簡介
本文檔介紹如何使用Meraki MX通過運行狀況檢查配置思科安全訪問以實現高可用性。
必要條件
需求
- Meraki MX必須運行韌體版本19.1.6或更高版本
- 使用專用訪問時,由於Meraki的限制阻止更改運行狀況檢查IP,使得其他SPA(安全專用訪問)隧道需要NAT,因此僅支援一個隧道。在使用SIA(安全Internet訪問)時該選項不適用。
- 明確定義哪些內部子網或資源通過隧道路由到安全訪問。
採用元件
- Cisco Secure Access
- Meraki MX安全裝置(韌體版本19.1.6或更高版本)
- Meraki 儀表板
- 安全訪問控制面板
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊

思科安全訪問是一個雲原生安全平台,可實現對私有應用(通過私有訪問)和網際網路目標(通過網際網路訪問)的安全訪問。 與Meraki MX整合後,組織可以在分支機構站點和雲之間建立安全的IPsec隧道,從而確保加密流量和集中安全實施。
此整合使用靜態路由IPsec隧道。Meraki MX建立到Cisco Secure Access的主和輔助IPsec隧道,並利用其內建的上行鏈路運行狀況檢查在隧道之間執行自動故障切換。這為分支機構連線提供了可復原的高可用性配置。
此部署的關鍵要素包括:
- Meraki MX充當思科安全訪問的非Meraki VPN對等體。
- 靜態配置主隧道和輔助隧道,使用運行狀況檢查確定可用性。
- 私有訪問支援通過SPA(安全私有訪問)安全訪問內部應用,而網際網路訪問允許流量通過雲中的策略實施訪問基於網際網路的資源。
- 由於運行狀況檢查IP靈活性中的Meraki限制,在專用訪問模式下僅支援一個隧道組。如果多個Meraki MX裝置需要連線到專用訪問的安全訪問,您必須使用BGP進行動態路由,或配置靜態隧道,同時瞭解只有一個網路隧道組可以支援運行狀況檢查和高可用性。其他隧道無需運行狀況監控或冗餘即可運行。
設定
在安全訪問中配置VPN
導航到Secure Access的管理面板。

- 按一下
Connect > Network Connections

- 在
Network Tunnel Groups
下,按一下 + Add

- Configure
Tunnel Group Name
,Region
和Device
Type
- 按一下
Next

- 配置
Tunnel ID Format
和 Passphrase
- 按一下
Next

- 配置網路上已配置且希望通過Secure Access傳輸流量的IP地址範圍或主機,並確保包括Meraki監控探測IP
192.0.2.3/32
,以允許從Secure Access返回流量到Meraki MX。
- 按一下
Save

注意:請務必新增監控探測IP(192.0.2.3/32);否則,您可能會遇到將流量路由到ZTNA使用的Internet、VPN池和CGNAT範圍100.64.0.0/10的Meraki裝置上的流量問題。
- 按一下顯示的
Save
「通道資訊」後,請儲存下一步的相關資訊。 Configure the tunnel on Meraki MX.
安全訪問VPN配置
在記事本中複製隧道的配置,使用此資訊完成Meraki中的配Non-Meraki VPN Peers
置。

在Meraki MX上配置VPN
導航到Meraki MX並按一下Security & SD-WAN
> Site-to-site VPN

站點到站點VPN
選擇 Hub.

VPN設定
選擇要將流量傳送到安全訪問的網路:

在「NAT Traversal
Automatic(自動)」中選擇

非Meraki VPN對等點
您需要配置Meraki用於將流量路由到安全訪問的運行狀況檢查:
按一下 Configure Health Checks

附註:僅當通過具有Secure Access或Umbrella的站點到站點隧道訪問時,此域才會響應:從這些隧道外部進行的訪問嘗試失敗。
然後單Done
擊兩次以完成。

現在,您的運行狀況檢查已配置,並且您準備配置 Peer:
配置主隧道

- 新增VPN對等點
- 名稱:為VPN配置安全訪問名稱
- IKE版本:選擇IKEv2
- 同儕節點
- 通道監控
- 運行狀況檢查:使用先前配置的運行狀況檢查來監控通道可用性
- 直接故障轉移到Internet:如果啟用此選項,並且隧道1和隧道2的運行狀況檢查均失敗,則流量將重定向到WAN介面以防止丟失網際網路訪問。
運行狀況檢查功能:如果隧道1受到監控且其運行狀況檢查失敗,則流量會自動故障轉移到隧道2。如果隧道2也發生故障,並且啟用該選Failover directly to Internet
,則流量通過Meraki裝置的WAN介面進行路由。
然後單Save
擊。
配置輔助隧道
要配置輔助隧道,請按一下主隧道的選項選單:


- 按一下
Inherit primary peer configurations

您會注意到有些欄位是自動填寫的。檢查它們,進行任何必要的更改,然後手動完成其餘操作:

- 同儕節點
- 通道監控
- 運行狀況檢查:使用先前配置的運行狀況檢查來監控通道可用性
然後,您可以點選Save
下一個警報:

不用擔心按一下 Confirm Changes.
設定流量導向(通道流量旁路)
此功能允許您通過在SD-WAN旁路配置中定義域或IP地址來旁路來自隧道的特定流量:
- 導航至
Security & SD-WAN
> SD-WAN & Traffic Shaping

- 向下滾動到部
Local Internet Breakout
分,然後按一下 Add+

然後根據或以下條件建立Custom Expressions
旁路Major Applications
路:
Custom Expressions - Protocol

Custom Expressions - DNS

Major Applications

有關詳細資訊,請訪問:配置VPN排除規則(IP/埠/DNS/APP)
驗證
要檢查通道是否啟用,請驗證中的狀態:
- 在Meraki儀表板
VPN Status
上按一下Security & SD-WAN
>。


如果主VPN和輔助VPN狀態均顯示為綠色,則表示隧道處於啟用和活動狀態。

疑難排解
驗證運行狀況檢查
要驗證針對VPN的Meraki運行狀況檢查是否正常工作,請導航至:

在Event Type Include
下,選擇 Non-Meraki VPN Healthcheck

當通往Cisco Secure Access的主要隧道處於活動狀態時,通過輔助隧道到達的資料包將被丟棄,以保持一致的路由路徑。
輔助隧道保持待機狀態,並且僅當主隧道發生故障時(從Meraki端或在安全訪問內,由運行狀況檢查機制確定)才使用。

- 主隧道運行狀況檢查顯示狀態:up,表示它當前正在傳遞並主動轉發流量。
- 輔助隧道運行狀況檢查顯示狀態:關閉,不是因為通道不可用,而是因為主裝置運行正常且正在使用。這是預期行為,因為流量僅允許通過隧道1,從而導致輔助隧道的運行狀況檢查失敗。
相關資訊