Skip to main content

 

Cisco Meraki Documentation

Meraki Auto VPN のベストプラクティス

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年08月21日付けで翻訳したものです。
最新の情報は原文をご確認ください。

Auto VPN のベストプラクティス

ここで紹介するベストプラクティスは、最も一般的な導入シナリオに焦点を当てており、他のトポロジーの使用を排除するものではありません。ほとんどの導入に推奨されるSD-WANアーキテクチャは以下の通りです:

  • データセンターでWANアプライアンスをワンアームドコンセントレータとして展開

  • データセンターでウォームスペア/高可用性構成

  • 接続されたVPNサブネットへのスケーラブルな上流接続のためのOSPFルートアドバタイズ

  • データセンター冗長化

  • 拠点やリモートオフィスからのスプリットトンネルVPN

  • 全拠点・リモートオフィスでのデュアルWANアップリンク

拠点での Auto VPN

Auto VPNトンネルを設定・構築する前に、いくつかの設定項目を確認しておく必要があります。

WANインターフェースの設定

多くの場合、自動アップリンク設定(DHCP)で十分ですが、拠点によってはWANアプライアンスのアップリンク設定を手動で行う必要がある場合もあります。WANインターフェースに静的IPアドレスを割り当てる手順は、MX IP割り当てドキュメントをご参照ください。

一部のWANアプライアンスモデルは専用のインターネットポートが1つしかなく、2つのアップリンク接続が必要な場合はLANポートをセカンダリインターネットポートとして構成する必要があります。設定方法はデバイスローカルステータスページで案内されています。該当モデルはMX64シリーズ、MX67シリーズ、MX100デバイスです。モデルごとの詳細はオンラインのインストレーションガイドでご確認ください。この設定変更は、Configureタブのデバイスローカルステータスページで行えます。

サブネット設定

Auto VPNでは、わずか数クリックでAuto VPNトポロジからサブネットを追加・削除できます。サイト間VPN構成を進める前に、適切なサブネットを設定しておく必要があります。

ハブの優先順位

ハブの優先順位は、リストの上から下の順に決まります。最上位のハブが最高優先度、2番目が2番目、というように続きます。複数のハブからアドバタイズされているサブネット宛てのトラフィックは、a) そのサブネットをアドバタイズしており、b) 現在スポークとVPN接続が確立している最優先のハブに送信されます。1つのハブのみがアドバタイズしているサブネット宛てのトラフィックは、そのハブに直接送信されます。

許可するネットワークの設定

特定のサブネットをVPN経由で通信させたい場合は、サイト間VPNページのローカルネットワークセクションを確認します。サブネットのリストは、アドレス & VLANページで設定されたローカルサブネットとスタティックルート、そしてクライアントVPNサブネット(設定されていれば)から自動的に取得されます。

VPNを利用させたいサブネットには、Use VPNドロップダウンではいを選択してください。

データセンターでの Auto VPN

ワンアームドコンセントレータの展開

SD-WAN導入におけるデータセンター設計としてはワンアームドコンセントレータが推奨されます。以下はワンアームドコンセントレータによるデータセンター構成例です:

1.png

NATトラバーサル

VPNコンセントレータでマニュアルまたは自動のNATトラバーサルのどちらを使うかは重要な考慮点です。

手動NATトラバーサルを使用するケース:

  • 上流に非フレンドリーNATが存在する場合

  • データセンターの進入・送信トラフィックを厳格に制御するファイアウォールルールがある場合

  • リモートサイトがどのポートを使ってVPNコンセントレータと通信するかを把握しておく必要がある場合

手動NATトラバーサルを選択した場合、VPNコンセントレータには静的IPアドレスを割り当てることを強く推奨します。手動NATトラバーサルは、指定ポートの全トラフィックをVPNコンセントレータに転送できる場合の構成です。

自動NATトラバーサルを使用するケース:

  • 上記の手動NATトラバーサルが必要となる条件が存在しない場合

自動NATトラバーサルを選択した場合、WANアプライアンスはAuto VPNトラフィックの送信元として自動的に高番号UDPポートを選択します。このポートでVPNコンセントレータがリモートサイトへ接続を開始し、上流ファイアウォールにステートフルなフローマッピングを作成するため、リモート側からのトラフィックも追加のインバウンドファイアウォールルールなしで許可されます。

データセンター冗長化(DC-DCフェイルオーバー)

Meraki WANアプライアンスは、DC-DCフェイルオーバー機能を使用してデータセンター間冗長化をサポートしています。前述の手順と同様に、追加のデータセンターにもワンアームドコンセントレータを展開できます。VPNフェイルオーバー動作やルート優先順位の詳細はDC-DCフェイルオーバードキュメントをご参照ください。

このセクションでは、VPNコンセントレータモードで動作するWANアプライアンスのウォームスペア高可用性(HA)を設定・実装するための手順を説明します。

トポロジ

以下はVPNコンセントレータのHA構成を利用したトポロジの例です:

 

2.png

動作

高可用性(HA)構成時、1台のWANアプライアンスがアクティブ(プライマリ)として動作し、もう1台がパッシブ(スタンバイ)となります。フェイルオーバーにはVRRPプロトコルが使用されます。詳細はMXウォームスペアドキュメントをご覧ください。

WANアプライアンスのIP割り当て

データセンターでは、WANアプライアンスは静的IPアドレスまたはDHCPでアドレスを取得して動作可能です。デフォルトではDHCPでアドレス取得を試みますが、VPNコンセントレータには静的IPアドレスの割り当てを強く推奨します。

アップリンクIP

アップリンクIPを使用は新規ネットワークセットアップ時にデフォルトで選択されています。HAで正しく通信するには、VPNコンセントレータWANアプライアンスを仮想IP(VIP)で動作させる必要があります。

仮想IP(VIP)

仮想IPは、HA WANアプライアンス間で共有される追加(第3)のIPアドレスです。この構成では、WANアプライアンスはクラウドコントローラとの通信にアップリンクIPを使用し、その他のトラフィックは共有仮想IPで送受信されます。

WANアプライアンスのデータセンター ルーティング

データセンターでVPNコンセントレータとして動作するWANアプライアンスは、リモートサブネットをデータセンターに終端させます。双方向通信を行うためには、上流ネットワークにリモートサブネットへのルートが必要です。このルートはVPNコンセントレータを宛先に設定してください。

OSPFルートアドバタイズを利用しない場合は、リモートVPNサブネット宛てのトラフィックがVPNコンセントレータに向かうようスタティックルートを上流ルーターに設定します。

OSPFルートアドバタイズを有効にしている場合は、上流ルーターがVPNサブネットへのルートを動的に学習します。

フェイルオーバー時間

重要なフェイルオーバー時間は以下の通りです:

サービス

フェイルオーバー時間

フェイルバック時間

Auto VPN トンネル

30~40秒

30~40秒

DC-DC フェイルオーバー

20~30秒

20~30秒

ダイナミックパス選択

最大30秒

最大30秒

ウォームスペア

30秒以内

30秒以内

WAN接続

300秒以内

15~30秒
OSPFルートアドバタイズの設定

Meraki WANアプライアンスは、OSPFを使用して接続されたVPNサブネットのルートアドバタイズをサポートしています。

OSPFルートアドバタイズを有効にしたWANアプライアンスは、ルートのアドバタイズのみを行い、OSPFルートの学習は行いません。

注意: ルーティングモードのWANアプライアンスは、「Single LAN」設定を使用し、ファームウェアバージョン13.4以降でのみOSPFをサポートします。その他の場合、WANアプライアンスがパススルーモードであれば、どのファームウェアバージョンでもOSPFがサポートされます。この設定は、セキュリティ & SD-WAN > 設定 > アドレス & VLAN で行えます。

スポークサイトがハブWANアプライアンスに接続されている場合、スポークサイトへのルートはLS Updateメッセージで広告されます。これらのルートはタイプ2外部ルートとして広告されます。

BGPとAuto VPN

BGP VPNはデータセンター間のフェイルオーバーや負荷分散に利用されます。これは各データセンターにVPNコンセントレータを配置することで実現します。各VPNコンセントレータはデータセンターエッジデバイスとBGPを使用します。BGPはスケーラビリティやチューニングのために活用されます。

BGPの実装方法やユースケースの詳細はBGPドキュメントをご覧ください。

Auto VPNテクノロジー詳細

Meraki WANアプライアンスは複数のタイプのアウトバウンド通信を利用します。必要に応じて、上流ファイアウォールの設定が必要となる場合があります。

ダッシュボード&クラウド

Meraki WANアプライアンスはクラウド管理型ネットワーク機器です。そのため、Merakiダッシュボードによる監視・管理に必要なファイアウォールポリシーが適切に設定されていることが重要です。必要な宛先ポートやIPアドレスはダッシュボードのヘルプ > ファイアウォール情報ページで確認できます。

VPNレジストリ

MerakiのAuto VPNテクノロジーは、VPN接続をオーケストレーションするクラウドベースのレジストリサービスを活用しています。Auto VPNの確立には、上流ファイアウォールでVPNコンセントレータがVPNレジストリサービスと通信できる必要があります。必要な宛先ポートやIPアドレスはリージョンにより異なりますが、ダッシュボードのヘルプ > ファイアウォール情報ページで確認可能です。

アップリンクヘルス監視

WANアプライアンスは、一般的なプロトコルを用いて既知のインターネット宛先に定期的にアップリンクヘルスチェックを実施します。詳細な動作はこちらでご確認いただけます。適切なアップリンク監視のため、以下の通信も許可してください:

  • canireachthe.net へのDNSテスト

  • icmp.canireachthe.net へのインターネットテスト

VPNレジストリ

Auto VPNに参加するには、WAN アプライアンスが Meraki VPNレジストリに登録する必要があります。VPN レジストリはクラウドベースのシステムで、すべてのWANアプライアンスを自動化された VPN システムへと接続するための情報を保存します。VPN レジストリは常時稼働し、接続障害時も自動で更新されます。これにより、再起動や新しいパブリックIPアドレス、ハードウェア障害時にも手動対応は不要です。VPN レジストリは各 WAN アプライアンスについて以下の情報を保存します:

  • サブネット(VPN ルートテーブル作成用)

  • アップリンク IP(パブリックまたはプライベート)

  • パブリック IP

新しいWANアプライアンスをインフラに追加する手順は以下の通りです:

  1. 新しいWANアプライアンスがアップリンクIPアドレスおよび共有サブネットをレジストリに報告します

  2. その情報がインフラ内の他のWANアプライアンスに伝播されます

  3. WANアプライアンスが適切なVPNトンネルを確立します

    1. WANアプライアンスは、まずレジストリで報告されたピアのプライベートアップリンクIPで接続を試みます

    2. ピアのプライベートアップリンクIPへの接続に失敗した場合は、ピアのパブリックアップリンクIPで接続を試みます

3.png

Auto VPN ルーティング

VPNレジストリは、特定のMeraki Auto VPNインフラに参加するローカルルートなどの情報を保存します。障害やVPNデバイス追加・ハブ変更時も、システムが自動的に再収束するため、エンドユーザーによる操作は不要です。すべてのVPNルートを全デバイスに更新することで、Auto VPNはルーティングプロトコルのように動作し、システムの安定性を維持します。

高可用性

 

主なユースケース

コスト面の考慮事項

フェイルオーバー時間

ハードウェア冗長化

同一ブロードキャストドメイン上で2台のデバイスを使用しWANアプライアンスの故障を回避

2台のデバイスが必要ですがライセンスは1つのみ

30秒未満(ハードウェアフェイルオーバー、VPNフェイルオーバーとは限らない)

DC-DC フェイルオーバー

スポークがプライマリハブに到達できなくなるあらゆる問題を回避

2台のデバイスおよび2つのライセンスが必要

30秒~5分(SD-WANでより高速なフェイルオーバーが可能)
VPNコンセントレータモードにおけるハードウェア冗長化

WANアプライアンスVPNコンセントレータのウォームスペアは、Meraki Auto VPNヘッドエンドアプライアンスの高可用性を実現するために使用されます。各コンセントレータは、Merakiクラウドと管理トラフィックをやりとりするための独自IPアドレスを持ちますが、管理以外の通信には両者で共有する仮想IPアドレス(VIP)を使用します。

HardwareRedundancyInVPNConcentratorMode.png

WANアプライアンスVPNコンセントレータ - ウォームスペア設定

WANアプライアンスをワンアームVPNコンセントレータとして展開する前に、アドレス & VLAN ページでパススルーまたはVPNコンセントレータモードに設定してください。ワンアームドVPNコンセントレータモードでは、ペアの各装置はそれぞれの「Internet」ポートのみでネットワークに接続します。LANポート同士を直接接続しないでください。各WANアプライアンスは同一IPサブネット内に存在し、相互通信およびMerakiダッシュボードとの通信ができる必要があります。VPNトラフィックのみがWANアプライアンスにルーティングされ、すべての入出力パケットは同じインターフェースを通ります。

WANアプライアンスVPNコンセントレータ - 仮想IP割り当て

仮想IPアドレス(VIP)は、プライマリとウォームスペアの両方のVPNコンセントレータで共有されます。VPNトラフィックは個別の物理IPアドレスではなくVIPに送信されます。VIPはウォームスペアが設定されている場合、セキュリティ & SD-WAN > 監視 > アプライアンスステータスで設定できます。VIPは両装置のIPアドレスと同じサブネット内でユニークである必要があります。プライマリまたはウォームスペアのIPアドレスと同一にはできません。

2台のコンセントレータはVRRPプロトコルを使いネットワーク上でヘルス情報を共有します。障害検出はインターネット/Merakiダッシュボードへの接続に依存しません。

WANアプライアンスVPNコンセントレータ - 障害検出

プライマリ装置が障害となった場合、ウォームスペアがプライマリの役割を引き継ぎます。元のプライマリが復旧し、ウォームスペアが再度VRRPハートビートを受信すると、ウォームスペアはアクティブな役割を元のプライマリに返します。障害検出・ウォームスペアへのフェイルオーバー・VPNパケット処理開始までの合計時間は通常30秒未満です。

WANアプライアンスウォームスペアのアラート

ウォームスペア遷移など、特定のネットワークやデバイスイベントが発生した際にメールアラートを送信するオプションがMerakiダッシュボードに用意されています。これは推奨される設定であり、フェイルオーバー時に管理者へ通知されます。

「ウォームスペアフェイルオーバーが発生した」イベントは、HAペアのプライマリWANアプライアンスからスペアへ、またはその逆へフェイルオーバーした際にメールを送信します。

このアラートや他のアラートの詳細は、ダッシュボードでのネットワークアラート設定の記事をご参照ください。

ウォームスペアが期待通り動作しない場合は、MXウォームスペア - 高可用性ペア ドキュメントをご参照ください。

NATモードにおけるハードウェア冗長化

WANアプライアンスNATモード - ウォームスペア

WANアプライアンスNATモードのウォームスペアは、インターネット接続やアプライアンスサービスの冗長化を提供します(NATゲートウェイとして使用時)。

WANアプライアンスNATモード - ウォームスペア設定

NATモードでは、HAペアの各装置はそれぞれのインターネットポートでISPまたは複数ISPに接続し、内部ネットワークはLANポートで接続されます。

WAN設定:各アプライアンスはMerakiクラウドと管理トラフィックをやりとりするために独自のIPアドレスを持つ必要があります。プライマリアプライアンスがセカンダリアップリンクを使用している場合は、ウォームスペアでも同様に構成してください。共有仮想IPは必須ではありませんが、フェイルオーバー時にクライアントへの影響を最小限に抑えるため有効です。仮想IPは両アップリンクに対して設定できます。

LAN設定:LAN IPアドレスは、各VLANで設定したアプライアンスIPを基に構成します。LAN側で仮想IPは不要です。

ウォームスペア設定の詳細はMXウォームスペア - 高可用性ペアの記事をご参照ください。

WANアプライアンスNATモード - 仮想IP割り当て

仮想IPアドレス(vIP)は、プライマリとウォームスペアの両方で共有されます。インバウンド・アウトバウンドトラフィックはフェイルオーバー時も同じIPアドレスを使用することで影響を最小化します。仮想IPはセキュリティ & SD-WAN > 監視 > アプライアンスステータス ページで設定します。2つのアップリンクを構成する場合、それぞれのアップリンクに対してvIPを設定できます。各vIPは、対応するアプライアンスアップリンクのIPアドレスと同じサブネット内でユニークである必要があります。プライマリまたはウォームスペアのIPアドレスと同一にはできません。

WANアプライアンスNATモード - 障害検出

NATモードウォームスペアには2つの障害検出方法があります。インターネット/Merakiダッシュボードへの接続状態に依存しません。

WANフェイルオーバー:WANの監視はアップリンクフェイルオーバーで用いるインターネット接続テストと同じ方法で実施されます。これらのテスト結果でプライマリアプライアンスが有効なインターネット接続を持たない場合、VRRPハートビートの送信を停止し、フェイルオーバーが発生します。プライマリアプライアンスのアップリンク接続が復旧し、ウォームスペアがVRRPハートビートを再び受信し始めると、アクティブ役割はプライマリに戻ります。

LANフェイルオーバー:2台のアプライアンスはVRRPプロトコルでネットワーク上のヘルス情報を共有します。これらのVRRPハートビートはレイヤ2で行われ、設定されたすべてのVLANで実施されます。いずれのVLANでもアドバタイズが受信できない場合はフェイルオーバーが発生します。ウォームスペアが再度VRRPハートビートを受信し始めると、アクティブ役割はプライマリに戻ります。

WANアプライアンスNATモード - DHCP同期

NATモード高可用性ペアのWANアプライアンス間では、DHCPの状態情報がLAN経由で同期されます。これにより、フェイルオーバー前にすでに割り当てられているIPアドレスが、フェイルオーバー後に別のクライアントに誤って配布されるのを防ぎます。

DC-DCフェイルオーバー - ハブ/データセンター冗長化(災害復旧)

MerakiのWANアプライアンス データセンター冗長化(DC-DCフェイルオーバー)により、Auto VPN経由のネットワークトラフィックを複数の地理的に分散したデータセンター間でフェイルオーバーできます。

5.png

DCフェイルオーバーアーキテクチャ

DC-DCフェイルオーバーアーキテクチャは以下の通りです:

  • 各データセンターにワンアームドVPNコンセントレータまたはNATモードコンセントレータを配置

  • 2台以上のコンセントレータからアドバタイズされるサブネットまたはスタティックルート

  • ハブ&スポークまたはVPNメッシュトポロジ

  • スプリットまたはフルトンネル構成

動作とフェイルオーバー

追加のデータセンターにVPNコンセントレータとして1台または複数のWANアプライアンスを展開することで、重要なネットワークサービスの冗長性を高められます。デュアルまたはマルチデータセンター構成では、各データセンターから同一のサブネットがVPNコンセントレータモードWANアプライアンス経由でアドバタイズされます。

DC-DCフェイルオーバーデザインでは、リモートサイトはネットワークに設定されたすべてのVPNハブとVPNトンネルを確立します。特定のハブ固有のサブネット宛てのトラフィックはそのハブに直接ルーティングされますが、複数のハブからアドバタイズされるサブネット宛てのトラフィックは、到達可能な最優先ハブに送信されます。

同一サブネットをアドバタイズする複数のVPNコンセントレータに接続するよう設定されたWANアプライアンスでは、これらサブネットへのルートがトラッキングされます。リモートサイトからVPNハブへのトンネルごとに定期的にHelloメッセージが送信され、接続性を監視します。最優先ハブとのトンネルがダウンした場合、そのルートはルートテーブルから削除され、到達可能な次優先ハブへトラフィックがルーティングされます。このルートフェイルオーバーは、複数Auto VPNハブから同一ルートがアドバタイズされている場合のみ適用されます。

コンセントレータ優先順位

組織内で複数のVPNハブを構成している場合、コンセントレータ優先順位を設定できます。この優先順位設定により、VPNメッシュピアが複数のVPNコンセントレータからアドバタイズされるサブネットへの接続先を決定します。

この設定はVPNスポークとして構成されたリモートサイトには適用されません。

その他のデータセンター考慮事項

DC-DCアーキテクチャの導入時は、データセンターでVPNコンセントレータとして動作するWANアプライアンスにウォームスペア構成(前述参照)およびOSPFルートアドバタイズを常に考慮してください。また、すべてのアプリケーションで可用性要件を満たすため、ルートフローロジックを設計時に考慮してください。DC起点フローの理解を深めるには、下記をご参照ください。

サポートされるVPNアーキテクチャ

VPNトポロジ

VPN展開の構成にはいくつかのオプションがあります。

スプリットトンネル

この構成では、拠点は特定のWANアプライアンスが同じダッシュボード組織でアドバタイズしているサブネット宛てのトラフィックのみVPN経由で送信します。残りのトラフィックはスタティックLANルートやサードパーティVPNルートなど他の利用可能なルートでチェックされ、一致しない場合はNATされて拠点WANアプライアンスから暗号化されずに送信されます。

6.png

フルトンネル

フルトンネルモードでは、拠点やリモートオフィスが他のルートを持たないすべてのトラフィックをVPNハブに送信します。

7.png

ハブ&スポーク

ハブ&スポーク構成では、地方拠点やリモートオフィスのWANアプライアンスが特定のWANアプライアンス(ハブ)と直接接続し、組織内の他のWANアプライアンスやテレワーカー機器とはトンネルを形成しません。地方拠点やリモートオフィス間の通信は設定されたVPNハブを経由して行われます。これはほとんどのSD-WAN導入で推奨されるVPNトポロジです。

  • ハブ&スポーク - トンネル総数
    TunnelCountFormula.png
    Hはハブの数、Sはスポークの数、LはWANアプライアンスのアップリンク数(ハブはLH、スポークはLS)。各WANアプライアンスが異なるアップリンク数を持つ場合は、積算ではなく総和で計算します。

たとえば、全WANアプライアンスが2つのアップリンクを持ち、ハブが4台、スポークが100台の場合、トンネル総数は24+1600=1624となります。

標準ハブ&スポーク

 

8.png

仕組み:

標準のMeraki Auto VPNレジストリを活用し、VPNトンネルがどのように構成されるべきか(パブリックアドレス空間経由かプライベートインターフェースアドレス経由か)を判別します。詳細はMPLS経由のサイト間VPN構成をご覧ください。

利用推奨シーン:

可能な限り常にこのモデルを第一、第二、第三選択肢として検討してください。特別な要件がある場合のみ、後述のハブ&スポーク派生モデルを検討してください。

VPNメッシュ

SD-WAN導入においてVPNメッシュ構成を使用することも可能です。

メッシュ構成では、地方拠点やリモートオフィスのWANアプライアンスが、組織内でメッシュモードになっている他のWANアプライアンスや、自身をハブとして使用するスポークWANアプライアンスと直接接続するように設定されます。

  • フルメッシュ - トンネル総数
    TunnelCountFormula_FullMesh.png
    HはWANアプライアンスの数、Lは各WANアプライアンスのアップリンク数です。

例えば、すべてのWANアプライアンスが2つのアップリンクを持ち、50台のWANアプライアンスがある場合、トンネル総数は4900となり、各WANアプライアンスは196のトンネル(49ピア×4本)をサポートする必要があります。この場合、最低でも50台のMX100が必要です。

中国Auto VPN

中国政府による規制により、中国国内のAuto VPNドメインの展開や他国との接続には特別なアーキテクチャ要件が必要です。

セキュアVPN技術は多くの場合、最もコスト効率の高い接続手段です。中国の規制により、国際間のVPN技術には制限が設けられています。企業が越境接続を実現するには2つの選択肢があります。

  1. 中国国内の3大通信キャリア(China Telecom、China Mobile、China Unicom)から直接国際専用線をリースする

  2. 中国に拠点を持つ外資系通信キャリアに委託し、3大通信キャリアから国際専用線(VPN含む)をリースし、企業のプライベートネットワークや機器と接続する

注意:上記の越境接続方法は内部データ交換・オフィス用途のみに使用可能です。(2018年2月3日現在、今後の規制変化の可能性あり)

中国本土にあるすべてのデバイスは中国国内のMeraki Chinaサーバーに接続されます。現時点では、中国内のWANアプライアンスにはエンタープライズライセンスのみ利用可能です。

中国Auto VPNアーキテクチャ

 

12.png

上図では、Meraki Auto VPNを利用して中国国内の企業拠点を接続しています。また、企業の中国拠点とグローバル拠点を中国政府認可の専用回線で接続している様子も示しています。BGPやOSPFなどのダイナミックルーティングを利用してドメイン間で経路情報を交換できます。