Skip to main content

 

Cisco Meraki Documentation

ネットワークオブジェクト設定ガイド

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2026年02月26日付けで翻訳したものです。
最新の情報は原文をご確認ください。

概要 

ネットワークオブジェクトは、ポリシーオブジェクトのサポートされているカテゴリの1つです。将来的には、アプリケーション、ポートなどのカテゴリが追加される予定です。

ネットワークオブジェクトを使用すると、ファイアウォールルールの管理が容易になります。これらは、ファイアウォールルールなどのアクセスポリシーで使用できるIPサブネットやFQDNのラベルとして機能します。同じIPサブネットやFQDNを使用する複数のアクセスポリシーを変更する必要がある場合、ネットワークオブジェクトを変更するだけで、すべてのポリシーに変更を反映させることができます。

この機能のその他の特長については、ネットワークオブジェクトのハイライト(英語)を参照してください。

Meraki Learning Hubの無料オンライントレーニングコースで詳細を学ぶ:

Cisco SSOでサインインするか、無料アカウントを作成してトレーニングを開始してください。

ユースケース 

ネットワークオブジェクトは、大規模で複雑なファイアウォールルールを持つネットワークに最適です。この機能により、ファイアウォールルールの管理が簡素化され、ルールを容易に識別できるようになります。

機能

ネットワークオブジェクトは、オーガナイゼーション > 設定 > ポリシーオブジェクトから一元管理できます。これはオーガナイゼーション全体の機能であり、オーガナイゼーション内のすべてのネットワークで共有されます。

ネットワークオブジェクトには以下を含めることができます:

  • IPアドレス
  • IPサブネット (CIDR)
  • FQDNおよびワイルドカードFQDN

ネットワークグループには、以下の組み合わせのいずれかを含めることができます。ネットワークグループには、IP/CIDRとFQDNネットワークオブジェクトを混在させることはできません。

  • 1つ以上のIP/CIDRネットワークオブジェクト または
  • 1つ以上のFQDNネットワークオブジェクト

ネットワークオブジェクト/グループは、以下のファイアウォールルールで適用できます:

  • 個別のネットワークおよびテンプレートネットワークレイヤー3 インバウンドレイヤー3 アウトバウンド、およびフェイルオーバーセルラーのファイアウォールルール

  • オーガナイゼーション全体のサイト間VPNアウトバウンド ファイアウォールルール

注:

  • ネットワークオブジェクト/グループは、グループポリシーには適用できません
  • FQDN、ワイルドカードFQDN、およびFQDNオブジェクトを含むネットワークグループは、レイヤー3 アウトバウンド ファイアウォールルールにのみ適用できます。これらは、フェイルオーバーセルラーのファイアウォールルールやサイト間VPNアウトバウンド ファイアウォールルールには適用できません。
  • レイヤー3 アウトバウンド ファイアウォールルールは、宛先セクションでのみFQDNをサポートしています。そのため、FQDNを含むネットワークオブジェクトおよびFQDNオブジェクトを含むネットワークグループは、レイヤー3 アウトバウンド ファイアウォールルールの送信元セクションには適用できません
  • レイヤー3 インバウンドルールは、NAT例外(別名 No NAT)早期アクセス機能が有効でない限り、手動で設定することはできません。

管理

ネットワークオブジェクトはオーガナイゼーション全体の機能です。オーガナイゼーション管理者とネットワーク管理者のネットワークオブジェクトへのアクセス権限の違いについては、以下の詳細を参照してください。

  オーガナイゼーション管理者 ネットワーク管理者
ネットワークオブジェクト/グループの作成 はい いいえ
既存のIP、CIDR、FQDNのネットワークオブジェクトへの変換 はい いいえ
ネットワークオブジェクト管理ページへのアクセス(オーガナイゼーション > 設定 > ポリシーオブジェクト) はい いいえ
API経由でのネットワークオブジェクトの表示 はい はい
ファイアウォールルールへのネットワークオブジェクトの適用 はい はい

設定

ネットワークオブジェクトの管理

ネットワークオブジェクトは、オーガナイゼーション > 設定 > ポリシーオブジェクトで一元管理できます。

ネットワークオブジェクトの作成

ネットワークオブジェクトは、IPアドレス (192.168.1.1/32)、IPサブネット (192.168.1.0/24)、FQDN (www.example.com)、またはワイルドカードFQDN (*.example.com) のいずれかを含むラベルです。

注:ルートドメイン (example.com) を含むネットワークオブジェクトを作成した場合、自動的にワイルドカードFQDN (*.example.com) と見なされます。

  1. 新しいネットワークオブジェクトを作成するには、オーガナイゼーション > 設定 > ポリシーオブジェクト > すべてのオブジェクト > 新規追加 に移動します。

ダッシュボードページ、オーガナイゼーション > 設定 > ポリシーオブジェクトのスクリーンショット。名前とFQDN、IP、またはCIDRのオプションがある新規作成ボタン。

  1. ネットワークオブジェクトが正常に作成されると、「ネットワークオブジェクト - すべてのオブジェクト」タブの管理ページは以下のようになります。

ダッシュボードページ、オーガナイゼーション > 設定 > ポリシーオブジェクト > すべてのオブジェクトのスクリーンショット。設定されたすべてのオブジェクトが一覧表示されています。

ネットワークグループの作成

ネットワークグループは、1つ以上のネットワークオブジェクトを含むグループです。

  1. ネットワークグループを作成するには、オーガナイゼーション > 設定 > ポリシーオブジェクト > グループ > 新規追加 に移動します。ポップアップメニューで、グループに含める値(IPアドレス、IPサブネット、FQDN、またはワイルドカードFQDN)を内容(Contains)フィールドに入力できます。各値について、自動提案されたオプション(新しい値または既存のオブジェクト)をクリックして、内容フィールドにエントリを入力する必要があります。

「グループ名」と「内容」フィールドがあるネットワークオブジェクトグループ編集用のダッシュボードページのスクリーンショット。

  1. 新しいIPアドレスまたはFQDNを入力した場合、次の画面でそれぞれのエントリに対応するネットワークオブジェクトを作成する必要があります。

グループ名を指定するフィールドがあるネットワークオブジェクトグループ作成用のダッシュボードページのスクリーンショット。

  1. ネットワークグループが正常に作成されると、「ネットワークオブジェクト - グループ」タブの管理ページは以下のようになります。

ダッシュボードページ、オーガナイゼーション > 設定 > ポリシーオブジェクトのスクリーンショット。作成されたグループが一覧表示されています。

ネットワークオブジェクト/グループの変更

各ネットワークオブジェクト/グループについて、既存のオブジェクト/グループのコピーの作成、編集、削除が可能です。特定のアクションを実行するには、以下の適切なアイコンを選択してください。

作成、編集、削除オプションのアイコン凡例。

注:ネットワークオブジェクト/グループを変更すると、そのネットワークオブジェクト/グループが参照されているすべてのファイアウォールルールに新しい変更が反映されます。

ネットワークオブジェクトの適用

ネットワークオブジェクト/グループは以下に適用できます:

  • 個別のネットワークおよびテンプレートネットワーク:レイヤー3 インバウンド、レイヤー3 アウトバウンド、およびフェイルオーバーセルラーのファイアウォールルール。
  • オーガナイゼーション全体のサイト間VPNアウトバウンド ファイアウォールルール

新しいファイアウォールルールの作成

  1. 新しいファイアウォールルールを作成するには、セキュリティ & SD-WAN > 設定 > ファイアウォール > 新規追加 に移動します。送信元および宛先フィールドに適切なネットワークグループ/オブジェクト名を入力します。自動提案により、既存のネットワークオブジェクト/グループが表示され、選択できます。

ダッシュボードページ、セキュリティ & SD-WAN > ファイアウォール - アウトバウンドL3ファイアウォールルールのスクリーンショット。作成されたルールが一覧表示されています。

  1. 追加のルールが必要な場合は、上記の手順を繰り返します。すべてのルールを追加した後、編集を終了をクリックし、保存をクリックします。

ダッシュボードページ、セキュリティ & SD-WAN > ファイアウォール - アウトバウンドL3ファイアウォールルールのスクリーンショット。作成されたルールが一覧表示されています。

ファイアウォールルール内でのネットワークオブジェクト/グループの作成

ショートカットとして、各ルールの送信元および宛先フィールドをクリックしたときに、ネットワークオブジェクト/グループを作成することもできます。送信元または宛先フィールドに値を入力したら、適切な自動提案オプションをクリックします。

ダッシュボードページ、セキュリティ & SD-WAN > ファイアウォール - 拒否アウトバウンドL3ファイアウォールルールのスクリーンショット。送信元フィールドに8.8.8.8が入力されています。

その後、その値をネットワークオブジェクトに変換し、ネットワークグループに含めることができます。

ダッシュボードページ、セキュリティ & SD-WAN > ファイアウォール - ネットワークオブジェクトオプションのドロップダウンメニューが表示されたスクリーンショット。

既存のネットワークオブジェクトをクリックした場合も、それをネットワークグループに含めるオプションが表示されることに注意してください。
ダッシュボードページ、セキュリティ & SD-WAN > ファイアウォール - ルールに追加されたネットワークオブジェクトオプションのスクリーンショット。

既存のルールの変更

既存のルールを変更するには、各ルールの操作列の下にある Screen Shot 2020-05-11 at 5.37.36 PM.pngをクリックします。選択できるアクションは以下のとおりです。

Screen Shot 2020-05-11 at 5.39.24 PM.png

さらに、各ルールの Screen Shot 2020-05-11 at 5.42.20 PM.pngをクリックしてドラッグすることで、ファイアウォールルールテーブル内でルールを上下に移動できます。

既存のルールからのネットワークオブジェクトの削除

既存のルールからネットワークオブジェクトを削除するには、各ルールの Screen Shot 2020-05-11 at 5.37.36 PM.pngをクリックし、編集をクリックします。これにより、ルールの編集モードに入ります。削除したいネットワークオブジェクトをクリックし、キーボードのBackspaceまたはDeleteを2回押します。BackspaceまたはDeleteを1回押すと、ネットワークオブジェクトを削除するかどうかを尋ねるポップアップアラートが表示されます。2回目にBackspaceまたはDeleteを押すと、ネットワークオブジェクトが削除されます。ネットワークオブジェクトを削除した後は、必ず編集を終了をクリックし、保存をクリックしてください。
ダッシュボードページ、セキュリティ & SD-WAN > ファイアウォール - 既存のルールからオブジェクトを削除するオプションが表示されたスクリーンショット。

ルールの括編集と一括削除

複数のルールを一度に編集または削除するには、対象のルールにチェックを入れ、その他の操作をクリックし、一括編集または一括削除を選択します。

ダッシュボードページ、セキュリティ & SD-WAN > ファイアウォール - 左側のチェックボックスが選択され、右上の編集オプションが表示された状態で、ルールを一括編集するオプションを示すスクリーンショット。

既存のルールをネットワークオブジェクトを使用するように変換

既存のファイアウォールルールで以前に設定されたIPアドレス、IPサブネット、およびFQDNを、ネットワークオブジェクトを利用するように変換することが可能です。これを行うには、各ルールの Screen Shot 2020-05-11 at 5.37.36 PM.pngをクリックしてルールを編集し、IPアドレス、IPサブネット、またはFQDNをクリックします。新しいネットワークオブジェクトを作成するためのネットワークオブジェクト名の入力を求めるポップアップが表示されます。

ダッシュボードページ、セキュリティ & SD-WAN > ファイアウォール - 現在のサブネットエントリをネットワークオブジェクトに変換するオプションが表示されたスクリーンショット。

ネットワークオブジェクト/グループを使用したファイアウォールルールの例

ダッシュボードページ、セキュリティ & SD-WAN > ファイアウォール - ネットワークオブジェクトを利用したルールが設定されているスクリーンショット。

互換性

ネットワークオブジェクトは、テンプレートネットワークのファイアウォールルールで使用される既存のVLANオブジェクトと一緒に適用できます。

VLANオブジェクト

VLANオブジェクトは主に、テンプレートで作成されたVLANを表すために使用されます。これらは、テンプレートネットワークのファイアウォールルール内で作成および変更できます。

注:VLANオブジェクトは、テンプレートにバインドされていないネットワーク内でも使用できます。

VLANオブジェクトに関する詳細情報については、以下を参照してください:

構成テンプレートを使用した複数ネットワークの管理

MXテンプレートのベストプラクティス

VLANオブジェクトには、IPv6 LAN機能が必要です。HAペアは現在IPv6をサポートしていないため、VLANオブジェクトとHA MX(ウォームスペア)は併用できません。ネットワークにウォームスペアを追加すると、VLANオブジェクトを使用できなくなり、VLANオブジェクトを利用している既存のL3ルールは削除されます。

ネットワークオブジェクトとVLANオブジェクトの両方を使用したテンプレートファイアウォールルールの例

ダッシュボードページ、テンプレート内のセキュリティ & SD-WAN > ファイアウォール - ネットワークオブジェクトを利用したルールが設定されているスクリーンショット。

API

APIを使用して、ネットワークオブジェクト/グループを作成、変更、およびファイアウォールルールに適用できます。サポートされているAPIのリストについては、ヘルプ > APIドキュメントに移動し、Policy object groupsおよびPolicy objectsセクションを参照してください。ネットワークオブジェクト/グループを作成すると、そのネットワークオブジェクト/グループはIDに関連付けられます。このIDは、作成されたネットワークオブジェクト/グループの一意の識別子です。作成されたネットワークオブジェクトまたはグループを更新、削除、または適用するには、OBJ[ID]またはGRP[ID]の形式でこのIDを参照する必要があります。オーガナイゼーション全体のネットワークオブジェクト/グループを一覧表示するAPIコールを利用することで、作成されたすべてのネットワークオブジェクト/グループとそれぞれのIDのリストを確認できます。

2021年4月1日より、新しいv1ポリシーオブジェクトAPIエンドポイントを開始しました。これにより、ポリシーオブジェクトは、アプリケーション、ポートなどの将来のオブジェクトをより簡単に導入できるようになります。

古いv0/v1ネットワークオブジェクトAPIエンドポイント(2021年4月1日より前に存在)は引き続き機能します。ただし、これらは将来的に廃止される予定です。正確な日付は未定です。古いv0/v1ネットワークオブジェクトAPIを使用してネットワークオブジェクトを作成/変更している場合は、この機会に新しいv1ポリシーオブジェクトAPIへの移行をお願いします。

APIを使用したネットワークオブジェクトの作成例

サブネット「10.0.0.0/24」に対して「Test Object」という名前のネットワークオブジェクトを作成するHTTPリクエスト:

curl -L -H 'X-Cisco-Meraki-API-Key: <key>' -H 'Content-Type: application/json' -X POST --data-binary '{"name":"Test Object","category":"network", "type": "cidr", "cidr":"10.0.0.0/24","groupIds":[]}' 'https://api.meraki.com/api/v1/organizations/{organizationId}/policyObjects'

HTTP成功レスポンス。「id」は作成されたネットワークオブジェクトの一意のIDに対応します。

{   "id": "1234",  
    "name": "Test Object",
    "category": "network",
    "type": "cidr",  
    "cidr": "10.0.0.0/24",  
    "created_at": "2018-05-12T00:00:00Z",  
    "updated_at": "2018-05-12T00:00:00Z",  
    "groupIds": [   ],  
    "networkIds": [   ]}

APIを使用したレイヤー3ファイアウォールルールへのネットワークオブジェクトの適用例

以前に作成したネットワークオブジェクトをファイアウォールルールの送信元フィールドに適用するHTTPリクエスト。IDを使用してネットワークオブジェクトを参照していることに注意してください(OBJ[ID])。

curl -L -H 'X-Cisco-Meraki-API-Key: <key>' -H 'Content-Type: application/json' -X PUT --data-binary '{"rules":[{"comment":"Test Rule","policy":"allow",","protocol":"tcp","destPort":Any,"destCidr":"Any",
"srcPort":"Any","srcCidr":"OBJ[1234]","syslogEnabled":false}]}' 'https://api.meraki.com/api/v0/organizations/{organizationId}/networks/{networkId}/FirewallRules'

HTTP成功レスポンス:

  {     "comment": "Test Rule",     
        "policy": "allow",     
        "protocol": "tcp",     
        "destPort": Any,     
        "destCidr": "Any",     
        "srcPort": "Any",     
        "srcCidr": "OBJ[1234]",     
        "syslogEnabled": false   }
  1. Back to top
  • Was this article helpful?

Recommended articles

  1. Article type
    Topic
    Stage
    Final
  2. Tags
    This page has no tags.