Security

Security 第93回「Cisco Secure AccessにおけるMeraki MX拠点間通信の実現」

こんにちは。セキュリティ担当の今村です。

前回のブログでは、Cisco Secure AccessとMeraki MX間でVPNを構築し、Meraki MXからの通信がCisco Secure Accessを経由していることを確認しました。

今回は同じMeraki MXを用いて拠点間通信を実現する構成についてご紹介します。

ぜひ最後までご覧ください。

 

■検証時の構成

検証時の構成は以下の図の通りとなっております。

左側のMeraki MX1はネットワーク“HQ”に所属しており、その配下にPC Aが接続されています。一方、右側のMeraki MX2はネットワーク“Site”に所属しており、その配下にPC Bが接続されています。

LANの設定およびサイト間VPNをスポーク構成とする設定が完了している前提で、PC AからPC B、PC BからPC Aへ相互にPing通信が可能となるよう設定を行います。

 

■アクセスルールの作成

Cisco Secure Accessではデフォルトではプライベートリソース宛ての通信はすべてブロックされる設定になっています。

そのため、プライベートリソース宛ての通信を許可するアクセスルールが必要になります。

また、アクセスルールの作成時には、送信元および宛先としてネットワーク“HQ”と“Site”を指定しますが、Cisco Secure Accessでは、これらのネットワークを事前に「ネットワークオブジェクト」として登録しておく必要があります。

 

そこでまず、Meraki MX1が所属するネットワーク“HQ”のネットワークオブジェクトを作成します。

ダッシュボード左メニューの[リソース]>[ネットワークとサービスオブジェクト]を開き、ネットワークオブジェクト名を“HQ”に設定し、オブジェクト値としてネットワーク 192.168.128.0/24を登録した上で、保存します。

同様にMeraki MX2が所属するネットワーク“Site”のネットワークオブジェクトも作成します。ネットワークオブジェクト名を“Site”に設定し、オブジェクト値としてネットワーク 192.168.10.0/24を登録した上で、保存します。

以上でネットワークオブジェクトの作成は完了です。

 

続いて、アクセスルールを作成します。

ダッシュボード左メニューの[セキュア]>[アクセスポリシー]を開き、[ルールの追加]から「プライベートアクセス」を選択します。

まずネットワーク“HQ”からネットワーク“Site”へのアクセスを許可するルール“Allow HQ_to_Site”を作成します。

アクションは許可を選択し、送信元に先ほど作成したネットワークオブジェクト“HQ”、宛先にネットワークオブジェクト“Site”を指定した上で保存します。

同様に、ネットワーク“Site”からネットワーク“HQ”へのアクセスを許可するルール“Allow Site_to_HQ”を作成します。

アクションは許可を選択し、送信元に先ほど作成したネットワークオブジェクト“Site”、宛先にネットワークオブジェクト“HQ”を指定した上で保存します。

以上でアクセスルールの作成は完了です。

 

■疎通確認

最後に、疎通確認を行います。

Meraki MX1配下のPC Aから、Meraki MX2配下のPC BへPing通信を行います。

このように問題なく通信できていることが確認できました。

 

同様に、Meraki MX2配下のPC Bから、Meraki MX1配下のPC AへPing通信を行います。

こちらも問題なく通信できていることが確認できました。

 

■まとめ

今回はCisco Secure Accessダッシュボード上でアクセスルールを作成し、Meraki MXで拠点間通信を実現することができました。実際に設定してみると、ネットワークをあらかじめネットワークオブジェクトとして名前を付けて登録しておくことで、アクセスルール作成時の送信元と宛先の指定が分かりやすいと感じました。


今後も引き続きCisco Secure Accessについて検証していきたいと思います。

最後までご覧いただきありがとうございました。

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事