クラウド接続のためのアップストリーム ファイアウォール ルール
Cisco Merakiダッシュボードは、Cisco Merakiデバイスの一元管理、最適化、および監視を行います。Cisco Merakiデバイスをダッシュボードから管理するには、デバイスはセキュアなトンネルを経由してCisco Merakiクラウド(ダッシュボード)と通信できる必要があります。このトンネルは、管理トラフィックとレポート トラフィックを双方向で通過させるためにCisco Merakiデバイスとダッシュボードの間に作成されます。
ダッシュボードは公開されたインターネット上にあるため、トンネルは常にマネージド デバイスからのアウトバウンドで開始されます。接続が確立されると、デバイスはパケットを定期的に送信して応答を受信することによって、接続を維持します。マネージド デバイスとダッシュボードの間の経路にファイアウォールまたはゲートウェイが存在する場合、セキュア トンネルが機能するために、ファイアウォール経由のアウトバウンド トラフィックが特定のプロトコルおよびポート番号で許可される必要があります。
許可されるアドレスとポート
宛先IPアドレス、ポート、およびそれぞれの目的の完全なリストについては、Help(ヘルプ) > Firewall info(ファイアウォール情報)にあります。:
CSVバージョン
"Source_IP","Destination_IP","Ports","Protocol","Direction","Description","Devices_using_this_rule" "Your network(s)","199.231.78.0/24, 108.161.147.0/24, 64.62.142.12/32, 209.206.48.0/20","7351","UDP","outbound","Meraki cloud communication","Access points, Cameras, MX Security Appliance, Phones, Switches" "Your network(s)","199.231.78.0/24, 64.156.192.245/32, 108.161.147.0/24, 209.206.48.0/20","9350-9381","UDP","outbound","VPN registry","Access points, MX Security Appliance" "Your network(s)","64.62.142.2/32, 108.161.147.0/24, 199.231.78.0/24, 209.206.48.0/20","80, 443, 7734, 7752","TCP","outbound","Backup configuration downloads, Backup Meraki cloud communication, Throughput tests live tool, Backup firmware downloads, Splash pages","Access points, Cameras, MX Security Appliance, Phones, Switches" "Your network(s)","Any","123","UDP","outbound","NTP time synchronization","Access points, Cameras, MX Security Appliance, Switches" "Your network(s)","8.8.8.8/32","53","UDP","outbound","Uplink connection monitor","MX Security Appliance" "Your network(s)","8.8.8.8/32, 209.206.48.0/20","","ICMP","outbound","Uplink connection monitor","MX Security Appliance"
異なるオーガナイゼーションは異なるサーバーと通信する場合があるため、このリストはオーガナイゼーションによって異なる可能性があることに注意してください。
Cisco Merakiクラウド(ダッシュボード)アドレスへの変更
状況によっては、ダッシュボードとの通信に使用されるIPアドレスまたはポートが変更されることがあります。この種類の変更が必要な場合、管理者に事前通知されます。セキュアなトンネル接続も冗長であるため、セカンダリ接続を通じて動作を続行します。
「バックアップ クラウド接続」を使用するデバイス
デバイスは主として、そのトンネルにUDPポート7351を使用してダッシュボードに接続されますが、ポート7351経由で接続できなければHTTP/HTTPSを使用します。デバイスがこのように動作するとき、デバイスのステータス ページに、「Cisco Merakiクラウドへの接続がバックアップ クラウド接続を使用中」であることを示すメッセージが表示されます。 このことが確認された場合、ポート7351でファイアウォール経由のアウトバウンド トラフィックを許可するか、Cisco Merakiデバイスからのセキュリティ アプライアンス トラフィックが通過できるようにしてください。
セキュリティ上の制約によりバックアップ クラウド接続の推奨されるファイアウォール設定を行うことができない場合、Cisco Merakiデバイスは通常通り動作を続行しますが、Cisco Merakiダッシュボードの一部の機能の応答が遅くなることに注意してください。これには少なくとも以下のものが含まれます。
-
設定の更新
-
ライブ ツール
-
ファームウェアのアップグレード
その他の機能とは異なり、Meraki認証は常にUDP 7351経由で送信され、バックアップ接続では機能しません
注:バックアップ クラウド接続の推奨されるファイアウォール設定を行わなくてもCisco Merakiデバイスは動作できますが、デバイスが正しく機能するためには、Merakiクラウド通信のためのファイアウォール設定がやはり必要です。
「アップリンク接続監視」を使用するデバイス
Cisco Meraki MX セキュリティ アプライアンスには、インターネット接続のための複数の冗長WANリンクを使用するための機能が含まれています。
これらの機能は、様々な公開インターネット アドレスへの複数のプロトコルを使用する接続テストに依存しています。
接続テストが正しく機能するようにするために、「すべての」インターネット アドレスに対してこれらの一般的なプロトコル(HTTP、HTTPS、DNS、およびICMP)を許可するようにネットワーク管理者に依頼します。
MX接続テスト
MXはアップリンク ステータスを判別するためのテストを実行します。
DNSテスト
-
以下のホストについてインターネット インターフェースで設定されているDNSサーバー(プライマリまたはセカンダリ)にクエリを実行します。
-
meraki.com
-
google.com
-
yahoo.com
-
インターネット テスト
-
1秒おきに8.8.8.8にPingを実行します。
-
ラウンドロビン手法を使用して、HTTP GETをhttp://google.com、http://yahoo.com、またはhttp://meraki.comに送信します。何らかの種類のHTTPレスポンスがあれば成功です。
ARPテスト
-
デフォルト ゲートウェイおよびその固有IPを求めるARPリクエスト(競合を検出するため)。
アクティブ化されると、接続モニタリングがアップリンクで実行されます。つまり、キャリアが検出されてIPアドレスが割り当てられます(静的または動的)。
最初のテストDNSクエリが送信され、DNSレスポンスが受信されると、DNSはそのアップリンクで300秒間正常であるというマークが付けられます。この期間中、MXはDNSテストの実行を150秒ごとに継続します。DNSクエリ テストに成功するたび、DNSはあと300秒正常であるというマークが付けられます。
いずれかの時点でテストDNSクエリがタイムアウトすると、MXはテスト間隔を30秒に短縮します。DNSテストが最後に成功してから300秒を超えて失敗し続けた場合、そのアップリンクのDNSに障害が発生したというマークが付けられます。そうではなく、テストに成功すると、DNSはあと300秒正常であるというマークが再び付けられます。正常だというマークが付けられると、テストは150秒ごとに実行されます。
MXはラウンドロビン方式のインターネット テストの実行を開始します。テストに成功すると、そのアップリンクのインターネットは300秒間正常であるというマークが付けられます。この期間中、MXはインターネット テストの実行を150秒ごとに継続します。インターネット テストに成功するたび、インターネットはあと300秒正常であるというマークが付けられます。インターネット テスト グループ内のいずれかのテストに失敗すると、MXはテスト間隔を20秒に短縮します。テストが最後に成功してから300秒を超えて失敗し続けた場合、そのアップリンクのインターネットに障害が発生したというマークが付けられます。そうではなく、テストに成功すると、インターネットはあと300秒正常であるというマークが再び付けられます。正常だというマークが付けられると、テストは150秒ごとに実行されます。
両方のテストに300秒を超えて失敗した場合、アップリンクはフェールオーバーされます。したがって、ソフト故障(リンクは稼働したままだがアップストリーム アクセスが提供されない)が発生した場合、フェールオーバーが実行されるまでに約5分かかります。
MXコンテンツ フィルタリング カテゴリのためのアップストリーム ファイアウォール ルール
MXのアップストリームに別のファイアウォールが配置された場合、カテゴリ化情報トラフィックが正常にMXに渡されて、MXが適切なカテゴリ分類を使用できるようにするために、以下のFQDN宛先が許可される必要があります。 これらのドメインの解決後のIPアドレスは地域により異なるため、アップストリーム ファイアウォールでFQDNルールの代わりにIPベースのルールを使用している場合は、正しい最新のIPを許可するように留意してください。
アップストリーム ファイアウォールでホワイトリストに加えるドメイン名
-
meraki.brightcloud.com(CNAMEがservice.brightcloud.comに解決される)
-
service2.brightcloud.com