Meraki AI PCAP AnalyzerでPCAP解析のハードルは下がるのか？実際に試してみた

はじめに

突然ですが、みなさまはWi-Fi環境を利用していくなかで、なぜか無線に接続できないといった場面に遭遇、または運用されている方はそのような問い合わせを受けたことはないでしょうか？Wi-Fiを含めエンドポイントを接続する無線は、認証や電波環境、無線機の仕様の対応状況など要因が多岐にわたるため、接続トラブルへの対応はつきものかと思います。今回は、そのような対応を支援できるAI PCAP AnalyzerというCisco Merakiの機能を検証してみましたのでご紹介します。なお、本機能は既に実装されているプロアクティブPCAPの機能が有効化されていることを前提とした機能であるため、まずはプロアクティブPCAPについて概要をご紹介します。

プロアクティブPCAP

プロアクティブPCAPは、Cisco Merakiのパケットキャプチャ(インテリジェントキャプチャ)機能の1つであり、自動的にパケットキャプチャを取得する機能です。取得タイミングは、クライアントのアソシエーションや認証失敗時となっており、接続障害時の再現を行うことなく、要因の切り分けへスムーズに移行することができる点が特長になっています。プロアクティブPCAPを利用する際はMeraki dashboard上からインテリジェントキャプチャを選択します。

Network-wide > Monitor > Intelligent Capture > Proactive PCAP Enablement

または

Assurance > Tools > Intelligent Capture > Proactive PCAP Enablement

もし、プロアクティブPCAPが無効化されている場合は、Proactive PCAP Enablementタブ内で、全てのデバイスで有効化を選択、またはAP名/タグを指定し、特定のデバイスで有効化を選択することで、利用できるようになります。有効化後、Proactive PCAPで取得されたキャプチャは、手動でキャプチャしたものと同様に、Stored capturesタブ内のキャプチャ一覧で確認することができます。

（プロアクティブPCAPで取得されたキャプチャの保存期間は7日間です）

本機能を利用するためには、上記有効化の設定だけでなく、以下の要件を満たす必要がありますのでご注意ください。

• MR Advancedライセンス　もしくは　Cisco Wireless Advantageライセンスの適用
• APのファームウェアがMR 31.1.3以上
• Wi-Fi 6/6E以降のアクセスポイント(Meraki MR45/55を除く)

AI PCAP Analyzer

次に、AI PCAP Analyzerの機能を見てみます。AI PCAP Analyzerとは、前述のプロアクティブPCAPで自動取得したキャプチャに対して、パケットを解析・要約・可視化する機能になります。概要として提供される機能を4つに分類してみました。

• サマリ機能

キャプチャの概要の提供やどのプロセスまで正常に処理できているか、または疑わしい箇所があれば箇条書きで要約し表示します。

• パケットフロー機能

パケットの流れをグラフィカルに表現し、どの方向からのパケットがロスしているのかを判断できます。同一種類のパケットの送信回数もカウントされるため大量に再送が繰り返されている場合など、通信上で特徴的な挙動が起きていないか一目で確認することが可能です。

• リーズニング機能

フレーム番号と共にそのフレームでどのようなプロセスを処理しているか、情報を提供します。また問題解決に向けた解決策の提示を行います。

• Client360/AIアシスタント連携

Client360から各クライアントの詳細ページを開くと、タイムライン上にスパークル(四芒星)マークが現れます。このスパークルマークを選択した状態で「Troubleshoot」を押下するとAIアシスタントとの連携によりチャット形式でクライアントレベルの根本原因、キーイベント、トラブルシューティングのステップ、ネクストアクションが提供されます。

Client360 :

AIアシスタント:

執筆時点では、AI PCAP Analyzerはアーリーアクセスとなっています。AI PCAP Analyzerの機能を有効化するにはまずアーリーアクセスページを開きます。

Organization > Configure > Early Access

その後、アーリーアクセス一覧のAI PCAP Analyzerからオプトインを有効化します。オーガナイゼーション全体、またはネットワークを選択して有効化することができます。

上記のオプトインを有効化することに加え、前提条件として以下の要件も満たす必要があるためご注意ください。

• MR Advancedライセンス　もしくは　Cisco Wireless Advantageライセンスの適用
• プロアクティブPCAPが有効化済
• ファームウェアがMR32.1以降
• Ciscoクラウド管理型Wi-Fi 6以降のAP

実際に試してみた

おおまかな機能は上記の通りですが、実際に動きや見え方になるのかが気になるところです。AI PCAP Analyzer機能の簡単なテストとして今回は以下2つのシチュエーションを想定して検証してみました。

IEEE 802.1x認証で誤ったパスワード情報を入力

はじめにEAP-PEAP環境において誤ったパスワード情報を入力した検証を実施しました。分析結果としては下記の通りとなりました。

サマリ：

パケットフロー：

　　

サマリを確認すると、電波の信号強度は問題ない点、認証(802.11認証)とアソシエーションは成功している点、EAP Exchangeは行われたが802.1x認証に失敗している点が挙げられています。パケットフローを見てもそのような内容がうかがえます。ここでリーズニングも併せて確認してみます。

　　　

リーズニング：

リーズニングの解決策では、RADIUSサーバのログを確認すること、クレデンシャルが拒否された理由（例：パスワードの誤り、無効なアカウント、ポリシーの不一致）を特定すること、APとRADIUSサーバ間の接続を確認することが提示されました。本ケースではパスワードの誤りが根本原因となるためリーズニングでサジェストされたアクションから一つずつ解決策を実行することでトラブルを解消できるといえます。

AKM(Authentication Key Management)プロトコルが異なるAPとクライアントとの接続

次に、WPA3-SAEのみ対応のAPのSSIDにWPA2-PSK対応のクライアントを接続しようとした場合も検証しました。分析結果としては下記の通りとなりました。

サマリ：

サマリでは、クライアントがFT using PSKをリクエストしたものの、ネットワーク側でSAEおよびFT using SAEがサポートされていることが示されており、認証方式が不一致であること、Invalid AKMPのステータスコードでアソシエーションが拒否されていることが示されています。リーズニングも確認してみます。

　　

リーズニング：

リーズニングでは、サジェストされたアクションとしてAPおよびクライアントのセキュリティタイプを確認することが提示されています。ここで提示されている内容の通り、実際にセキュリティタイプが異なるかをキャプチャ情報で確認してみます。

アソシエーションリクエスト：

プローブレスポンス：

キャプチャ情報を見てみると、プローブレスポンスとアソシエーションリクエストのRSN Informationよりクライアント側でのAKMがFT using PSKであるのに対して、AP側ではSAE/FT using SAEのためAKMがミスマッチであることが分かります。

アソシエーションレスポンス：

そして、最終的にアソシエーションレスポンスでサポートされていない認証・鍵管理プロトコルとして返答されています。サマリ情報にも同一の内容の記載があったように、AI PCAP Analyzerではこれらの情報をうまく解析・要約していることが分かりました。基本的な使い方としては、サマリやパケットフローで問題の概要把握とリーズニング上の解決策の実行を行うといった使い方になりそうです。

より深い問題が発生した場合は、リーズニングのフレーム番号毎の詳細な情報とキャプチャの突合、そこにAIアシスタントとの連携でいくつか解決策の候補を提示してもらうといった使い方が想定されます。

まとめ

いかがでしたでしょうか。本記事では、AI PCAP Analyzerを検証した結果をご紹介しました。既に実装されているプロアクティブPCAPと本機能を活用することで、クライアント接続障害時の再現から要因分析・対応策の策定の工数を削減できることが分かりました。特にキャプチャの解析は相応の専門知識が必要とされるため、既にMerakiのアクセスポイントをお使いの方やこれからWi-Fiの導入を考えられている方はトラブル対応の効率化の観点から、ぜひご検討してみてはいかがでしょうか。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。