Meraki SD-WAN
すべてのCisco MerakiアプライアンスにはSD-WAN機能が備わっています。これを使用すると、管理者はネットワークの回復力と帯域幅の効率性を最大限に活用できます。 このガイドでは、Meraki SD-WANのさまざまなコンポーネントを紹介し、SD-WANの機能を活用するためのMeraki AutoVPNアーキテクチャの導入方法を、推奨される導入アーキテクチャを中心に説明します。
SD-WANとは
ソフトウェア定義型WAN(SD-WAN)とは、変化するWANの状態に応じて、ネットワーク管理者が手動で介入して調整することなくネットワークを動的に調整できる機能です。SD-WANは、WANの可用性とパフォーマンスの変化に特定のトラフィック タイプをどのように適用させるかをきめ細かく制御できるため、重要なアプリケーションのパフォーマンスを最適化できると同時に、パフォーマンスに極めて左右されやすいトラフィック(VoIPなど)の中断を回避するのにも役立ちます。また、SD-WANは拡張性が高く、多くの場合、MPLS回線のような従来のWAN回線よりも、大幅にコストを抑えた代替手段となります。
主な概念
SD-WANを導入する前に、いくつかの主な概念を理解することが重要です。
コンセントレーター モード
すべてのMXは、NATまたはVPNコンセントレーター モードで設定できます。両方のモードについて重要な考慮事項があります。コンセントレーター モードの詳細については、こちらをクリックしてください。
ワンアーム コンセントレーター
このモードでは、MXはアップストリーム ネットワークへ単一のイーサネット接続を使用して設定されます。すべてのトラフィックが、このインターフェースで送受信されます。データセンターへのVPN終端点の役目を果たすMXアプライアンスの場合、これが推奨設定です。
NATモードのコンセントレーター
データセンターのVPN終端点として機能するNATモードのMXでSD-WAN機能セットを利用することもできます。
VPNトポロジー
VPNの導入では、複数のトポロジー オプションを使用できます。
スプリット トンネル
この設定では、ブランチは、同じダッシュボード オーガナイゼーション内の別のMXによってアドバタイズされている特定のサブネット宛ての場合のみ、VPN経由でトラフィックを送信します。残りのトラフィックは、スタティックLANルートやサードパーティVPNルートなど、使用可能な他のルートがチェックされ、一致するものがない場合は、MX WAN IPアドレスにNAT変換され、ブランチMXのWANインターフェースから暗号化解除されて送信されます。
フル トンネル
フル トンネル モードでは、ブランチまたはリモート オフィスに別のルートがないすべてのトラフィックは、VPNハブに送信されます。
ハブ アンド スポーク
ハブ アンド スポーク設定では、ブランチとリモート オフィスにあるMXセキュリティ アプライアンスは特定のMXアプライアンスに直接接続されるため、オーガナイゼーション内の他のMXやZ1デバイスへのトンネルが形成されません。設定済みのVPNハブを介して、ブランチ サイトまたはリモート オフィス間で通信できます。これは、ほとんどのSD-WAN導入で推奨されるVPNトポロジーです。
VPNメッシュ
SD-WAN導入では、VPNの「メッシュ」設定を使用することもできます。
メッシュ設定では、ブランチまたはリモート オフィスのMXアプライアンスが、オーガナイゼーション内にある同じメッシュ モードの他のMX、およびこのMXアプライアンスをハブとして利用するスポークMXに直接接続するよう設定されます。
データセンターの冗長性(DC-DCフェールオーバー)
追加のデータセンターにVPNコンセントレーターとして機能する1台以上のMXを導入すると、重要なネットワーク サービスの冗長性を高めることができます。デュアルまたはマルチデータセンター設定では、VPNコンセントレーター モードのMXを使用して、各データセンターから同一のサブネットをアドバタイズできます。
DC-DCフェールオーバー設計では、スポーク サイトが、そのサイト用に設定されているすべてのVPNハブへのVPNトンネルを形成します。特定のハブに固有のサブネットの場合、スポークとハブ間のトンネルが正常に確立されている限り、トラフィックはそのハブに直接ルーティングされます。複数のハブからアドバタイズされるサブネットの場合、スポーク サイトは、到達可能な最も優先度の高いハブにトラフィックを送信します。
VPNコンセントレーター用のWarm Spare(高可用性)
高可用性(HA)構成の場合、1つのMXがマスター ユニットになり、もう1つのMXはスペアとして動作します。すべてのトラフィックはマスターMXを通過し、スペアは障害に備えた追加の冗長性レイヤーとして機能します。
HA構成でのMX間のフェールオーバーは、VRRPハートビート パケットを利用します。 これらのハートビート パケットが単一のアップリンクを介してプライマリMXからセカンダリMXに送信されることで、プライマリがオンラインで正常に機能していることを示します。これらのハートビート パケットを受信している限り、セカンダリはスペア状態で機能します。セカンダリがこれらのハートビート パケットを受信しなくなると、プライマリがオフラインであると推定し、マスター状態に移行します。これらのハートビートを受信するためには、両方のVPNコンセントレーターMXがデータセンター内の同じサブネットへのアップリンクを備えている必要があります。
一度に完全に機能するのは1台のデバイスだけなので、HAペアに必要なMXライセンスは1つだけです。
接続監視
接続監視は、すべてのMXセキュリティ アプライアンスに組み込まれているアップリンク モニタリング エンジンです。エンジンの仕組みはこちらの記事に記載されています。
SD-WANテクノロジー
Meraki SD-WANの実装は、AutoVPNテクノロジーに基づいて構築された、複数の主要な機能で構成されます。
デュアルアクティブVPNアップリンク
SD-WANがリリースされる前は、Auto VPNトンネルが形成されるインターフェースは1つだけでした。SD-WANのリリースにより、MXの両方のインターネット インターフェース上にAuto VPNトンネルを同時に形成できるようになりました。
両方のインターフェース上にVPNトンネルを形成してトラフィックを送信できるため、AutoVPN導入環境でより柔軟にトラフィック パスとルーティングを決定できます。管理者は複数のリンク間でVPNトラフィックをロード バランシングできるだけでなく、MXに組み込まれたポリシーベースのルーティング機能と動的パス選択機能を使用して、データセンターへの追加的なパスをさまざまな方法で利用できます。
ポリシーベースのルーティング(PbR)
ポリシーベースのルーティングにより、管理者は送信元と宛先のIPおよびポートに基づいて、さまざまなトラフィック フローに対して優先するVPNパスを設定できます。
動的パス選択
動的パス選択により、ネットワーク管理者はトラフィックのタイプごとにパフォーマンス基準を設定できます。これにより、使用可能なVPNトンネルのうち、どのトンネルがこれらの基準を満たすかに応じて、フローごとにパスが決定されます。基準を満たすかどうかの判定には、MXが自動的に収集するパケット損失、遅延およびジッター メトリックが使用されます。
パフォーマンス プローブ
パフォーマンスに基づく決定では、各トラフィック フローに最適なパスが使用されるよう、WANの現在の状態に関する正確で一貫性のある情報を継続的に取得する必要があります。この情報は、パフォーマンス プローブを使用して収集されます。
パフォーマンス プローブは、確立されているすべてのVPNトンネル上で1秒おきに送信される、UDPデータの小さなペイロード(約100バイト)です。MXアプライアンスは、正常な応答の比率と応答を受信するまでの経過時間を追跡します。このデータにより、MXは各VPNトンネルでのパケット損失、遅延、ジッターを判断し、パフォーマンス要件に基づいて最適なパスを決定できます。
アーキテクチャの概要
このガイドでは最も一般的な導入シナリオにジュ店を置きますが、別のトポロジーの使用を禁止しているわけではありません。ほとんどの導入環境に推奨されるSD-WANのアーキテクチャは以下のとおりです。
- データセンターでワンアーム コンセントレーターとして導入されるMX
- データセンターでのWarm Spare/高可用性
- 接続されたVPNサブネットに対する拡張可能なアップストリーム接続のためのOSPFルート アドバタイズメント
- データセンターの冗長性
- ブランチおよびリモート オフィスからのスプリット トンネルVPN
- すべてのブランチおよびリモート オフィスでのデュアルWANアップリンク
SD-WANの目的
このガイドでは、以下に示す主な2つのSD-WANの目的に焦点を絞ります。
-
重要なネットワーク サービスのための冗長性
-
VoIPトラフィックに最適なパスの動的な選択
トポロジーの例
以下のトポロジーは、DC-DCフェールオーバーによる冗長性を含む全機能を備えたSD-WAN導入環境を表しています。
ブランチまたはリモート オフィスからのトンネルはいずれも、ワンアーム コンセントレーター上で使用される単一のインターフェースで終端します。
トラフィック フローの概要
VPNトラフィックのパスの選択は、以下の主要な判断ポイントよって決まります。
- 両方のインターフェース上にVPNトンネルを確立できるかどうか
- 動的パス選択のルールが設定されているかどうか
- ポリシーベースのルーティング ルールが設定されているかどうか
- ロード バランシングが有効かどうか
両方のインターフェースでトンネルが確立されている場合は、動的パス選択を使用して、特定のトラフィック フローの最小パフォーマンス要件を満たすパスが決定されます。次に、これらのパスが、ポリシーベースのルーティングとロード バランシングの設定に照らして評価されます。
SD-WAN構成でのトラフィック フローの詳細については、付録を参照してください。
フェールオーバー時間
フェールオーバーには、以下の重要な時間枠があることに注意してください。
| サービス | フェールオーバー時間 | フェールバック時間 |
| AutoVPNトンネル | 30~40秒 | 30~40秒 |
| DC-DCフェールオーバー | 20~30秒 | 20~30秒 |
| 動的パス選択 | 最大30秒 | 最大30秒 |
| Warm Spare | 30秒以下 | 30秒以下 |
| WAN接続 | 300秒以下 | 15~30秒 |
データセンターでの導入
このセクションでは、データセンターにおけるSD-WANアーキテクチャの設定と実装について概説します。
ワンアーム コンセントレーターの導入
トポロジーの例
SD-WANの導入では、データセンター設計にワンアーム コンセントレーターを選択することをお勧めします。次の図は、ワンアーム コンセントレーターを使用するデータセンター トポロジーの例を示しています。
ダッシュボードの設定
Cisco Merakiダッシュボードの設定は、ユニットをオンラインにする前または後で行うことができます。
-
まず、MXをVPNコンセントレーター モードで動作するように設定します。この設定は、Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > Addressing & VLANs(アドレスとVLAN)ページから行います。MXはデフォルトではルーテッド モードで動作するように設定されます。
-
次に、サイト間VPNパラメータを設定します。この設定は、Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > Site-to-site VPN(サイト間VPN)ページから行います。
- まず、タイプを「Hub (Mesh)(ハブ(メッシュ))」に設定します。
- このVPNコンセントレーターのアクセス可能なアップストリームであるローカル ネットワークを設定します。
-
Name(名前)として、サブネットのわかりやすいタイトルを指定します。
-
Subnet(サブネット)には、他のAutoVPNピアにアドバタイズされるサブネットをCIDR表記で指定します。
-
-
「NAT traversal(NATトラバーサル)」は、自動または手動のいずれかに設定できます。この2つのオプションの詳細については、下記を参照してください。
-
下記はサンプルのスクリーンショットです。
NATトラバーサル
手動または自動のいずれのNATトラバーサルを使用するかは、VPNコンセントレーターに関する重要な考慮事項です。
次のようなときには、手動NATトラバーサルを使用します。
- 友好的でないNATストリームがある
- データセンターに出入りできるトラフィックを制御する厳格なファイアウォール ルールがある
- リモート サイトがVPNコンセントレーターとの通信に使用するポートを知ることが重要である
手動NATトラバーサルを選択した場合は、VPNコンセントレーターにスタティックIPアドレスを割り当てることを強くお勧めします。手動NATトラバーサルは、指定されたポートのすべてのトラフィックをVPNコンセントレーターに転送できるときの設定を目的としています。
次のようなときには、自動NATトラバーサルを使用します。
- 手動NATトラバーサルを必要とする上記の条件のいずれも存在しない
自動NATトラバーサルを選択した場合、AutoVPNトラフィックの送信元として、番号が大きいUDPポートが自動的に選択されます。VPNコンセントレーターは、このポートを使用してリモート サイトに到達し、アップストリームのファイアウォールにステートフル フロー マッピングを作成します。これにより、リモート側から開始されたトラフィックも、個別のインバウンド ファイアウォール ルールを必要とせずにVPNコンセントレーターに到達できます。
Warm Spareの追加
このセクションでは、VPNコンセントレーター モードで動作するMXセキュリティ アプライアンスのWarm Spare(HA)の設定と実装に必要な手順を概説します。
Warm Spareテクノロジー
下記は、VPNコンセントレーターのHA構成を利用するトポロジーの例です。
動作
高可用性(HA)で設定された場合、1つのMXはアクティブなマスターとして機能し、もう1つのMXはパッシブなスタンバイ機能で動作します。フェールオーバーの達成にはVRRPプロトコルが利用されます。詳細については、こちらを参照してください。
ダッシュボード設定
MXセキュリティ アプライアンスでの高可用性には、同じモデルの2台のMXが必要です。HAはアクティブ/パッシブで実装されるため、適切に機能させるには、2台目のMXも接続して、オンラインにする必要があります。MX Warm Spareの詳細については、こちらを参照してください。
高可用性(Warm Spareとも呼ばれます)は、Security & SD-WAN(セキュリティ&SD-WAN) > Monitor(監視) > Appliance status(セキュリティアプライアンス)で設定できます。「Configure warm spare(Warm Spareを設定)」をクリックし、「Enabled(有効)をクリックして開始します。次に、Warm Spare MXのシリアル番号を入力するか、ドロップダウン メニューからシリアル番号を選択します。最後に、MX uplink IPs(MXのアップリンクIPを利用)またはvirtual uplink IPs(仮想アップリンクIPを利用)を選択します。
アップリンクIP
新しいネットワークのセットアップでは、デフォルトではUse Uplink IPs(アップリンクIPを利用)が選択されます。HAで正常に通信するためには、仮想IP(VIP)を使用するようにVPNコンセントレーターMXを設定する必要があります。
仮想IP(VIP)
virtual uplink IPs(仮想アップリンクIP)オプションでは、HA MXによって共有される追加のIPアドレスを使用します。この構成では、MXはアップリンクIPを介してクラウド コントローラ通信を送信しますが、他のトラフィックは共有された仮想IPアドレスによって送受信されます。
OSPFルート アドバタイズメントの設定
VPNコンセントレーター モードで動作するMXセキュリティ アプライアンスは、OSPFを介した接続先VPNサブネットへのルートのアドバタイズをサポートします。 この機能は、NATモードで動作しているMXデバイス上では使用できません。
動作
OSPFルート アドバタイズメントが有効なMX VPNコンセントレーターは、OSPFを介してルートをアドバタイズするだけです。OSPFルートを学習するわけではありません。
スポーク サイトがVPNコンセントレーターに接続されるとき、スポーク サイトへのルートはLS更新メッセージを使用してアドバタイズされます。これらのルートは、タイプ2外部ルートとしてアドバタイズされます。
ダッシュボード設定
OSPFルート アドバタイズメントを設定するには、Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > Site-to-Site VPN(サイト間VPN)ページに移動します。このページから、以下の設定を行います。
- Advertise remote routes(リモート ルートをアドバタイズする)を「Enabled(有効)」に設定します。
- Router ID(ルーターID)を設定します。
- Area ID(エリアID)を設定します。
- 必要に応じて、Cost(コスト)を調整します。
- 必要に応じて、Hello timer(Helloタイマー)を調整します。
- 必要に応じて、Dead timer(デッド タイマー)を調整します。
- 必要に応じて、MD5 authentication(MD5認証)を有効にして設定します。
その他のデータセンターの設定
MX IP割り当て
データセンターで、MXセキュリティ アプライアンスはスタティックIPアドレスまたはDHCPからのアドレスを使用して動作できます。 MXアプライアンスは、デフォルトではDHCPアドレスのプルを試みます。VPNコンセントレーターにはスタティックIPアドレスを割り当てることを強くお勧めします。
スタティックIP割り当ては、デバイスのローカル ステータス ページから設定できます。
ローカル ステータス ページを使用して、MXのアップリンクのVLANタギングを設定することもできます。次のようなシナリオには注意が必要です。
- アップストリーム ポートがアクセス ポイントとして設定されている場合は、VLANタギングを有効にしないでください。
- アップストリーム ポートがトランク ポートとして設定され、MXがネイティブまたはデフォルトのVLAN上で通信しなければならない場合、VLANタギングは無効のままにしておいてください。
- アップストリーム ポートがトランク ポートとして設定され、MXがネイティブまたはデフォルトのVLAN以外のVLANで通信しなければならない場合、該当するVLAN IDに応じてVLANタギングを設定してください。
アップストリームに関する考慮事項
このセクションでは、データセンター ネットワークの他のコンポーネントに関する設定の考慮事項を説明します。
ルーティング
データセンターでVPNコンセントレーターとして動作するMXは、リモート サブネットをデータセンター内で終端します。双方向通信のためには、アップストリーム ネットワークに、VPNコンセントレーターとして機能するMXを指すリモート サブネット用のルートが必要です。
OSPFルート アドバタイズメントが使用されていない場合、リモートVPNサブネット宛てのトラフィックをMX VPNコンセントレーターにリダイレクトするスタティック ルートが、アップストリーム ルーティング インフラストラクチャ内に設定されている必要があります。
OSPFルート アドバタイズメントが有効な場合、アップストリーム ルータは接続先のVPNサブネットへのルートを動的に学習します。
ファイアウォールに関する考慮事項
MXセキュリティ アプライアンスは、いくつかのタイプのアウトバウンド通信を利用します。この通信を可能にするには、アップストリーム ファイアウォールの設定が必要になることがあります。
ダッシュボードとクラウド
MXセキュリティ アプライアンスは、クラウドで管理されるネットワーキング デバイスです。そのため、Cisco Merakiダッシュボードを介した監視と設定を可能にするには、必要なファイアウォール ポリシーが設定されていることが重要です。該当する宛先ポートとIPアドレスは、ダッシュボードのHelp(ヘルプ) > Firewall info(ファイアウォール情報)ページで確認できます。
VPNレジストリ
Cisco MerakiのAutoVPNテクノロジーは、クラウドベースのレジストリ サービスを利用して、VPN接続をオーケストレーションします。AutoVPN接続を正常に確立するには、アップストリーム ファイアウォールがVPNコンセントレーターとVPNレジストリ サービスとの通信を許可する必要があります。 該当する宛先ポートとIPアドレスは、ダッシュボードのHelp(ヘルプ) > Firewall info(ファイアウォール情報)ページで確認できます。
アップリンクのヘルス モニタリング
MXは、よく知られているインターネットの宛先に共通プロトコルを使用して到達することにより、アップリンクのヘルスを定期的にチェックします。この動作の詳細については、こちらで概説されています。適切なアップリンク モニタリングを可能にするためには、以下の通信も許可されなければなりません。
- ICMPから8.8.8.8(GoogleのパブリックDNSサービス)
- HTTPポート80
- DNSからMXの設定済みDNSサーバー
データセンターの冗長性(DC-DCフェールオーバー)
Cisco Meraki MXセキュリティ アプライアンスは、DC-DCフェールオーバー実装によってデータセンター間の冗長性をサポートします。上記と同じ手順を使用して、他の1つ以上のデータセンターでワンアーム コンセントレーターを導入することもできます。VPNフェールオーバーの動作とルートの優先順位付けの詳細については、こちらの記事をご確認ください。
ブランチでの導入
このセクションでは、ブランチにおけるSD-WANアーキテクチャの設定と実装について概説します。
ブランチでのAutoVPNの設定
前提条件
AutoVPNトンネルを設定して確立する前に、確認が必要な設定手順がいくつかあります。
WANインターフェースの設定
多くの場合、DHCPを介した自動アップリンク設定で十分ですが、導入環境によっては、ブランチでMXセキュリティ アプライアンスの手動アップリンク設定が必要になることがあります。スタティックIPアドレスをWANインターフェースに割り当てる手順については、こちらを参照してください。
一部のMXモデルには専用のインターネット ポートが1つしかないため、2つのアップリンク接続が必要な場合には、デバイスのローカル ステータス ページでセカンダリ インターネット ポートとして動作するLANポートを設定する必要があります。この設定変更は、デバイスのローカル ステータスページのConfigure(設定)タブで実行できます。
サブネットの設定
AutoVPNでは、数回のクリックで、AutoVPNトポロジーのサブネットを追加および削除できます。サイト間VPNの設定に進む前に、適切なサブネットを設定しておく必要があります。
最初に、Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > Addressing & VLANs(アドレスとVLAN)ページで、ブランチで使用するサブネットを設定します。
デフォルトでは、MXネットワーク用に、VLANを無効にした単一のサブネットが生成されます。この設定では、VLAN設定を管理しなくても、単一のサブネットと必要な任意のスタティック ルートを設定できます。
複数のサブネットまたはVLANが必要な場合は、Use VLANs(VLANの使用)ボックスを選択する必要があります。これにより、複数のVLANを作成できるだけでなく、ポートごとにVLANを設定できるようになります。
AutoVPNの設定
サブネットを設定した後は、Cisco MerakiのAutoVPNを設定できます。これは、Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > Site-to-site VPN(サイト間VPN)ページで行います。
ハブ アンド スポークVPNの設定
Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > Site-to-site VPN(サイト間VPN)ページで、以下の操作を行います。
- タイプにSpoke(スポーク)を選択します。
- Hubs(ハブ)の下で、Add a hub(ハブを追加)を選択します。
- 他のハブにも接続するには、Add a hub(ハブを追加)を選択して、データセンターでの導入手順で設定したVPNコンセントレーターを選択します。
- Add a hub(ハブを追加)リンクを使用して、ハブをさらに追加できます。
ハブの優先順位
ハブの優先順位は、リスト内で個々のハブが表示されている位置に基づき、上から下の順で低くなります。リストの先頭にあるハブが最も優先順位が高く、2番目のハブがその次に優先順位が高くなります。複数のハブからアドバタイズされるサブネットを宛先とするトラフィックは、a)そのサブネットをアドバタイズしていて、b)スポークとの有効なVPN接続が現在確立されている、最も優先順位が高いハブに送信されます。 1つのハブだけからアドバタイズされたサブネットを宛先とするトラフィックは、そのハブに直接送信されます。
許可されるネットワークの設定
特定のサブネットにVPNでの通信を許可するには、Site-to-site VPN(サイト間VPN)ページのlocal networks(ローカルネットワーク)セクションに移動します。サブネットのリストには、Addressing & VLANs(アドレスとVLAN)ページに設定されているローカル サブネットとスタティック ルートからだけでなく、Client VPN(クライアントVPN)サブネット(設定されている場合)からも入力されます。
サブネットにVPNの使用を許可するには、該当するサブネットのUse VPN(VPNを使用する)ドロップダウンをyes(はい)に設定します。
NATトラバーサル
NATトラバーサルのオプションの詳細については、データセンターでの導入ステップを参照してください。
パフォーマンス ルールとポリシー ルールの追加
VPNトラフィックのルーティング ルールは、ダッシュボードのSecurity & SD-WAN(セキュリティ & SD-WAN) > SD-WAN & traffic shaping(SD-WAN & トラフィックシェーピング)ページで設定できます。
ポリシーベースのルーティング(PbR)と動的パス選択を構成するための設定は、SD-WANポリシーという見出しの下にあります。
以降のセクションでは、いくつかのルールの設定例について説明します。
Best for VoIP(VoIPに最適)
トラフィック最適化の一般的な使用法の1つとして、損失、遅延やジッターの影響を非常に受けやすいVoIPトラフィックでの使用があります。 Cisco Meraki MXには、Best for VoIP(VoIPに最適)という、VoIPトラフィック用のデフォルトのパフォーマンス ルールが用意されています。
このルールを設定するには、VPN traffic(VPNトラフィック)セクションにあるAdd a preference(プリファレンスを追加)をクリックします。
Uplink selection policy(アップリンク選択ポリシー)ダイアログで、「Custom expressions(カスタム表現)」を選択し、プロトコルとして「UDP(UDP)」を選択します。traffic filter(トラフィック フィルタ)に該当する送信元と宛先のIPアドレスおよびポートを入力します。preferred uplink(優先アップリンク)でBest for VoIP(VoIPに最適)ポリシーを選択し、変更を保存します。
このルールは、確立されているVPNトンネルの損失、遅延、ジッターを評価して、現在のネットワーク状態に基づき、VoIPトラフィックに最適なVPNパスを介して、設定済みトラフィック フィルタに一致するフローを送信します。
ビデオのロード バランシング
Ciscoのビデオ会議などのテクノロジーが日々のビジネス運営で採用され、その一部になるにつれて、ビデオ トラフィックの利用が大幅に拡大しています。 このブランチ サイトでは、ビデオ ストリーミング用に事前作成された別のパフォーマンス ルールを使用して、両方のインターネット アップリンクでトラフィックをロード バランシングすることにより、使用可能な帯域幅を最大限に利用しようとしています。
このことを設定するには、VPN traffic(VPNトラフィック)セクションにあるAdd a preference(プリファレンスを追加)をクリックします。
Uplink selection policy(アップリンク選択ポリシー)ダイアログで、プロトコルとして「UDP(UDP)」を選択し、traffic filter(トラフィック フィルタ)に該当する送信元と宛先のIPアドレスおよびポートを入力します。policy(ポリシー)で、Preferred uplink(優先アップリンク)にLoad balance(ロードバランシング)を選択します。次に、Video streaming(ビデオ ストリーミング)パフォーマンス カテゴリに一致するアップリンクにのみ適用されるように、このポリシーを設定します。 最後に変更を保存します。
このポリシーは、VPNトンネルの損失、遅延およびジッターをモニタリングし、ビデオ ストリーミング パフォーマンス基準を満たすVPNトンネル全体で、トラフィック フィルタに一致するフローをロード バランシングします。
パフォーマンス フェールオーバーを使用したWebトラフィック用のPbR
ネットワーク管理者が最適化または制御できる一般的なトラフィック タイプの1つに、Webトラフィックがあります。このブランチではPbRルールを使用して、カスタム設定パフォーマンス クラスにWebトラフィックが適合する場合にのみ、WAN 1インターフェース上に形成されたVPNトンネルでそのWebトラフィックを送信します。
このように設定するには、Custom performance classes(カスタムパフォーマンスクラス)セクションで、Create a new custom performance class(新規カスタムパフォーマンスクラスを作成)を選択します。
Name(名前)フィールドに、このカスタム クラスのわかりやすいタイトルを入力します。このトラフィック フィルタで許容する遅延、ジッターおよびパケット損失の最大値を指定します。このブランチでは、最大損失しきい値に基づいて「Web」カスタム ルールを使用します。次に、変更を保存します。
これを設定するには、VPN traffic(VPNトラフィック)セクションの下にあるAdd a preference(プリファレンスを追加)をクリックします。
Uplink selection policy(アップリンク選択ポリシー)ダイアログで、プロトコルとして「TCP(TCP)」を選択し、traffic filter(トラフィック フィルタ)に適切な送信元と宛先のIPアドレスおよびポートを入力します。policy(ポリシー)で、Preferred uplink(優先アップリンク)にWAN1(WAN1)を選択します。次に、Failover if(次の条件でフェイルオーバ)にPoor performance(パフォーマンスが低下しています)を選択し、Webトラフィックがフェールオーバーするルールを設定します。 パフォーマンス クラスで、「Web」を選択します。 次に、変更を保存します。
このルールは、確立されているVPNトンネルのパケット損失を評価し、トラフィック フィルタに一致するフローを優先アップリンクから送信します。「Web」パフォーマンス ルールの損失、遅延またはジッターのしきい値を超えると、トラフィックはWAN2上のトンネルにフェールオーバーされます(設定されているパフォーマンス基準を満たすことが前提です)。
レイヤー7の分類
Best for VoIP(VoIPに最適)
このルールを設定するには、VPN traffic(VPNトラフィック)セクションにあるAdd a preference(プリファレンスを追加)をクリックします。
Uplink selection policy(アップリンク選択ポリシー)ダイアログで、Add+(追加+)をクリックし、新しいトラフィック フィルタを設定します。フィルタ選択メニューで、VoIP & video conferencing(VoIPおよびビデオ会議)カテゴリをクリックし、目的のレイヤー7のルールを選択します。この例では、SIP (Voice)(SIP(音声))ルールを使用します。
次に、preferred uplink(優先アップリンク)でBest for VoIP(VoIPに最適)パフォーマンス クラスを選択し、変更を保存します。 このルールは、確立されているVPNトンネルの損失、遅延、ジッターを評価して、現在のネットワーク状態に基づき、VoIPトラフィックに最適なVPNパスを介して、設定済みトラフィック フィルタに一致するフローを送信します。
FAQ
MXは暗号化されていないAutoVPNトンネルをサポートしますか。
いいえ。現在、AutoVPNではVPNトンネルに必ずAES-128暗号化を使用します。
トラフィックが暗号化される場合、QoSまたはDSCPタグはどうなりますか。
QoSタグとDSCPタグは両方ともカプセル化されたトラフィック内に維持されてIPsecヘッダーにコピーされます。
Meraki以外のデバイスをVPNハブとして使用することはできますか。
標準のIPsec VPNを使用してMerakiデバイスとMeraki以外のデバイスとの間でVPN接続を確立することはできます。ただしSD-WANでは、すべてのハブ デバイスとスポーク デバイスがMeraki MXでなければなりません。
Cisco ISRルータを使用したIWANとの間でどのように連動しますか。
この2つの製品は類似していますが、基盤となるトンネリング テクノロジーは異なります(DMVPNとAutoVPNの違い)。標準的なハイブリッド ソリューションでは、大規模サイトでISRデバイスを使用し、小規模オフィスまたはブランチでMXデバイスを使用できます。この場合、データセンターにはISR専用のIWANコンセントレーションと、それとは別にMX用のSD-WANヘッドエンドが必要になります。
3Gモデムまたは4Gモデムでデュアル アクティブAutoVPNを使用できますか。
いいえ。その目的で3Gモデムまたは4Gモデムを使用することはできません。MXは幅広い3Gモデムおよび4Gモデムのオプションをサポートしていますが、現在セルラー アップリンクは、WAN障害時に可用性を確保する目的でのみ使用されており、アクティブな有線WAN接続またはVPNフェールオーバー シナリオでロード バランシングに使用することはできません。
SD-WANはブランチのWarm Spare(HA)とどのように連動しますか。
Warm Spare機能で設定されたブランチMXアプライアンスでSD-WANを導入できますが、AutoVPNトンネルを確立してVPNトラフィックをルーティングするのは、マスターMXのみです。
参考資料
補足情報については、以下の参照資料をご覧ください。
AutoVPNのホワイト ペーパー
Cisco MerakiのAutoVPNテクノロジーの仕組みの詳細についての記事を参照してください。
SD-WANのページ
SD-WANの可用性の詳細については、SD-WANのページを参照してください。
付録
付録1:PbRと動的パス選択でのトラフィック フローの詳細
全体的なフローチャート
以下のフローチャートは、Meraki SD-WANのパス選択ロジックの全容を示しています。フローの各部については、以降のセクションで詳しく説明します。
判断ポイント1:両方のアップリンクでトラフィックを確立できるかどうか
SD-WANトラフィック フローにおける最初の評価ポイントは、両方のインターフェース上にMXのアクティブなAutoVPNトンネルが確立されているかどうかです。
.png?revision=1&size=bestfit&width=860&height=638)
両方のインターフェース上にVPNトンネルが正常に確立されていない場合は、VPNトンネルが正常に確立されているアップリンクでトラフィックが転送されます。
.png?revision=1&size=bestfit&width=860&height=638)
両方のインターフェース上にVPNトンネルを確立できる場合、次の判断ポイントに進みます。
判断ポイント2:動的パス選択のパフォーマンス ルールが定義されているか
両方のアップリンクにトンネルを確立できる場合、次に、MXアプライアンスは動的パス選択のルールが定義されているかどうかを確認します。
動的パス選択のルールが定義されている場合、各トンネルを評価して、どのトンネルがこれらのルールを満たすかを判断します。
.png?revision=1&size=bestfit&width=860&height=634)
パフォーマンス要件を満たすVPNパスが1つだけの場合、そのVPNパスでトラフィックが送信されます。動的パス選択のパフォーマンス ルールを満たすVPNパスが1つだけである場合、MXはPbRルールを評価しません。
.png?revision=1&size=bestfit&width=860&height=634)
動的パス選択の要件を満たすVPNパスが複数ある場合、または要件を満たすパスがない場合、または動的パス選択のルールが設定されていない場合は、PbRルールが評価されます。
.png?revision=1&size=bestfit&width=860&height=634)
動的パス選択の決定のためのパフォーマンス ルールが実行された後、MXは次の判断ポイントを評価します。
判断ポイント3:PbRルールが定義されているか
動的パス選択のルールを確認し、パフォーマンス要件を満たすパスが複数見つかった場合、または1つも見つからなかった場合、MXセキュリティ アプライアンスはPbRルールを評価します。
設定されているPbRルールにフローが一致すれば、設定されたパス設定を使ってトラフィックが送信されます。
.png?revision=1&size=bestfit&width=860&height=635)
設定されているPbRルールにフローが一致しなければ、そのトラフィックは論理的に次の判断ポイントに進みます。
判断ポイント4:VPNロード バランシングが設定されているか
動的パス選択とPbRのルールを評価した後、MXセキュリティ アプライアンスはVPNロード バランシング ルールが有効になっているかどうかを評価します。
.png?revision=1&size=bestfit&width=860&height=633)
VPNロード バランシングが有効になっていない場合、プライマリ インターネット インターフェース上に形成されているトンネル経由でトラフィックが送信されます。どのインターネット インターフェースをプライマリにするかは、ダッシュボードのSecurity & SD-WAN(セキュリティ & SD-WAN) > SD-WAN & traffic shaping(SD-WAN & トラフィックシェーピング)ページで設定できます。
.png?revision=1&size=bestfit&width=860&height=632)
ロード バランシングが有効になっている場合、両方のアップリンクで形成されているトンネル全体でフローがロード バランシングされます。
.png?revision=1&size=bestfit&width=860&height=634)
VPNロード バランシングでは、MXのアップリンク ロード バランシングと同じロード バランシングの方法が使用されます。フローは、各アップリンクに指定されている帯域幅に基づいて重み付けされ、ラウンド ロビン方式で送信されます。