クラウド接続のためのアップストリーム ファイアウォール ルール
このドキュメントは原文を 2025年08月01日付けで翻訳したものです。
最新の情報は原文をご確認ください。
Cisco Meraki ダッシュボードは、Cisco Meraki デバイスの一元管理、最適化、監視を提供します。ダッシュボードを通じて Cisco Meraki デバイスを管理するためには、デバイスが安全なトンネルを介して Cisco Meraki クラウド(ダッシュボード)と通信できる必要があります。このトンネルは Cisco Meraki デバイスとダッシュボード間で作成され、管理およびレポート用トラフィックが双方向に送信されます。
ダッシュボードはパブリックインターネット上に存在するため、トンネルは常に管理対象デバイスからアウトバウンドで開始されます。一度接続が確立されると、デバイスは定期的にパケットを送信し、応答を受信することで接続を維持します。管理対象デバイスとダッシュボードの間のデータパス上にファイアウォールやゲートウェイが存在する場合、安全なトンネルが機能するためには、特定のプロトコルとポート番号をファイアウォールでアウトバウンド許可する必要があります。
許可が必要なアドレスとポート
送信先 IP アドレス、ポート、およびその用途の完全な一覧は、ダッシュボードの ヘルプ > ファイアウォール情報 で確認できます。
このリストは、ダッシュボードに追加されたデバイスやサービス、組織の所在地リージョンによって動的に変化します。下記の例は、お客様のネットワーク固有の要件を必ずしも反映していません。
ルールのCSVダウンロード
ファイアウォールルールセクション下部には、ダウンロードボタンがあり、CSVとしてルールをダウンロードおよびフィルタなしCSVとしてルールをダウンロードの2つのオプションがあります。CSVとしてダウンロードした場合、ダッシュボード表示と同じ形式(例えば、TCP 443 を利用する複数機能は統合され1つのルールとなる)です。フィルタなしCSVでダウンロードすると、各機能ごとに個別の送信元・宛先・ポート・プロトコル要件がすべて表示されます。
ファイアウォールテストの失敗
上記ルールに基づくファイアウォールテストにいずれかの Meraki デバイスが失敗した場合は、失敗したノードやテストの詳細を含む CSVファイルをダウンロードできます。
「バックアップクラウド接続」を利用しているデバイス
UDP ポート 7351 でダッシュボードへのトンネル接続を行うデバイスは、ポート 7351 で接続できない場合は HTTP/HTTPS を利用しようとします。この状態では、デバイスのステータスページに「Cisco Meraki クラウドへの接続はバックアップクラウド接続を利用しています」というメッセージが表示されます。この場合、デバイスから通過するファイアウォールやセキュリティアプライアンスにてポート 7351 のアウトバウンド許可がなされているかご確認ください。
セキュリティ上の制約によりバックアップクラウド接続の推奨ファイアウォール設定ができない場合でも、Cisco Meraki デバイスは通常通り動作しますが、ダッシュボードの一部機能が遅延する可能性があります。これには以下が含まれます(ただしこれらに限定されません):
- 設定更新
- ライブツール
- ファームウェアアップグレード
他の機能とは異なり、Meraki 認証は必ず UDP 7351 で送信され、バックアップ接続では機能しません。
注意: Cisco Meraki デバイスはバックアップクラウド接続用の推奨ファイアウォール設定がなくても動作可能ですが、Meraki クラウド通信用のファイアウォール設定は正しく動作させるために必須です。
「アップリンク接続モニタ」を利用しているデバイス
Cisco Meraki MX セキュリティアプライアンスは、インターネット接続のために複数の冗長 WAN リンクを利用できる機能を備えています。
これらの機能は、複数のプロトコルを用いた各種パブリックインターネットアドレスへの接続テストに依存します。
ネットワーク管理者の方は、これらの接続テストが正しく動作するよう、一般的なプロトコル(HTTP、HTTPS、DNS、ICMP)を「任意の」インターネットアドレスへの通信で許可してください。
多くの Meraki デバイス(MX、MR、MV、MSシリーズ)がこれらの接続テストを実施します。
接続モニタリング の動作詳細については、WAN フェイルオーバーのための接続モニタリングのドキュメントをご参照ください。
DNS用上流ファイアウォールルール
Meraki デバイスは、Meraki サーバーのホスト名解決が可能な DNS サーバーのポート 53 へ到達できる必要があります。
NTP用上流ファイアウォールルール
Meraki デバイスは、pool.ntp.org を解決し UDP ポート 123 で到達できる必要があります。
Cisco Threat Grid用上流ファイアウォールルール
Cisco Threat Grid の最新の宛先アドレスおよび TCP/UDP ポートの一覧は、こちらのドキュメントをご参照ください。
- panacea.threatgrid.com → TCP 443(北米)
- panacea.threatgrid.eu → TCP 443(ヨーロッパ)
Cisco AMP用上流ファイアウォールルール
Cisco AMP の最新の宛先アドレスおよび TCP/UDP ポートの一覧は、こちらのドキュメントをご参照ください。
- cloud-meraki-est.amp.cisco.com → TCP 443
- cloud-meraki-asn.amp.cisco.com → TCP 443
Cisco Meraki AutoVPN レジストリ用上流ファイアウォールルール
MX または MR/CW アクセスポイントの上流に設置されているデバイスは、Auto VPN レジストリへの通信のために以下の宛先を許可リストに追加する必要があります:
ポート
- UDP 9350-9381
中国以外のクラウド(meraki.comまたはgov-meraki.comからのダッシュボードログイン)のIPレンジ:
- 209.206.48.0/20
- 158.115.128.0/19
- 216.157.128.0/20
中国クラウド(meraki.cnからのダッシュボードログイン)のIPレンジ:
- 43.192.139.128/25
- 43.196.13.128/25
MV Sense 設定用上流ファイアウォールルール
MV Sense を外部 IP アドレスや上流ローカルリソースへの送信で設定する場合、MQTT テレメトリおよび分析データ送信用に上流ファイアウォールルールを構成する必要があります。これらの送信先 IP アドレス(またはホスト名)およびポートはカメラごとに設定できるため、ネットワーク内の全デバイス分を中央で管理してください。MQTT では一般的に TCP 1883 および TLS 8883 ポートを利用します。
Cisco DNA Spaces との連携には、MV カメラでポート 1883 の利用が必要です。
MX Cisco Talos コンテンツフィルタリング(MX 17+)用上流ファイアウォールルール
接続テスト
MX 接続テスト
WAN フェイルオーバーのための接続モニタリングでは、Meraki MX デバイスの接続監視テストおよび WAN フェイルオーバー動作について説明しています。
MS 接続テスト
Meraki スイッチ(MS)は以下のテストを実行します:
- 8.8.8.8 への ping を毎秒実行
- ゲートウェイおよび自身のIPへの ARP 要求を150秒ごとに実行
- ラウンドロビン方式でのDNSルックアップを150秒ごとに実行
MR 接続テスト
MRは以下のテストを実行します:
- 8.8.8.8 への ping を5秒ごとに行い、アップリンクの平均遅延と損失を計算
- MRのデフォルトゲートウェイへのARP要求を10~20秒ごとに送信
- DNSルックアップを60~150秒ごとに実行