Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

サイト間 VPN

Meraki AutoVPN テクノロジーは、ワンクリックでサイト間 VPN トンネルを作成できる独自のソリューションです。ダッシュボード上で有効にすることで、参加する各 MX/Z1 デバイスは次の機能を自動的に実行します。

  • VPN に参加している自身のローカル サブネットをアドバタイズする。
  • インターネット 1 およびインターネット 2 ポートの WAN IP アドレスをアドバタイズする。
  • (各 MX がアドバタイズした VPN ネットワーク内の WAN IP/ローカル サブネットに基づいてダッシュボードで自動的に生成される)グローバル VPN ルート テーブルをダッシュボードからダウンロードする。
  • VPN トンネルの確立およびトラフィックの暗号化に使用する事前共有キーをダウンロードする。

これにより、ワンクリックで設定可能な自動メッシュ サイト間 VPN ソリューションが実現されます。

サイト間 VPN の設定

サイト間 VPN の設定にアクセスするには、[セキュリティ アプライアンス(Security Appliance)] > [構成(Configure)] > [サイト間 VPN(Site-to-site VPN)] ページに移動します

タイプ

AutoVPN トポロジでの MX/Z1 のロールを設定するには 3 つのオプションがあります。

  • [オフ(Off)]:MX/Z1 はサイト間 VPN に参加しません。
  • [ハブ(メッシュ)(Hub (Mesh))]:MX/Z1 デバイスは、ハブ(メッシュ)モードに設定されたリモート Meraki VPN ピアすべてとの間、ならびにハブとして設定された MX/Z1 デバイスを持つハブアンドスポーク モードの MX/Z1 アプライアンスすべてとの間で VPN トンネルを確立します。
  • [スポーク(Spoke)]:MX/Z1 デバイス(スポーク)は、指定のリモート MX/Z1 デバイス(ハブ)との間でのみ、直接トンネルを確立します。他のスポークは、サイト間ファイアウォール ルールでブロックされない限り、それぞれのハブ経由で到達可能です。

ハブのタイプ

出口ハブ

このオプションを使用できるのは、MX がハブとして設定されている場合のみです。  このオプションでは、ローカル MX デバイスからすべてのネットワーク トラフィックを受信するリモート MX デバイスを指定できます。これにより、デフォルト ルートを宛先とするすべてのトラフィックが指定の MX に送信されるフル トンネル構成になります。

フル トンネル VPN でのセキュリティ機能

フル トンネル トポロジでは、すべてのセキュリティおよびコンテンツ フィルタリングをフル トンネル クライアント上で実行する必要があります。出口ハブは、VPN での着信トラフィックに対してコンテンツ フィルタリング、IPS ブロッキング、マルウェア スキャンのいずれも適用しません。ただし、このトラフィックに対して IDS スキャンは実行されます。


スポーク タイプ

ハブ

アプライアンスがスポークとして設定されている場合、そのアプライアンスに複数の VPN ハブを設定できます。この構成におけるスポーク MX は、すべてのサイト間トラフィックを、設定されている VPN ハブに送信します。

デフォルト ルート

スポークのハブを設定する際には、ハブをデフォルト ルートとして選択できます。このオプションを選択にすると、ハブはスポークのデフォルト ルート(0.0.0.0/0)として設定されます。設定されている VPN ピア ネットワーク、スタティック ルート、またはローカル ネットワークに送信されないトラフィックは、すべてデフォルト ルートに送信されます。複数のハブをデフォルト ルートとして選択できます。デフォルト ルートとしてマークされているハブの優先順位は降順です(先頭のハブが最優先されます)。

複数の VPN ハブの設定

さらにハブを追加するには、選択した既存のハブの真下にある [別のハブを追加(Add another hub)] ボタンをクリックします。メッシュ VPN モードのアプライアンスだけをハブとして選択できることに注意してください。ダッシュボード組織内のメッシュ VPN アプライアンスの数は、1 つのアプライアンスに設定できるハブの最大数を表します。

このページでのハブの設定順が、ハブの優先順位になります。複数の VPN ハブが同じサブネットをアドバタイズしている場合は、ハブの優先順位によって使用されるハブが決まります。a)サブネットをアドバタイズしている、b)VPN 経由で現在到達できる最も上位のハブが、そのサブネットに到達するために使用されます。

ハブを削除するには、該当するハブの右側にあるグレーの [X] をクリックします。ハブの優先順位リストを並べ替えるには、リスト内のハブの右側にあるグレーの 4 方向矢印アイコンをクリックしてドラッグすることで、そのハブをリスト内の上下に移動します。

トンネリング

スポークとして設定されている MX/Z1 アプライアンスには、2 つのトンネリング モードを使用できます。

  • [Split tunnel(スプリット トンネル)](デフォルト ルートなし):サイト間トラフィックのみを送信します。つまり、サブネットがリモート サイトにある場合、そのサブネット宛のトラフィックは VPN を介して送信されます。ただし、VPN メッシュ内にないネットワークを宛先とするトラフィック(たとえば www.google.com などのパブリック Web サービスに送られるトラフィック)は、VPN で送信されません。 そのようなトラフィックは、使用可能な別のルートを使ってルーティングされます(多くの場合、ローカル MX デバイスからインターネットに直接送信されます)。スプリット トンネリングでは、複数のハブを設定できます。
  • [フル トンネル(Full tunnel)](デフォルト ルートあり):設定されている出口ハブ が AutoVPN を介してスポーク MX にデフォルト ルートをアドバタイズします。他のルートでは到達できないサブネットを宛先とするトラフィックは、VPN を介して出口ハブに送信されます。出口ハブのデフォルト ルートには、降順で優先順位が付けられます。

コンセントレータの優先順位

ハブ(メッシュ) モードのアプライアンスが、複数の Meraki VPN ピアからアドバタイズされるサブネットに到達する方法は、コンセントレータの優先順位によって決まります。ハブの優先順位の場合と同様に、a)サブネットをアドバタイズしており、かつ b)VPN 経由で現在到達できる(リスト内で最上位の)コンセントレータが、そのようなサブネットに使用されます。重要な点として、コンセントレータの優先順位はメッシュ モードのアプライアンスでのみ使用されます。ハブアンドスポーク モードのアプライアンスはコンセントレータの優先順位を無視し、代わりに独自のハブ優先順位を使用します。

NAT トラバーサル

MX アプライアンスがファイアウォールまたは他の NAT デバイスの背後にある場合、VPN トンネルを確立する際のオプションは 2 つあります。

  • [自動(Automatic)]:ほとんどの場合、MX アプライアンスはリモート Meraki VPN ピアへのサイト間 VPN 接続を自動的に確立できます。その際、「UDP ホール パンチ」と呼ばれる手法を使用する NAT デバイスやファイアウォールを経由することも可能です。これは推奨オプションであり、デフォルトで選択されています。
  • [手動ポート フォワーディング(Manual Port Forwarding)]:[自動(Automatic)] オプションが機能しない場合は、このオプションを使用できます。[手動ポート フォワーディング(Manual Port Forwarding)] が有効になっている場合、Meraki VPN ピアは指定されたパブリック IP アドレスとポート番号を使用して MX アプライアンスと通信します。そのポートのすべての受信トラフィックを MX アプライアンスの IP アドレスに転送するためのアップストリーム ファイアウォールを設定する必要があります。

選択したポート番号については、まだ他のサービスで使用されていないことを確認してください。


ローカル ネットワーク

複数の LAN サブネットを使用している場合は、どの VLAN とスタティック ルートを VPN に参加させるかを指定するオプションがあります。

 

複数のアプライアンスから同じサブネットがアドバタイズされる可能性があるのは、そのサブネットをアドバタイズするすべてのアプライアンスがパススルー モードまたは VPN コンセントレータ モードになっている場合のみです。NAT モードのアプライアンスからアドバタイズされるすべてのサブネットは、AutoVPN トポロジ内で一意でなければなりません。

MX デバイスからのスタティック LAN ルート宛先であるサブネットを、VPN でアドバタイズすることもできます。スタティック ルーティングされるサブネットを VPN でアドバタイズする場合は、ルーティングの均整を保つために、各サブネットのゲートウェイ デバイスがリモート VPN サブネットのトラフィックを MX デバイスにルーティングするように必ず設定してください。

 

VPN サブネット変換

この機能は、デフォルトでは有効になっていません。有効にするには Meraki サポートまでお問い合わせください。


大規模な分散ネットワークでは、複数のネットワークが同一のサブネット範囲を持つ場合(重複サブネット)があります。サイト間 VPN 通信では、各サイトに固有の重複しないローカル サブネットが必要です。複数のロケーションに同一のローカル サブネットがある場合は、VPN サブネット変換を有効にして、ローカル サブネットを、同じ数のアドレスを持つ新しいサブネットに変換します。

例:

  • ブランチ 1 のローカル サブネット:192.168.31.0/24
  • ブランチ 2 のローカル サブネット:192.168.31.0/24(ブランチ 1 と同一)
  • ブランチ 1 の変換後のサブネット:10.0.1.0/24
  • ブランチ 2 の変換後のサブネット:10.0.2.0/24
上記の例では、同一のローカル サブネットが存在しますが、変換後の VPN サブネットを使用することで VPN で通信できます。つまり、VPN トンネル上では、ブランチ 1 は 10.0.1.0/24 として、ブランチ 2 は 10.0.2.0/24 としてアクセス可能になります。

OSPF ルート アドバタイズメント

MX セキュリティ アプライアンスは現在のところ、完全な OSPF ルーティングをサポートしていませんが、OSPF を使用してリモート VPN サブネットをコア スイッチまたはその他のルーティング デバイスにアドバタイズできます。これにより、これらのサブネットへのスタティック ルートを作成する必要がなくなります。OSPF アドバタイズメントは、VPN コンセントレータ モードでのみサポートされます。

[リモート ルートをアドバタイズ(Advertise remote routes)]:このオプションを [有効(Enabled)] に設定すると、このコンセントレータを介して到達可能なサブネットとしてリモート VPN サブネットをアドバタイズするために、OSPF が使用されます。

[ルータ ID(Router ID)]:このコンセントレータがネイバーに自身を通知するために使用する OSPF ルータ ID。

[エリア ID(Area ID)]:このコンセントレータがルート アドバタイズメントの送信時に使用する OSPF エリア ID。

[コスト(Cost)]:このコンセントレータからアドバタイズされる OSPF ルートすべてに付加されるルート コスト。

[Hello タイマー(Hello timer)]:コンセントレータが OSPF Hello パケットを送信する頻度。この値は OSPF トポロジ内のすべてのデバイスで同じでなければなりません。

[Dead タイマー(Dead timer)]:コンセントレータが特定のネイバーからの Hello パケットを確認するまで待機する時間。この値に達すると、そのネイバーを非アクティブと見なします。

[MD5 認証(MD5 authentication)]:これが有効にされている場合、潜在的な OSPF ネイバーを認証するために MD5 ハッシュが使用されます。これにより、不正なデバイスによってネットワークに OSPF ルートが注入されるのを防ぎます。

[認証キー(Authentication Key)]:MD5 キー値とパスフレーズ。どちらの値も、OSPF 隣接関係を形成させるデバイス間で一致していなければなりません。

Meraki 以外の VPN ピア

[セキュリティ アプライアンス(Security Appliance)] > [構成(Configure)] > [サイト間 VPN(Site-to-site VPN)] ページの [非 Meraki VPN ピア(Non-Meraki VPN peers)] セクションで、MX アプライアンスと Meraki 以外の VPN エンドポイント デバイスの間のサイト間 VPN トンネルを作成できます。[ピアの追加(Add a peer)] をクリックし、以下の情報を入力します。

  • リモート デバイスまたは VPN トンネルの名前。
  • リモート デバイスのパブリック IP アドレス。
  • VPN 経由での接続先となるサードパーティ製デバイスの背後にあるサブネット。0.0.0.0/0 を指定して、このピアへのデフォルト ルートを定義することもできます。
  • 使用する IPsec ポリシー。
  • 事前共有秘密キー(PSK)。
  • 可用性の設定。これにより、ダッシュボード組織内のどのアプライアンスがピアに接続するかが決まります。

IPsec ポリシー

あらかじめ設定されている 3 つの IPsec ポリシーを使用できます。

  • [デフォルト(Default)]:Meraki のデフォルト IPsec 設定を使用して Meraki 以外のデバイスに接続します。
  • [AWS]:Amazon VPC に接続するためのデフォルト設定を使用します。
  • [Azure]:Microsoft Azure インスタンスに接続するためのデフォルト設定を使用します。

これらのポリシーがいずれも適切でない場合は、[カスタム(Custom)] オプションを使用して IPsec ポリシー パラメータを手動で設定できます。これらのパラメータは、フェーズ 1 とフェーズ 2 に分かれています。

フェーズ 1

  • [暗号化(Encryption)]:ES-128、AES-192、AES-256、DES、3DES の中から暗号化を選択します。
  • [認証(Authentication:)]:MD5 認証または SHA1 認証を選択します。
  • [Diffie-Hellman グループ(Diffie-Hellman group)]:Diffie-hellman(DH)グループ 1、2、または 5 を選択します。
  • [ライフタイム(秒)(Lifetime (seconds))]:フェーズ 1 のライフタイムを秒単位で入力します。

フェーズ 2

  • [暗号化(Encryption)]:ES-128、AES-192、AES-256、DES、3DES の中から暗号化を選択します(複数のオプションを選択できます)。
  • [認証(Authentication:)]:MD5 認証または SHA1 認証を選択します(両方のオプションを選択できます)。
  • [PFS グループ(PFS group)]:Perfect Forward Secrecy(PFS)を無効にするには [オフ(Off)] オプションを選択します。グループ 1、2、または 5 を選択すると、その Diffie Hellman グループを使用して PFS が有効になります。
  • [ライフタイム(秒)(Lifetime (seconds))]:フェーズ 2 のライフタイムを秒単位で入力します。

ピアの可用性

デフォルトでは、Meraki 以外のピアの設定がダッシュボード組織内のすべての MX または Z1 アプライアンスに適用されます。制御対象のすべてのアプライアンスが特定の非 Meraki ピアとの間でトンネルを形成することが常に適切であるとは限らないため、[可用性(Availability)] 列では、組織内のどのアプライアンスが各ピアに接続するかを制御できます。この制御は、ネットワーク タグ(つまりダッシュボード ネットワークに適用できるラベル)に基づいて行われます。

所定のピアに関して [すべてのネットワーク(All networks)] を選択すると、組織内のすべての MX および Z1 アプライアンスがそのピアに接続します。特定のネットワーク タグまたはタグのセットを選択すると、指定された 1 つ以上のタグを持つネットワークだけけが、そのピアに接続します。

ネットワーク タグの詳細については、こちらをクリックしてください。

VPN ファイアウォール ルール

どのトラフィックに VPN トンネルの通過を許可するかを制御するファイアウォール ルールを追加できます。これらのルールは、サイト間 VPN に参加するすべての組織内の MX アプライアンスからのインバウンド/アウトバウンド VPN トラフィックに適用されます。 ファイアウォール ルールを作成するには、[セキュリティ アプライアンス(Security Appliance)] > [構成(Configure)] > [サイト間 VPN(Site-to-site VPN)] ページの [サイト間ファイアウォール(Site-to-site firewall)] セクションで、[ルールを追加(Add a rule)] をクリックします。これらのルールは、このドキュメントの「ファイアウォールの設定」ページで説明しているレイヤ 3 ファイアウォール ルールと同じ方法で設定できます。

サイト間 VPN のモニタリング

Meraki デバイス間のサイト間 VPN トンネルのステータスをモニタリングするには、[セキュリティ アプライアンス(Security Appliance)] > [モニタ(Monitor)] > [VPN ステータス(VPN Status)] をクリックします。このページには、設定された Meraki サイト間 VPN トンネルのリアルタイムのステータスが表示されます。VPN を介してエクスポートされるサブネット、MX アプライアンスと Meraki VPN レジストリの間の接続情報、NAT トラバーサル情報、およびすべてのトンネルに使用されている暗号化タイプが表示されます。また、[サイト接続(Site connectivity)] リストには、リモート Meraki VPN ピアに関する次の情報が含まれます。

  • リモート Meraki VPN ピアの名前。
  • リモート ピア デバイスが VPN を介してアドバタイズしているサブネット。
  • ステータス(ピアが現在到達可能かどうか)。
  • VPN 経由のラウンドトリップ パケット遅延(ミリ秒単位)。
  • VPN トンネルのステータスを判別するためにハートビート パケットが前回送信された時間(秒単位)。
     

Meraki 以外のピアについては、限定的な情報がこのページに表示されます。

トラブルシューティング

一般的な問題とトラブルシューティング手順については、サイト間 VPN のトラブルシューティング を参照してください。