MXロード バランシングとフロー プリファレンス
すべてのMXセキュリティ アプライアンスは、ロード バランシングとフェールオーバーのために使用できるセカンダリ アップリンクを備えています。この記事では、セカンダリ アップリンク、アップリンク間のロード バランシング、およびさまざまなタイプのトラフィックのフロー プリファレンスを有効にして設定する方法を説明します。
WAN 2の有効化と設定
一部のMXモデル(MX250、MX400、MX450、MX600)は、専用のセカンダリ アップリンク ポート(WAN 2)を備えています。これらのポートは、ケーブルを接続するだけで使用できます。それにより、MXのローカル ステータス ページでIPを設定できます。 他のすべてのMXモデルでは、LANポートを、WAN 2として使用するセカンダリ インターネット ポートとして設定できます。
専用WAN 2ポートのないMXでWAN 2を有効にして設定するには、以下のようにします。
- MXのローカル ステータス ページに移動します。
- 上部のConfigure(設定)タブをクリックします。
- ポート1、2、または4(MXモデルによって異なります)で、Role(ロール)をInternet(インターネット)に切り替えます。
- 必要に応じて、WANポートを設定します。
- VLAN tagging(VLANタグ付け) - このポートから送信されるすべてのトラフィックにVLANタグを割り当てます。Don't use VLAN tagging(VLANタグ付けを使用しない)に設定した場合、トラフィックはタグなしで送信されます。
- Connection Type(接続タイプ) - 必要な場合は、PPPoEを選択します。そうでない場合は、Direct(ダイレクト)のままにしておきます。
- IP assignment(割り当て) - インターフェースがISPから動的アドレスを取得する場合は、DHCPに設定します。そうでない場合は、Static(固定)に設定して、Address(アドレス)、Netmask(ネットマスク)、Gateway(ゲートウェイ)、およびDNS servers(DNSサーバー)を設定します。
WAN 2ポートが設定され、接続されたら、ダッシュボードのSecurity & SD-WAN(セキュリティ&SD-WAN) > Configure(設定) > SD-WAN & Traffic shaping(SD-WAN & トラフィックシェーピング)で追加のオプションを使用できます。
ロード バランシング
MXは、両方のアップリンクをロード バランシングに使用するように設定できます。Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > SD-WAN & Traffic shaping(SD-WAN & トラフィックシェーピング)でロード バランシングを有効にすると、トラフィック フローは2つのアップリンクに分散されます。負荷分散は、Uplink configuration(アップリンク設定)で設定されたWAN 1とWAN 2のスループットに基づき、スループットが高いアップリンクに、より多くのフローが分散されます。
下の例では、WAN 1は50Mb/sを通過させるように設定され、WAN 2は10Mb/sを通過させるように設定されています。ダウンロード速度比は5/1なので、WAN 1で5つのフローが送信されるごとに、WAN 2では1つのフローが送信されます。
詳しい説明については、リンク アグリゲーションとロード バランシングに関するドキュメンテーションを参照してください。
ロード バランシングが有効な状態での速度テスト
ネットワーク問題のトラブルシューティングの際、場合によってはインターネット上のサービスを使用してネットワーク スループット テストを実行しなければなりません。ロード バランシングが設定されたMX上のクライアント デバイスを使用してインターネット アップリンクの速度をテストするときには、複数のテストに対して単一のアップリンクしか使用されないことがあります。アップリンクのスループットが異なる場合、この動作により、インターネット速度テストで予期しない結果になるおそれがあります。この動作は、MXのロード バランシング アルゴリズムの機能です。
トラフィックは、送信元と宛先のIPアドレスおよびポートによって、インターネット インターフェースにマップされます。新しく開始されたIPトラフィックの送信元と宛先IPアドレスおよびポートが、既存のマッピングに一致した場合は、同じインターネット インターフェースで送信されます。 これは、接続中に送信元と宛先が同じままであることが必要な特定のフローの接続状態を保つために行われます。下の図では、速度テスト サイト宛てのホストA(192.168.1.2)のトラフィックはアップリンク1にマップされ、速度テスト サイト宛てのホストB(192.168.1.3)のトラフィックはアップリンク2にマップされています。 これらのマッピングが維持されている限り、ホストAの結果は常にアップリンク1の結果に一致し、ホストBの結果は常にアップリンク2の結果に一致します。
これらの各トラフィック マッピングは、マッピングに一致するトラフィックが3600秒間(1時間)なかった場合、期限切れになります。この期間は、マッピングに一致する新しいトラフィックが生成されるたびにリセットされます。一対のホスト間で頻繁に通信が行われると、マッピングが継続的に更新されるため、トラフィックは常に通信に1つのアップリンクを使うことになります。
多くの場合、MXに接続されているアップリンクのスループットは異なります。たとえば、1つのアップリンクは高速なMPLSネットワークにあるのに対して、もう1つは低速なDSL接続かもしれません。あるいは、アップストリームの問題が原因で特定のリンクで輻輳が発生する可能性もあります。インターネット ベースの速度テストを使用してアップリンクの速度をテストするときには、テスト中は1つのアップリンクのみを接続して、各アップリンクを個別にテストするのがベスト プラクティスです。これにより、前述したインターフェース プリファレンスの問題を回避して、アップリンクのスループットをより正確に測定できます。
ロード バランシングとSSL/TLS接続
SSLまたはTLSを使用して接続が確立されたときには、送信元のポートとIPアドレスの定期チェックが必要です。不一致が見つかった場合、接続は終了します。ロード バランシング シナリオによっては、トラフィックが複数のアップリンクで集約された場合に、このようになることがあります。
MXシリーズのリンク アグリゲーションは、1つのデータ ストリームを1つのアップリンクにペアリングすることによって、これを処理します。つまり、送信元と宛先の間でTCP接続が確立されると、ポートとIPアドレスのペアリングが1つのアップリンクにマップされます。これにより、ストリームが別のアップリンクに分散されて接続がリモート ホストによって終了されることを防ぎます。
1対1または1対多のNATでのロード バランシング
MXセキュリティ アプライアンスのロード バランシングは、両方のWANアップリンク間で接続をラウンドロビンすることによって、2つのアップリンク間のトラフィック負荷のバランスをとるように設計されています。一方、NATルールは、特定のパブリックIPを1つ以上の内部IPにマッピングして、内部デバイスのトラフィックが常にそのパブリックIPを使用するようにします。
2つの機能が組み合わせて使用されると、ロード バランシングにより、NATルールがある場合でも、アウトバウンド トラフィックはいずれかのインターフェースから送信されます。このため、NATルールで示された内部IPからのトラフィック送信問題が発生することがあります。
以下では、アップリンク プリファレンスを使用して、1対1のNATまたは1対多のNATのトラフィックが適切なインターフェースを使用するようにする方法を説明します。
- Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > SD-WAN & Traffic shaping(SD-WAN & トラフィック シェーピング)に移動します。
- Flow preferences(フローのプリファレンス)に移動し、Internet traffic(インターネット通信)セクションで、Add a preference(プリファレンスを追加)を選択します。
- 下に示されているルールのようなプリファレンスを設定します。この例では、192.168.128.252/32のLocal IP range(ローカルIP範囲)は1対1のNATルール内で参照される内部デバイスであり、Preferred uplink(優先アップリンク)は同じルール内でパブリックIP参照を使用するデバイスです。
-
Save changes(変更を保存)をクリックします。
注: 各NATルールについて、追加のアップリンク プリファレンスを設定する必要があります。1対多のNATルールの場合、各内部デバイスをアップリンク プリファレンスに含める必要があります。アップリンク プリファレンスのリストを単純化するために、単一のデバイスの代わりにLocal IP range(ローカルIP範囲)としてサブネットを指定できます。
フロー プリファレンス
デフォルトでは(ロード バランシングを使用しない場合には)、インターネット宛てのトラフィックはMXのプライマリ アップリンクから送信されます。トラフィックのタイプに基づいて(ポリシーベース ルーティング)、または各アップリンクのリンク品質に基づいて(パフォーマンスベース ルーティング)、特定のインターフェースからトラフィックを送信するようにMXを設定することもできます。フロー プリファレンスを設定して、特定のフローが使用するアップリンクを定義できます。 また、フロー プリファレンスは、ロード バランシングの決定より優先されます。
インターネット トラフィック
インターネット宛てトラフィックのフロー プリファレンスを設定して、送信元と宛先に基づいて、強制的に特定のアップリンクでトラフィックを送信することができます。これらのプリファレンスは、クラウドでホストされたサービス宛てのトラフィックなど、特定のタイプのトラフィックに対して特定のアップリンクを指定する必要がある場合に使用できます。
注: ICMPトラフィックは、トラフィック シェーピング ルールの対象ではありません。そのため、フロー プリファレンスがICMPトラフィックに対して影響することはありません。
インターネット トラフィックのフロー プリファレンスを作成するには、以下のようにします。
- ダッシュボードのSecurity & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > SD-WAN & Traffic shaping(SD-WAN & トラフィック シェーピング)に移動します。
- Flow preferences(フローのプリファレンス)に移動し、Internet traffic(インターネット通信)のAdd a preference(プリファレンスを追加)を選択します。
- 指定のアップリンクを割り当てるトラフィックを定義します。
- Protocol(プロトコル) - TCP、UDP、またはAny。
- Source(ソース) - CIDR表記の送信元IP。
- Src port(ソース ポート) - 送信元ポート、または「Any」。
- Destination(宛先) - CIDR表記の宛先IP。
- Dst port(宛先ポート) - 宛先ポートまたは「Any」。
- Preferred uplink(優先アップリンク) - このトラフィックが送信されるアップリンク。
- Save changes(変更を保存)をクリックします。.
VPNトラフィックとカスタム パフォーマンス クラス
Meraki AutoVPNトラフィックのフロー プリファレンスを設定して、トラフィックを優先アップリンクで送信できます。これらのプリファレンスを使用して、優先度の高いVPNトラフィックを常に最適なパスでトラバースできます。
注:VPNトラフィックのフロー プリファレンスはMeraki AutoVPNのみに影響し、Meraki以外のVPNピアには影響しません。
VPNトラフィックのフロー プリファレンスを作成するには、以下のようにします。
- ダッシュボードのSecurity & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > SD-WAN & Traffic shaping(SD-WAN & トラフィック シェーピング)に移動します。
- VPN traffic(VPNトラフィック)のAdd a preference(プリファレンスを追加)を選択します。
- Traffic filter(トラフィック フィルタ)で、優先アップリンクを割り当てるトラフィックを定義します。
- Protocol(プロトコル) - TCP、UDP、またはAny。
- Source/Port(ソース/ポート) - 送信元IP(CIDR表記を使用)とポート。
- Destination/Port(宛先/ポート) - 宛先IP(CIDR表記を使用)とポート。
- Policy(ポリシー) > Preferred uplink(優先アップリンク)で、このトラフィックに対してアップリンクを選択する方法を定義します。
- WAN 1/WAN 2 - Fail over if(次の条件でフェールオーバー)の条件が満たされるまで、トラフィックはこのアップリンクを使用します。
- Poor performance(パフォーマンスの低下) - パフォーマンスが指定されたPerformance class(パフォーマンス クラス)を満たさない場合、トラフィックは他のアップリンクにフェールオーバーします。このパフォーマンス クラスは、VoIPまたはカスタム クラス(下記参照)に設定できます。
- Uplink down(アップリンクがダウン) - このアップリンクがダウンした場合、トラフィックは他のアップリンクにフェールオーバーします。
- Best for VoIP(VoIPに最適) - トラフィックは、高品質なVoIP通信に最適なことが検出されたアップリンクを使用します。
- Load balance(ロード バランシング) - ロード バランシングが有効な場合、トラフィックは、定義されたPerformance class(パフォーマンス クラス)をサポートする任意のアップリンク間で分散されます。
- Global preference(グローバル設定) - トラフィックは、プライマリ アップリンクとして設定されているアップリンクを使用します。
- WAN 1/WAN 2 - Fail over if(次の条件でフェールオーバー)の条件が満たされるまで、トラフィックはこのアップリンクを使用します。
パフォーマンス クラスを作成して、最低限のパフォーマンス基準を定義することもできます。これらの基準が満たされない場合、トラフィックは代替アップリンクにルーティングされます。
カスタム パフォーマンス クラスを定義するには、以下のようにします。
- ダッシュボードのSecurity & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > SD-WAN & Traffic shaping(SD-WAN & トラフィック シェーピング)に移動します。
- Custom performance classes(カスタム パフォーマンス クラス)で、Create a new custom performance class(新規カスタム パフォーマンス クラスを作成)を選択します。
- このクラスの最低限のパフォーマンス基準を定義します。
- Name(名前) - クラスの、わかりやすい名前。
- Maximum latency(ms)(最大遅延(ミリ秒)) - このクラスで許容できる最大遅延(ミリ秒単位)。空白のままにして、遅延を無視することもできます。
- Maximum jitter(ms)(最大ジッター(ミリ秒)) - このクラスで許容できる最大ジッター(ミリ秒単位)。空白のままにして、ジッターを無視することもできます。
- Maximum loss(%)(最大損失(%))- このクラスで許容できる最大損失(損失トラフィックのパーセント)。空白のままにして、損失を無視することもできます。
- Save changes(変更を保存)をクリックします。