Cisco 担当者コラム
Cisco・Meraki
Meraki 第106回 「Meraki Virtual MX(vMX)とAWS検証(後編)」
前回に続きまして、パブリッククラウド向けの仮想アプライアンスであるVirtual MX(vMX)とAmazon Web Services(AWS)の検証について紹介いたします。vMXの製品紹介については、お手数ですが前回の「第105回 Meraki Virtual MX(vMX)とAWS検証(前編)」 をご確認ください。そして今回の後編では、各製品のセットアップ方法についてご紹介いたします。
※弊社検証環境における設定内容についてのご紹介となりますので、動作を保証するものではございません。
まずは今回の検証環境と通信テストについてです。
図の通りですが、本社のMX64とAWSのvMX間でMeraki Auto VPNによるインターネットVPN接続を行います。AWS側のネットワーク(VPC)は10.0.0.0/16を利用しており、インターネットに接続可能なパブリックサブネットにvMXの仮想インスタンスを設置しています。また通信確認用にEC2をプライベートサブネットに設置しております。通信確認としましては本社のLAN側のセグメント(192.168.1.x/24)に設置したPCからVPNを介してEC2に対しPINGとhttpアクセスを行います。
続きましてセットアップ手順についてです。
※セットアップのポイントを図解で紹介しております。すべての手順を紹介するものではございませんのでご注意ください。またセットアップ手順についてはこちらのマニュアル(英語)をベースに実施しております。https://documentation.meraki.com/MX/MX_Installation_Guides/vMX_Setup_Guide_for_Amazon_Web_Services_(AWS)
まず最初にオーガナイゼーションにvMXのライセンスキーを投入いたします。こちらはvMXだからといって特別なことはなく他のMerakiライセンス同様にダッシュボードのオーガナイゼーション > ライセンス情報から入力いたします。今回はvMX-Mという中規模向けのパフォーマンス(スループット500Mbps)のライセンスを投入しました。
その後にvMX用(AWS側)のネットワークを新規作成します。※本社側のネットワークの作成については省略します。これも通常どおり、ダッシュボードのネットワーク > 新しいネットワークから作成します。今回はvMX_AWSというネットワークを作成します。
vMXをネットワークに追加しましたら、認証トークンというものを生成します。このトークンを後にAWS側に入力することでMerakiクラウドとAWSの仮想インスタンスが連携します。※認証トークンの有効期限は1時間ですのでお気をつけください。なお何度でも作成可能です。
続きましてAWS側のセットアップになります。
こちらからAmazon Machine Image(AMI)にアクセスします。
EC2インスタンスを起動するリージョンとEC2インスタンスタイプを選択します。 なおEC2インスタンスの実行には、AWSインフラストラクチャの料金がかかりますのでご注意ください。(料金は、右側にあるコスト見積もりテーブルで確認できます)[Continue to Subscribe]ボタンをクリックして、vMX展開を構成および確定します。
その後、EC2インスタンス設定を構成するように求められますので、[Choose Action]オプションで[Launch through EC2]を選択し、[Launch]をクリックします。※vMX-SおよびvMX-Mの推奨インスタンスタイプはc5.large、vMX-Lの場合は、c5.xlargeです。その後、[次のステップ:インスタンスの詳細の設定]をクリックします。
インスタンスタイプを選択した後、インスタンスが含まれるVPCとサブネットを選択し、「自動割り当てパブリックIP」が有効になっていることを確認します。
[詳細]の下の[ユーザーデータ]フィールドに先ほどMerakiダッシュボードからコピーしたvMX認証トークンを入力後、 [確認と作成]をクリックしインスタンスの作成を終了します。
※ソフトウェアのサブスクリプションが完了してインスタンスが起動するまでに数分かかる場合があります。
インスタンスが起動した後にvMXのソース/宛先チェックを無効にする必要があるため、新しく作成したvMXインスタンスのネットワークインターフェイスを選択します。
ネットワークインターフェースを選択後、アクションの[ 送信元/送信先チェックを変更]を選択し、有効化のチェックを外します。
※Merakiのクラウドダッシュボード接続を提供するためにアップストリームを追加で許可する必要がある場合は、許可するべきIP/Port番号をMerakiダッシュボードの[ヘルプ > ファイアウォール情報]ページから確認し設定を追加してください。
vMXは、AWSと他のリモートMX間のMeraki Auto VPNを使用したサイト間VPN接続を可能にしますが、vMXを介してAWSに終端するリモートサブネットとAWS内のホストの間で適切な双方向通信を行うには、VPN接続するリモートサブネット(今回の検証では本社のLAN側ネットワーク)をVPCルーティングテーブルに追加する必要があります。これを行うには、AWSの「VPC」ダッシュボードに移動し、以下の手順に従います。※リモートサブネットにはサマリアドレスがお勧めです。
・左メニューの [ルートテーブル] をクリック
・vMXがホストされているVPCまたはサブネットに関連付けられているルートテーブルを選択
・[ルート]タブをクリック
・[ルートの編集]ボタンをクリックして、ルートを追加
※詳細な手順は省略しますが、本ケースでは、パブリックサブネット(vMX-Pub-rt)に0.0.0.0と192.168.1.0/24をプライベートサブネット(vMX-Pri-rt)に192.168.1.0/24を追加しております。またインタフェースに対して必要な通信をセキュリティグループで許可してください。
再度MerakiダッシュボードにアクセスしてVPNを設定します。
AWS側のネットワーク(例:vMX_AWS)から、セキュリティ&SD-WAN > サイト間VPNにアクセスし、サイト間VPNのタイプを選択(例:ハブ)後、ローカルネットワークを追加しますをクリックし、ローカルネットワーク(本社側のMXに通知するサブネット)の名前とサブネットを入力 (例:AWS_vMX_Subnet 10.0.0.0/24、AWS_EC2_Subnet 10.01.0/24)します。
その後、本社側のMXのLAN側サブネットの初期設定やVPN設定を実施します。※対向がvMXですが、特別な設定は特にないため手順は省略します。
設定については以上となります。その後は、自動的に本社のMXとAWSのvMX間でサイト間VPNが構築され、本社PCとEC2間のPINGとhttpの通信確認を行うことができました。
参考までにVPNの接続状況と便利な通信方法を紹介いたします。
まずはVPNの接続状況ですが、セキュリティ&SD-WAN > VPNの状況 画面から確認可能です。VPN接続後しばらくすると表示される画面です。(すぐには表示されませんので、10?20分程度お待ちいただければと思います。)
次に便利な通信確認ですが、ネットワーク全体 > パケットキャプチャでVPNトンネル内のパケットを下図の通りリモートから確認することが可能です。
以上となります。
如何でしたでしょうか?AWSのダッシュボードに馴染みのない方は難しく思われるかもしれませんが、弊社で検証した限りでは、以下のメーカーマニュアルをベースにトラブルなくセットアップすることができました。
一度セットアップしてしまえば、あとは普段通りMerakiのダッシュボードから容易にAWSのVPNまで運用管理することが可能です!!
最後まで読んでいただきありがとうございました。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。
Ciscoの記事
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」
- Security 第77回「Cisco Secure Client Cloud Managementのご紹介」
- Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」