ダッシュボード接続に関するアラートについて
Cisco Meraki デバイスがダッシュボードへの接続に問題がある場合、ダッシュボードはアラートを表示します。これらのアラートは、デバイスリストから問題のあるデバイスを表示するか、デバイスリストにアラート列を追加することで確認できます。アラートを確認し修正することで、ネットワークの安定性が向上します。
最も一般的なアラートのいくつかを以下に説明し、デバイスが経験している可能性のある問題をトラブルシューティングして修正する方法を紹介します。
Device Has Never Connected to the Meraki Cloud
このデバイスはネットワークに追加されましたが、設定を同期するために Meraki ダッシュボードにうまく接続できていません。確認すべきことがいくつかあります。
デバイスが、電源から電力を受け取っているかどうかを確認します。
- ACアダプタ経由、またはPoEを供給するデバイスから供給されている。
デバイスがイーサネットポートを通じて上流側のデバイスとのリンクを確立していることを確認します。
デバイスのステータスライトの色を確認します。
- ネットワークがダークモードで動作するように設定されている場合に注意してください。
インターネットに接続できる、既知のネットワーク接続に接続します。
- インターネット接続が機能していれば、ダッシュボードの「ヘルプ」>「ファイアウォール情報」で定義されたIP、ポート、プロトコルにアクセスでき、接続監視テストに成功するはずです。
デバイスがDHCPサーバーからIPアドレスを受信しているか、有効な静的IPが割り当てられていることを確認します。
上流のデバイスでパケットキャプチャを行い、デバイスがどのようなトラフィックを送受信しているかを確認します。
- .pcapファイルをダウンロードする際に、デバイスのIPアドレスまたはMACアドレスをフィルタリングすることは、大規模ネットワークに推奨されます。
デバイスのファクトリーリセット(初期化)を実行します。
新しく追加されたデバイスは、ダッシュボードにチェックインするのに時間を要する場合があります。デバイスが最近別のダッシュボード組織またはネットワークから移動された場合に関しても、デバイスがダッシュボードにチェックインするまでに時間がかかることがあります。
デバイスが電源投入後数分経ってもダッシュボードにチェックインしない、かつダッシュボードネットワークに登録された他の Meraki 機器がダッシュボードにチェックインしている場合には、トラブルシューティングの次のステップとしてデバイスのローカルステータスページを参照してください。
上記の切り分けを確認後、次のステップに進むために Meraki Support にご連絡ください。
Device is Unreachable
デバイスが、ダッシュボードとの接続に最後に成功した時刻を報告している状態です。デバイスがダッシュボードとの通信を確立できない原因はいくつかあります。
デバイスが、電源から電力を受け取っているかどうかを確認します。
- ACアダプタ経由、またはPoEを供給するデバイスから供給されている。
上流側の機器とリンクが確立していることを確認します。
- イーサネットポート、またはメッシュネイバーとして認識されている。
デバイスのステータスライトの色を確認します。
- ネットワークがダークモードで動作するように設定されている場合に注意してください。
デバイスが動作中のインターネット接続に接続されているかどうかを確認します。
- インターネット接続が機能していれば、ダッシュボードの「ヘルプ」>「ファイアウォール情報」で定義されたIP、ポート、プロトコルにアクセスでき、接続監視テストに成功するはずです。
上流環境で複数のVLANが使用されている場合は、同じVLANで接続をテストしてください。
デバイスがDHCPサーバーからIPアドレスを受信しているか、有効な静的IPが割り当てられていることを確認します。
上流のデバイスでパケットキャプチャを行い、デバイスがどのようなトラフィックを送受信しているかを確認します。
- .pcapファイルをダウンロードする際に、デバイスのIPアドレスまたはMACアドレスをフィルタリングすることは、大規模ネットワークに推奨されます。
デバイスのファクトリーリセット(初期化)を実行します。
もしデバイスが電源投入後数分経ってもダッシュボードにチェックインしない、かつダッシュボードネットワークに登録された他の Meraki 機器がダッシュボードにチェックインしている場合には、トラブルシューティングの次のステップとしてデバイスのローカルステータスページを参照してください。
上記の切り分けを確認後、次のステップに進むために Meraki Support にご連絡ください。
Bad Internet Connection
Meraki デバイスがファイアウォール、コンテンツフィルタ、プロキシサーバを通して Meraki クラウドに接続する際に問題がある場合、Meraki ネットワークとダッシュボードで次のような問題とアラートが表示されます。
- 機器一覧ページおよび個別機器詳細ページに黄色い接続アイコンが表示されます。
- 接続性グラフにオレンジ色のバーが表示されます。
- ダッシュボード上に "This device has poor connectivity to the Meraki controller, possibly due to an asymmetric firewall or NAT issue." というバナーが表示されます。
- デバイスがネットワークに接続できなくなります。
- MRの場合には
・AP詳細ページの接続性グラフにポインタを合わせると、「ゲートウェイ警告(コントローラへの接続不良、ファイアウォールまたはNATの問題の可能性)」が表示されます。
・"bad-gateway" という無線ネットワークが表示されます。
・APのLEDがオレンジ色に点灯し、緑色の信号ランプが点滅しています。
・クライアントが無線ネットワークに接続できなくなります。
考えられる原因
上流のファイアウォールがステートフル・パケット・インスペクションを使っていないこと
この例では、Meraki デバイスの TCP SYN パケットがクラウドに到達しています。クラウドがMeraki デバイスに TCP SYN/ACK で応答すると、それはファイアウォールによってドロップされます。TCP SYN/ACK を待っているMeraki デバイスはそれを受け取ることはありません。したがって Meraki デバイスからの確認応答 TCP ACK は TCP 接続を確立するためにコントローラに送り返されることはありません。これは一方通行のトラフィック(one-way traffic)と呼ばれます。
異なるネットワークにトラフィックをルーティングするために、LANセグメントに2つの異なるルーターを接続している場合にも発生する可能性
この例では、リモートネットワークからのトラフィックは、一方のルーターのインターフェースからLANに入り、LANデバイスに送信されます。LANデバイスが返信すると、もう一方のルーターのインターフェースに返信を送ります。フレームを受信したルーターは、接続の半分しか見ていないため、パケットを破棄します。
これらの問題やアラートを分離し、潜在的に改善するために以下をお試しください。
- Meraki デバイスを他のデバイスが動作している別のネットワークセグメントに移動し、インターネットへのパスの違いを解析。
- ファイアウォールや他のセキュリティデバイスが Meraki デバイスのトラフィックを変更していないことを確認。
- Meraki デバイスがファイアウォール、コンテンツフィルター、プロキシサーバーや他のセキュリティデバイスを迂回できるようにする。
- ファイアウォールがステートフルパケットインスペクションを実行しており、受信パケットがESTABLISHED接続の一部である場合に許可されることを確認。
- LAN セグメントに単一の入口と出口のインターフェイスしかないことを確認。
Meraki Cloud をサポートするためのファイアウォールの設定についての詳細は、こちらの KB をご覧ください。
DNS is Misconfigured
インターネット上で使われるほとんど全てのデバイスと同様に、Meraki デバイスはダッシュボードの URL を解決するために DNS に依存しています。デバイスがこのように DNS 設定の問題を報告している場合、基本的ににはデバイスが DNS リクエストに対する応答を受け取っていないことを意味指しています。問題の原因を見つけるためには以下を確認します。
- ファイアウォールルールが、使用中のDNSサーバーとの間のトラフィック、またはUDPポート53へのトラフィックをブロックしていないか。
- DNSサーバーとの間のトラフィックのルーティング。
- DNSサーバーから無効な応答がかえっていないか。
上流のデバイスでパケットキャプチャを行い、デバイスがどのようなトラフィックを送受信しているかを確認します。
⇨ .pcapファイルをダウンロードする際に、デバイスのIPアドレスまたはMACアドレスをフィルタリングすることは、大規模ネットワークに推奨されます。
DNS トラフィックをブロックするファイアウォールルールがなく、ルーティングトラフィックに問題がない場合には、この問題を回避する方法として DNS サーバを DHCP サーバ上で動作するパブリックリゾルバに変更することが挙げられます。Meraki デバイスに別の IP を要求させるか、IP を手動で設定し、DNS サーバーを既知の動作するパブリックリゾルバに設定します。
Device is Unable to Find a Gateway to the Internet
Meraki デバイスの電源は入っているが、イーサネット接続が使用できない、または MR が同じダッシュボードネットワーク内の別の MR にメッシュ接続できない場合に表示がされます。
デバイスがインターネットへの接続にイーサネットポートを使用することが想定される場合
- デバイスがEthernetポートを介して上流デバイスとのリンクを確立していることを確認します。
- デバイスがDHCPサーバーからIPアドレスを受信しているか、有効な静的IPが割り当てられていることを確認します。
- インターネットにアクセスできる、既知のネットワーク接続に接続します。
インターネット接続が機能していれば、ダッシュボードの「ヘルプ」>「ファイアウォール情報」で定義されたIP、ポート、プロトコルにアクセスでき、接続監視テストに成功するはずです。
ネットワークの設計上、MRがメッシュリピータとして機能することが想定される場合
- 同じダッシュボードネットワーク内に、ワイヤレス範囲内にあり、十分な電波強度を持つMRがあることを確認します。
Configuration is Out of Date
デバイスは、10分ごとに最新の設定をダウンロードします。このアラートは、デバイスが現在ダッシュボードにチェックインしているが、過去1時間以内に設定がダウンロードされていない場合に表示されます。この場合、ステータスページのデバイスの下にあるステータスアイコンの色が黄色に変わりますが、デバイスの過去の接続データは緑色で表示されます。
このような場合は、以下の箇所をご確認ください。
- ダッシュボードへのデバイスのトラフィックが上流のデバイスによってブロックされたり、不正にルーティングされたりしていないこと
IP、ポート、プロトコルは、ダッシュボードの「ヘルプ」>「ファイアウォール情報」で定義されています。 - 上流のデバイスでパケットキャプチャを行い、デバイスがどのようなトラフィックを送受信しているかを確認します。
.pcapファイルをダウンロードする際に、デバイスのIPアドレスまたはMACアドレスをフィルタリングすることは、大規模ネットワークに推奨されます。
Poor connectivity to the Meraki cloud
これは一般に、ルーティングの非対称性が認識されていることが原因です。非対称ファイアウォールとは、通常、トラフィックがあるファイアウォールまたはルーターを経由してネットワークから離れ、別のファイアウォールを経由して戻ってくることを意味します。NATが使用されている場合、これはリターントラフィックの問題を引き起こす可能性があります。
このような場合は、以下の箇所をご確認ください。
- 上流のファイアウォールがあなたのネットワーク上のネットワークデバイスの入口と出口の両方として設定されていることを確認してください。
どのポートとアドレスが Meraki デバイスから送受信されているかについての詳しい情報は、ダッシュボードの「ヘルプ」>「ファイアウォール情報」 や、KB「 Upstream Firewall Rules for Cloud Connectivity 」を参照して下さい。 - 上流のデバイスでパケットキャプチャを行い、デバイスがどのようなトラフィックを送受信しているかを確認します。
.pcapファイルをダウンロードする際に、デバイスのIPアドレスまたはMACアドレスをフィルタリングすることは、大規模ネットワークに推奨されます。
The Cisco Meraki Cloud is having difficulty communicating with this device
このエラーはファイアウォールのテストが失敗したときに起こります。これは Meraki デバイスが Meraki クラウドと通信しようとしたが、その通信がアップストリームのファイアウォールによってブロックされたことを意味します。
このような場合は、以下の箇所をご確認ください。
- ダッシュボードへのデバイスのトラフィックが上流のデバイスによってブロックされたり、不正にルーティングされたりしていないこと
IP、ポート、プロトコルは、ダッシュボードの「ヘルプ」>「ファイアウォール情報」で定義されています。 - 上流のデバイスでパケットキャプチャを行い、デバイスがどのようなトラフィックを送受信しているかを確認します。
.pcapファイルをダウンロードする際に、デバイスのIPアドレスまたはMACアドレスをフィルタリングすることは、大規模ネットワークに推奨されます。
Bad IP assignment configuration
Cisco Meraki デバイスに対して固定 IP アドレスをダッシュボードから、または my.meraki.com >> Uplink configuration ページ経由で設定した後に、ダッシュボード上では "Bad IP assignment configuration" と表示がされる場合があります。
デバイスがデフォルトゲートウェイから ARP 応答を取得できない場合、デバイスは IP 設定に DHCP を使用するように戻ります。これは、デバイスをオンラインにするための仕様です。デバイスがデフォルトゲートウェイに到達できない場合には、上記のようにアラートが表示されることはありません。
上記の場合、ローカルステータスページのアップリンク設定ページ、または MS スイッチと MR アクセスポイントの場合はダッシュボードのデバイスの詳細ページの "IP アドレスの設定" にアクセスすると、静的 IP は設定されたままの表示となります。デバイスは DHCP 経由で異なる IP を持つことになりますが、静的に設定されたゲートウェイに対しても ARP をし続けます。デバイスがそのゲートウェイからARP応答を受信するとすぐに、APは静的構成に切り替わります。
上記のパケットキャプチャでは、Meraki AP はゲートウェイ 192.168.15.1 から ARP 応答を受け取っていないので、すでに DHCP で IP を取得しています。しかし、AP は静的に設定されたゲートウェイに対して ARP リクエストを継続的に送出します。静的に設定されたゲートウェイから ARP 応答を受信するまで、ダッシュボードは「Bad IP assignment configuration」を報告し続けます。
対応方法
デバイスが正しい設定になっているか確認します。以下について確認してください。
- 入力されたゲートウェイは正しく、オンラインであること。
- VLANが正しいか、またはVLANを使用していない場合は空白であること。なお、設定する VLAN がスイッチポートのネイティブ VLAN である場合、これは空白のままにしておく必要があります。
- IP、サブネットマスク、およびゲートウェイが、この AP が接続されているサブネットに対して正しいこと。
- Primary DNS が有効で、到達可能であること(Google Public DNS の 8.8.8.8 または 8.8.4.4 の使用を推奨します)。
- 設定に余分なスペースがないこと(先頭、末尾、文字間を含む)。
ローカルステータスページを確認する - ローカルステータスページには、トラブルシューティングの際に問題解決に役立つ、より詳細なエラー出力が表示されることがよくあります。
5分待つ - Bad IP assignmentエラーは、多くの場合、データ不足を反映しています。数分後、トラブルシューティングのために、より正確なエラーが表示される可能性があります。
ハードウェアを再起動する - 稀にインターネットポートのMACアドレスがスタックし、一定期間後にクリアされることがあります。ネットワーク機器を再起動することで、このプロセスを早めることができます。
新しいケーブルを使用する - ネットワークケーブルの不良が原因でこのエラーが表示されることがあります。
Uplink IP address in conflict with another device
Meraki デバイスが LAN 上の他のホストと同じ IP アドレスを持つことを検知すると、2つの場所でアラートが表示されます。
- 機器のアイコンが黄色に変わり、下記のアラートが報告されます。
・MRの場合:"This gateway is disabled. It is experiencing an IP address conflict with another device on its local LAN".
・その他デバイスの場合:"Uplink IP address in conflict with another device" - 接続性グラフが黄色/金色になります。デバイスの詳細ページで接続性グラフにマウスを乗せると、警告が表示されます。
・"Gateway warning (IP address conflict on local LAN)"
デバイスを正しく動作させるためには、このIPアドレスの競合を解決する必要があります。この問題を解決するためには以下の方法を参照してください。
機器のIPアドレスを確認する
- ダッシュボードにログインします。
- 競合が報告されているデバイスのステータスページに移動します。
- 詳細ページで LAN IP アドレスを確認します。
- デバイスの IP アドレスと、それが静的または動的(DHCP)に割り当てられたかどうかを確認します。
DHCPについて確認する
- 未承認のDHCPサーバーを探し出し、LANから切り離す。
- 冗長化のために、LANに複数のDHCPサーバーがある場合、重複しないアドレスプールが使用されていることを確認する。
IPアドレスの競合を解決する
- Meraki デバイスが DHCP 経由で IP アドレスを受け取った場合、受け取った IP アドレスを DHCP 予約リストに追加して、デバイスを再起動してみてください。これでデバイスは DHCP サーバーから新しい IP アドレスを取得するようになります。
- Meraki デバイスが固定 IP アドレスで設定されている場合、LAN 上の他のホストが DHCP から同じ IP アドレスを取得していないか DHCP ログを調べて下さい。もしそうなら、その IP アドレスを DHCP スコープから除外し、重複する IP アドレスを持つホストを再起動します。
- Meraki デバイスが静的 IP アドレスで設定されていて、DHCP ログで同じ IP アドレスを使う他のホストを見つけられない場合、デバイスの電源を切ってホストの位置を物理的に確認する必要があります。この状況では、ping と ARP がホストの MAC アドレスを見つけるのに役立ちます。
- Meraki デバイスの電源が切られている際に、IP アドレスに ping を打ちます。アドレスに対して ping をしたら、ARP を使ってクライアントの MAC アドレスを突き止めます。
- クライアントのMACアドレスがわかれば、スイッチのポートからブロックしたり、その情報を使ってデバイスが接続されているポートを物理的に特定し、その後削除したりすることができます。
注釈: DHCPサーバーの中には、DHCPクライアントに割り当てる前にIPアドレスのPingテストを行うことで、競合検出を行う機能を持つものも存在します。
The device is using a DHCP IP address from VLAN X instead of using configured VLAN Y
このエラーは、デバイスのDHCPで割り当てられたIPアドレスが、デバイスの設定されたVLANと一致しない場合に発生します。このエラーは、管理用VLANがデバイスに手動で割り当てられている場合に発生する可能性があります。
設定方法
多くの Meraki デバイスでは、デバイス自身の管理トラフィックのために VLAN タグをデバイスに割り当てることができます。これはダッシュボードのデバイスの LAN IP アドレスの近くにある 鉛筆(Edit) アイコンをクリックするか、デバイスの Local Status Page で行うことができます。
これは、管理およびクラウドトラフィックがLAN上で正しく受け渡されるように、その特定のVLANにタグを付けるようデバイスに指示するものです。
注釈:アクセスポイントで SSID ごとにタグをつけるには、AP がトランクポートに接続されていることが必要です。IEEE 802.1Q と VLAN タグについての詳細は MRアクセス ポイントでのVLANタギング のドキュメントを参照してください。
トラブルシュート
このエラーを解決するには、以下を確認してください。
- 機器のIPアドレスが、同じVLAN上の他の機器のIPレンジ+VLANと一致していることを確認する。
- DHCP サーバーが Meraki デバイスと一致する MAC アドレスを予約していることを確認します。
- 手動で設定したVLAN IDを削除して、問題が解決するかどうか試してください。その場合、VLAN IDの割り当てが正しくない可能性がありますので、LANの構成に合わせて修正する必要があります。