Meraki SD-WAN ハブの Secure Connect との統合

クラウドファブリックへのハブの登録

セキュアコネクト > サイト > サイト追加 ページを開くと、Merakiハブネットワークが、対象となるスポークデバイスと並んで表示されるようになりました。ハブをSecure Connectに接続するプロセスは、スポークネットワークを登録するために使用されるワークフローと同じです。接続するハブを選択し、標準の手順に従ってください。

SD-WANファブリックデバイス

MXハブがクラウドファブリックに登録されると、割り当てられたリージョンのクラウドハブとのみメッシュを形成します。 スポークモードとハブモードのルーティング動作は異なりますが、MerakiダッシュボードUIまたはMerakiサポートを通じて利用可能な内部システム制御を使用して、管理者によってさらにカスタマイズできます。詳細については、Meraki SD-WANドキュメントを参照してください。

2つのファブリックを持つ設計において役割を果たし、考慮すべき優先度関連のUI設定が2つあります。

1.    サイト間 VPN ハブの優先順位設定：
Secure Connect およびローカル Meraki SD-WAN ハブに接続されたスポークは、Secure Connect DC ハブよりも MX ハブが優先される場合があります。
この設定は、Secure Connect および Meraki SD-WAN ハブに登録されたスポーク サイト間（イースト-ウエスト通信）に影響します（ハブが Secure Connect に登録されているかどうかは問いません）。

2.    オーガナイゼーション全体のコンセントレータ ハブの優先順位設定：
Meraki SD-WAN ハブは、オーガナイゼーション全体のコンセントレータ設定を使用して、そのリージョンに登録されたすべてのハブに対し、クラウド ハブをプライマリとして優先します。
Secure Connect DC ハブは、リスト内でリージョンごとにグループ化したままにしてください。
そのリージョンに登録されているすべての MX ハブは、最上位のクラウド ハブをプライマリとして優先します。

初期設計

この機能が追加され、ハブが Sites に登録できるようになった当初の設計では、すべてのスポークがイースト-ウエスト通信に MX ハブ メッシュを使用する必要がありました。MX スポークは、Meraki ハブを最優先に設定し、その次に Secure Connect クラウドハブを設定していました。これにより、MX ハブのトンネルおよび関連するすべてのルートが、拠点間（ブランチ間）通信において優先されることが保証されていました。

下図を参照してください。Secure Connect に接続し、かつ Hub 1 への直接の AutoVPN 接続を持つスポーク（例：Spoke 1）は、MX Hub 1 への直接の AutoVPN パスを優先します。これにより、すべてのイースト-ウエスト通信は AutoVPN を経由して MX Hub 1 への直接パスを通るため、Secure Connect クラウドのセキュリティサービスによる検査は行われません。

以下のセクションでは、さまざまなタイプのスポークや登録済みハブを用いた新しい設計について説明します。異なるシナリオについてご相談がある場合は、Secure Connect サポートまでお問い合わせください。

ブランチ間接続におけるクラウドパスとMXパスの比較

MXハブが登録されると、スポーク間（S2S）およびスポークからハブへの（S2H）トラフィックには、クラウドパスとMXパスの2つの経路が利用可能になります。MXハブは、各地域のクラウドハブとトンネルおよびピアリングを形成します。ポリシー付きで学習したルートにより、遠隔拠点のユーザー(リモートワーカー)がハブ背後のリソースにアクセスできるようにすることも可能です。

初期設計では、S2SおよびS2HトラフィックにはMXパスの利用が必須であり、クラウドパスは主にインターネットアクセスやリモートワーカー向けのアプリケーションアクセスに使用されていました。ハイブリッドスポークでMXハブを最優先に設定することで、S2SおよびS2HトラフィックはMXパスを利用するよう誘導されていました。

新しい設計では、S2SおよびS2Hトラフィックがクラウドパスを利用できるようになり、異なる経路を使い分けることが可能です。クラウドスポークとハイブリッドスポークの両方に対応しており、後者はS2HトラフィックでMXパスを優先することもできます。

このソリューションは、新しい柔軟な設計をサポートするように強化されています。プラットフォームの最適化に関するセクションでは、すでに Secure Connect を利用しているオーガナイゼーションでクラウド中心の設計を有効にする方法について説明しています。

ハブ統合のための柔軟な設計

最適化されたプラットフォームにより、従来の制約が解消され、スポークおよびハブに対してさらなるシナリオが実現可能となります。クラウドスポークおよびハイブリッドスポークはクラウドパスを利用しますが、ハイブリッドスポークは優先順位リストにハブを設定することで、引き続き MX パスを活用することもできます。
下図は、さまざまな S2S、S2H、H2H シナリオで選択されるトラフィックパスを示しています。

新しいハブ統合設計では、以下のことが可能となります。

• すべての S2S トラフィックおよびクラウド S2H（クラウドスポークから登録済みハブへの）トラフィックにクラウドパスを利用
• ハイブリッドスポークでは、登録済みハブを優先リストに追加することで MX パスを利用可能
  クラウドグループと MX グループが同じネットワークへのルートをインストールしなくなったため、ハブグループ間で優先順位を設定する必要はありません。詳細は下記の「動作の変更」セクションをご参照ください。

地域ごとのプライマリデータセンター（クラウドハブ）の優先順位は、スポークとハブで異なる方法で制御されます：

• 各スポークごとに、追加したハブのリストを使用して制御します。たとえば、下図のようにパロアルトをロサンゼルスより優先することができます。Sites UI を使用する場合、両方のハブが自動的にリストに追加されます。MX ハブは Security & SDWAN > サイト間VPN ページから手動で追加します。
• オーガナイゼーション全体のコンセントレータ優先リスト内では、同じリージョン内のハブの順番を入れ替えることでプライマリを設定できます。

同じリージョンに登録されているスポークおよびハブは、それぞれ異なるプライマリクラウドハブを設定することができます。下記のコンセントレータ優先順位の例では、Spoke 1 と Hub 1 が異なるプライマリデータセンターを使用していることがわかります。同様に、Spoke 3 と Hub 2 も異なるプライマリを利用しています。クラウドハブの優先設定を行う際は、リージョンごとにペアリングする必要があります。

ハイブリッドスポークにおけるハブ優先順位の動作変更

新しい設計によるルーティングフットプリントの簡素化により、従来のスポーク SD-WAN 設定でよく使用されていた機能に変更が加えられました。従来の設計では、クラウドハブよりも上位に MX ハブをリストすることで、MX パスを確保していました。しかし、最適化されたルートセットでは、管理者が MX パスとクラウドパスの優先順位を設定する必要がなくなりました。クラウドはデフォルトルートのみをインストールするため、クラウドからインストールされる S2H ルートと、リストされた MX ハブがインストールするルートが競合することはありません。その結果、下記に示すいずれのグループ順でも、前述の通り同じトラフィックパターンとなります。

ハイブリッドスポークで単純に MX ハブをリストに追加するだけで、グループ間の優先順位設定に関係なく、そのプレフィックスへの経路として MX パスが優先されます。これも、スポーク側のルーティングフットプリントが簡素化された新しい設計によるものです。

ハブメッシュの有効化が必要

Meraki ハブは、オーガナイゼーション内でメッシュを形成できる必要があります。この機能はデフォルトで有効ですが、Meraki サポートの協力により無効化することも可能です。無効化されている場合、クラウドファブリックへのハブ登録が正しく機能せず、ルートの交換が行われません。メッシュの再有効化や代替案については、Secure Connect サポートへご相談ください。

Exit Hub はサポートされません

MX ハブを Exit Hub として利用することは Secure Connect ではサポートされていません。代わりに、登録済みハブはリモートルートオプションを利用して、クラウドファブリックへのデフォルトルートを有効にすることができます。

複数のデフォルトルートの有効化について

クラウドファブリックに登録された MX スポークは、常にクラウドハブからデフォルトルート（iBGP）を受信します。インターネットへのクラウドパスを維持するため、リストに登録された MX ハブで IPv4 デフォルトルート機能は有効化しないでください。下図の例では、スポークのハブ優先リストにおいて「Hub 4」がインターネット向けに利用されており、そのデフォルトルートがクラウドハブより高い優先順位となっています。

eBGP を構成したスポーク

オーガナイゼーションで Meraki MX スポークに eBGP を使用している場合は、初回のプラットフォーム最適化に関するサポートとの打ち合わせ時に、その旨を必ずお知らせください。スポークが外部ピアとルートを交換するために、クラウドハブからデフォルトルート以上のルート情報が必要となる場合があります。

Secure Connect 内にスポークがなくハブのみを持つオーガナイゼーション

すべての拠点をハブとして構成し、それらを Secure Connect に接続する場合、以下が Secure Connect における推奨事項およびサポートされている設計です。

• Secure Connect に接続されたすべてのハブは、デフォルトルートを受信しません。
  もし Secure Connect に接続されたハブで「インターネットアクセス」のユースケースがある場合は、各 MX ハブのリモートルート設定でデフォルトルートを有効にすることができます。

• これらのハブ間の拠点間接続（ブランチ間接続）は、常にハブ同士の Auto VPN メッシュ経由で行われ、トラフィックは Secure Connect を経由しません。ポリシー適用の一環として、この特定のユースケースに対しては Security & SD-WAN のセキュリティポリシーを選択し、ブランチ間通信のセキュリティを確保してください。

SD-WAN 用語集

本ドキュメントでは、2つの SD-WAN ファブリックタイプ内でデバイスおよびトラフィックパスを表すために、以下の特別な用語を使用しています。

• クラウドファブリック
  Secure Connect でのクラウドハブのトランスポートを指します。ドキュメント内では「クラウドパス」または「クラウドトランスポート」とも記載されます。

  • クラウドスポーク
    Secure Connect クラウドファブリックのみに接続された Meraki MX スポーク。

    
    • クラウドハブ: クラウドトランスポートを提供し、CPSC-HUB プラットフォームタイプとして指定される Secure Connect 拡張ヘッドエンド。Sites UI でサイトを登録すると、そのリージョンのクラウドハブがトンネルを確立し、登録済みサイトとルートを交換します。
      
• MX ファブリック : MX ハブと従来の Meraki SD-WAN トンネルおよびルートを使用した MX トランスポートを指します。ドキュメント内では「MX パス」または「MX トランスポート」とも記載されます。
  • ローカルスポーク: クラウドファブリックに登録されていないローカルハブのみをリストに追加して MX ファブリックのみに登録された MX（スポークモード）。下記例の Hub 3 は Secure Connect に登録されていません。
    
  • ローカルハブ: スポークの優先リストに表示されるハブモードの MX
    
• 両ファブリックに存在するデバイス(Devices in both Fabrics): クラウドファブリックに登録された MX デバイスおよび、ローカルまたは登録済みハブを優先リストに追加したスポーク。
  • ハイブリッドスポーク: トラフィックの転送にクラウドファブリックと MX ファブリックの両方を利用する MX スポークデバイス。ローカルスポークがクラウドファブリックに登録されると、システムはデフォルトでクラウドハブをリスト上位に追加します。必要に応じて、UI で MX パスグループを最上位に設定し直すことも可能です。下記の新しい設計では、順序の変更は不要となっています。
    
  • 登録済みハブ(Enrolled Hubs): クラウドファブリックに登録され、そのリージョンの CPSC ペアとハブ間ピアリングを行う MX ハブ。MX ハブは引き続き、オーガナイゼーション内の他のハブ（ローカル・登録済み両方）ともメッシュを形成します。
    
• トラフィックパス:
  • スポーク間（S2S）：MX ハブまたはクラウドハブ経由（MXパスまたはクラウドパス）でスポーク間を接続するイースト-ウエスト トラフィックパス
  • スポーク-ハブ間（S2H）：スポークとハブ間のイースト-ウエスト トラフィックパス