Beveiligde toegang configureren met Meraki MX voor bewaking van hoge beschikbaarheid en gezondheid

Downloadopties

  • PDF     (3.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (3.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 april 2025
Document-id:222965

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u Cisco Secure Access configureert met Meraki MX voor hoge beschikbaarheid met behulp van gezondheidscontroles.

    Voorwaarden

    Vereisten

    • Meraki MX moet firmwareversie 19.1.6 of hoger uitvoeren
    • Bij het gebruik van Private Access wordt slechts één tunnel ondersteund vanwege een Meraki-beperking die voorkomt dat de IP-health check wordt gewijzigd, waardoor NAT vereist is voor extra SPA-tunnels (Secure Private Access). Dit geldt niet bij gebruik van SIA (Secure Internet Access).
    • Duidelijk definiëren welke interne subnetten of bronnen door de tunnel worden geleid naar Secure Access.

    Gebruikte componenten

    • Cisco Secure Access
    • Meraki MX Security Appliance (firmwareversie 19.1.6 of hoger)
    • Meraki-dashboard
    • Dashboard voor beveiligde toegang

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Secure Access - Meraki MX

    Cisco Secure Access is een cloud-native beveiligingsplatform dat veilige toegang tot zowel privé-applicaties (via Private Access) als internetbestemmingen (via Internet Access) mogelijk maakt. Wanneer het wordt geïntegreerd met Meraki MX, kunnen organisaties beveiligde IPsec-tunnels tussen vestigingen en de cloud opzetten, waardoor een gecodeerde verkeersstroom en gecentraliseerde beveiligingshandhaving worden gewaarborgd.

    Deze integratie maakt gebruik van statische routing IPsec-tunnels. Meraki MX richt primaire en secundaire IPsec-tunnels op voor Cisco Secure Access en maakt gebruik van de ingebouwde uplink-gezondheidscontroles om automatische failover tussen tunnels uit te voeren. Dit biedt een robuuste configuratie met hoge beschikbaarheid voor connectiviteit met vestigingen.

    De belangrijkste elementen van deze implementatie zijn:

    • Meraki MX fungeert als een niet-Meraki VPN-peer voor Cisco Secure Access.
    • Primaire en secundaire tunnels worden statisch geconfigureerd, waarbij de beschikbaarheid wordt bepaald door gezondheidscontroles.
    • Private Access ondersteunt veilige toegang tot interne applicaties via SPA (Secure Private Access), terwijl Internet Access verkeer in staat stelt om op internet gebaseerde bronnen te bereiken met beleidshandhaving in de cloud.
    • Vanwege de beperkingen van Meraki in de IP-flexibiliteit van de health check wordt slechts één tunnelgroep ondersteund in de modus Privé toegang. Als meerdere Meraki MX-apparaten verbinding moeten maken met Secure Access for Private Access, moet u BGP gebruiken voor dynamische routering of statische tunnels configureren, met dien verstande dat slechts één netwerktunnelgroep gezondheidscontroles en hoge beschikbaarheid kan ondersteunen. Extra tunnels werken zonder gezondheidsbewaking of redundantie.

    Configureren

    VPN configureren voor beveiligde toegang

    Navigeer naar het beheerderspaneel van Secure Access.

    Cisco Secure Access - Dashboard

    • Klik op Connect > Network Connections

    Cisco Secure Access - Network Connections

    • OnderNetwork Tunnel Groupsklik op + Add

    Secure Access - NTG

    • ConfigurerenTunnel Group Name, RegionenDevice Type
    • Klik op de knop Next

    Secure Access - NTG 2

    • Configureer deTunnel ID Formaten Passphrase
    • Klik op de knop Next

    Secure Access - NTG 3

    • Configureer de IP-adresbereiken of hosts die u op uw netwerk hebt geconfigureerd en die het verkeer via Secure Access willen doorgeven en zorg ervoor dat u de Meraki-controleprobe IP 192.0.2.3/32 opneemt om retourverkeer van Secure Access terug naar de Meraki MX mogelijk te maken.
    • Klik op de knop Save

    Secure Access - NTG 4

    caution-icon

    Let op: Zorg ervoor dat u de controleprobe IP (192.0.2.3/32) toevoegt; anders kunt u verkeersproblemen ondervinden op het Meraki-apparaat dat het verkeer naar internet, VPN-pools en CGNAT-bereik 100.64.0.0/10 leidt dat wordt gebruikt door ZTNA.

    • Nadat u hebt geklikt op Save de informatie over de tunnel die wordt weergegeven, kunt u die informatie opslaan voor de volgende stap, Configure the tunnel on Meraki MX.

    VPN-configuratie met beveiligde toegang

    Kopieer de configuratie van de tunnels in een notitieblok, Gebruik deze informatie om de configuratie in Meraki te Non-Meraki VPN Peersvoltooien.

    Secure Access - NTG Created

    Configureer de VPN op Meraki MX

    Navigeer naar je Meraki MX en klik op Security & SD-WAN > Site-to-site VPN

    MERAKI MX - S2S

    Site-to-site VPN

    kiezen Hub.

    MERAKI MX - HUB

    VPN-instellingen

    Kies de netwerken die u hebt geselecteerd voor het verzenden van verkeer naar Secure Access:

    MERAKI MX - VPN Networks

    Kiezen inNAT TraversalAutomatisch

    MERAKI MX - VPN Networks - NAT T

    Niet-Meraki VPN-peers

    U moet de gezondheidscontroles configureren die Meraki gebruikt om verkeer naar Secure Access te leiden:

    Klik op Configure Health Checks

    • Klik op +Add health Check

    MERAKI MX - Health Checks

    note-icon

    Opmerking: dit domein reageert alleen wanneer het wordt geopend via een site-to-site tunnel met beveiligde toegang of paraplu: toegangspogingen van buiten deze tunnels mislukken.

    Klik vervolgens Done twee keer om te voltooien.

    MERAKI MX - Health Checks 2

    Nu zijn uw gezondheidscontroles geconfigureerd en bent u klaar om de Peer:

    Primaire tunnel configureren

    • Klik op+Add a peer 

    MERAKI MX - VPN Configuration

    • VPN-peer toevoegen
      • Naam: Configureer een naam voor de VPN naar Secure Access
      • IKE-versie: kies IKEv2
    • gelijken
      • Publieke IP of Hostname: Configureer het Primary Datacenter IP gegeven door Secure Access in de stap Secure Access VPN Configurations
      • Lokale ID: Configureer de informatie Primary Tunnel ID die wordt gegeven door Secure Access in de stap Beveiligde toegang VPN-configuraties
      • Externe ID: niet beschikbaar
      • Gedeeld geheim: Configureer de informatie Passphrase die wordt gegeven door Secure Access in de stap Beveiligde toegang VPN-configuraties
      • Routering: Statisch kiezen
      • Privé-subnetten: Als u van plan bent om zowel Internet Access als Private Access te configureren, gebruikt u deze 0.0.0.0/0 als bestemming. Als u alleen Private Access voor die VPN-tunnel configureert, specificeert u het bereik Remote Access VPN IP Pool en het CGNAT-bereik 100.64.0.0/10 als bestemmingsnetwerken
      • Beschikbaarheid: Als u slechts één Meraki-apparaat hebt, kunt u All Networksselecteren. Als u meerdere apparaten hebt, moet u alleen het specifieke Meraki-netwerk selecteren waar u de tunnel configureert.
    • tunnelbewaking
      • Gezondheidscontrole: gebruik de eerder geconfigureerde gezondheidscontrole om de beschikbaarheid van de tunnel te controleren
      • Failover rechtstreeks naar internet: Als u deze optie inschakelt en zowel Tunnel 1 als Tunnel 2 hun gezondheidscontroles niet uitvoeren, wordt het verkeer omgeleid naar de WAN-interface om verlies van internettoegang te voorkomen.
    note-icon

    Health Check Functionaliteit: Als Tunnel 1 wordt bewaakt en de health check mislukt, gaat het verkeer automatisch over naar Tunnel 2. Als ook Tunnel 2 uitvalt en de optieFailover directly to Internetis ingeschakeld, wordt het verkeer via de WAN-interface van het Meraki-apparaat geleid.

    • IPsec-beleid
      • voorinstelling: kiezen Umbrella

    Klik vervolgens Saveop.

    Secundaire tunnel configureren

    Als u de secundaire tunnel wilt configureren, klikt u op het optiemenu van de primaire tunnel:

    • Klik op de drie puntjes

    MERAKI MX - VPN Configuration 2

    • Klik op + Add Secondary peer

    MERAKI MX - Tunnel 2

    • Klik opInherit primary peer configurations

    MERAKI MX - Secondary Peer Inherit

    Dan merk je dat sommige velden automatisch worden ingevuld. Bekijk ze, breng de nodige wijzigingen aan en vul de rest handmatig in:

    MERAKI MX - SSE Health Checks Tunnel

    • gelijken
    • tunnelbewaking
      • Gezondheidscontrole: gebruik de eerder geconfigureerde gezondheidscontrole om de beschikbaarheid van de tunnel te controleren

    Daarna kunt u klikken Saveen de volgende waarschuwing wordt weergegeven: 

    MERAKI MX - Alert

    Maak je geen zorgen over een klik Confirm Changes.

    Verkeerssturing configureren (tunnelverkeersomgeving)

    Met deze functie kunt u specifiek verkeer uit de tunnel omzeilen door domeinen of IP-adressen in de SD-WAN-bypassconfiguratie te definiëren:

    • Navigeer naar Security & SD-WAN > SD-WAN & Traffic Shaping

    MERAKI MX - Traffic Shaping

    • Scroll naar beneden naar het Local Internet Breakout gedeelte en klik op Add+

    MERAKI MX - Local Internet Breakout

    Vervolgens maakt u de bypass op basis van Custom Expressions of Major Applications:

    Custom Expressions - Protocol

    MERAKI MX - Local Internet Breakout TCP

    Custom Expressions - DNS

    MERAKI MX - Local Internet Breakout DNS

    Major Applications

    MERAKI MX - Local Internet Breakout Applications

    Ga voor meer informatie naar: VPN-uitsluitingsregels configureren (IP/Port/DNS/APP)

    Verifiëren

    Om te controleren of de tunnels zijn geopend, moet u de status controleren in:

    • Klik opSecurity & SD-WANVPN Status op het Meraki Dashboard.

    MERAKI MX - VPN Status

    • Klik op Non-Meraki peers:

    MERAKI MX - Primary Secondary Status

    Als zowel de primaire als de secundaire VPN-status groen wordt weergegeven, betekent dit dat de tunnels actief zijn.

    MERAKI MX - VPN Status Codes

    Problemen oplossen

    Controles controleren

    Om te controleren of de gezondheidscontroles van Meraki voor de VPN goed werken, navigeert u naar:

    • Klik op de link Assurance > Event Log

    MERAKI MX - VPN Event Logs Health Checks

    Onder Event Type Includekies Non-Meraki VPN Healthcheck

    MERAKI MX - VPN Event Logs Health Checks 2

    Wanneer de primaire tunnel naar Cisco Secure Access actief is, worden pakketten die door de secundaire tunnel aankomen, weggelaten om een consistent routeringspad te behouden.

    De secundaire tunnel blijft in stand-by en wordt alleen gebruikt als er een storing optreedt in de primaire tunnel, hetzij vanaf de Meraki-zijde of binnen Secure Access, zoals bepaald door het gezondheidscontrolemechanisme.

    MERAKI MX - VPN Event Logs Health Checks 3

    • De primaire tunnelgezondheidscontrole toont status: omhoog, wat betekent dat het momenteel verkeer doorgeeft en actief doorstuurt.
    • De secundaire tunnelgezondheidscontrole toont de status: down, niet omdat de tunnel niet beschikbaar is, maar omdat de primaire gezond is en actief in gebruik. Dit gedrag wordt verwacht, omdat het verkeer alleen door tunnel 1 mag, waardoor de gezondheidscontrole van de secundaire tunnel mislukt.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    23-Apr-2025
    Eerste vrijgave

    Bijdrage van

    • Jairo Andres Moreno Ciro
      Customer Success Specialist

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten