Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成
目次
  1. SD-WAN の概要
  2. 主なコンセプト
    1. コンセントレータ モード
      1. ワンアーム コンセントレータ
      2. NAT モード コンセントレータ 
    2. VPN トポロジ
      1. スプリット トンネル
      2. フル トンネル 
      3. ハブおよびスポーク
      4. VPN メッシュ
      5. データセンター冗長性(DC-DC フェールオーバー)
    3. VPN コンセントレータのウォーム スペア(高可用性)
    4. 接続モニタ
    5. SD-WAN テクノロジー
      1. デュアル アクティブ VPN アップリンク
      2. ポリシーベース ルーティング
      3. 動的なパス選択
        1. パフォーマンス プローブ
  3. アーキテクチャの概要
    1. SD-WAN の目標
    2. トポロジの例
    3. トラフィック フローの概要
  4. フェールオーバー時間
  5. データセンターでの導入 
    1. ワンアーム コンセントレータの導入
      1. トポロジの例
      2. ダッシュボードの設定
        1. NAT トラバーサル
        2. ウォーム スペアの追加
          1. トポロジ
          2. 動作
          3. ダッシュボードの設定 
        3. OSPF ルート アドバタイズメントの設定
          1. 動作
          2. ダッシュボードの設定 
      3. その他のデータセンター設定 
        1. MX IP の割り当て
        2. アップストリームに関する考慮事項
          1. ルーティング
          2. ファイアウォールに関する考慮事項
    2. データセンター冗長性(DC-DC フェールオーバー)
  6. ブランチ オフィスへの導入
    1. ブランチでの AutoVPN の設定
      1. 前提条件
        1. WAN インターフェイスの設定
        2. サブネットの設定
      2. AutoVPN の設定
        1. ハブとスポーク VPN の設定
          1. ハブの優先順位
        2. 許可されるネットワークの設定
        3. NAT トラバーサル
    2. パフォーマンス ルールとポリシー ルールの追加
      1. Best for VoIP
      2. ビデオのロード バランシング
      3. パフォーマンス フェールオーバーを使用した Web トラフィック用の PbR
      4. レイヤ 7 の分類
        1. Best for VoIP
  7. FAQ:
    1. MX は非暗号化 AutoVPN トンネルをサポートしますか?
    2. トラフィックが暗号化される場合、QoS または DSCP タグはどうなりますか?
    3. Meraki 以外のデバイスを VPN ハブとして使用することはできますか?
    4. Cisco ISR ルータを使用した IWAN との間でどのように連動しますか? 
    5. 3G モデムまたは 4G モデムでデュアル アクティブ AutoVPN を使用することはできますか?
    6. SD-WAN はブランチのウォーム スペア(HA)とどのように連動しますか?
  8. 参考資料
    1. Auto VPN のホワイトペーパー
    2. SD WAN のページ
  9. 付録
    1. 付録 1:PbR と動的パス選択でのトラフィック フローの詳細
      1. 全体的なフローチャート
      2. 判断ポイント 1:両方のアップリンクでトラフィックを確立できるかどうか
      3. 判断ポイント 2:動的パス選択のパフォーマンス ルールが定義されているか
      4. 判断ポイント 3:PbR ルールが定義されているか
      5. 判断ポイント 4:VPN ロード バランシングが設定されているか

すべての Cisco Meraki セキュリティ アプライアンスには SD-WAN 機能が備わっています。これを使用すると、管理者はネットワークの復元力と帯域幅の効率性を最大限に活用できます。 このガイドでは Meraki SD-WAN のさまざまなコンポーネントを紹介し、SD-WAN 機能を利用するための Meraki AutoVPN アーキテクチャの導入方法をいくつか説明して、推奨される導入アーキテクチャを重点的に示します。

SD-WAN の概要

ソフトウェア定義型 WAN(SD-WAN)とは、変化する WAN 状態に応じて、ネットワーク管理者が手動で介入して調整することなくネットワークを動的に調整できる機能です。  SD-WAN では WAN の可用性とパフォーマンスの変化に特定のトラフィック タイプをどのように適応させるかをきめ細かく制御できるので、重要なアプリケーションのパフォーマンスを最適化できると同時に、パフォーマンスに極めて左右されやすいトラフィック(VoIP など)の中断を回避するのにも役立ちます。詳細については、ここをクリックしてください。

主なコンセプト

SD-WAN を導入する前に、いくつかの主要なコンセプトを理解しておくことが重要です。

コンセントレータ モード

すべての MX は、NAT または VPN コンセントレータ モードのいずれかで設定できます。いずれのモードにも重要な注意事項があります。各コンセントレータ モードの詳細については、こちらをクリックしてください

ワンアーム コンセントレータ

このモードでは、MX はアップストリーム ネットワークへ単一イーサネット接続を使用して構成されます。すべてのトラフィックはこのインターフェイスで送受信されます。 データセンターへの VPN ターミネーション ポイントとして機能する MX アプライアンス用には、この構成が推奨されます。

NAT モード コンセントレータ 

さらに、データセンター内の VPN ターミネーション ポイントとして機能する NAT モードの MX で SD-WAN 機能セットを利用することもできます。 

VPN トポロジ

VPN 展開には、使用できる構成オプションがいくつかあります。

スプリット トンネル

この構成では、同じダッシュボード編成内の別の MX によってアドバタイズされている特定のサブネットを宛先とするトラフィックのみが、ブランチから VPN 経由で送信されます。その他のトラフィックは、使用可能なその他のルート(スタティック LAN ルート、サードパーティ VPN ルートなど)と照合され、一致しない場合は NAT 変換され、暗号化されていないブランチ MX に送信されます。

Full Tunnel 

フル トンネル モードでは、ブランチまたはリモート オフィスから他の送信ルートが存在しないトラフィックがすべて VPN ハブに送信されます。

ハブおよびスポーク

ハブとスポークの構成では、ブランチとリモート オフィスにある MX セキュリティ アプライアンスが特定の MX アプライアンスに直接接続するので、組織内の他の MX や Z1 デバイスへのトンネルが形成されません。設定済みの VPN ハブを介して、ブランチ サイトまたはリモート オフィスの間で通信できます。これは、ほとんどの SD-WAN 展開で推奨される VPN トポロジです。

VPN メッシュ

SD-WAN 展開では VPN の「メッシュ」構成を使用することもできます。

 

メッシュ構成では、ブランチまたはリモート オフィスにある MX アプライアンスが、組織内にある同じメッシュ モードの他の MX、ならびにその MX アプライアンスをハブとして使用するスポーク MX に直接接続するように設定されます。

データセンター冗長性(DC-DC フェールオーバー)

他のデータセンター内に VPN コンセントレータとして機能する 1 つ以上の MX を導入することで、重要なネットワーク サービス用に冗長性を改善できます。デュアルまたはマルチ データセンター構成では、VPN コンセントレータ モードの MX により、各データセンターから同一のサブセットをアドバタイズできます。 

 

DC-DC フェールオーバー設計では、スポーク サイトが、そのサイト用に設定されるすべての VPN ハブへの VPN トンネルを形成します。特定のハブに固有のサブネットについては、スポークとハブの間のトンネルが正常に確立されている限り、トラフィックがそのハブに直接ルーティングされます。  複数のハブからサブネットがアドバタイズされる場合、スポーク サイトは、到達可能な最高優先順位のハブにトラフィックを送信します。 

VPN コンセントレータのウォーム スペア(高可用性)

高可用性(HA)構成では、1 つの MX がマスター ユニットとして機能し、他の MX は予備として稼働します。すべてのトラフィックがマスター MX を経由する一方、スペア MX は障害発生時に備えた冗長性の追加層として稼働します。

 

HA 構成での MX 間のフェールオーバーでは、VRRP ハートビート パケットが利用されます。 これらのハートビート パケットが単一のアップリンクを介してプライマリ MX からセカンダリ MX に送信されることで、プライマリがオンラインで正常に機能していることを示します。セカンダリは、これらのハートビート パケットを受信し続けている間はスペアとして機能します。ハートビート パケットを受信しなくなると、セカンダリはプライマリがオフラインになったと見なし、マスター状態に遷移します。これらのハートビートを受信するためには、両方の VPN コンセントレータ MX がデータセンター内の同じサブネット上のアップリンクを使用できる必要があります。

 

ある時点で完全に稼働している状態のデバイスは 1 台だけとなるため、HA ペアに必要な MX ラインセンスは 1 つだけです。

接続モニタ

接続モニタは、すべての MX セキュリティ アプライアンスに組み込まれているアップリンク モニタリング エンジンです。このエンジンの仕組みについては、こちらの記事を参照してください。  

SD-WAN テクノロジー

Meraki SD-WAN の実装は、AutoVPN テクノロジーをベースに作成された複数の主要な機能からなります。

デュアル アクティブ VPN アップリンク

SD-WAN がリリースされる前は、AutoVPN トンネルが形成されるインターフェイスは 1 つだけでした。SD-WAN のリリースにより、MX の両方のインターネット インターフェイス上に同時に AutoVPN トンネルを形成できるようになりました。

 

両方のインターフェイス上に VPN トンネルを形成してトラフィックを送信できるので、AutoVPN 展開環境でより柔軟にトラフィック パスとルーティングを決定できます。SD-WAN により、管理者は複数のリンクにわたって VPN トラフィックを負荷分散できるだけでなく、MX に組み込まれたポリシーベース ルーティング機能と動的パス選択機能を使用して、データセンターへの追加的なパスをさまざまな方法で利用できます。

ポリシーベース ルーティング

ポリシーベース ルーティングにより、管理者はトラフィック フローの送信元と宛先の IP およびポートに基づいてトラフィック フローごとに優先 VPN パスを設定できます。

動的なパス選択

動的パス選択では、ネットワーク管理者がトラフィックのタイプごとにパフォーマンス基準を設定できます。 これにより、使用可能な VPN トンネルのうち、どのトンネルがこれらの基準を満たすかに応じて、フローごとにパスが選択されます。基準を満たすかどうかの判別には、MX が自動的に収集するパケット損失、レイテンシ、およびジッター メトリックが使われます。

パフォーマンス プローブ

パフォーマンス ベースで決定するには、各トラフィック フローに最適なパスが使用されるよう、WAN の現在の状態に関する正確な情報を継続的に取得する必要があります。この情報はパフォーマンス プローブを使用して収集されます。

 

パフォーマンス プローブは、確立されているすべての VPN トンネルから 1 分間隔で送信される、UDP データの小さなペイロード(約 100 バイト)です。MX アプライアンスは、正常な応答率と応答を受信するまでの経過時間を追跡します。    このデータにより、MX は各 VPN トンネルでのパケット損失、レイテンシ、ジッターを判断し、パフォーマンス要件に基づいて最適なパスを決定できます。 

アーキテクチャの概要

このガイドでは最も一般的な導入シナリオに重点を置きますが、別のトポロジの使用を禁止しているわけではありません。  ほとんどの展開環境に推奨される SD-WAN のアーキテクチャは以下のとおりです。

 

  • ワンアーム コンセントレータとして導入された MX(データセンター)
  • ウォーム スペア/高可用性(データセンター)
  • 接続された VPN サブネットへのスケーラブルなアップストリーム接続を扱うための OSPF ルート アドバタイズメント
  • データセンター冗長性
  • ブランチおよびリモート オフィスからのスプリット トンネル VPN
  • デュアル WAN アップリンク(すべてのブランチおよびリモート オフィス)

SD-WAN の目標

このガイドでは、次に示す主な 2 つの SD-WAN の目標に焦点を絞ります。

  • 重要なネットワーク サービスのための冗長性

  • VoIP トラフィックに最適なパスの動的選択

トポロジの例

以下のトポロジは、DC-DC フェールオーバーによる冗長性を含む全機能を備えた SD-WAN 展開環境を表しています。
 

iwan-topo.png

 

ブランチまたはリモート オフィスからのトンネルはいずれも、ワンアーム コンセントレータ上で使用される単一のインターフェイスで終端します。


トラフィック フローの概要

SD-WAN 展開環境では、VPN トンネル経由のトラフィック フローのルーティング方法は、以下の主要な判断ポイントによって決まります。

  • 両方のインターフェイス上に VPN トンネルを確立できるかどうか
  • 動的パス選択ルールが設定されているかどうか 
  • ポリシーベース ルーティング ルールが設定されているかどうか
  • ロード バランシングが有効になっているかどうか

両方のインターフェイスでトンネルが確立されている場合は、動的なパス選択を使用して、特定のトラフィック フローの最小パフォーマンス要件を満たすパスが決定されます。その後、これらのパスが、ポリシーベース ルーティングとロード バランシングの設定に照らして評価されます。

 

SD-WAN 構成でのトラフィック フローの詳細については、付録を参照してください。

フェールオーバー時間

フェールオーバーについては、以下の重要な時間枠があることに注意してください。

 

サービス フェールオーバー時間 フェールバック時間
AutoVPN トンネル 30 ~ 40 秒 30 ~ 40 秒
DC-DC フェールオーバー 20 ~ 30 秒 20 ~ 30 秒
動的なパス選択 最大 30 秒 最大 30 秒
ウォーム スペア 30 秒以下 30 秒以下
WAN 接続 300 秒以下 15 ~ 30 秒

Sorry, no results matched your search criteria(s). Please try again.

データセンターでの導入 

このセクションでは、データセンターでの SD-WAN アーキテクチャの設定と実装について概説します。

ワンアーム コンセントレータの導入

トポロジの例

SD-WAN 展開環境では、データセンター設計の選択肢としてワンアーム コンセントレータが推奨されます。以下の図に、ワンアーム コンセントレータを使用したデータセンターのトポロジの例を示します。

Screen Shot 2015-12-11 at 1.37.53 PM.png

ダッシュボードの設定

ユニットをオンラインにする前でもオンラインにした後でも、Cisco Meraki ダッシュボードの設定を行うことができます。

 

  1. 最初に、VPN コンセントレータ モードで動作するように MX を設定します。この設定にアクセスするには、[セキュリティ アプライアンス(Security Appliance)] > [構成(Configure)] > [アドレッシングと VLAN(Addressing & VLANs)] ページに移動します。MX は、デフォルトで NAT モードで稼働するように設定されます。
     

new addressing & vlans page - passthrough mode.PNG

 

  1. 次に、サイト間 VPN パラメータを設定します。この設定にアクセスするには、[セキュリティ アプライアンス(Security Appliance)] > [構成(Configure)] > [サイト間 VPN(Site-to-site VPN)] ページに移動します。

  2. まず、[タイプ(Type)] を [ハブ(メッシュ)(Hub (Mesh))]"に設定します。"
  3. [ローカル ネットワーク(Local networks)] には、この VPN コンセントレータのアップストリームにアクセス可能なローカル ネットワークを設定します。
    1. [名前(Name)] には、サブネットを記述するタイトルを指定します。

    2. [サブネット(Subnet)] には、他の AutoVPN ピアにアドバタイズされるサブネットを CIDR 表記で指定します。

  4. [NAT トラバーサル(NAT traversal)] は、自動または手動に設定できます。この 2 つのオプションの詳細については、以下を参照してください。

  5. このスクリーンショットに例が示されています。 

    ​​    hub mesh local networks new screenshot.PNG

NAT トラバーサル

VPN コンセントレータでは、手動または自動のどちらの NAT トラバーサルを使用するかが重要な考慮事項になります。

 

手動 NAT トラバーサルを使用する場合とは

  • アンフレンドリ NAT アップストリームがある
  • データセンターで許可される着信または発信トラフィックを制御する厳格なファイアウォール ルールがある  
  • VPN コンセントレータとの通信にリモート サイトで使用するポートを把握することが重要です  

 

手動 NAT トラバーサルを選択する場合は、VPN コンセントレータに静的 IP アドレスを割り当てることを強くお勧めします。手動 NAT トラバーサルは、特定のポートのトラフィックすべてを VPN コンセントレータに転送できる場合を想定しています。

 

自動 NAT トラバーサルを使用する場合

  • 上記にリストされている、手動 NAT トラバーサルが必要となる条件が 1 つも存在しない

 

自動 NAT トラバーサルが選択される場合、MX は AutoVPN トラフィックの送信元として、大きな番号の UDP ポートを自動的に選択します。VPN コンセントレータはこのポートを使用してリモート サイトに接続し、アップストリーム ファイアウォール内にステートフル フロー マッピングを作成します。これにより、リモート サイトから発信されたトラフィックが VPN コンセントレータに到達できるので、別のインバウンド ファイアウォール ルールは不要です。

ウォーム スペアの追加

このセクションでは、VPN コンセントレータ モードで稼働する MX セキュリティ アプライアンスを設定および実装するために必要な手順を概説します。

トポロジ

以下に、VPN コンセントレータの HA 構成を利用したトポロジの例を示します。

Screen Shot 2015-12-11 at 1.37.30 PM.png

動作

高可用性(HA)のための構成では、1 つの MX がマスターとしてアクティブに機能し、他の MX はパッシブなスタンバイ MX として稼働します。フェールオーバーを可能にするには VRRP プロトコルを使用します。詳細については、ここをクリックしてください。

ダッシュボードの設定 

MX セキュリティ アプライアンスの高可用性には、同じモデルの MX がもう 1 台必要になります。HA はアクティブ/パッシブで実装されるため、適切に機能させるにはその 2 台目の MX も接続してオンラインにする必要があります。

 

高可用性(ウォーム スペアとも呼ばれる)は、[セキュリティ アプライアンス(Security Appliance)] > [構成(Configure)] > [アドレッシングと VLAN(Addressing & VLANs)] で設定できます。まず、[ウォーム スペア(Warm Spare)] を [有効(Enabled)] に設定します。    次に、ウォーム スペアにする MX のシリアル番号を入力します。 最後に、MX アップリンク IP または仮想アップリンク IP のどちらを使用するかを選択します。   

 

アップリンク IP

新しいネットワークのセットアップでは、デフォルトで [アップリンク IP の使用(Use Uplink IPs)] が選択されています。 HA 構成で適切に通信するためには、仮想 IP(vIP)を使用するように VPN コンセントレータ MX を設定する必要があります。

 

仮想 IP(vIP)

仮想アップリング IP オプションでは、HA MX ペアで共有される追加の IP アドレスを使用します。この設定では、MX はそれぞれのアップリンク IP を使用してクラウド コントローラと通信しますが、共有されている仮想 IP アドレスで他のトラフィックが送受信されます。 

 

new warm spare configuration.PNG

OSPF ルート アドバタイズメントの設定

VPN コンセントレータ モードで稼働する MX セキュリティ アプライアンスは、OSPF を介して接続先 VPN サブネットへのルート アドバタイジングをサポートします。 この機能は、NAT モードで稼働しているデバイスでは使用できません。

動作

OSPF ルート アドバタイズメントが有効にされた MX VPN コンセントレータは、単に OSPF を使用してルート アドバタイズメントを行うだけです。OSPF ルートを学習することはありません。

 

スポーク サイトが VPN コンセントレータに接続される場合、スポーク サイトへのルートは LS 更新メッセージを使ってアドバタイズされます。これらのルートはタイプ 2 外部ルートとしてアドバタイズされます。

ダッシュボードの設定 

OSPF ルート アドバタイズメントを設定するには、[セキュリティ アプライアンス(Security Appliance)] > [構成(Configure)] > [サイト間 VPN(Site-to-site VPN)] ページに移動します。このページで以下の設定を行います。

  • [リモート ルートをアドバタイズする(Advertise remote routes)] を [有効(Enabled)] に設定します。
  • [ルータ ID(Router ID)] を設定します。
  • [エリア ID(Area ID)] を設定します。
  • 必要に応じて [コスト(Cost)] を調整します。
  • 必要に応じて [Hello タイマー(Hello timer)] を調整します。
  • 必要に応じて [Dead タイマー(Dead timer)] を調整します。
  • 必要に応じて [MD5 認証(MD5 authentication)] を有効にして設定します。

 

iwan-3.PNG

 

その他のデータセンター設定 

MX IP の割り当て

データセンター内では、静的 IP アドレスまたは DHCP から取得したアドレスを使って MX セキュリティ アプライアンスを稼働できます。 デフォルトでは、MX アプライアンスは DHCP アドレスをプルしようと試みます。VPN コンセントレータには静的 IP アドレスを割り当てることを強くお勧めします。

 

静的 IP アドレスの割り当ては、デバイスのローカル ステータス ページで設定できます。

ローカル ステータス ページを使用して、MX のアップリンクに VLAN タギングを設定することもできます。次のシナリオに注意してください。

  • アップストリーム ポートがアクセス ポートとして設定されている場合は、VLAN タギングを有効にしないでください。
  • アップストリーム ポートがトランク ポートとして設定され、MX がネイティブまたはデフォルトの VLAN で通信する必要がある場合は、VLAN タギングを無効のままにしてください。
  • アップストリーム ポートがトランク ポートとして設定され、MX がネイティブまたはデフォルトの VLAN 以外の VLAN で通信する必要がある場合は、該当する VLAN ID に応じて VLAN タギングを設定する必要があります。

アップストリームに関する考慮事項

このセクションでは、データセンター ネットワークの他のコンポーネントに関する考慮事項を説明します。 

ルーティング

データセンターで VPN コンセントレータとして稼働する MX は、リモート サブネットをデータセンター内で終端します。双方向通信では、アップストリーム ネットワークに、VPN コンセントレータとして機能する元の MX をポイントするリモート サブネット用のルートが必要です。

 

OSPF ルート アドバタイズメントが使用されていない場合、リモート VPN サブネットを宛先とするトラフィックを MX VPN コンセントレータにリダイレクトするスタティック ルートが、アップストリーム ルーティング インフラストラクチャ内に設定される必要があります。

OSPF ルート アドバタイズメントが有効にされている場合、アップストリーム ルータは接続先 VPN サブネットへのルートを動的に学習します。

ファイアウォールに関する考慮事項

MX セキュリティ アプライアンスでは、いくつかの種類のアウトバウンド通信を利用します。このような通信を許可にするには、アップストリーム ファイアウォールを設定する必要が生じることがあります。

 

ダッシュボードとクラウド

MX セキュリティ アプライアンスは、クラウドで管理されるネットワーク デバイスです。そのため、Cisco Meraki ダッシュボードを介してモニタリングおよび設定できるように、必要なファイアウォール ポリシーを確実に設定することが重要です。該当する宛先ポートと IP アドレスは、ダッシュボードの [ヘルプ(Help)] > [ファイアウォール情報(Firewall Info)] ページで確認できます。

 

VPN レジストリ

Cisco Meraki の AutoVPN テクノロジーでは、クラウドベース レジストリ サービスを利用して VPN 接続をオーケストレーションします。AutoVPN 接続が正常に確立されるようにするには、アップストリーム ファイアウォールが VPN コンセントレータと VPN レジストリ サービスとの通信を許可する必要があります。 該当する宛先ポートと IP アドレスは、ダッシュボードの [ヘルプ(Help)] > [ファイアウォール情報(Firewall Info)] ページで確認できます。

 

アップリンクの正常性 モニタリング

MX は、よく知られているインターネットの宛先に共通プロトコルを使用して接続することにより、アップリンクの正常性を定期的に確認します。この動作の詳細については、 ここをクリックしてください。適切なアップリンク モニタリングを可能にするには、以下の通信を許可する必要もあります。

  • ICMP と 8.8.8.8(Google のパブリック DNS サービス)の間の通信
  • HTTP ポート 80
  • DNS と、MX で設定されている DNS サーバの間の通信

データセンター冗長性(DC-DC フェールオーバー)

Cisco Meraki MX セキュリティ アプライアンスは、DC-DC フェールオーバー実装によってデータセンター間の冗長性をサポートします。他の 1 つ以上のデータセンターでワンアーム コンセントレータを導入するには、上記と同じ手順を使用できます。VPN フェールオーバーの動作とルートの優先順位付けについて詳しくは、こちらの記事を参照してください。

ブランチ オフィスへの導入

このセクションでは、ブランチでの SD-WAN アーキテクチャの構成と実装について概説します。

ブランチでの AutoVPN の設定

前提条件

AutoVPN トンネルを設定して確立する前に、確認しておかなければならない設定手順がいくつかあります。

WAN インターフェイスの設定

多くの場合は DHCP による自動アップリンク設定で十分ですが、展開環境によっては、ブランチで MX セキュリティ アプライアンスの手動アップリンク設定が必要になることがあります。WAN インターフェイスに静的 IP アドレスを割り当てる手順については、ここをクリックしてください。

 

一部の MX モデルには専用のインターネット ポートが 1 つしかないため、2 つのアップリンク接続が必要な場合には、デバイスのローカル ステータス ページでセカンダリ インターネット ポートとして動作する LAN ポートを設定する必要があります。現在、これに該当するモデルには、MX84、MX400、MX600 を除くすべての MX モデルが含まれます。この設定変更は、デバイスのローカル ステータス ページの [構成(Configure)] タブで行うことができます。

サブネットの設定

AutoVPN では、数回クリックするだけで、AutoVPN トポロジのサブネットを追加および削除できます。 サイト間 VPN の設定に進む前に、適切なサブネットを構成しておく必要があります。

 

まず、[セキュリティ アプライアンス(Security Appliance)] > [構成(Configure)] > [アドレッシングと VLAN(Addressing & VLANs)] ページで、ブランチで使用されるサブネットを設定します。

 

new addressing & vlans page - routing.PNG

 

デフォルトでは、MX ネットワーク用に、VLAN を無効にした単一のサブネットが生成されます。この構成では、VLAN 設定を管理することなく、単一のサブネットと必要な任意のスタティック ルートを設定できます。

 

複数のサブネットまたは VLAN が必要な場合は、[VLAN(VLANs)] ドロップダウンを有効にしてください。これにより、複数の VLAN を作成できるだけでなく、ポートごとに VLAN を設定できるようになります。

AutoVPN の設定

サブネットの設定が完了した後は、Cisco Meraki の AutoVPN を設定できます。それには、ダッシュボードで [セキュリティ アプライアンス(Security Appliance)] > [構成(Configure)] > [サイト間 VPN(Site-to-site VPN)] ページに移動します。

ハブとスポーク VPN の設定

[セキュリティ アプライアンス(Security Appliance)] > [構成(Configure)] > [サイト間 VPN(Site-to-site VPN)] ページで、以下の設定を行います。 

  • [タイプ(Type)] には [スポーク(Spoke)] を選択します。
  • [ハブ(Hubs)] セクションにある [ハブを追加(Add a hub)] を選択します。
  • 他のハブにも接続するには、[ハブを追加(Add a hub)] を選択して、データセンターでの導入手順で設定した VPN コンセントレータを選択します。
  • [ハブを追加(Add a hub)] リンクを使用して、さらにハブを追加できます。

 

s2s vpn new page spoke.PNG

ハブの優先順位

ハブの優先順位は、リスト内での個々のハブの位置に基づき、上から下の順で低くなっていきます。 つまり、リストの先頭にあるハブが第 1 に優先され、2 番目のハブが第 2 に優先され、以下同様です。複数のハブからアドバタイズされるサブネットを宛先とするトラフィックは、a)そのサブネットをアドバタイズしていて、b)スポークとの有効な VPN 接続が現在確立されている、最も優先順位が高いハブに送信されます。  1 つのハブだけからアドバタイズされたサブネットを宛先とするトラフィックは、そのハブに直接送信されます。  

許可されるネットワークの設定

特定のサブネットに VPN での通信を許可するには、[サイト間 VPN(Site-to-site VPN)] ページの [ローカル ネットワーク(Local networks)] セクションを見つけます。サブネットのリストには、[アドレッシングと VLAN(Addressing & VLANs)] ページで設定されているローカル サブネットとスタティック ルートに加え、クライアント VPN サブネット(設定されている場合)が取り込まれます。

 

サブネットに VPN の使用を許可するには、該当するサブネットの [VPN を使用する(Use VPN)] を [はい(yes)] に設定します。

NAT トラバーサル

NAT トラバーサルのオプションの詳細については、ここをクリックしてデータセンターでの導入ステップを参照してください。 

 

パフォーマンス ルールとポリシー ルールの追加

VPN トラフィックのルーティング ルールは、ダッシュボードの [セキュリティ アプライアンス(Security Appliance)]>[構成(Configure)] > [トラフィック シェーピング(Traffic Shaping)]ページで設定できます

 

ポリシーベース ルーティング(PbR)と動的パス選択を構成するための設定は、[フローの設定(Flow preferences)] 見出しの下にあります。

sd-wan & traffic shaping page - new.PNG

 

以降のセクションで、いくつかのルール設定例について説明します。


Best for VoIP

トラフィック最適化の一般的な使用法のひとつは、損失、レイテンシやジッターの影響を受けやすい VoIP トラフィックです。 Cisco Meraki MX には、[Best for VoIP] という VoIP トラフィック用のデフォルト パフォーマンス ルールが用意されています。

 

このルールを設定するには、[VPN トラフィック(VPN traffic)] セクションにある [設定を追加(Add a preference)] をクリックします。

new vpn performance class rules.PNG 

 

[アップリンク選択ポリシー(Uplink selection policy)] ダイアログで、プロトコルとして UDP を選択し、[トラフィック フィルタ(Traffic filter)] に該当する送信元と宛先の IP アドレスおよびポートを入力します。[優先するアップリンク(Preferred uplink)] に [Best for VoIP] を選択し、変更を保存します。 

 

このルールは、確立されている VPN トンネルの損失、レイテンシ、ジッターを評価して、現在のネットワーク状態に基づき、VoIP トラフィックに最適な VPN パスを介して、設定済みトラフィック フィルタに一致するフローを送信します。

ビデオのロード バランシング

Cisco TelePresence などのテクノロジーが日々のビジネス オペレーションに統合されるにつれて、現在のネットワークではビデオ トラフィックがますます大きな部分を占めるようになっています。 このブランチ サイトでは、ビデオ ストリーミング用に事前作成された別のパフォーマンス ルールを使用して、両方のインターネット アップリンクでトラフィックをロード バランシングすることにより、使用可能な帯域幅を最大限に利用しようと考えています。

 

このように設定するには、[VPN トラフィック(VPN traffic)] セクションにある [設定を追加(Add a preference)] をクリックします。

Screen Shot 2015-12-03 at 8.09.44 PM.png

 

[アップリンク選択ポリシー(Uplink selection policy)] ダイアログで、プロトコルとして UDP を選択して、[トラフィック フィルタ(Traffic filter)] に該当する送信元と宛先の IP アドレスおよびポートを入力します。[ポリシー(Policy)] の [優先するアップリンク(Preferred uplink)] には [ロード バランス(Load balance)] を選択します。次に、[ビデオ ストリーミング(Video streaming)] パフォーマンス カテゴリに一致するアップリンクにのみ適用されるようにこのポリシーを設定します。 最後に変更を保存します。

 

このポリシーは、VPN トンネルの損失、レイテンシ、ジッターをモニタリングし、ビデオ ストリーミング パフォーマンス基準を満たす VPN トンネル全体で、トラフィック フィルタに一致するフローをロード バランシングします。

パフォーマンス フェールオーバーを使用した Web トラフィック用の PbR

ネットワーク管理者がしばしば最適化または制御する一般的なトラフィック タイプの 1 つに、Web トラフィックがあります。このブランチでは PbR ルールを使用して、カスタム設定パフォーマンス カテゴリに Web トラフィックが適合する場合にのみ、WAN 1 インターフェイス上に形成された VPN トンネルでその Web トラフィックを送信します。

 

このように設定するには、[カスタム パフォーマンス ルール(Custom performance rules)] セクションにある [新しいパフォーマンス ルールを作成(Create a new performance rule)] を選択します。

new custom performance classes.PNG

 

[名前(Name)] フィールドに、このカスタム ルールを記述するタイトルを入力します。このトラフィック フィルタで許容する最大レイテンシ、ジッター、パケット損失を指定します。このブランチでは、最大パケット損失しきい値に基づいて「Web」カスタム ルールを使用します。その後、変更を保存します。

 

次に、[VPN トラフィック(VPN traffic)] セクションにある [設定を追加(Add a preference)]"をクリックします。

web vpn custom class new.PNG

 

[アップリンク選択ポリシー(Uplink selection policy)] ダイアログで、プロトコルとして TCP を選択し、[トラフィック フィルタ(Traffic filter)] で該当する送信元と宛先の IP アドレスおよびポートを入力します。[ポリシー(Policy)] の [優先するアップリンク(Preferred uplink)] には [WAN1] を選択します。次に、[フェールオーバーの条件(Fail over if)] に [パフォーマンス不良(Poor performance)] を選択し、パフォーマンス不良の場合に Web トラフィックをフェールオーバーするようにルールを設定します。 [パフォーマンス カタログ(Performance category)] で、事前に作成されているパフォーマンス ルールのいずれか 1 つを選択するか、このネットワークに現在設定されているカスタム パフォーマンス ルールのいずれか 1 つを選択します。 その後、変更を保存します。

 

このルールは、確立されている VPN トンネルのパケット損失を評価し、トラフィック フィルタに一致するフローを優先アップリンクに送信します。「Web」パフォーマンス ルールの損失、レイテンシ、またはジッターのしきい値を超えると、トラフィックは WAN2 上のトンネルにフェールオーバーされます(設定されているパフォーマンス基準を満たす場合)。

レイヤ 7 の分類

現在、レイヤ 7 トラフィック フィルタに基づく VPN フロー設定は、ベータ版でのみ使用可能です。 このベータへの参加に関心をお持ちの場合は、Cisco Meraki の営業担当者または Cisco Meraki サポート チームにお問い合わせください。


Best for VoIP

このルールを設定するには、[VPN トラフィック(VPN traffic)] セクションにある [設定を追加(Add a preference)] をクリックします。

 

[アップリンク選択ポリシー(Uplink selection policy)] ダイアログで、新しいトラフィック フィルタを設定するために [追加(Add+)] をクリックします。フィルタ選択メニューで、[VoIP とビデオ会議(VoIP & video conferencing)] カテゴリをクリックし、該当するレイヤ 7 ルールを選択します。上記の例では、[SIP(音声)(SIP (Voice))] ルールが使用されることになります。 

 

次に、[優先するアップリンク(Preferred uplink)] に [Best for VoIP] パフォーマンス クラスを選択し、変更を保存します。 このルールは、確立されている VPN トンネルの損失、レイテンシ、ジッターを評価して、現在のネットワーク状態に基づき、VoIP トラフィックに最適な VPN パスを介して、設定済みトラフィック フィルタに一致するフローを送信します。

FAQ:

MX は非暗号化 AutoVPN トンネルをサポートしますか?

いいえ。現在、AutoVPN では VPN トンネルに必ず AES-128 暗号化を使用します。

トラフィックが暗号化される場合、QoS または DSCP タグはどうなりますか?

QoS タグと DSCP タグは両方ともカプセル化されたトラフィック内に維持されて IPsec ヘッダーにコピーされます。

Meraki 以外のデバイスを VPN ハブとして使用することはできますか?

標準の IPsec VPN を使用して Meraki デバイスと Meraki 以外のデバイスとの間で VPN 接続を確立することは可能です。ただし SD-WAN では、すべてのハブおよびスポーク デバイスが Meraki MX でなければなりません。

Cisco ISR ルータを使用した IWAN との間でどのように連動しますか? 

この 2 つの製品は類似していますが、基礎となるトンネリング テクノロジーは異なります(DMVPN と AutoVPN の違い)。標準的なハイブリッド ソリューションでは、大規模サイトで ISR デバイスを使用し、小規模オフィスまたはブランチで MX デバイスを使用する可能性があります。この場合、データセンターで ISR 専用の IWAN コンセントレータと、それとは別に MX 用の SD-WAN ヘッドエンドが必要になります。

3G モデムまたは 4G モデムでデュアル アクティブ AutoVPN を使用することはできますか?

 MX は一連の 3G モデムおよび 4G モデムのオプションをサポートしていますが、現在のところ、これらのモデムは WAN 障害時に可用性を確保する目的でのみ使用されており、アクティブな有線 WAN 接続と併せてロード バランシングに使用することはできません。

SD-WAN はブランチのウォーム スペア(HA)とどのように連動しますか?

ウォーム スペア機能で設定されたブランチ MX アプライアンスで SD-WAN を導入できますが、AutoVPN トンネルを確立して VPN トラフィックをルーティングするのは、マスターとして稼働する MX のみです。

参考資料

追加情報については、次の参考資料を参照してください。

Auto VPN のホワイトペーパー

Cisco Meraki の AutoVPN テクノロジーの仕組みについて詳しくは、こちらの記事を参照してください。 

SD WAN のページ

SD-WAN の可用性について詳しくは、SD-WAN のページを参照してください。

付録

付録 1:PbR と動的パス選択でのトラフィック フローの詳細

全体的なフローチャート

以下のフローチャートに、SD-WAN の選択ロジックの全容を示します。フローの各部分については、以降のセクションで詳しく説明します。

Screen Shot 2015-12-11 at 12.35.54 PM.png

判断ポイント 1:両方のアップリンクでトラフィックを確立できるかどうか

SD-WAN トラフィック フローにおいてまず最初に評価される点は、両方のインターフェイス上に MX のアクティブな AutoVPN トンネルが確立されているかどうかです。

Screen Shot 2015-12-11 at 12.20.34 PM (1).png

両方のインターフェイス上に VPN トンネルが正常に確立されていなければ、VPN トンネルが正常に確立されているアップリンクでトラフィックが転送されます。

Screen Shot 2015-12-11 at 12.21.07 PM (1).png

両方のインターフェイス上に VPN トンネルを確立できる 場合、次の判断ポイントに進みます。

 

判断ポイント 2:動的パス選択のパフォーマンス ルールが定義されているか

両方のアップリンクにトンネルを確立できる場合、MX アプライアンスは次に、動的なパス選択ルールが定義されてかどうかを確認します。

 

動的なパス選択ルールが定義されている場合、各トンネルを評価して、どのトンネルがこれらのルールを満たすかを判断します。    

Screen Shot 2015-12-11 at 12.21.25 PM (1).png

パフォーマンス要件を満たす VPN パスが 1 だけの場合、その VPN パスでトラフィックが送信されます。動的パス選択のパフォーマンス ルールを満たす VPN パスが 1 つだけである場合、MX は PbR ルールを評価しません

Screen Shot 2015-12-11 at 12.21.38 PM (1).png

 

動的パス選択のパフォーマンス要件を満たす VPN パスが複数 ある場合、あるいは要件を満たすパスが 1 つもないかあるいは動的なパス選択ルールが設定されていない場合は、PbR ルールが評価されます。   

 

Screen Shot 2015-12-11 at 12.21.52 PM (1).png

動的パス選択で決定するためのパフォーマンス ルールが実行された後、MX は次の判断ポイントを評価します。

判断ポイント 3:PbR ルールが定義されているか

動的パス選択 ルールをチェックして、パフォーマンス要件を満たすパスが複数見つかった場合、あるいは 1 つも見つからなかった場合、MX セキュリティ アプライアンスは PbR ルールを評価します。

 

設定されている PbR ルールにフローが一致すれば、指定のパス設定を使ってトラフィックが送信されます。

Screen Shot 2015-12-11 at 12.22.01 PM (1).png

設定されている PbR ルールにフローが一致しなければ、そのトラフィックは論理的に次の判断ポイントに進みます。

 

判断ポイント 4:VPN ロード バランシングが設定されているか

動的パス選択と PbR のルールを評価した後、MX セキュリティ アプライアンスは VPN ロード バランシング ルールが有効になっているかどうかを評価します。

Screen Shot 2015-12-11 at 12.22.07 PM (1).png

VPN lロード バランシングが有効になっていない場合、プライマリ インターネット インターフェイス上に形成されているトンネル経由でトラフィックが送信されます。どのインターネット インターフェイスがプライマリになるかの設定は、[セキュリティ アプライアンス(SecurityAppliance)] > [構成(Configure)] > [トラフィック シェーピング(Traffic Shaping)] ページで行うことができます。

Screen Shot 2015-12-11 at 12.22.20 PM (1).png

ロード バランシングが有効になっている場合、両方のアップリンクで形成されているトンネル全体でフローのロード バランシングが行われます。

Screen Shot 2015-12-11 at 12.22.29 PM (1).png

VPN ロード バランシングでは、MX アップリンク ロード バランシングと同じ仕組みが使用されます。フローは、各アップリンクに指定されている帯域幅に基づいて重み付けされ、ラウンド ロビン形式で送信されます。