Skip to main content

 

Cisco Meraki Documentation

設定テンプレートを MX で使用する際のベストプラクティス

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年09月05日付けで翻訳したものです。
最新の情報は原文をご確認ください。

ネットワーク導入が複数のサイトにまたがる規模に拡大すると、個々のデバイスの管理は非常に煩雑になり、不要となる場合があります。これらの運用コストを軽減するために、Meraki WAN アプライアンスはテンプレートを活用して新規サイト展開を迅速にローンチし、変更を一括で適用できるようにします。

このガイドでは、ダッシュボードで WAN アプライアンス テンプレートを作成して使用する方法を説明します。

なお、API によるネットワーク管理に大きく依存するサービス プロバイダや導入では、テンプレートの代わりにネットワークのクローン作成を検討することを推奨します。現時点では、クローン作成用に利用できる API の方が、テンプレート用に利用できる API よりもきめ細かな制御が可能だからです。

WAN アプライアンス向けテンプレート展開の計画

テンプレート展開を開始する前(または本番ネットワークでテンプレートを有効化する前)に、導入を構成する「単位」を計画しておくと有用です。次のような質問を検討します。

  • 展開するサイトはどのような環境?(例: 小売店舗、学校、支社など)

  • WAN アプライアンスは 冗長構成(ウォームスペア)にする?。

  • 各拠点に合わせた設定の上書きは必要?

テンプレート ネットワーク

ネットワーク導入の用語でいう「サイト」は、ダッシュボードの用語でいう「ネットワーク」と通常は同義であり、各サイトは独自のダッシュボード ネットワークを持ちます。そのため、同一の方法で構成する複数サイトを計画する場合は、テンプレート ネットワークを共有します。

テンプレート ネットワークとは、複数のサイト/ネットワークで共有されるネットワーク構成です。各サイト ネットワークはテンプレート ネットワークにバインドでき、テンプレートへの変更はバインド済みのすべてのサイトに反映されます。テンプレートに基づいて新しいネットワークを作成することもでき、同種の新規サイトを容易に立ち上げることができます。

テンプレート展開を計画する際は、サイトの種類ごとに 1 つのテンプレート ネットワークを用意する必要があります。

構成

以下のセクションでは、ダッシュボードで WAN アプライアンス テンプレートを構成・使用する手順を説明します。

テンプレート ネットワークの作成

前述のとおり、展開するサイトの種類ごとにテンプレート ネットワークを作成します。

テンプレート ネットワークを作成する手順は次のとおりです。

  1. ダッシュボードで オーガナイゼーション > 監視 > 設定テンプレートに移動します。

  2. 新規テンプレートを作成 を選択します。

  3. テンプレートのわかりやすい名前を選択します。完全に新しいテンプレートの場合は 新規作成 を選択します。

    • このテンプレートを既存のネットワークに基づかせる場合は、設定をコピー を選択し、ドロップダウン メニューから既存の Security アプライアンス ネットワークを選択します。

  4. 追加 を選択します。

 

MX Template.png

 

  1. 既存のネットワークをこの新しいテンプレートにバインドする場合は、それらのネットワークを 対象ネットワーク として選択し、バインド を選択します。そうでない場合は 閉じる を選択します。

テンプレート VLAN の構成

  1. ダッシュボードで セキュリティ & SD-WAN > 設定 > アドレス & VLAN に移動します。

  2. ルーティング  セクションの LAN 設定  サブセクションで VLAN をクリックします。

  3. サブネット  サブセクションで VLAN 追加 を選択します。

  4. VLAN のわかりやすい名前を選択します。

  5. このテンプレートにバインドされる各ネットワークのサブネットを同一 または 独自 にするかを選択します。

    • 同一 を選択した場合、テンプレートにバインドされたすべてのネットワークはまったく同じサブネットを共有します。これはサイト間 VPN の対象にはなりません。

    • 独自 を選択した場合、テンプレートにバインドされた各ネットワークは、設定したオプションに基づいて一意のサブネットを割り当てられます。MX はテンプレートでのローカル VLAN オーバーライドを許可しますが、選択するサブネットはテンプレート上のその VLAN に割り当てられた同じサブネット プールから選ぶ必要があり、VLAN ID はオーバーライドできません。 

      • サブネットは、テンプレートにバインドされた各ネットワークにランダムに割り当てられます。

 

Template-VLAN1.png           Template-VLAN2.png

 

テンプレートの IP 範囲による VLAN 割り当ての詳細については、構成テンプレートで複数ネットワークを管理する方法の記事を参照してください。

テンプレートでの静的ルート

 

テンプレート ベースの WAN アプライアンス導入では、静的ルートを親テンプレート上で構成し、他の構成パラメータと同様に子ネットワークへ反映できます。テンプレート ベースの静的ルートの構成手順は、通常のネットワークでの手順とほぼ同じですが、ネクストホップ値がネットワーク固有になり得るため、ネクストホップ IP アドレスの定義方法のみ異なります。

  1. ダッシュボードで セキュリティ & SD-WAN > 設定 > アドレス & VLAN > ルーティング > スタティックルート に移動します。

  2. スタティックルートを追加 を選択します。

  • 名前

    • 静的ルートのテキストによる説明(解析されません)

      • 例: prodWirelessNet

  • サブネット

    • 静的ルート経由で到達可能なサブネットを CIDR 表記で指定します。

      • 例: 10.0.10.0/24  

  • ネクストホップ IP

    • 次ホップ IP は、このルートに対して WAN アプライアンスを接続するデバイスの IP アドレスです。テンプレート ベースのネットワークでネクストホップ値を指定する方法は 2 つあります。 

      • オプション A: IP 

        • ネクストホップ値を手動で定義します。

        • 必要な情報: 

          • 次ホップ IP アドレス

      • オプション B: IP オフセット

        • 指定した VLAN のネットワーク アドレスに基づいて、次ホップ IP を計算します。 

          • 注: 次ホップ IP は ネットワークアドレス + オフセット + オフセット として計算され、VLAN インターフェース IP + オフセットではありません。

        • IP オフセットのパラメータ: 

          • ドロップダウンから目的の VLAN を選択します。

          • オフセット値(正の整数)。 

        • 例:

          • 構成された VLAN: 10.0.254.0/30

          • VLAN インターフェース IP: 10.0.254.1

          • オフセット: 2 

          • 計算されたルートの次ホップ IP: 10.0.254.2

  • アクティブ

    • アクティブ 修飾子は、WAN アプライアンスがそのルートを使用可能と見なし、ローカル ルーティング テーブルに追加するために満たすべき条件を制御します。 

      • 常時: 

        • このルートは常に WAN アプライアンスのルーティング テーブルでアクティブです。 

      • ネクストホップが ping に応答する限り

        • 設定したネクストホップが ping に応答している限り、ルートは有効です。

      • 対象ホストが ping に応答する限り:

        • 設定したホストが ping に応答している限り、ルートは有効です。

 

clipboard_eed56767ebddbf20e95e7e49ba9ad35cd.png

テンプレート ファイアウォール ルール

レイヤ 3 ファイアウォール ルールを構成する際は、CIDR 表記、VLAN オブジェクト、ネットワーク オブジェクトを使用できます。サブネット全体を指定する必要がある場合は VLAN オブジェクトを使用し、柔軟にサブネットを指定したい場合は CIDR 表記を使用します。

 

  1. セキュリティ & SD-WAN > 設定 > ファイアウォール > レイヤ 3 に移動し、新規追加 をクリックします。

  2. ポリシーを選択し、条件に一致したトラフィックを許可(Allow)するか拒否(Deny)するかを指定します。

  3. アウトバウンド トラフィックで一致させるプロトコルを選択します。

  4. アウトバウンド トラフィックに一致させる IP アドレスまたは範囲を CIDR 表記で指定します。VLAN 名を選択することも可能です。

  5. アウトバウンド トラフィックで一致させる送信元/宛先ポート(Src/dst port)を選択します。

Example screenshot of how to configure a L3 outbound rule on a template

IP オフセット

VLAN オブジェクトを使用して VLAN 内の単一 IP を指定したい場合は、IP オフセットを使用して、指定した VLAN のネットワーク アドレスに基づきルールが適用される IP アドレスを計算できます。IP アドレスは「ネットワークアドレス + オフセット」で計算され、「VLAN インターフェース IP + オフセット」ではありません。

例えば、Users VLAN を表すソース Users.10 を含むファイアウォール ルールがあり、IP オフセットが 10、Users VLAN のサブネットが 192.168.100.0/24 の場合、ソースは 192.168.100.10 と解釈されます。 

デュアルスタックのファイアウォール ルールを構成する場合、IP オフセットは使用できません。IP オフセットを使用するには、IPv4 のみまたは IPv6 のみのルールにする必要があります。

テンプレート SD-WAN ポリシー

  1. SD-WAN ポリシーを構成して、特定の VPN トラフィックのフローを制御・変更できます。特定の種類のトラフィックを、他方ではなく一方のアップリンクで通すようにできます。 
     

  2. セキュリティ & SD-WAN > 設定 > SD-WAN & traffic shaping > SD-WAN ポリシー > VPN トラフィック に移動し、プリファレンスを追加 を選択します。

  3. アップリンク選択ポリシー ダイアログ ボックスが表示されます。このボックスのトラフィックフィルタセクションで、ポリシーに従わせるトラフィックの種類を定義できます。プロトコル/送信元/宛先 の条件に基づいてトラフィックを選択するためにカスタム表現を追加するか、定義済みアプリケーションに基づいてトラフィックを選択できます。 

    • トラフィックを選択するカスタム式を追加する場合: 

      • 追加 + を選択します。

      • カスタム表現 オプションが選択済みであることを確認します。

      • プロトコル を選択します。TCP, UDP, ICMP またはAny から選択できます。

      • 送信元 を選択し、送信元アドレス条件を定義します。以下のいずれかを選択できます。 

        • Any を選択します。

        • 送信元を CIDR 形式(例: 10.0.0.0/8)で入力し、追加 を選択します。

        • VLAN の一覧からドロップダウンで VLAN を選択し、Add VLAN を選択します。

        • VLAN の一覧からドロップダウンで VLAN を選択し、Host をクリックしてホスト アドレスの最後のオクテットを入力し、Add host を選択します。

      • 送信元ポート を選択します。送信元ポートは 'Any'、ポート番号(例: 2000)、または 1~65535 の範囲でポート範囲(例: 2000-3000)を指定できます。

      • 宛先 をクリックして、宛先アドレス条件を定義します。以下のいずれかを選択できます。 

        • Any を選択します。

        • 宛先を CIDR 形式(例: 10.0.0.0/8)で入力し、Add を選択します。

        • VLAN の一覧からドロップダウンで VLAN を選択し、Add VLAN を選択します。

        • VLAN の一覧からドロップダウンで VLAN を選択し、Host を選択してホスト アドレスの最後のオクテットを入力し、Add host を選択します。

      • 宛先ポート を選択します。宛先ポートは 'Any'、ポート番号(例: 2000)、または 1~65535 の範囲でポート範囲(例: 2000-3000)を指定できます。

    •  定義済みアプリケーションを追加してトラフィックを選択する場合:

      • メニューからアプリケーション タイプを選び、サブメニューから対象のアプリケーションを選択します(例: VoIP & ビデオ会議> Webex)。

      • ポリシーに従わせたいアプリケーションをすべて追加し、追加 を選択してアプリケーション メニューを終了します。

  4. ポリシー セクションで、優先アップリンク として次のいずれかを選択できます。

    • WAN1 または WAN2。WAN1 または WAN2 を選択した場合、次の条件でフェールオーバー: ドロップダウン メニューでフェイルオーバー条件を構成できます。パフォーマンス低下  を選択して パフォーマンスクラス ドロップダウン メニューからパフォーマンス クラスを選ぶか、アップリンクがダウン を選択できます。既定では、VoIP  が唯一の定義済みパフォーマンス クラスです。追加のパフォーマンス クラスは、セキュリティ & SD-WAN > 設定 > SD-WAN & traffic shaping > SD-WAN ポリシー > カスタムパフォーマンスクラス で定義する必要があります。

    • VoIP に最適 VoIP トラフィックに最適なアップリンクが選択されます。

    • 負荷分散 : WAN アプライアンスは、パフォーマンスクラスを満たすアップリンク  ドロップダウンで選択したパフォーマンス クラスを満たすアップリンク間でトラフィックを分散します。

    • グローバル環境設定 : セキュリティ & SD-WAN > 設定 > SD-WAN & traffic shaping > アップリンク選択 >グローバル環境設定  での構成に基づいてアップリンクが選択されます。

    • グローバル帯域幅制限 :  この設定を構成する際、MX はテンプレート レベルで構成された速度設定を適用および返し、ネットワーク レベルではない点に注意してください。これは対象デバイスのハードウェア能力を反映しない場合があります。詳細は https://developer.cisco.com/meraki/a...ink-bandwidth/ を参照してください。

  5. ポリシーの適用条件とポリシー自体の構成が完了したら、保存 を選択します。

注:

セキュリティ & SD-WAN > 設定 > Traffic shaping > フローのプリファレンス 配下の「add host」ボタンでは、1~254 の値を入力できます。想定される動作は次のとおりです。

10.0.0.0/8 からの /26 サブネットを考えると、第 4 オクテットには 4 つの可能性があります。x.x.x.0/26 = .0-.63
x.x.x.64/26 = .64-.127
x.x.x.128/26 = .128-.191
x.x.x.192/26 = .192-.255

テンプレートは、すべてのバインド先ネットワークに適用できる必要があるため、オフセットを使用します。
ホスト .1 を指定した場合、テンプレートに紐づくネットワークに応じて .1、.65、.129、.193 に相当します。

Example screenshot of how to configure a SDWAN VPN policy on a template

 

Screen Shot 2018-07-06 at 12.24.48 PM.png

ローカルのオーバーライド

WAN アプライアンス ネットワークをテンプレートにバインドした後でも、一部のオプションはダッシュボードから通常どおり構成できます。WAN アプライアンス ネットワークで直接行ったローカルの構成変更は、テンプレートの構成を上書きします。

以下の例では、バインド済みの WAN アプライアンスでカスタムのデフォルト VLAN を直接構成しています。この変更はテンプレート ネットワークの セキュリティ & SD-WAN > 設定 > アドレス & VLAN でも行えます。

 

Screen Shot 2018-07-06 at 12.57.08 PM.png

 

ネットワークがテンプレートから外されると、ローカルのオーバーライドおよびテンプレート関連の構成は自動的に失われます。WAN アプライアンスは所属ネットワークから構成を自動的に取得します。

 

注: Auto VPN ハブはテンプレートに追加すべきではありません。テンプレートの一部であるエグレス ハブを持つスポークとして WAN アプライアンスを構成することはできません。

注: テンプレートにバインドされた WAN アプライアンス ネットワークでは、現時点で静的ルートのローカル オーバーライドはサポートされていません。

 

DHCP 例外

Meraki WAN アプライアンスは、各 VLAN ごとに個別に有効化・構成できるフル機能の DHCP サービスを提供します。テンプレートにバインドされている場合、セキュリティ & SD-WAN > 設定 > DHCP で DHCP 構成に対してローカルのオーバーライドを行えます。

 

Screen Shot 2018-07-06 at 1.28.40 PM.png

 

フォワーディング ルールの上書き(オーバーライド)

転送設定を上書きするには、セキュリティ & SD-WAN > 設定 > ファイアウォール > 転送ルールの上書き に移動します。

Screen Shot 2018-07-06 at 2.03.39 PM.png

 

アクティブ-アクティブ AutoVPN

アクティブ-アクティブ AutoVPN のアップリンク選択ルールをオーバーライドするには、セキュリティ & SD-WAN > 設定 > SD-WAN & traffic shaping  > アクティブ-アクティブ AutoVPN. に移動します。


clipboard_eed9f901d68a51d707947d572ef75476c.png

 

ポート数が異なる MX を含むテンプレート

MX モデルごとにポート番号が異なる場合があり、テンプレートで特定ポート番号に設定を割り当てても、たとえばテンプレート上の LAN 2 の設定が MX65 のいずれのポートにも反映されないことがあります。

各 MX モデルのテンプレートポート番号と物理ポートとの対応表は、異なる MX モデルのポートマッピングに掲載されています。

LAN2 ポートは、ローカル ステータス ページLocal status タブ配下にある Uplink configuration から、LANInternet の間で切り替えることができます。

クライアント VPN

クライアント VPN ユーザを管理するには、ネットワーク全体 > 設定 > ユーザー に移動します。

clipboard_e5b5789e854c97285947b23d37616d43f.png

 

: テンプレートにバインドされたすべてのネットワークのクライアント VPN ユーザを一元管理するには、当該テンプレートの セキュリティ & SD-WAN > クライアントVPN ページの ユーザー管理 セクションで操作できます。テンプレートにバインドされた特定ネットワークのクライアント VPN ユーザのみを管理したい場合は、そのネットワークの ネットワーク全体 > 設定 > ユーザー ページで操作できます。

上記のクライアント VPN 設定に関する詳しいガイダンスは、Client VPN Overview ドキュメントを参照してください。 

MX テンプレートのファームウェア アップグレードの実行

テンプレートでスケジュールしたファームウェア アップグレードは、子ネットワークのネットワーク ローカルのタイムゾーンに自動的に適用されます。

 

ベスト プラクティスとして、各 MX のローカル タイムゾーン設定が ネットワーク全体 > 設定 > 一般 で正しく構成されていることを確認してください。

 

Screen Shot 2018-07-06 at 1.10.17 PM.png

 

WAN アプライアンス交換の手順

以下は、テンプレートにバインドされている故障した WAN アプライアンスから構成をコピーする手順です。

  1. オーガナイゼーション > 設定 > インベントリ ページで、新しい WAN アプライアンスを登録します。

  2. 不具合のある WAN アプライアンスが所属するネットワークに移動し、セキュリティ & SD-WAN > 監視 > アプライアンスステータス > アプライアンスをネットワークから削除 で削除します。

  3. 同じネットワークに交換用の WAN アプライアンスを追加します。ネットワーク全体 > 設定 > デバイス追加に移動します。

  4. ネットワークを選択し、デバイス追加 を選択します。

 

WAN アプライアンスの交換に関する詳細は、MX Cold Swap の記事を参照してください。