Cisco 担当者コラム
Cisco・Meraki
Meraki 第102回 「Meraki MXシリーズのブレークアウト(SD-WAN)を試してみた(設定編)」
前回の「Meraki MXシリーズのブレークアウト(SD-WAN)を試してみた(設定編)」に続きまして、今回は設定編になります。
インターネット(またはローカル)ブレークアウトってなに?利用するのにライセンスとか条件あるの?という方はこちらの概要編をご覧ください。
インターネットブレークアウトを簡単に紹介すると、以下のスライドの通り拠点から管理者が指定したセキュアなSaaSアプリへの通信を本社orデータセンター経由せずに拠点から直接アクセスさせる技術です。これにより増え続ける本社orデータセンターのインターネットの回線負荷を回避することが可能です。例えば、増え続けるビデオ会議のトラフィックに本社orデータセンターのインターネット回線が耐えられず、映像や音声が止まることがあるような方は、この技術を利用することで回避できるかもしれません!
※ただ前回でもコメントしましたが2020年11月現在では一部BETA版の機能です。
まずは検証環境の紹介です。いつもながらとってもシンプルです。。
本社と拠点の2つのネットワークを作成し、それぞれにMX64を設置しています。また各MX64のアップリンクからインターネットに接続しています。MX64のライセンスはレイヤ7のアプリ識別を行いたいのでSD-WAN Plusライセンスを搭載しています。(オーガナイゼーションでライセンスの種類を統一する必要があるので、MX64×2台分のライセンスを搭載しています。)
続いて設定方法についてです。
まずMerakiのMXシリーズでインターネットブレークアウト(正式名称はVPN Full-Tunnel Exclusion(VPNフルトンネル除外))機能を有効にするには、MXシリーズのバージョンを最新のMX15.Xシリーズファームウェアにアップグレードする必要がございます。※ちなみにZ1デバイスは、MX 15.Xファームウェアにアップグレードできないため、サポートされていません。なお、Z3はレイヤー7のアプリ識別はサポートされませんが、IPアドレスとポート番号によるインターネットブレークアウト機能はサポートしています。
ファームウェアのアプグレードは、下図の画面のダッシュボードのオーガナイゼーション>ファームウェアアップグレードから実施できます。
次に、本社と拠点でサイト間VPNを構築します。VPNはフルトンネルで構築します。つまり本社はVPNのハブサイト、拠点はVPNのスポークサイトで本社をデフォルトゲートウェイとすることで全てのトラフィックを本社の経由にする設定を行います。
本社のVPNハブサイトの設定画面は以下です。クリック数回で設定完了です!さすがMeraki!
拠点側のVPNスポークサイトの設定画面は以下です。ポイントは、ハブに「本社」を指定してデフォルトルートにチェックを入れます。それでもクリック数回で設定完了です!
これは拠点側のMXシリーズに設定します。設定画面へは、セキュリティ&SD-WAN>SD-WAN&トラフィックシェーピングからアクセスします。その中のローカルインターネットブレイクアウト内で設定します。
ただ本当にインターネットブレークアウトできているかどうか確認する必要がありますので、それは下図の通り一時的にサイト間VPNトンネルの通信を全て禁止しました。この設定をすることで、拠点からの本社経由のインターネットアクセスはVPNトンネルで全て拒否(通信NG)され、拠点からインターネットブレークアウトで直接アクセスできるwebexの通信だけが許可(通信OK)であることが確認できました。
また余談ですが、SD-WAN Plusライセンスを投入すると、本社と拠点のネットワークに「インサイト」のメニューが追加されたので、インターネットブレークアウトをしない本社側のライセンスが無駄になるわけではありません。多数のSaaSを利用されている方向けのライセンスなので、SaaSアプリの健全性を可視化できるインサイト機能がセットになっているのだと思いますが、インサイト機能の詳細についてはまたの機会にご紹介できればと思います。
現時点ではBETA版ということで、インターネットブレークアウトのレイヤー7対象アプリケーションの数が10個と少ないですが、今後増えてきましたら(レイヤー7のファイアウォール機能では多数のアプリケーションをサポートしているので、今後追加されていくのだと思います!きっと!!!)現在のニーズにマッチした強力なソリューションになるかと思います!アップデートあればまたこちらで紹介できればと思います。
最後まで読んでいただき有難うございました。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。
Ciscoの記事
- Security 第79回「Cisco Secure Client Cloud Managementのご利用の流れ」
- Meraki 第152回「Meraki Subscriptionライセンスについて」
- Collaboration 第146回 「高品質な音声体験を実現するCisco Webex の生成AI技術 ~Webex AI Codec~」
- Collaboration 第145回 「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」
- Collaboration 第144回 「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」