Skip to main content

 

Cisco Meraki Documentation

IPsec VPN 越しの BGP ルーティング

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年09月17日付けで翻訳したものです。
最新の情報は原文をご確認ください。 

IPsec VPN 越しの BGP ルーティング

Meraki セキュリティ アプライアンスで、IPsec VPN トンネル越しの BGP ピアリングを有効化できます。これにより、IPsec VPN ピア間の回復性と冗長性を有効化できることに加えて、Auto VPN と IPsec VPN ピア間のルーティングなど、新しい動的ルーティングのソリューションが可能になります。 

前提条件

  • IKEv2 の設定が必要です。

  • MX 19.1.4 以降のリリースである必要があります。

  • MX および MX 19.1 以降のファームウェアをサポートする Z4/C プラットフォームが必要です。

  • BGP - VPN ファイアウォールで TCP ポート 179 を許可してください。

  • BGP を有効にしてください。

  • BGP ネイバーで BGP マルチホップを有効にしてください。

  • IPsec VPN ピアがルートベース VPN をサポートしている必要があります。

  • テンプレート ネットワークでは BGP はサポートされないため、非テンプレート ネットワークである必要があります。

IPsec 越しの eBGP の設定

IPsec VPN ピアを追加すると、[ルーティング] で 静的動的 を選択できます。動的 を選択すると、次の設定オプションが表示されます。

  1. ルーティング – 動的 (BGP)
     

  2. ネットワーク – 設定したい Meraki SD-WAN ネットワーク名を選択します。このフィールドは、動的ルーティング ピアの可用性タグを置き換えます。
     

  3. IPsec サブネット – eBGP ピアリングに必要で使用される /30 の IPsec サブネットです。

     

  4. BGP 送信元 IP – Meraki SD-WAN デバイスが BGP ピアリングに使用するローカルの BGP IP です。この IP は上記で設定した /30 の IPsec サブネット内である必要があります。
     

  5. BGP ネイバー IP – リモート ピアの BGP IP です。この IP は上記で設定した /30 の IPsec サブネット内である必要があります。
     

  6. リモート AS – リモート ピアの ASN です。
     

  7. Weight - BGP 属性 (0~49) です。Weight は MX デバイスにのみローカルで、インバウンド ルートの優先度を操作するために使用します。値が大きいほど優先されるパスになります。
     

  8. パス プリペンディング - リモート ピアの経路選択を操作するために使用します。短い AS パスは長い AS パスよりも優先されます。リモート ピアがブランチへ到達する 2 つのパスを持つ場合、AS パスによりリモート サイトがブランチに到達する際の経路を影響させることができます。
     

  9. マルチエグジット ディスクリミネータ (MED) - リモート ピアの経路選択を操作するために使用します。より低い MED がより高い MED よりも優先されます。リモート ピアがブランチへ到達する 2 つのパスを持つ場合、MED によりリモート サイトがブランチに到達する際の経路を影響させることができます。

     

  10. マルチホップ - これは既定で有効になっており、必須で、IPsec VPN 越しのピアリングに必要です。

     

  11. ホールド タイマー - 既定ではホールド タイマーは 240 秒に設定されています。このタイマーは BGP ピア間でネゴシエートされ、2 つのうち小さい値が両方のピアで使用されます。

     

  12. BGP 設定は、MX アプライアンスとの BGP ネイバー ピアリングを構成するために使用します。

Screenshot 2024-08-20 at 12.40.59 PM.png

BGP ピアは セキュリティ & SD-WAN > ルーティング ページでグレーアウトして表示され、ピアは サイト間 VPN ページから削除した場合にのみ削除できます。

Screenshot 2024-08-28 at 11.38.03 AM.png

接続の検証

eBGP のピア関係が確立される前に IPsec トンネルが確立されます。そのため、BGP ネイバー関係を検証するには、まず IPsec トンネルがアップしていることを確認してください。セキュリティ & SD-WAN > VPN ステータス – 非 Meraki VPN タブに移動して確認できます。  

ここで IPsec トンネルのステータスを確認できます。

VPN ステータス インジケータ

意味

緑 

フェーズ 1 とフェーズ 2 はアップです。 

フェーズ 1 はアップですが、フェーズ 2 はダウンです。 

フェーズ 1 とフェーズ 2 はどちらもダウンです。 

緑のインジケータは IPsec トンネルがアップしていることを意味します。

ダイナミック プロトコル ステータス ページに移動して、リモート ピアとの eBGP ピアリングがアップしているかを確認します。ピア ステータスが Established の場合、BGP ネイバー関係がアクティブであることを示します。“Routes” 列には、BGP ネイバーから学習したルート数が表示されます。

Screenshot 2024-08-29 at 9.43.54 AM.png

学習した具体的なルートは セキュリティ & SD-WAN > 監視 > ルート テーブル ページで確認できます。

パススルー MX デバイスで設定された静的ローカル ルートは、IPsec 越しの eBGP ピアへはエクスポートされません。

  1. Back to top
  • Was this article helpful?

Recommended articles

  1. Article type
    Topic
  2. Tags
    1. Auto VPN
    2. BGP
    3. MX
    4. non-meraki VPN
    5. サイト間VPN
    6. 日本語