される条件、およびトラブルシューティング手順について記載されています。アラート全般に関する情報は Alertsのドキュメントをご参照ください。
802.1X 障害(802.1X failure)
条件
設定された RADIUS サーバーに定期的に送信される Access-Request メッセージが 10秒のタイムアウト時間内に到達しなかった場合に"最近の802.1X障害"アラートが表示されます。詳細は Alert - Recent 802.1X Failure をご参照ください。
RADIUS テストが有効な場合、各デバイスはテストの結果に関わらず少なくとも 24 時間に一度すべての RADIUS サーバーへ接続テストを行います。特定のデバイスで一度テストに失敗すると、そのデバイスではテストが成功するまで毎時間接続テストを行います。その後接続テストに連続して成功すると RADIUSサーバーへ到達可能と判断し、アラートが非表示になります。また、接続テストの間隔も 24 時間おきに戻ります。
トラブルシューティング
詳細なトラブルシューティングの流れについては RADIUS Issue Resolution Guide をご参照ください。
SSID における VPN 障害 (VPN problems on SSID)
条件
MR と MX 間の VPN トンネルが正常に動作していない場合、アクセスポイントにこのアラートが表示されます。
トラブルシューティング
Service set identifier (SSID) Tunneling and Layer 3 Roaming - VPN Concentration をご参照ください。また、上位のファイアウォールで VPN レジストリに使用される UDP ポートがブロックしてないことを合わせてご確認ください。
クラウドに到達不能なデバイス (Unreachable device(s))
条件
到達不能(Unreachable) あるいは Meraki Cloud に接続したことがありません( Has never connected to the Meraki dashboard) のアラートは通常、Meraki デバイスと Meraki Cloud 間の経路上で何らかの問題が発生している場合に表示されます。Meraki デバイスが Meraki Cloud と通信ができなくなったため、このアラートがダッシュボード上で表示されます。
トラブルシューティング
最初にstatus.meraki.net で障害が報告されていないか確認してください。
status.meraki.net については Meraki Status Page をご参照ください。
日本のサポート窓口で更新している障害ページも合わせてご参照ください。
status.meraki.net に障害情報の記載はありますか?
障害情報の記載なし
ほとんどの場合 Meraki デバイスと Meraki Cloud 間の経路上で通信に関する問題が発生しています。この場合ダッシュボード(Meraki Cloud) はデバイスからログや、データの取得ができないため、まずはデバイス本体からトラブルシューティングを開始する必要があります。
1 つの拠点で複数のデバイスがオフラインになっている場合には、ご契約のインターネットプロバイダ(ISP)回線から最も近いデバイスで問題が起きてないか確認してください。Meraki スイッチが導入されている場合、ネットワーク全体 > トポロジー 内の L2 ビューでネットワーク構成を確認できます。
デバイス本体の LED を確認してください
デバイスの電源は入っていますか?
電源が入っていない
別の電源に接続して電源が入るか確認してください。解決しない場合、デバイスのシリアル番号が確認できる写真を撮り、その他の症状を併記の上、Meraki サポートへお問い合わせください。
電源が入っている
ローカルステータスページ(LSP)へアクセスできますか?
LSP へのアクセス方法についてはUsing the Cisco Meraki Device Local Status Page をご参照ください。
LSP にアクセスできない
デバイスを再起動して 15 分ほど待ってデバイスが Meraki Cloud と接続できるか確認してください
その後 LSP へアクセスできるか再度確認してください
再起動したあとデバイスはオンラインになりましたか?
オンラインになった
問題の再発を防ぐため、デバイスが最新のファームウェアを実行していることを確認してください。デバイスがすでに最新のファームウェアを実行しており、さらにトラブルシューティングを行いたい場合は、次に問題が発生するのを待ち、問題が発生していてデバイスに物理的にアクセスできる状態で Meraki サポートにお問い合わせください。
オフラインのまま
デバイスをリセットして 15 分ほど時間をおき、オンラインになるか確認してください。
リセットを行うと固定 IP の設定もなくなります。”Node's details page" の LAN IP の項目を確認し、必要に応じて再設定してください。
リセット後にデバイスはオンラインになりましたか?
オンラインになった
問題の再発を防ぐため、デバイスが最新のファームウェアを実行していることを確認してください。デバイスがすでに最新のファームウェアを実行しており、さらにトラブルシューティングを行いたい場合は、次に問題が発生するのを待ち、問題が発生していてデバイスに物理的にアクセスできる状態で Meraki サポートにお問い合わせください。
オフラインのまま
LSP へアクセスできるか再度お試しください。アクセスできない場合、物理的に該当のデバイスへ触れられる状態で Meraki サポートまでお問い合わせください。
リセット後の LSP へのアクセス時に必要な認証情報は、ユーザー名はシリアル番号(大文字、ハイフンあり)でパスワードはありません。
LSP にアクセスできる
LSP 上にアラートは表示されていますか?
"SOMETHING'S NOT RIGHT" と表示されている
アラートの詳細を確認し、内容に応じて以下を参照してください。
エラー | 次のステップ |
This <device-type> does not have a working DNS server. | デバイスに設定されたDNSが応答しないか、到達できないことを意味します。デバイスが正しいDNSサーバーを使用しており、デバイス間の通信がブロックされていないことを確認してください。 |
This <device-type> is not connected to the Internet. | デバイスがインターネットに到達できていません。デバイスはICMPとHTTPでcanireachthe.netと8.8.8.8への到達を試みてインターネット接続性をテストしています。経路上にこの通信をブロックする装置がないことを確認してください。 |
This <device-type> is not connected to the Cisco Meraki cloud. |
このデバイスは、ヘルプ(?) > ファイアウォール情報に記載されているIP アドレスとポート番号の組み合わせの通信のすべてあるいは一部に到達できません。経路上のデバイスでこれらの通信をブロックしていないことを確認してください。 また、上流のデバイスでSSLインスペクションが行われていないことも確認してください。SSLインスペクションが行われると、デバイスがバックエンドと同期できなくなります。SSLインスペクションは、ファイアウォール情報ページに記載されているポートとIPには適用されないはずです。 |
アラートが表示されなくなるまでご利用のネットワーク環境を点検してください。
点検する場所がわからなかったり、サポートが必要な場合はオフライン時のログ取得を参照してログデータを取得し、合わせて LSP のスクリーンショットをとり、Meraki サポートへご提供ください。
デバイスは通常通り動作しているように見える
アラートが表示されないにも関わらずオフラインの場合にははオフライン時のログ取得を参照してログデータを取得し、その後再起動を行い 15 分ほど様子を見てください。
再起動したあとデバイスはオンラインになりましたか?
オンラインになった
問題の再発を防ぐために、デバイスが最新のファームウェアを実行していることを確認してください。デバイスがすでに最新のファームウェアを実行しており、さらにトラブルシューティングを行いたい場合は Meraki サポートチームに連絡し、前のステップでダウンロードした ログSDB ファイルを共有してください。
オフラインのまま
デバイスをリセットし、 15 分ほど様子を見てください。
リセットを行うと固定 IP の設定もなくなります。”Node's details page" の LAN IP の項目を確認し、必要に応じて再設定してください。
リセット後にデバイスはオンラインになりましたか?
オンラインになった
問題の再発を防ぐために、デバイスが最新のファームウェアを実行していることを確認してください。デバイスがすでに最新のファームウェアを実行しており、さらにトラブルシューティングを行いたい場合は Meraki サポートチームに連絡し、前のステップでダウンロードした ログSDB ファイルを共有してください。
オフラインのまま
LSP へ再度アクセスし、オフライン時のログ取得を参照して新しいログデータを取得して Meraki サポートへご連絡ください。その際、デバイスに物理的にアクセス可能な状態であることと、取得したログデータを必ずサポートへご提供ください。
リセット後の LSP へのアクセス時に必要な認証情報は、ユーザー名はシリアル番号(大文字、ハイフンあり)でパスワードはありません。
遠方にいるため確認できない
ダッシュボードからオフラインになっているデバイスのページを開き、近隣にある*オンラインデバイスを確認してください。確認場所がわからない場合、以下よりオフラインになっているデバイスの種類を選択してください。
Note: これはオフラインデバイスがオフラインになる前に報告した直近の近隣デバイスであることに注意してください。オフライン中に誰かがオフラインデバイス別の場所に移動させた場合は、ダッシュボードには更新された情報は表示されません。
MR
ワイヤレス > アクセスポイント からオフラインのアクセスポイントをクリックし、”Ethernet" セクションを確認します。オンラインのMerakiデバイスが近隣にある場合にはハイパーリンクが表示されます。ハイパーリンクがない場合、近隣のデバイスは Meraki デバイスでない可能性があります。
MX / MG / Z
近隣Meraki デバイスの検知機能はありません。
MS
スイッチ > スイッチ よりオフラインのスイッチをクリックし、ポート内の直近のアップリンクポートを確認してください。
その後”ステータス”までページをスクロールし、直近の上位機器を確認し、そのデバイスがオフラインであるか確認します。ハイパーリンクがない場合、その上記機器は Meraki デバイスとしてそのスイッチでは認識されていません。
MV
カメラ > カメラ からオフラインのカメラをクリックし、”Ethernet" セクションを確認します。オンラインのMerakiデバイスが近隣にある場合にはハイパーリンクが表示されます。ハイパーリンクがない場合、近隣のデバイスは Meraki デバイスでない可能性があります
直近の近隣にある Meraki デバイスはオンラインですか?
近隣のデバイスもオフライン/近隣にMERAKIデバイスがない
設置場所へ向かい、物理的にデバイス本体を確認してトラブルシューティングを継続してください。デバイスは Meraki Cloud と通信できない状態のため、デバイス本体からトラブルシューティングを開始する必要があります。物理的にデバイスを確認できる状態になるまでサポートへの連絡はご遠慮ください。
近隣のMERAKIデバイスはオンライン
ネットワーク全体 > パケットキャプチャ にて対象の近隣デバイスを選択し、オフラインデバイスが接続されているポートでパケットキャプチャを 180秒間取得してください。
パケットキャプチャがダウンロードされたらwireshark を使ってパケットキャプチャファイルを開きます。
フィルタに eth.addr == <オフラインデバイスの MAC アドレス> を入力します。
オフラインデバイスが DHCP によって IP アドレスを取得しているか、、DNSによる名前解決が行えているか、Meraki Cloud との双方向通信があるか確認してください。
Note: Meraki Cloud で使用される IP アドレスは ? > ファイアウォール情報(Firewall info)で確認できます。
パケットキャプチャ上で何らかの問題が見つかった場合、必要に応じてご対応ください。もしパケットキャプチャの内容がわからなかったり、サポートが必要な場合には Meraki サポートへお問い合わせの上取得したパケットキャプチャをご提供ください。
パケットキャプチャ内の通信は正常ですか?
パケットが表示されない
フィルター適用後にパケットが表示されない場合、オフラインデバイスの電源が入っていないか、物理的に別の場所へ移動している可能性があります。設置場所へ向かいトラブルシューティングを行ってください。
正常に見える
デバイスと Meraki クラウド間で正常な通信が確認され、問題が解決しない場合は、デバイスに直接アクセスするために設置場所に移動し、トラブルシューティングを再スタートしてください。現時点ではオフラインのデバイスは Meraki クラウドと通信できないため、ダッシュボードを使用してトラブルシューティングを行うことはできません。
休止状態のデバイス(Dormant device(s))
条件
MT センサーが1 週間以上ダッシュボードと通信していない
トラブルシューティング
- 休止状態になっているセンサーのバッテリーを確認してください。5% 未満である場合にはバッテリーを交換してください。
- MT10/12 は単3電池 2 本を使用します
- MT20 は単3 電池 1 本を使用します
- MT センサーがゲートウェイ (MVあるいはMR)の電波が届く範囲内にあることを確認してください
- センサーがゲートウェイと通信するためには -85 dBm 以上の電波強度を確保してください。センサーのデータが送信されていない場合でもゲートウェイがセンサーを検知している場合には RSSI は記録されます。
Merakiクラウドに接続したことがない(Device(s) has never connected to the Meraki cloud)
条件
このアラートは問題のデバイスが現在のアカウントに割り当てられているにもかかわらず、Meraki Cloud コントローラに一度もチェックインしていないことを示します。これは初回セットアップの直後によく見られる現象で、数分後には解決するはずです。しかし、必ずしもそうとは限りません。
トラブルシューティング
Unreachable devices(s) と同じトラブルシューティングを起こってください。
インターネットゲートウェイが見つかりません(Internet gateway unfound)
条件
このアラートは Meraki デバイスにゲートウェイや IP アドレスが割り当てられていない(DHCP で自動的に見つけることができない)場合によく発生します。
トラブルシューティング
- デバイスがDHCPサーバーから有効なIPアドレスを得ていることを確認してください。静的IPを使用している場合は、このIPアドレスがノートパソコンでも動作することを確認してください。そうでない場合は、静的IP情報が間違っている可能性が高いので、更新する必要があります。
- デバイスがオフラインになっている場合、Device(s) has never connected to the Meraki cloudに記載されているトラブルシューティングを行ってください。
インターネット接続が正しくありません(Bad internet connection)
条件
Merakiデバイスがファイアウォール、コンテンツフィルタ、プロキシサーバを通してMerakiクラウドに接続する際に問題が発生した場合、Merakiネットワークとダッシュボードに以下のような問題とアラートが表示されます。
- 黄色のアイコンがデバイス一覧および各デバイスの詳細ページの表示される
- アラートが出ている間はコネクティビティグラフがオレンジになる
- "This device has poor connectivity to the Meraki controller, possibly due to an asymmetric firewall or network address translation (NAT) issue."というアラートがデバイスの詳細ページに表示される
- デバイスがネットワークに接続できない
トラブルシューティング
これは一般的に上位に位置するファイアウォールがステートフルパケットインスペクションを使用していないために起こります。この例では、MerakiデバイスのTCP同期(SYN)パケットがクラウドに届いています。クラウドが TCP synchronize acknowledge (SYN/ACK) で Meraki デバイスに応答すると、そのパケットがファイアウォールによってドロップされます。TCP SYN/ACK を待っている Meraki デバイスはそれを受信することはありません。したがって、Merakiデバイスからの確認応答TCP ACKは、TCP接続を確立するためにコントローラに送り返されることはありません。これは一方向トラフィックと呼ばれます。
この問題は、トラフィックを異なるネットワークにルーティングするために、LANセグメントに2つの異なるルーターを接続している場合にも発生します。この場合、リモートネットワークからのトラフィックは一方のルーターのインターフェースからLANに入り、LANデバイスに送信されます。LANデバイスが返信すると、もう一方のルーターのインターフェースに返信が送信されます。フレームを受信したルーターは、通信の半分しか見ていないため、パケットを破棄します。
問題の切り分けおよびアラートを解消するには以下をお試しください
- Meraki デバイスを正常に稼働している別のネットワークセグメントへ移動し、インターネットまでの経路の差分を調査する
- ネットワーク内のファイアウォールや他のセキュリティ機器で Meraki デバイスから送信されるトラフィックを改変していないか確認する
- Meraki デバイスからのトラフィックはファイアウォールやコンテンツフィルタ、プロキシサーバー、あるいはその他のセキュリティ機器の制御対象から除外(バイパス)する
- ファイアウォールがステートフルパケットインスペクションを実行しているか確認する。これが有効な場合接続を確立している間の内向きパケットは許可されます。
- LAN セグメントの出入り口が単一であることを確認する
Meraki クラウドのためのファイアウォール設定については Upstream Firewall Rules for Cloud Connectivity を参照してください。
インターネットへのゲートウェイが見つけることができない(Cannot find a gateway to the Internet)
条件
Meraki デバイスの電源は入っているが、イーサネット接続を使用できない、または MR が同じダッシュボードネットワーク内の別の MR にメッシュ接続できない。
トラブルシューティング
デバイスがイーサネットポートを使用してインターネットへ到達することが想定される場合は・・・
- 上位のデバイスで問題のデバイスがリンクアップしていることを確認する
- デバイスが IP アドレスを DHCP サーバーから割り当てられている、あるいは適切な固定 IPが割り当てられているか確認する。(設定方法はStatic IP Assignment on a Cisco Meraki Access Pointを参照)
- インターネットへの接続が正常にできているネットワークに接続する
- 正常なネットワークではヘルプ > ファイアウォール情報 (Upstream Firewall Rules for Cloud Connectivity) に記載されている IP アドレスとポートn組み合わせへのトラフィックが許可されていて、接続テストにも成功していることが想定されます。 (Connection Monitoring for WAN Failover を参照)
問題の MR はメッシュリピーターとしての動作が想定される場合は(Using a Cisco Meraki Access Point as a Mesh Repeaterを参照)、同じダッシュボードネットワークに所属するゲートウェイ MR がリピーター MR の電波が十分に届く範囲に設置されているか確認してください
Merakiクラウドへの接続が不十分(Poor connectivity to the Meraki cloud)
条件
このアラートが表示される場合、Merakiデバイスをインターネットに接続させるはずのネットワーク機器(通常はファイアウォールやNATを実行するデバイス)の設定が間違っていることが原因です。
トラブルシューティング
これは一般的に上位に位置するファイアウォールがステートフルパケットインスペクションを使用していないために起こります。この例では、MerakiデバイスのTCP同期(SYN)パケットがクラウドに届いています。クラウドが TCP synchronize acknowledge (SYN/ACK) で Meraki デバイスに応答すると、そのパケットがファイアウォールによってドロップされます。TCP SYN/ACK を待っている Meraki デバイスはそれを受信することはありません。したがって、Merakiデバイスからの確認応答TCP ACKは、TCP接続を確立するためにコントローラに送り返されることはありません。これは一方向トラフィックと呼ばれます。
この問題は、トラフィックを異なるネットワークにルーティングするために、LANセグメントに2つの異なるルーターを接続している場合にも発生します。この場合、リモートネットワークからのトラフィックは一方のルーターのインターフェースからLANに入り、LANデバイスに送信されます。LANデバイスが返信すると、もう一方のルーターのインターフェースに返信が送信されます。フレームを受信したルーターは、通信の半分しか見ていないため、パケットを破棄します。
問題の切り分けおよびアラートを解消するには以下をお試しください
- Meraki デバイスを正常に稼働している別のネットワークセグメントへ移動し、インターネットまでの経路の差分を調査する
- ネットワーク内のファイアウォールや他のセキュリティ機器で Meraki デバイスから送信されるトラフィックを改変していないか確認する
- Meraki デバイスからのトラフィックはファイアウォールやコンテンツフィルタ、プロキシサーバー、あるいはその他のセキュリティ機器の制御対象から除外(バイパス)する
- ファイアウォールがステートフルパケットインスペクションを実行しているか確認する。これが有効な場合接続を確立している間の内向きパケットは許可されます。
- LAN セグメントの出入り口が単一であることを確認する
Meraki クラウドのためのファイアウォール設定については Upstream Firewall Rules for Cloud Connectivity を参照してください。
バックアップクラウド接続を使用(Backup cloud connection used)
条件
バックアップクラウド接続はプライマリ接続が失敗したときに使用されます。これはMerakiクラウドサーバーへのプライマリ接続に問題が発生した場合でも、Merakiデバイスを最新の状態に保つのに役立ちます。
バックアップ接続はポート80または443を使用することができますが、データはどのように転送されても暗号化されていますのでご安心ください。
トラブルシューティング
Meraki クラウド に接続することで Meraki デバイスは Meraki ダッシュボードでオンラインとして表示されます。ハードウェアが Meraki クラウド コントローラに正常にチェックインするためには、以下の要件を満たす必要があります:
- ハードウェアに有効なIPが割り当てられている必要があります。DHCPがハードウェアにIPアドレスを自動的に提供しない場合は、デバイスに静的IPアドレスを割り当ててください。
- UDP ポート 7351 は上流のファイアウォールやデバイスで許可されている必要があります。Meraki Go ハードウェアは参照されたポートの UDP を使用してクラウドにチェックインします。
Meraki クラウドのためのファイアウォール設定については Upstream Firewall Rules for Cloud Connectivity を参照してください。
Meraki クラウド通信の問題(Meraki cloud communication issues)
条件
このアラートが表示される場合、Merakiデバイスをインターネットに接続させるはずのネットワーク機器(通常はファイアウォールやNATを実行するデバイス)の設定が間違っていることが原因です。
トラブルシューティング
これは一般的に上位に位置するファイアウォールがステートフルパケットインスペクションを使用していないために起こります。この例では、MerakiデバイスのTCP同期(SYN)パケットがクラウドに届いています。クラウドが TCP synchronize acknowledge (SYN/ACK) で Meraki デバイスに応答すると、そのパケットがファイアウォールによってドロップされます。TCP SYN/ACK を待っている Meraki デバイスはそれを受信することはありません。したがって、Merakiデバイスからの確認応答TCP ACKは、TCP接続を確立するためにコントローラに送り返されることはありません。これは一方向トラフィックと呼ばれます。
この問題は、トラフィックを異なるネットワークにルーティングするために、LANセグメントに2つの異なるルーターを接続している場合にも発生します。この場合、リモートネットワークからのトラフィックは一方のルーターのインターフェースからLANに入り、LANデバイスに送信されます。LANデバイスが返信すると、もう一方のルーターのインターフェースに返信が送信されます。フレームを受信したルーターは、通信の半分しか見ていないため、パケットを破棄します。
問題の切り分けおよびアラートを解消するには以下をお試しください
- Meraki デバイスを正常に稼働している別のネットワークセグメントへ移動し、インターネットまでの経路の差分を調査する
- ネットワーク内のファイアウォールや他のセキュリティ機器で Meraki デバイスから送信されるトラフィックを改変していないか確認する
- Meraki デバイスからのトラフィックはファイアウォールやコンテンツフィルタ、プロキシサーバー、あるいはその他のセキュリティ機器の制御対象から除外(バイパス)する
- ファイアウォールがステートフルパケットインスペクションを実行しているか確認する。これが有効な場合接続を確立している間の内向きパケットは許可されます。
- LAN セグメントの出入り口が単一であることを確認する
Meraki クラウドのためのファイアウォール設定については Upstream Firewall Rules for Cloud Connectivity を参照してください。
セルラー回線へフェールオーバー(Cellular Failover Active)
条件
すべての有線アップリンクの喪失(ポートダウン、デバイスのDNS/ping障害などを含みますが、これらに限定されません)。
トラブルシューティング
- ダッシュボードのポートステータスまたはデバイスのポートステータスLEDで、有線接続が有効になっていることを確認する。
- 物理的にリンクアップしている場合、セキュリティ & SD-WAN > アプライアンス > ツールタブにて Ping を利用してインターネットやゲートウェイ等への接続性を確認してください。
- 物理的にリンクアップしていない場合
- ケーブルが正しく接続されていることと、モデムに電源が入っているか確認してください
- 新しいケーブルか正常動作が確認できているケーブルを接続する
- インターネットプロバイダ(ISP) へ問い合わせる
VLAN 切断 (VLAN disconnect)
条件
仮想経路冗長プロトコル(VRRP)の構成では、両スイッチともレイヤ 3 インタフェースに設定されたすべての VLAN の VRRP 広告をリッスンします。スイッチがこれらの VLAN のいずれかで VRRP アドバタイズメントを受信できない場合、このアラートが表示されます。
トラブルシューティング
- プライマリデバイスとセカンダリデバイス間のポートがすべてのVLANを許可しているかどうかを確認する。そうでない場合は、すべてのVLANを許可するようにポートを更新してください。
- VLAN が許可されている場合、そのポートでパケットキャプチャを実行し、どの VLAN が VRRP アドバタイズメントを欠落しているかを確認し、さらにトラブルシューティングを行うために Meraki サポートに連絡してください。
VRRP フェールオーバー (VRRP failover)
条件
このアラートは、スペアデバイスがプライマリになった場合に表示されます。VRRP の仕組みの詳細については、MS Warm Spare (VRRP) Overviewの記事を参照してください。
トラブルシューティング
- プライマリ・スイッチがスペア・スイッチとレイヤ 1(物理) 接続を確立していることを確認する
- プライマリ・スイッチとスペア・スイッチの間で、レイヤ3インタフェースとして設定されたVLANが許可されていることを確認する
- プライマリスイッチが正しく機能しているかどうかを、本記事内の他のトラブルシューティングの項に従って確認してください。
サイト間 Auto VPN がダウン (Site-to-Site Auto VPN Down)
条件
このアラートは、近隣サイトへの Meraki AUto VPN 接続が 5 分以上ダウンした場合に表示されます。
トラブルシューティング
Meraki Auto VPN - Configuration and Troubleshooting を参照し、トラブルシューティングを行ってください