こんにちは。Meraki担当のDsasです。
　前回の「Meraki MXシリーズのブレークアウト(SD-WAN)を試してみた(設定編)」に続きまして、今回は設定編になります。
　インターネット(またはローカル)ブレークアウトってなに？利用するのにライセンスとか条件あるの？という方はこちらの概要編をご覧ください。
　インターネットブレークアウトを簡単に紹介すると、以下のスライドの通り拠点から管理者が指定したセキュアなSaaSアプリへの通信を本社orデータセンター経由せずに拠点から直接アクセスさせる技術です。これにより増え続ける本社orデータセンターのインターネットの回線負荷を回避することが可能です。例えば、増え続けるビデオ会議のトラフィックに本社orデータセンターのインターネット回線が耐えられず、映像や音声が止まることがあるような方は、この技術を利用することで回避できるかもしれません！
　※ただ前回でもコメントしましたが2020年11月現在では一部BETA版の機能です。
　では早速ですが、今回の検証環境と実際の設定方法について紹介いたします。
　まずは検証環境の紹介です。いつもながらとってもシンプルです。。
　本社と拠点の２つのネットワークを作成し、それぞれにMX64を設置しています。また各MX64のアップリンクからインターネットに接続しています。MX64のライセンスはレイヤ７のアプリ識別を行いたいのでSD-WAN Plusライセンスを搭載しています。(オーガナイゼーションでライセンスの種類を統一する必要があるので、MX64×2台分のライセンスを搭載しています。)
　インターネットブレークアウト通信テストの内容としては、拠点からのwebex(ビデオ会議通信)は拠点から直接インターネットへ、その他の一般的なwebサイトへのアクセスは本社経由を想定しています。

　続いて設定方法についてです。
　まずMerakiのMXシリーズでインターネットブレークアウト(正式名称はVPN Full-Tunnel Exclusion（VPNフルトンネル除外)）機能を有効にするには、MXシリーズのバージョンを最新のMX15.Xシリーズファームウェアにアップグレードする必要がございます。※ちなみにZ1デバイスは、MX 15.Xファームウェアにアップグレードできないため、サポートされていません。なお、Z3はレイヤー7のアプリ識別はサポートされませんが、IPアドレスとポート番号によるインターネットブレークアウト機能はサポートしています。

　ファームウェアのアプグレードは、下図の画面のダッシュボードのオーガナイゼーション＞ファームウェアアップグレードから実施できます。
　アップグレード後に、MXシリーズの現在のファームウェアが15.xの最新のファームウェア(図では15.39)であることを確認してください。
　次に、本社と拠点でサイト間VPNを構築します。VPNはフルトンネルで構築します。つまり本社はVPNのハブサイト、拠点はVPNのスポークサイトで本社をデフォルトゲートウェイとすることで全てのトラフィックを本社の経由にする設定を行います。
　本社のVPNハブサイトの設定画面は以下です。クリック数回で設定完了です！さすがMeraki！
　(セキュリティ＆SD-WAN＞サイト間VPNからアクセスできます)

　拠点側のVPNスポークサイトの設定画面は以下です。ポイントは、ハブに「本社」を指定してデフォルトルートにチェックを入れます。それでもクリック数回で設定完了です！
　つづいて、本題のインターネットブレークアウトする通信(webex)を設定します。
　これは拠点側のMXシリーズに設定します。設定画面へは、セキュリティ＆SD-WAN＞SD-WAN＆トラフィックシェーピングからアクセスします。その中のローカルインターネットブレイクアウト内で設定します。
　既にwebexを指定していますが、「カスタム表現」ではプロトコルやIPアドレス、ポート番号を指定することができます。ただまあSaaSアプリの宛先情報を手動で入力する　のは結構厳しいと思います。。。その下にある「Major applications BETA」は、SD-WAN Plusライセンスが有効であれば表示されまが、これは10個のメジャーアプリケーションからインターネットブレークアウトしたいアプリを選択することが可能です。便利です！ただBETAなので10個だと思いますが、これからどんどん増えることを期待します！！！ちなみに2020年11月現在では10個のアプリケーションは下図になります。今回はWebexを指定しています。
　設定は以上になります！
　ただ本当にインターネットブレークアウトできているかどうか確認する必要がありますので、それは下図の通り一時的にサイト間VPNトンネルの通信を全て禁止しました。この設定をすることで、拠点からの本社経由のインターネットアクセスはVPNトンネルで全て拒否(通信NG)され、拠点からインターネットブレークアウトで直接アクセスできるwebexの通信だけが許可(通信OK)であることが確認できました。
　(セキュリティ＆SD-WAN＞サイト間VPNからアクセスできます)

　また余談ですが、SD-WAN Plusライセンスを投入すると、本社と拠点のネットワークに「インサイト」のメニューが追加されたので、インターネットブレークアウトをしない本社側のライセンスが無駄になるわけではありません。多数のSaaSを利用されている方向けのライセンスなので、SaaSアプリの健全性を可視化できるインサイト機能がセットになっているのだと思いますが、インサイト機能の詳細についてはまたの機会にご紹介できればと思います。
　以上となります。
　現時点ではBETA版ということで、インターネットブレークアウトのレイヤー７対象アプリケーションの数が10個と少ないですが、今後増えてきましたら(レイヤー７のファイアウォール機能では多数のアプリケーションをサポートしているので、今後追加されていくのだと思います！きっと！！！)現在のニーズにマッチした強力なソリューションになるかと思います！アップデートあればまたこちらで紹介できればと思います。

　最後まで読んでいただき有難うございました。