クライアント追跡オプション
このドキュメントは英語版を2022年9月5日付で翻訳したものです。
最新の情報は英語版を参考してください。
Meraki デバイスではクライアントを ”独自のクライアント識別子(Unique client identifier)"、"MAC アドレス" および "IP アドレス" のいずれかで識別、追跡することができます。クライアント一覧やネットワークデータの使用状況などのデータはこのオプションの設定を基準に表示、算出されています。
このドキュメントでは追跡オプションの変更方法や各オプション間の違い、トロポジーごとの最適な追跡オプションについて解説しています。
注: 独自のクライアント識別子、および IP アドレスでの追跡は MX でのみ可能です。それ以外の Meraki デバイスでは MAC アドレスでのみクライアントを識別、追跡します。
クライアント追跡の設定
クライアントの追跡方法を変更する手順は以下のとおりです。
- ダッシュボードより セキュリティ & SD-WAN > 設定列 > アドレス & VLAN へアクセス
- 設定モード > クライアント追跡 で適用したいオプションを選択する
- ページ最下部に表示される "変更を保存" をクリック
クライアント追跡オプションを変更すると、クライアントの過去の利用統計データがリセットされます。
トポロジー別クライアント追跡オプション
MX とクライアントの間に存在する L3 機器の存在によって最適なクライアント追跡オプションは異なります。
構成別に推奨される追跡オプションは以下のとおりです。
|
MX と クライアントの間に L3 機器が存在するか |
推奨追跡オプション |
|---|---|
|
L2 スイッチのみが存在する |
MAC アドレスで追跡 |
|
L3 機能が有効な MS スイッチが存在する |
独自のクライアント識別子で追跡 |
|
他社製L3スイッチ/ルーターが存在する |
IP アドレスで追跡 |
|
他社製と Meraki L3 スイッチの両方が存在する |
IP アドレスで追跡 |
独自のクライアント識別子
独自のクライアント識別子とは、Meraki 独自の技術で、ネットワークトポロジーとデバイス情報を利用して、クライアントを一意に識別、追跡するために使用されるものです。Meraki スタック内に存在するクライアントの MAC アドレスと IP アドレスをスマートに関連付けるアルゴリズムが使用されており、これにより MX は他の Meraki デバイスが存在する統合ネットワークにおいてもクライアントを一意に定める独自の識別子を生成し、クライアントを追跡できます。L3 MS スイッチを境にクライアントの MAC アドレスが含まれるブロードキャストドメインが分割されても MX は独自の識別子によってクライアントを追跡できます。そのため、独自のクライアント識別子は、Meraki スタック内に L3 ルーティングを行う MS スイッチが存在する場合に特に有用です。独自のクライアント識別子は、 MX 配下に存在する L3 ルーティングを行うデバイスがすべて Meraki デバイスである場合のみ使用されることを推奨します。そうでない場合は IP アドレスによる追跡が推奨されますが、IP アドレスの追跡は統合ネットワークではサポートされないため MX ネットワークを分割する必要があります。また、MX 配下に L3 Meraki デバイスが存在するシナリオでは MAC アドレスよるクライアント識別は L3 スイッチの境界で MAC アドレスが書き換わるため MX はクライアントを正しく認識できません。また、クライアントからの通信が L3 スイッチの MAC アドレスと関連付けられ、ネットワークの利用統計に正しく反映されないため推奨されません。
独自のクライアント識別子による追跡を有効にすると、アップリンク側のクライアント追跡が無効になります。これは複数ベンダーの環境でネットワークアクセス制御ソリューションを展開している場合に有効な場合があります。
注: MR で Meraki DHCP で動作している SSID に接続しているクライアントについては同一ネットワークに MR が存在している場合でも独自のクライアント識別子によってクライアントを識別、追跡することはできません。
注: クライアントの疎通性アラートや、クライアントへの Ping は ARP によって行われており、独自のクライアント識別子を使用している場合には正しく動作しない場合があります。
要件
独自のクライアント識別子を有効にする前に以下の要件を満たしていることを確認してください。
”独自のクライアント識別子" をアドレス & VLAN で表示させるためには以下の要件をすべて満たしている必要があります。
- 同じダッシュボードネットワーク内に L3 Meraki スイッチと MX が存在していること。正確なデータ追跡を行うため物理環境でも同一ネットワークに存在するようにしてください。
- MXのファームウェアが MX9 以上、MS のファームウェアが MS10 以上であること
- MX の WAN ポートに同一ダッシュボードネットワーク内の Meraki スイッチが接続されている場合は独自のクライアント識別子は使用しないでください。Meraki スイッチを ISP と MX の間に配置する必要がある場合は、そのスイッチをダッシュボードおよび物理ネットワークから分割してください。
注: IP アドレスによる追跡を行っている状態でネットワークの統合を行う場合、一時的に追跡オプションを MAC アドレスに変更してから行ってください。ネットワークが統合されると”独自のクライアント識別子" が追跡オプションに表示されます。
追跡オプションを変更するとクライアントの使用統計データがリセットされます。
注 : 独自のクライアント識別子から IP あるいは MAC アドレス に追跡オプションを変更した場合、既存のクライアント情報が完全に更新されるまでに最大で 30 日かかる場合があり、その間はクライアントの記録が重複して表示されることがあります。IPアドレスあるいは MAC アドレスから独自のクライアント識別子に変更した場合は通常 24 時間以内に既存クライアント情報が更新されます。過去に接続していたクライアントは 30 日間接続がなかった場合は追跡対象でなくなります。
MAC アドレスによる追跡
多くの環境では、MX がネットワークゲートウェイとして機能し、必要であればVLAN間ルーティングも担っています。この場合 MX はすべてのブロードキャストドメイン内に存在するため、配下に存在するすべてのクライアントの MAC アドレスを追跡できます。
以下の図は、このトポロジーにおける MX 側での MAC アドレスの認識について示しています。
IP アドレスによる追跡
注: IP アドレスによる追跡は統合ネットワークではサポートされていません。IP アドレスによる追跡が行われている MX ネットワークを統合ネットワークにする際は一度 MAC アドレスあるいは独自のクライアント識別子に変更して実施する必要があります。
注: 独自のクライアント識別子での説明と同様に、クライアントの接続性に関するアラートやクライアントページで実施する ping は ARP で行われているため、IP アドレスによる追跡を選んだ場合はこれらは利用できません。
このオプションは以下に示すような 2 つのシナリオでは最適です。
1 つ目は、すべての L3 デバイスが Meraki 製品ですがそれぞれが別々のダッシュボードネットワークに存在する場合です。
2 つ目は MX の配下に L3 ルーティングを行う 他社製スイッチが存在する場合です。他社製スイッチはルーティングを行う際にクライアントの MAC アドレスを書き換えるため、MX はクライアントを MAC アドレスで認識することができません。なお、Meraki 製スイッチが L3 ルーティングを行っている場合は独自のクライアント識別子が最適です。
他社製 L3 スイッチ配下のクライアントを識別するには IP アドレスによる追跡を設定します。他社製 L3 スイッチにおいてルーティング時に送信元 IP アドレスの書き換えは行われないため、MX はクライアントを IP アドレスで認識することができます。
IP アドレスによる追跡が設定された MX において、クライアント情報で表示される MAC アドレスは前述の理由により不正確である場合があります。