Skip to main content

 

Cisco Meraki Documentation

FIPSに準拠した新しいデバイス対クラウド通信について

  1. Last updated
  2. Save as PDF

このドキュメントは、こちらのドキュメントを 2022 年 4 月 13 日付けで翻訳したものです。

最新の情報は上記ドキュメントを参照してください。

Meraki では、より高いセキュリティとシンプルな接続を提供するために、デバイス対クラウド通信を一から作り上げたアーキテクチャに更新しています。新しいアーキテクチャは現在特定のファームウェア要件を満たすデバイスで導入されています。

今回のデバイス対クラウド通信の再構築は最新のツールと開発手法を利用しており、その結果 Meraki のクラウドインフラのセキュリティ、パフォーマンス、管理、スケーラビリティ、レジリエンスを向上させることに成功しています。 

新しいアーキテクチャによってもたらされるメリットは以下のとおりです。

  • よりシンプルなファイアウォールの設定 - Meraki クラウドとの通信で許可が必要なルールが以下の 1 つだけになります。
    宛先IP 209.206.48.0/20, 216.157.128.0/20, 158.115.128.0/19 ポート  TCP 443 (商用ユーザーのみ)

  • 高いセキュリティ - Cisco SSL ライブラリを用いた TLS を実装しています。

  • FIPS 140-2 準拠 - 米国市場やその他のコンプライアンス規格に準拠しています。

  • 拡張性、パフォーマンス向上 - クラウド通信品質の全体的な強化が行われました。

新アーキテクチャによる影響

ファイアウォールルールの変更: 新しいクラウド接続方式を使用する Meraki デバイスは、上流のファイアウォールで TCP ポート 443 が開放されていることが必要です。なお、製品やファームウェアによって以前使われていたポート(TCP ポート 7734 と UDP 7351)が引き続き使用されるため、これらのポートをすぐに閉じることは推奨されません。

ユーザー側の動作 : 本件はデバイス-クラウド-サーバ間通信の再構成であるため、エンドユーザのインターフェースはほとんど変わりません。デバイス対クラウド通信の役割を考えると、一般的な使用方法は変わりません。デバイスとクラウドの接続に必要なポート/プロトコルが ヘルプ > ファイアウォール情報のページに表示されるようになった以外、以前と異なるUIコンポーネントはありません。

新しい通信方式の確認方法

サポートされているファームウェアバージョン以降(後記)がインストールされたデバイスは、デフォルトで新しい接続方式を実行することになります。デバイスがこの接続方式(TCPポート443上)で接続できない場合、デバイスは以前使用していたファームウェアバージョンに戻り、従前の接続方式(TCPポート7734およびUDP7351)を継続して使用することになります。

デバイスがどの接続方式を使用しているかを確認するには、ダッシュボードの「ヘルプ」>「ファイアウォール情報」ページを参照します。このページは、ネットワークのデバイスと必要な接続に基づいて動的に更新されます。このページから、各デバイスタイプが使用している接続方式を確認できます。このページの詳細については、ドキュメント『クラウド接続のためのアップストリーム ファイアウォール ルール』を参照してください。

サポート対象のファームウェア/モデル

この新しいデバイス間クラウド接続方式は、現在、以下の「サポート対象機種」に含まれる機種でのみ一般に公開されています。また、MX 16.4以上(MXの場合)またはMR 28.1以上(MRの場合)で動作している必要があります。

MX

MR 

(Wi-Fi6 対応 AP のみ)

MS

その他

MX 16.4 以降

MR 28.1 以降

MS 15.1 以降

2022年4月時点でサポートしておりません

技術仕様

暗号化

新しい通信方式では、暗号化にはAES 256を使用したTLS 1.2で通信が行われ、FIPS 準拠の暗号を利用しています。これにより TLS とクライアントが相互にFIPS 140-2準拠アルゴリズムを使用することを強制しています。

クラウド間接続

Meraki Cloud との通信方式の更新

  • 新しい通信方式では TCP ポート443 で Meraki Cloud と通信します。ほとんどのケースで Meraki 機器の上位にあるファイアウォールは TCP ポート 443 を開放しているため、追加の設定が不要になります。

  • 以前の通信方式と比較すると、新しい通信方式では TCP ポート 7734 および UDP 7351 を原則使用しません。これには設定の同期やファームウェアの同期も含まれます。

ファイアウォールルール の設定

新しい通信方式を利用するすべてのデバイスは以下の通信を利用するため、正しく動作するには上位のファイアウォールで許可する必要があります。

Allow outbound connections to destination 209.206.48.0/20 on TCP port 443

FIPS に対応したファームウェアへアップグレードする際の注意事項

FIPS に対応したファームウェアへアップグレードする際に、以下のようなエラーが表示される場合があります。

Screen Shot 2022-04-15 at 10.46.30 AM.png

Firmware Upgrade failed due to the following node_groups: <Network Name>.

Firmware Versions MR 28 and MX 16 require nodes to be able to contact Meraki's Device to Cloud Connectivity service over TCP port 443

原因

MX/MS/MR では、利用環境が新しい通信方式に対応していることを確認するために定期的に接続テストを行っております。(宛先IP 209.206.48.0/20 ポート TCP 443)

このテストに失敗している場合、ファームウェアアップグレード後にオフラインになる恐れがあることから、アップグレードできないようになっております。

対応

  • ファイアウォールの設定で 宛先IP 209.206.48.0/20 ポート TCP 443 が許可されているか今一度確認する
  • SSL Inspection 等、クライアントの SSL に何らかの変更を加える装置、機能がある場合は Meraki デバイスに対しては無効にする

テストはおよそ 4 時間おきに行われるため、エラーが表示されなくなるまでに最大で 4 時間かかる場合があります。

ファームウェアアップグレードをお急ぎの場合は、Cisco Meraki サポートへお問い合わせください。

 

報告されている既知の事象 

こちらでは、サポート対象のファームウェア/モデルにおいて Meraki Cloud との通信において発生している事象について記載しています。

類似した事象が確認された場合には Cisco Meraki サポートまでお問い合わせください。

デバイスが不定期にオフラインになり自然復旧する(2022年 8 月 15 日更新)

概要

サポート対象のファームウェア/モデルにおいて、不定期にデバイスがオフラインになりその後自然復旧する事象が報告されています。

この事象は自然復旧しますが復旧までに数分から、8時間程度かかることがあります。また、不定期に繰り返し発生することが確認されています。

この事象は Meraki Cloud との通信においてのみ発生しておりそれ以外の通信への影響は2022年5月時点で報告されておりません

類似の事象が発生中で、クライアントやデバイス間通信や、インターネット通信に支障があった場合には別事象となりますので Cisco Meraki サポートまでお問い合わせください。

症状

Meraki Cloud と通信ができないことにより、事象が発生している Meraki 機器において以下のような事象が発生する可能性があります。

  • 複数の WAN を持つ MX において WAN フェイルオーバーが発生する
  • ウォームスペア構成の MX において スペア MX へのフェイルオーバーが発生する
  • SSID や クライアント VPN の認証で Meraki 認証が利用できない

影響範囲

本事象が発生する可能性があるモデル/ファームウェアは以下のとおりです。

製品種別 対象モデル/ファームウェア
MX ファームウェア MX16.4 以降がインストールされているすべての MX
MS ファームウェア MS15.1 以降がインストールされているすべての MS
MR ファームウェア MR28.1 以降がインストールされている WiFi6 対応の MR (例: MR36,46,56等)

確認方法

以下のような状態である場合には本件の影響を受けている可能性があります。

  • ネットワーク内の一部の Meraki 機器で発生している
  • オンラインになっている Meraki 機器やクライアントから事象が発生している Meraki 機器に Ping を送ると応答が返ってくる
  • 機器によってオフラインになる時間が異なる

対応状況 (2022年8月15日更新)

この事象は弊社エンジニアリングチームでも認識しており積極的に対応を行っております。

修正が含まれるファームウェアバージョンは以下のとおりです。

製品種別 ファームウェアバージョン
MX MX 16.16.5 および MX 17.9 以降
MS MS 15.14.2 以降
MR MR 28.7 および MR 29.2 以降

ファームウェアアップグレードに関する操作手順等についてはこちらのドキュメントをご参照ください。

また、上記ファームウェアにおいても類似の事象が発生した場合にはお手数ではございますが Cisco Meraki サポートまで速やかにお問い合わせください。

回避策

  • デバイスを再起動する
  • 事象が発生しないファームウェアバージョンへダウングレードする

    • 事象が発生しないファームウェアバージョンへの変更をご希望の際には、Cisco Meraki サポートまでお問い合わせください。

なお、以下のモデルは稼働可能な最小ファームウェアの制限により事象が発生しないファームウェアの変更ができません。

MR36H

MX75

MX85

MX95

MX105

 

  1. Back to top
  • Was this article helpful?

Recommended articles

  1. Article type
    Topic
  2. Tags
    This page has no tags.