みなさまこんにちは。
ネットワンシステムズの渡部です。
今回はCisco Meraki Cloud Monitoringで提供されているダッシュボードにCatalyst 9000シリーズスイッチを接続し、Client Trafficがどこまで可視化されるか試してみたので簡単に報告したいと思います。
Catalystスイッチの登録手順については、メーカサイトやWeb上の他ブログで紹介されていますので、本記事では取り上げておりませんのでご了承ください。
- ライター:渡部 満幸
- 2004年4月1日、ネットワンシステムズ入社。
応用技術、製品主管部門、製品担当業務で技術者として15年以上勤務。
主としてCisco製ローエンド~ハイエンドルータ製品の技術担当として15年の経験があります。
Cisco製だけでなくJuniper製、Nokia製ハイエンドルータの技術担当としても兼務経験があります。
現在はCisco製ロー/ミドルレンジルータ、Catalystスイッチ製品群およびVMware SD-WAN (VeloCloud)の技術担当。
目次
Cisco Meraki Cloud Monitoring for Catalystについて
もともとMerakiの無線LANアクセスポイント(MRシリーズ)やスイッチ(MSシリーズ)、SD-WAN Edge(MXシリーズ)等を管理するためのクラウドコンソールとして提供されていたMeraki Dashboard(以下、ダッシュボードと記載)上で、Catalyst 9000シリーズスイッチもモニタリング可能になったのがMeraki Cloud Monitoring for Catalystです。
Meraki製品を購入すると、納品された機器のシリアル番号やライセンス情報がMeraki Cloudと連携されダッシュボード上で簡単に登録できます。
しかしCatalystスイッチはそうした連携がありませんので、ダッシュボードにCatalystスイッチを登録するには専用のスクリプトを直接実行しなければなりません。またCatalystスイッチがインターネット上に配置されているダッシュボードへ直接通信できる環境が必要な点にも注意してください。
なお、Catalystスイッチを本来のIOS XEで動作するモードからMeraki OSで動作するモードへ変換することもできます。
この操作を行った場合、CatalystスイッチもMeraki製品群と同様にダッシュボードへ簡単に登録でき、なおかつモニタリング以外の機能をフルに利用できるようになる、ハズです。
当社では検証機材の都合上、まだCatalystスイッチをMeraki OSモードに変換した場合の動作を試せていません。
というのも本記事を作成している2024年3月現在、CatalystスイッチをMeraki OSモードに変換してしまうと、元に戻せないためです。
近い将来、CatalystスイッチのIOS XEモードとMeraki OSモードの相互変換が可能になるという情報がありますので、その際には改めて検証し報告する予定です。
モニタリングモードでCatalystスイッチに接続されたClient情報を監視してみる
今回記事を作成するにあたり、C9200-24TスイッチをDNA Advantageライセンスでダッシュボードに登録しました。
DNA Advantageライセンスを使用することで、Client Level Traffic Monitoringの機能を利用できます。
図1.スイッチに接続されているClientリストとトラフィックの総計
上記図1のようにスイッチに接続されたClient(PC端末だけでなくMeraki管理外のスイッチ等を含む)トラフィックの流量や種別が表示されます。
ただし、IOS XEモードのCatalystスイッチではClient Descriptionにホスト名を表示できず、今のところMACアドレスしか表示されません。
下記図2のように、その中からClientを1つ選択してさらに詳しく確認できます。
図2. 特定Clientのトラフィック情報
図3. 特定Clientのトラフィック情報詳細
上記図2では円グラフにトラフィックの種別も表示され、円グラフ下のmoreボタンをクリックすると図3のような詳細リストが表示されます。
DPIエンジンを利用しているわけではありませんので、ここで表示できるのは宛先のIPアドレスや宛先ホスト名、URLなどの情報を利用した簡単な分類にとどまります。
ちなみにDNA Essentialsライセンスでは下記図3のメッセージが表示され、トラフィック情報は表示されません。
図3. DNA Essentialsライセンスではトラフィック情報を表示できない
まとめ
今回はCisco Meraki Cloud Monitoring for Catalystの機能を利用して端末の通信内容がどこまで可視化されるのかを確認した結果、以下のような結果でした。
- 端末はMACアドレスでClientリストに表示される
- 通信内容は宛先IPアドレス、TCP/UDPポート番号、通信量、URL程度の分類で可視化される
可視化の分類は少し頼りないものの、すでに導入済みのCatalystスイッチ群を追加費用無しにクラウド監視でき、さらに各端末のトラフィック流量や通信の概要まで可視化されるというのは魅力的かもしれません。
一方でクラウドの名を冠することからもわかるとおり、LAN内に設置されることの多いCatalystスイッチがインターネット上のダッシュボードと直接通信を行うという形態には不安があるかと思います。
しかし、今回の検証ではCatalystスイッチとインターネットとの間には当社の境界ファイアウォールが設置されており、NAT(PAT)を通してインターネットと通信する環境を使用していますので、このような環境で利用する分には過剰に心配する必要はないと考えております。
今回ご紹介した内容が皆様のお役に立てば幸いです。
免責事項
※本記事は2024年03月21日時点での内容です。
今後のアップデートにより動作が変更される可能性があります。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
