Skip to main content

 

Cisco Meraki Documentation

データセンター冗長化(DC-DC Failover) 設定ガイド

  1. Last updated
  2. Save as PDF

こちらは英語版のドキュメントを翻訳、一部内容を追加したものです。

記載内容に矛盾や不一致がある場合には英語版のドキュメントが優先されます。

概要

Cisco Meraki のデータセンター冗長化(DC-DC フェイルオーバー)機能は、AutoVPN を介して送信されるネットワーク トラフィックを、地理的に分散した複数のデータセンター間でフェイルオーバーできるようにするものです。 このガイドでは、DC-DC フェイルオーバー機能のさまざまなコンポーネントと、DC-DC フェイルオーバー アーキテクチャを展開するための方法を紹介します。

キーコンセプト

DC-DC フェイルオーバーを設定する上で理解しておくべき用語について紹介します。

コンセントレーターモード

すべてのMXは、NATまたはVPNコンセントレータモードのいずれかで構成することができます。どちらのモードでも重要な考慮事項があります。コンセントレーターモードの詳細については、こちらをご覧ください。

One-Armed コンセントレーター

このモードでは、MXは WAN 側への単一イーサネット接続のみで構成されます。すべてのトラフィックは、このインターフェースで送受信されます。データセンターへのVPN終端点としてMXアプライアンスを利用する場合に推奨される構成です。

NAT モードコンセントレーター

このモードでは、MXは WANへの1つのイーサネット接続とLANへの1つのイーサネット接続で構成されます。VPNトラフィックは、MXのWANインターフェースで送受信され、復号化され、カプセル化されていないトラフィックは、MXのLANインターフェースで送受信されます。

VPN トポロジー

VPN の構築方法について以下のようなオプションがあります。

スプリットトンネル(Split Tunnel)

この構成では、地方拠点のMXは、同じオーガナイゼーション内の他の MX から Auto VPN を介して通知されたサブネット宛てのトラフィックのみをAuto VPN 経由で送信します。残りのトラフィックは、静的ルートやサードパーティ製 VPN ルートなど、利用可能な他のルートと照合されます。一致しない場合、地方拠点のMX の WAN 側にNATされて送信されます。

フルトンネル(Full Tunnel)

フルトンネル・モードでは、地方拠点やリモートオフィスのMXが静的ルートなど、Auto VPn以外で利用可能なルート以外のすべてのトラフィックはVPNハブに送信されます。

ハブとスポーク (Hub and Spoke)

ハブ&スポーク構成では、地方拠点やリモートオフィスのMX(スポーク)は、特定のMX(ハブ)に直接接続し、オーガナイゼーション内の他のMXまたはZ1デバイスとのVPNトンネルを形成することはありません。地方拠点やリモートオフィス間の通信は、VPNハブを介して行われます。

VPN メッシュ

メッシュ構成では、地方拠点やリモートオフィスのMXは、オーガナイゼーション内の他のMX(メッシュモード)、およびハブとして使用するように構成されたスポークMXに直接接続するように構成されます。

アーキテクチャ・構成

DC-DC フェイルオーバーで利用できる構成は以下のとおりです。

  • 各DCにワンアームドVPNコンセントレーターあるいはNATモードコンセントレーターを設置
  • 2 つ以上のコンセントレーターからサブネットや経路情報を通知
  • ハブ&スポークあるいはVPNメッシュトポロジー
  • スプリットあるいはフルトンネル
サポートされる構成

スプリットトンネル

フルトンネル
NATモードコンセントレーター ワンアームドコンセントレーター NATモードコンセントレーター ワンアームドコンセントレーター
ハブ&スポーク
VPN  メッシュ

実際の動作

1台以上のMXをVPNコン セントレータとして追加のデータセンターに配備することで、重要なネットワークサービスの冗長性を高めることができます。デュアルまたはマルチデータセンター構成では、同一のサブネットが各データセンターからVPNコンセントレータモードのMXを経由して広報されます。 
 
DC-DCフェイルオーバー設計では、リモート拠点のMXはすべてのVPNハブにVPNトンネルを形成します。特定のハブ固有のサブネットについては、そのハブに直接ルーティングされます。複数のハブから同じサブネットが広報された場合、スポークサイトは、到達可能な最も優先度の高いハブにトラフィックを送信します。


MXが、同じサブネットを広告している複数のVPNコンセントレータに接続するように構成されている場合、それらのサブネットへの経路が追跡されるようになります。リモートサイトからVPNハブへHelloメッセージが定期的に送信され、接続性が監視されます。最も優先度の高いハブへのトンネルがダウンした場合、そのルートはルートテーブルから削除され、到達可能な次に優先度の高いハブにトラフィックがルーティングされます。

このルートフェイルオーバー操作は、複数の AutoVPN ハブから同一のルート(サブネット)が広報されている場合にのみ適用されます。

データセンター間のフェイルオーバーは、リモートサイトとデータセンター間の接続が失われた後、通常20秒から30秒で完了します。  BGPを使用する場合は、iBGPのホールドタイマーにより、フェイルオーバー時間は変動します。

データセンターにおける展開

DC-DC フェイルオーバーはワンアームドコンセントレーター、NATモードコンセントレーターのいずれでも各データセンターに展開できます。

ワンアームドコンセントレーターの設定

Cisco Meraki MXは、各データセンターでVPNコンセントレータとしてプロビジョニングすることができます。このセクションでは、ワンアームコンセントレータの設定の簡単な概要を説明し、特に考慮すべき事項について説明します。ワンアームコンセントレータの設定に関するより詳細な手順については、こちらをご参照ください。

トポロジーの例

下記の図はワンアームド VPN コンセントレーターを用いたハブ & スポーク構成のサンプルです。

Diagram of two MXs in different Datacenters configured as Primary/Secondary Hubs connecting to the same spokes advertising the same routes

IP アドレスの割当

データセンターでは、MX は、静的IPアドレスまたはDHCPからのアドレスを使用できます。 デフォルトでは DHCPアドレスの取得を試みますが VPNコンセントレータには静的IPアドレスを割り当てることを強くお勧めします。

IPアドレスを静的に設定するにはローカルステータスページへアクセスします。

動作モードの設定

まずは MX を VPN コンセントレーターモードで動作するように設定します。セキュリティアプライアンス > アドレス & VLAN  > モードで "パススルーまたはVPNコンセントレータ" を選択します。デフォルトではルーティンモードが選択されています。

Screenshot of configuring an MX in Passthrough Mode on the Cisco Meraki Dashboard

サイト間VPNの設定

次に VPN コンセントレータのアップリンク経由でアクセス可能なローカルネットワークの設定を行います。

まず、タイプを "ハブ(メッシュ)" に設定し、次にローカルネットワークで Auto VPN で他のピアへ広報するサブネット(CIDR形式) と名前を設定します。NAT トラバーサルの設定は自動あるいは手動を選択可能です。以下は設定例を示したスクリーンショットです。

   Screenshot of configuring an MX as a Hub and selecting the local networks for VPN participation

NATモードコンセントレーターとして設定する

リモート拠点が接続する各データセンターに、Cisco Meraki MXを VPN コンセントレータとして設置することができます。このセクションでは、NAT モードコンセントレータの設定の簡単な概要と、展開時考慮すべき事項について説明します。 NATモードコンセントレータの設定に関するより詳細な手順については、この記事を参照してください。

トポロジーの例

以下の図はハブ&スポーク構成で NAT モードVPNコンセントレーターを設置した場合の例です。

Diagram of Primary/Secondary AutoVPN Hubs configured in Routed Mode

IP アドレスの割当

MXは、静的IPアドレスまたはDHCPからのアドレスを使用して接続できます。 (デフォルトではDHCPアドレスの取得を試みます。)

VPNコン セントレータには、静的IPアドレスを割り当てることを強くお勧めします。

静的IPの割り当ては、デバイスのローカルステータスページで設定できます。

動作モードの設定

まずは MX をNATモードで動作するように設定します。セキュリティアプライアンス > アドレス & VLAN  > モードで "ルーティングモード" を選択します。デフォルトではルーティンモードが選択されています。

Addressing and VLANs showing Routed Mode selection

静的ルートの設定

NATモード MX で DC-DC フェイルオーバーを実現する場合、2 つ以上の NAT モードコンセントレーターから冗長化された静的ルートが Auto VPN トポロジーを通じて広報される必要があります。Auto VPN トポロジーへ広報されたローカル VLAN はすべて一意であることが必須です。

静的ルートの設定は セキュリティアプライアンス > アドレス & VLAN  から行います。

"スタティックルートを追加" をクリックし、設定メニューを開きます。

Section for configuring static routes 

 

設定メニューでは、名前、サブネット、ネクストホップ IP、アクティブ設定、VPN参加の設定を定義します。

Static Route configuration showing VPN mode as enabled

 

"VPN モード"サイト間VPNが既に有効になっている場合のみ表示されます。 

VPN モードを"有効"に設定することで Auto VPN トポロジーへ広報できるようになります。

静的ルートの設定に関する詳しい情報はこちらのドキュメントを参照してください。

サイト間VPNの設定

次に、サイト間VPNを有効にし、VPNで許可する静的ルートを設定します。

まず、タイプを「ハブ(メッシュ)」に設定します。 そして、ローカルネットワークの設定では、AutoVPN のピアに広報するサブネットについて、VPN モード を "有効"に設定します。 NAT トラバーサルは、自動または手動のいずれかに設定します。 以下にスクリーンショットの例を示します。

Site to Site VPN section showing MX hub configuration with automatic NAT traversal set

 

データセンターの追加

上記と同じ手順で、1つまたは複数の追加データセンターに追加のワンアームまたはNATモードコンセントレータを設置することも可能です。

特定のデータセンター・リソースへの冗長アクセスを提供するには、追加の各データセンターのローカル・ネットワークにサブネットを定義し、そのサブネットへのアクセスを提供できる各コンセントレータでVPNを使用することを許可する必要があります。

コンセントレーターの優先度

オーガナイゼーション内に複数のVPNハブを設定した場合、コンセントレーターの優先度を設定できます。この設定により、VPNピアは複数のVPNコンセントレータから広報されたサブネットへ接続する際の優先順位を決定します。

この設定は、VPNスポークとして構成されたリモート拠点には適用されません。

データセンターにおけるその他の考慮事項

上記の導入手順に加えて、ウォームスペア構成や OSPF によるルート広報について考慮する必要があります。

ウォームスペア

ウォームスペア構成では、1つのデータセンターで2台のMX VPN コンセントレータを使用し、1台の MX をスタンバイ機として使用することで高可用性を維持できます。MXウォームスペア構成の詳細については、こちらを参照してください。

OSPF によるルート広報

NATモードVPNコンセントレーターとして動作するMX VPNコンセントレーターは、OSPFルート広報を利用して、より簡単にAutoVPNサブネットをデータセンターにブリッジすることができます。OSPFルート広報についての詳細は、こちらをご覧ください。

これは、コンセントレータでVLANが無効化されている場合のみ利用可能です。

 

リモート拠点の設定

このセクションではリモート拠点における DC-DC フェイルオーバーの実装および設定について説明します。

前提条件 

Auto VPN を設定、構築する前に今一度前述の設定手順等についてご確認ください。

WAN インターフェースの設定 

DHCPによる自動アップリンク設定で十分であることが大半ですが、リモート拠点でMXに対して固定IPを設定する必要がある場合、こちらを参照しローカルステータスページから設定してください。

MX の一部の機種では、専用のインターネットポートが1つのみ用意されています。そのような機種で 2つ目のアップリンクが必要な場合は、デバイスのローカルステータスページから LANポート を2つ目のインターネットポートとして設定できます。設定方法は前述のリンクから確認してください。

サブネットの設定

AutoVPN では、数回のクリックで AutoVPN トポロジーにサブネットを追加したり削除したりすることができます。サイト間 VPN の設定を進める前に、適切なサブネットを設定する必要があります。

アドレス & VLAN ページで、リモート拠点で使用するサブネットを設定します。リモート拠点のMXでは、単一のLANのみを使用するように設定することも、複数のVLANを使用するように設定することも可能です。VPN で広報するサブネットをを個別に設定することもできます。

 

Configuring Spoke LAN settings under Addressing and VLANs

VLAN を使用しない状態でローカルサブネットを設定するには、ルーティング > LAN 構成 に表示されているデフォルトのサブネットをクリックして編集します。

VLAN を設定するには LAN 設定で "VLAN" をクリックし、”VLANを追加" をクリックします。VLAN 名、VLAN ID、MX IP, サブネットなどを設定します。

Configuring a VLAN under Addressing and VLANs

A list of subnets visible under the Addressing and VLANs section

サブネットやVLAN、静的ルートの設定に関する詳しい情報はこちらを参照してください。

Auto VPNの設定

サブネットを設定後、セキュリティ & SD-WAN > サイト間VPN で Auto VPN の設定ができるようになります。

ハブ & スポーク構成の設定 
  1. "タイプ" で "スポーク" を選択
  2. ”ハブ”で "ハブを追加" をクリック
  3. 設定済みのハブを複数追加する場合は”ハブを追加”の操作を繰り返す

 

Configuring an MX as Spoke under Site to Site VPN settings

ハブの優先度 

ハブの優先順位は、"ハブ"一覧の上から下の順番で優先的に接続されます。一覧で最も上にあるハブが最も高い優先度を持ち、2番目のハブは2番目に高い優先度を持ち、といった具合です。複数のハブから広報された同一サブネット宛のトラフィックは、スポークとのVPN接続が確立されている最も優先度の高いハブに送信されます。 1つのハブのみから広報されたサブネットへのトラフィックは、そのハブに直接送信されます。

DC-DC フェイルオーバーを活用するには、AutoVPN トポロジー上に同一サブネットを広報するハブが少なくとも2つ必要です (スプリットトンネルの場合) 。
フルトンネルの場合は "デフォルトルート"のチェックボックスにチェックが入っているハブが少なくとも 2 つ必要です。

スプリット/フルトンネル VPN接続の設定

特定のハブに対してフルトンネル 接続を行うには 対象のハブの"デフォルトルート" にチェックをいれます。

スプリットトンネル接続を行う場合には、"デフォルトルート" のチェックは不要です。

DC-DCフェイルオーバーは、スプリットトンネル、フルトンネル、両者の併用いずれでも動作します。リモート拠点がVPNハブにフルトンネルあるいはスプリットトンネルで接続する混合構成では、冗長性は2つ以上のハブから同一サブネットを広報されている場合にのみ確保されることに注意してください。

サイト間VPN で広報するネットワークの設定 

Auto VPN を通じて広報するサブネット(ネットワーク)は 、サイト間 VPN の設定にある ”ローカルネットワーク" セクションで指定できます。ローカルネットワークセクションには、設定済みのサブネットや静的ルートおよびクライアントVPN のサブネットが表示されています。

”VPN mode" を有効にすると対象のネットワークは Auto VPN によってピアに広報されます。

NATトラバーサルの設定 

NAT トラバーサルの設定についてはこちらのドキュメントを参照してください。

VPN メッシュの設定

サイト間 VPN の設定にて "ハブ" を選択すると、オーガナイゼーション内に存在するすべてのハブ、およびスポークに対して VPN トンネルを確立します。

Configuring an MX as a Hub under the Site to Site VPN settings

 

 

スプリット/フルトンネル接続の設定

特定のハブに対しフルトンネル接続を行うには "出口ハブ" の設定から "ハブを追加" をクリックして対象のハブを選択します。複数の出口ハブを設定できます。

Configuring an MX as a Hub under the Site to Site VPN settings with add exit hub highlighted

スプリットトンネル接続はリモート拠点のネットワークから出口ハブに指定されていないハブに対して実行できます。

サイト間VPN で広報するネットワークの設定 

Auto VPN を通じて広報するサブネット(ネットワーク)は 、サイト間 VPN の設定にある ”ローカルネットワーク" セクションで指定できます。ローカルネットワークセクションには、設定済みのサブネットや静的ルートおよびクライアントVPN のサブネットが表示されています。

”VPN mode" を有効にすると対象のネットワークは Auto VPN によってピアに広報されます。

ハブの優先度 

VPN メッシュ構成では”コンセントレータの優先順位" および "出口ハブ"  の中から上から下の順番で優先度が高くなります。

コンセントレーターの優先順位はオーガナイゼーション全体の設定であり、ハブ間のスプリットトンネル接続時の優先度にも適用されます。

 

Concentrator priority settings

 

出口ハブ の設定は各ネットワーク固有のものでハブ間のフルトンネル接続に適用されます。出口ハブが設定されている場合、リモート拠点はルートテーブルによって定義されていないトラフィックを指定した出口ハブへルーティングします。

 

Exit Hub priority settings section

 

いずれの場合も、リストの中で1番上にあるハブが最も高い優先度を持ち、2番目のハブが2番目に高い優先度を持ちます。(以下同様)複数のハブから広報されたサブネット宛のトラフィックは、その時点でVPN接続が確立されている最も優先度の高いハブに送信されます。 1つのハブからのみ広報されたサブネットへのトラフィックは、そのハブに直接送信されます。

DC-DC フェイルオーバーを活用するには、リモート拠点ネットワークにおいて、サイト間 VPN ページ上 で同一サブネットを広報するハブ(スプリットトンネル)か、出口ハブとして設定されたハブのいずれかが 2 台以上設定されている必要があります。

NATトラバーサルの設定 

NAT トラバーサルの設定についてはこちらのドキュメントを参照してください。

ルーティング上の注意事項

MX は、ダッシュボード上でネットワークの設定から構築されたルーティングテーブルに基づいて、トラフィックの転送先を決定します。MXは宛先IPアドレスに対してルーティングテーブル上で最も一致する経路に優先してトラフィックを転送します。 

MXのルーティング動作の詳細については、こちらの記事を参照してください。

ネットワーク環境によってはハブ間通信でループが発生する場合があります。そのような場合はハブ間での経路交換を停止することで回避できる可能性があります。ご希望の方は Cisco Meraki テクニカルサポートまでご相談ください。

  1. Back to top
  • Was this article helpful?

Recommended articles

  1. Article type
    Topic
  2. Tags
    This page has no tags.