クライアント追跡オプション
このドキュメントは原文を 2025年08月01日付けで翻訳したものです。
最新の情報は原文をご確認ください。
Meraki デバイスではクライアントの識別方法として独自のクライアント識別子、MAC アドレスによるトラッキング、IP アドレスによるトラッキングの3つの方法があります。これらのトラッキング方法により、クライアントリストやネットワーク使用状況などの主要な情報がダッシュボードに表示されます。
本記事では、ダッシュボードでクライアント追跡方法を変更する手順、3つのオプションの違い、各方法の推奨ユースケースについて説明します。
注意:独自のクライアント識別子またはIPアドレスによるトラッキングは、MX セキュリティアプライアンスでのみ選択できます。他の Cisco Meraki デバイスは、MAC アドレスによるクライアント識別のみが可能です。
注意:以下のポートは MS390 および C9300/L/X-M ではクライアント追跡機能がサポートされていません。
1. 最大25G、40G、100Gの速度に対応するポート
2. リンクアグリゲーションポート
クライアント追跡の設定
以下はクライアント追跡方法を変更する手順です:
- ダッシュボードで セキュリティ & SD-WAN > 設定 > アドレス & VLAN に移動します。
- 導入設定の下で、クライアント追跡を希望するオプションに変更します。
- ページ下部の変更を保存をクリックします。
クライアント追跡方法の変更を行うと、過去のクライアント使用状況の統計情報がリセットされます。クライアントに適用されているグループポリシーやカスタムホスト名も再設定が必要になる場合があります。
クライアント追跡オプションのユースケース
最適なトラッキング方法は、セキュリティアプライアンスとエンドクライアント間に L3 デバイス(ルーティング)が存在するかどうか(複数のブロードキャストドメインが発生するか)によって決まります。推奨構成は以下のとおりです。
|
MX-Z とエンドクライアント間に L3 デバイスが存在する? |
推奨トラッキングオプション |
|---|---|
|
なし、またはL2スイッチのみ |
MAC アドレスによるトラッキング |
|
Meraki MS スイッチで L3 有効 |
独自のクライアント識別子 |
|
非Meraki L3 スイッチ/ルーター |
IP アドレスによるトラッキング |
|
非MerakiスイッチとMeraki L3スイッチの組み合わせ |
IP アドレスによるトラッキング |
独自のクライアント識別子
独自のクライアント識別子は、ネットワークトポロジおよびデバイス情報を活用してクライアントを一意に識別・追跡する Meraki 独自の技術です。このアルゴリズムは、Meraki スタック全体で観測されるクライアントの MAC および IP アドレスをインテリジェントに相関させ、他の Meraki デバイスと統合された統合ネットワーク内で各クライアントの一意識別子を生成します。エンドクライアントとセキュリティアプライアンス間で Meraki MS スイッチが L3 ルーティングを実施し、ブロードキャストトラフィックが分離される場合に特に有効です。
この方法は、ネットワーク内の下流 L3 ルーティングデバイスがすべて Meraki 製品の場合のみ使用してください。この構成では、IPアドレスによるトラッキングを利用するにはセキュリティアプライアンスを別のダッシュボードネットワークに分離する必要があります(統合ネットワークでは IP トラッキングは未サポート)。MAC アドレスによるトラッキングでは L3 境界のためエンドクライアントを特定できず、下流スイッチにトラフィックが集約されてダッシュボード上のネットワーク使用量が正確に反映されません。
独自のクライアント識別子によるトラッキングでは、クライアントのアップリンクサンプリングが無効化されます。これは、マルチベンダー環境で非Meraki NAC ソリューションを展開している場合などに有効なケースがあります。
注意:独自のクライアント識別子では、Meraki DHCP の NAT モードを使用する SSID に接続しているクライアントは、同一のダッシュボードネットワーク内の MR であっても、MX で識別できません。
注意:クライアント接続アラートやクライアント ping など、一部のツールは ARP ベースのため独自のクライアント識別子利用時はご利用いただけません。
注意:Cloud Monitoring で Catalyst 9000 シリーズスイッチをオンボーディングする場合、ネットワークのトラッキング方法として自動的に「独自のクライアント識別子」が適用されます。詳細はCloud Monitoring for Catalyst オンボーディングガイドをご参照ください。
これは、ファームウェアバージョンA2(IOS XEファームウェア)を搭載したMeraki管理のC9300スイッチでも同様です。
要件と条件
この機能をネットワークで有効化する前に、以下の要件と条件をご確認ください。
「アドレス & VLAN」で独自のクライアント識別子オプションを表示するには、次の条件を満たす必要があります:
- ダッシュボード上の同一ネットワークに、少なくとも1台のセキュリティアプライアンスと1台の Meraki MS または Meraki 管理/監視 Catalyst L3 スイッチが存在する必要があります。正しいトラッキングデータのため、ダッシュボードネットワーク内のデバイスは同一物理ネットワーク上に設置してください。
- このオプションは MX ファームウェアバージョン9以上、MS ファームウェアバージョン10以上でのみ表示されます。
- MX のWANポートが同じダッシュボードネットワーク内のMerakiスイッチに接続されている場合は、このネットワークで独自のクライアント識別子を使用しないでください。ISPとMX WANの間にMerakiスイッチを利用する場合は、そのスイッチを別のダッシュボードネットワークに分離してください。
注意:現在IPアドレスによるトラッキングを利用している場合、ネットワークを統合するには一時的にMACアドレスによるトラッキングに切り替える必要があります。ネットワーク統合後、「アドレス & VLAN」で「独自のクライアント識別子」オプションが表示されます。
注意:「クライアント追跡」を変更すると、手動でグループポリシーを適用しているクライアントデバイスがリセットされます。手動ポリシーは ネットワーク全体 > 監視 > クライアント ページの「ポリシー」列で確認できます。特定デバイスにポリシーが必要な場合、変更後に再度適用してください。
クライアント追跡方法を変更すると、クライアント使用状況の統計情報がリセットされます。
独自のクライアント識別子から IP または MAC に切り替えた場合、クライアント情報の更新に最大30日かかることがあり、異なるクライアント詳細の重複エントリが発生する場合があります。IP または MAC から独自のクライアント識別子に切り替えた場合は、アクティブなデバイスについては24時間以内に更新されます。非アクティブなデバイスについては、どの方法でも最大30日で情報が消去されます。
MACアドレスによるトラッキング
多くの導入環境では、MXセキュリティアプライアンスがネットワークのゲートウェイとして動作し、必要に応じてインターVLANルーティングも担当します。この場合、MXはネットワーク内全クライアントと同じブロードキャストドメイン内にあるため、すべてのトラフィックでクライアントのMACアドレスを確認できます。
下図は、このトポロジーにおいてMXがどのようにクライアントMACアドレスを認識するかを示しています:
IPアドレスによるトラッキング
注意:IPアドレスによるトラッキングは統合ダッシュボードネットワークではサポートされていません。IPアドレスによるトラッキングを利用しているMXネットワークを統合する場合は、まずMACアドレスまたは独自のクライアント識別子によるトラッキングに切り替えてください。
注意:独自のクライアント識別子と同様に、クライアント接続アラートやクライアントpingなど一部のツールはARPベースのため、IPアドレスによるトラッキング時はご利用いただけません。
このオプションは以下の2つのケースで最適です:
1つ目は、L3デバイスがすべてMeraki製であるものの、ダッシュボードネットワークが分割されている場合。
2つ目は、MXの下流でインターVLANルーティングを行う非Meraki製L3スイッチが存在する場合です。Meraki製L3スイッチを使用している場合は独自のクライアント識別子を有効化してください。非Meraki製L3デバイスはクライアントトラフィックの送信元MACアドレスを変更するため、MXではクライアントをMACで識別できません(下図参照)。
非Meraki製L3スイッチ下流のクライアントを識別するには、MXをIPアドレスによるトラッキングに設定します。非Meraki製L3スイッチはクライアントトラフィックの送信元IPアドレスを変更しないため、MXはIPで異なるクライアントを識別できます:
MXがIPアドレスによるトラッキングに設定されている場合、クライアントリスト上のMACアドレス表示は正確でない場合があります。