Skip to main content

 

Cisco Meraki Documentation

IPSec トンネル(非Meraki VPN) のトンネル冗長化

このドキュメントは原文を 2025年07月22日付けで翻訳したものです。
最新の情報は原文をご確認ください。

概要

プライマリおよびセカンダリのIPsecトンネルを作成して、リモートピアへの冗長接続を提供できます。ユースケースにはSASE、SSE、SWG、FWaaSなどがあります。

図: WAN1とWAN2の2回線を持つMXと、プライマリ/セカンダリのSSEハブ間のIPsecトンネル。WAN1上でプライマリとスタンバイのトンネルを確立し、WAN1でフェイルオーバー。WAN1リンク障害後にWAN2上のトンネルを確立。

前提条件

  • IKEv2設定
  • MXファームウェア19.1.4以降
  • MX 19.1.4以上をサポートするプラットフォーム

トンネル監視

プライマリとセカンダリのトンネル間でフェイルオーバーを有効にするには、トンネル監視が必要です。レイヤー 7ヘルスチェック(HTTPプローブ)による監視で、両トンネルのL3/L7接続性を追跡します。Meraki Secure SD-WANはヘルスチェック結果を基に、必要時に自動でセカンダリトンネルへのフェイルオーバーを行います。

レイヤー 7ヘルスチェックは、動的ルーティング(BGP)トンネルではサポートされません。レイヤー 7監視は静的ルーティングトンネルでのみ使用可能です。

レイヤー 7ヘルスチェックの設定

  1. 以下の画面で疎通性確認設定ボタンをクリックして設定を開始します。

サイト間VPN設定画面の非Merakiピアセクションで「Configure health check」ボタンを示す図。

  1. ヘルスチェックの名前とプローブ先エンドポイントを設定します。MXはこのホスト名をWAN側DNSで解決してHTTPプローブを実行し、トンネル接続性を監視します。

ヘルスチェック設定ウィンドウの図。パススルーモード下で指定したエンドポイントへ1つのヘルスチェックを設定可能。

  1. 設定したヘルスチェックをトンネルに適用します。既存のIPsecピアの「…」メニューをクリックして編集を選択し、サイドパネルのトンネル監視欄からヘルスチェックを選択して保存します。

IPsecピア編集時に表示される「Tunnel monitoring」オプションの図。

  • 設定済みのレイヤー 7ヘルスチェックとDirect Internet Accessへのフェイルオーバー設定は、セカンダリトンネルにも継承されます。
  • 1つのトンネルペア(プライマリ+セカンダリ)に対して1つのレイヤー 7ヘルスチェックのみ適用可能です。

インターネットへ直接フェイルオーバー(DIA: Direct Internet Access)を有効にすると、両トンネルがダウン時あるいは監視で障害判定された場合にインターネットアップリンクへのフェイルオーバー動作を制御できます。デフォルトではオフで、トンネル障害時にインターネットアップリンクへはリダイレクトしません。有効化するとローカルアップリンクへ迂回します。

トンネル監視設定後、セカンダリトンネルを追加できます。

セカンダリトンネルの作成

プライマリトンネルが障害時に冗長性を確保するためにセカンダリトンネルを設定します。

プライマリトンネル行の右側「…」メニューから追加を選択すると、セカンダリピアの設定サイドパネルが開きます。

セカンダリピア追加オプションを示す図。

  • IPsec上のBGP有効ピアにはセカンダリトンネルはサポートされません。

セカンダリピア設定はプライマリと同様です。プライマリピアノ設定を引き継ぎを使うとプライマリ設定を自動で継承し、IKEバージョン、ルーティング、プライベートサブネット、可用性設定などを読み取り専用で引き継げます。

「Inherit primary peer configurations」で設定を一括継承できるセカンダリ設定画面の図。

既存セカンダリピア情報の変更

ダッシュボード経由で設定可能な非MerakiIPsecピアの最大推奨数は1500です。

  1. プライマリピア名横の「>」矢印をクリックしてセカンダリ情報を展開。
  2. セカンダリピア行右の「…」メニューから編集を選択して変更。

プライマリ/セカンダリピアリストとセカンダリ編集ボタンを示す図。

トンネルフェイルオーバー判定

プライマリとセカンダリのトンネル間でフェイルオーバーが発生する条件:

  • トンネルは確立中(IPsec Phase 1/2 Up)だが疎通性確認に失敗した
  • トンネルがDown

MXは定期的に以下のポリシーを適用します:

  1. プライマリトンネルがUpならプライマリを使用
  2. プライマリがDownかつセカンダリがUpならセカンダリを使用
  3. 両方Downなら、DIA有効時はインターネットアップリンクへフォールバック

“Up”は直近プローブ成功(1xx/2xx/3xxHTTPステータス)を、“Down”は失敗(ICMP unreachable/TCP reset/4xx/5xx)またはタイムアウト(10秒後)を意味します。

フェイルオーバー後、エンドユーザー機器が接続を再確立するまで若干の遅延が発生する可能性があります。

フェイルオーバー時間

プローブ間隔 – 10秒
フェイルオーバー完了 – 約1~30秒

プローブ間隔・フェイルオーバー時間は現状変更できません。

プローブ送信元IP

監視プローブの送信元IPはデフォルトで192.0.2.3/32です。ダッシュボードからの変更は未サポート(19.x GA時に対応予定)。

VPNトンネルとヘルスチェック状態

セキュリティ & SD-WAN > 監視 > VPN ステータスIPsec VPNタブで各トンネル状況を確認できます。

VPNステータス 意味
Phase 1/2ともにUp
アンバー(橙) Phase 1 Up、Phase 2 Down
Phase 1/2ともにDown

ヘルスチェックの結果はイベントログに記録されます。専用カテゴリは19.x GA前に追加予定です。

トラブルシューティング

  1. IPsecトンネル状態 – トンネルがUpか確認
  2. ヘルスチェック状態 – プローブが成功しているか確認
  3. DNS解決 – エンドポイント名が解決可能か、汎用エンドポイントで確認
  4. リモートピア – IPsecトンネル自体をトラブルシュート