SD-WAN とトラフィックシェーピング

Last updated
Save as PDF

このドキュメントは原文を 2026年01月22日付けで翻訳したものです。
最新の情報は原文をご確認ください。

MX アプライアンスおよび Z シリーズゲートウェイには、統合されたレイヤー 7 パケットインスペクションエンジンが含まれており、トラフィックの種類やアプリケーションに基づいて、QoS ポリシー、負荷分散、優先順位付けを設定できます。

アップリンクの設定

このセクションでは、帯域幅の設定、アップリンクの統計情報、リストの更新間隔を設定できます。

アップリンク帯域幅の設定

このオプションでは、アップリンクのアップロードおよびダウンロード帯域幅を設定できます。この情報は、アクティブな WAN ポート間のトラフィック負荷分散や、アップロードおよびダウンロードトラフィックの制限に必要です。WAN 1、WAN 2、およびセルラーアップリンクを個別に設定できます。特定のアップリンクに対して個別のアップロードおよびダウンロード帯域幅を設定するには、そのアップリンクの帯域幅スライダーの横にある [details]（詳細）ボタンをクリックします。各 WAN インターフェースの最大値は、特定の MX モデルの定格に基づいています。

アップリンクの統計情報

[Add a destination]（宛先の追加）オプションをクリックすると、MX が ICMP 接続を継続的にテストして遅延とパケット損失を監視するためのカスタム宛先を追加できます。これらの宛先は、VPN トンネル越しのプライベートアドレスであってはならず、MX の WAN インターフェース経由で到達可能である必要があります。さらに、ICMP トラフィックに応答する必要があります。直接接続されたリンクを監視するために、MX のデフォルトゲートウェイを含めることをお勧めします。これらのテスト結果は、[セキュリティ & SD-WAN] > [監視] > [アプライアンスステータス] > [アップリンク] > [履歴データ] で確認できます。ホスト名/FQDN は、アップリンク統計情報の監視ではサポートされていません。

セルラー機能が統合された MX および Z は、セルラーインターフェース経由で ICMP アップリンク統計情報テストを送信しません。これは、これらのアップリンクから送信されるトラフィック量を削減するように設計されています。アップリンク統計情報のために ICMP テストを送信する必要がある場合は、Meraki サポートに連絡してこの機能を有効にしてください。Google DNS (8.8.8.8) へのテストのみが送信され、他のアップリンク統計情報の宛先へは送信されないことに注意してください。

リストの更新間隔

この設定は、MX がセキュリティリストの更新を確認する頻度を決定します。[Hourly]（毎時）、[Daily]（毎日）、または [Weekly]（毎週）の更新間隔を指定できます。リストのダウンロードに使用されるアップリンクに応じて異なる間隔を指定するには、[details]（詳細）をクリックします。これは、低帯域幅の WAN リンクやセルラーアップリンクでのセキュリティリストのダウンロードによる帯域幅使用量を制御したい場合に便利です。

この設定の影響を受ける機能には、IDS/IPS やマルウェアスキャンが含まれます。

アップリンクの選択

プライマリアップリンク

このオプションは、どのアップリンクをプライマリ接続にするかを決定します。VPN トラフィックおよび Meraki ダッシュボードへの管理トラフィックは、プライマリアップリンクを使用します。負荷分散が無効になっている場合、アップリンクの優先設定で別途指定されていない限り、すべてのトラフィックはプライマリアップリンクを使用します。WAN のフラップ（不安定な状態）が発生した場合、拡張フェイルオーバーロジックも適用されます。

ロード・バランシング

有効にすると、負荷分散は、上記で指定された WAN 1 と WAN 2 の帯域幅に比例して、両方のアップリンクにインターネットトラフィックを分散させます。

例：WAN 1 の帯域幅が 9 Mbps、WAN 2 の帯域幅が 1 Mbps の場合、負荷分散アルゴリズムはトラフィックの 90% を WAN 1 アップリンク経由で、10% を WAN 2 アップリンク経由で送信します。

マルチアップリンク Auto VPN

このオプションは、Auto VPN トンネルをプライマリアップリンクのみで確立するか、すべてのアクティブなアップリンクで同時に確立するかを決定するために使用されます。設定可能なオプションは 2 つあります。

Enabled（有効）：利用可能なすべてのアップリンク上で VPN トンネルを作成します。
Disabled（無効）：プライマリアップリンクがダウンしない限り、プライマリ以外のアップリンク上には VPN トンネルを作成しません。

フロー設定

このオプションを使用すると、レイヤー 3 定義に一致するトラフィックを特定のアップリンク経由で送信できます。一般的な使用例としては、異なる VLAN からのトラフィックを異なるインターネットアップリンク経由で送信する場合や、宛先ポートに基づいて FTP トラフィックなどの特定の種類のトラフィックを特定のアップリンクから送信する場合などがあります。

注： ICMP トラフィックはトラフィックシェーピングルールの対象外です。そのため、フロー設定は ICMP トラフィックには影響しません。

セルラーアクティブアップリンク上の SD-WAN

セルラー経由で SD-WAN を使用するには、MX が MX16.2 以降を実行しており、統合セルラー MX（MX67C および MX68CW のみ）で機能が有効になっている必要があります。

この機能を有効にすると、以前はバックアップ専用だったセルラー接続を、以下のように [SD-WAN & traffic shaping] ページでアクティブなアップリンクとして設定できるようになります。

Screenshot 2021-06-23 at 08.22.45.png

このトグルを [Enabled]（有効）に設定すると、以下に示すように、有線接続もアクティブである場合でも、[アプライアンスステータス] ページの [アップリンクタブにあるセルラーインターフェースの詳細が [Active] と表示されます。

Screenshot 2020-11-26 at 15.38.32.png

この機能は WAN2 ロジックの所有権を取得するため、有効にすると 2 つの有線ネットワークの使用はサポートされなくなります。これは、同時に使用できる WAN 接続が 2 つだけであるためです。

つまり、有線接続はインターネットポート 1 または WAN 1 にのみ接続できます。

MX67C でこの機能を使用する場合、LAN2 は WAN2 としても動作できる多目的ポートであるため、ポート LAN2 は使用できなくなります。

MX68CW でこの機能を使用する場合、Internet 2 ポートは使用できなくなります。

そのため、セルラー接続を利用するように SD-WAN ポリシーを設定するには、以下のように WAN2 に関連付けます。

Screenshot 2020-11-26 at 15.41.31.png

SD-WAN ポリシー

SD-WAN ポリシーを設定することで、特定の VPN トラフィックフローを制御・最適化できます。複数 WAN アップリンクがある場合、WAN アプライアンスは各インターフェースごとにトンネルを自動構築します。冗長 WAN 接続がある場合、VPN 通信の種類ごとに最適なパフォーマンスとなるようトラフィックの流れをカスタマイズ可能です。希望の優先条件に合わせてカスタムポリシーを設定し、通信の経路選択を柔軟に制御できます。たとえば、ファイル転送用の WAN 回線で性能問題が発生した場合、Cisco Meraki WAN アプライアンスは他の WAN アップリンクへ VPN 通信を自動的に切り替えます。これらはダッシュボード上でカスタムまたはあらかじめ用意されたポリシーとして設定できます。トラフィックの性質や WAN 接続の能力に合わせて、こうしたポリシーの設定・運用を推奨します。

このオプションはマルチアップリンク Auto VPN を有効化した際に表示されます。

設定後、カスタム VPN ポリシーは指定した条件に一致するすべての VPN トラフィックに適用されます。例となる設定パターンは Meraki SD-WAN 設定ガイドでご確認いただけます。

最適なポリシー選定にお悩みの場合は、Meraki セールスエンジニアまたはパートナーまでご相談ください。

MX18.2 ファームウェアで MultiWAN MX を利用する場合、SD-WAN ポリシーやロードバランスポリシーは WAN3 には適用されません。詳細は MultiWAN_Backup_Uplink を参照してください。

グローバル帯域幅制限

この設定では、各クライアントデバイスの合計ネットワークトラフィック（受信/送信）に制限を設定できます。最小スループット制限は 20 Kb/s です。[details]（詳細）または [simple]（シンプル）をクリックして、2 つのモードを切り替えます。

simple（シンプル）：アップロードとダウンロードの両方のトラフィックスループットに適用される単一の設定です。スライダーコントロールを左右に動かして制限を設定します。
details（詳細）：アップロードとダウンロードのスループットに異なる制限を設定できます。制限を手動で Kb/s 単位で入力します。このモードを使用すると、シンプルモードよりも正確なクライアントごとの制限を作成することもできます。

SpeedBurst を有効にする：帯域幅が制限された環境でユーザーエクスペリエンスを向上させるために、管理者は [SpeedBurst を有効化] チェックボックスをオンにして SpeedBurst を有効にできます。SpeedBurst を使用すると、ユーザーは短時間であれば割り当てられた制限を超えてバーストすることができます。これにより、インターネットブラウジングのエクスペリエンスが向上します。また、長期的には特定のユーザーが公平なシェアを超えて帯域幅を使用することを防ぎます。ユーザーは、最大 5 秒間、割り当てられた帯域幅制限の最大 4 倍まで許可されます。

トラフィックシェーピングルール

ネットワークを最適化するために、シェーピングポリシーを作成して、アプリケーションごとにユーザー単位の制御を適用できます。これにより、ピアツーピアファイル共有プログラムなどの娯楽用アプリケーションの帯域幅を削減し、ビジネスに不可欠なエンタープライズアプリケーションの帯域幅を優先することができます。

トラフィックシェーピングルールは、Meraki デバイス間の Auto VPN トンネルを介して送信されるトラフィックにも適用されますが、非 Meraki VPN トンネルを通過するトラフィックには適用されません。

NBAR を使用すると、以前は利用できなかったカテゴリがトラフィックシェーピングセクションに追加されます。NBAR の詳細については、次世代トラフィック分析 - NBAR (Network-Based Application Recognition) の統合を参照してください。

シェーピングルールの作成

[Create a new rule]（新規ルールを作成）をクリックして、トラフィックシェーピングルールを追加します。トラフィックシェーピングポリシーは、カスタムファイアウォールルールと同様に、ポリシーに表示される順序で実行される一連のルールで構成されています。各ルールには、制限またはシェーピングの対象となるトラフィックの種類（ルールの定義）と、そのトラフィックをどのように制限またはシェーピングするか（ルールのアクション）という 2 つの主要なコンポーネントがあります。

注：トラフィックシェーピングルールは、クライアントのフローごとに適用されます。たとえば、3 つの異なるトラフィックシェーピングルールに 5 Mbps の制限を設定すると、それぞれのルールに一致する各クライアントフローに 5 Mbps が許可されます。

ルールの定義

ルールは 2 つの方法で定義できます。

ビデオ & 音楽、ピアツーピア、メールなど、さまざまな定義済みのアプリケーションカテゴリから選択できます。
HTTP ホスト名（例：salesforce.com）、ポート番号（例：80）、IP 範囲（例：192.168.0.0/16）、または IP アドレス範囲とポートの組み合わせ（例：192.168.0.0/16:80）を指定してルールを作成できます。

ルールのアクションは、選択した仕様に一致するすべてのトラフィックに適用されます。[Add expression]（表現の追加）をクリックすると、同じルールアクションに従ってシェーピングされるトラフィックに対して追加の仕様を作成できます。

注：HTTP ホスト名のルールでは、サブドメインを含めるためにプレフィックスとしてワイルドカード「*」（アスタリスク）を付ける必要はありません。たとえば、ホスト名「google.com」にはそのサブドメインも含まれます。

ルールのアクション

指定されたルールセットに一致するトラフィックは、シェーピングまたは優先順位付けが可能です。

帯域幅制限は、ネットワーク全体に指定された制限を無視する、指定された制限に従う、またはネットワーク制限よりも厳しい制限を適用するように指定できます。帯域幅スライダーコントロールを使用して、トラフィックの種類ごとに適切な制限を選択します。アップロードとダウンロードに非対称の制限を指定するには、帯域幅スライダーコントロールの横にある [details]（詳細）をクリックします。
優先順位は [High]（高）、[Normal]（通常）、または [Low]（低）に設定でき、MX シリーズは特定のネットワークフローを他のネットワークトラフィックと比較して優先順位付けできます。Realtime（リアルタイム）は、EF46 にマッピングされる DSCP ビット値でタグ付けされたトラフィック専用であることに注意してください。
- ファームウェア 18.2 以降：トークンバケットの割り当てには、Deficit Round Robin を使用したクラスベースの重み付け均等化キューイング（CBWFQ）が適用されます。割り当て比率は次のとおりです。
  - Realtime: 8
  - High: 4
  - Normal: 2
  - Low: 1

Deficit Round Robin では、送信するトラフィックがアクティブでないキューは、そのトークンが次のキューに割り当てられます。これにより、VoIP トラフィックやその他の手動で定義された優先度の高いトラフィックを引き続き優先しながら、優先度の低いキューの枯渇を防ぎます。

- ファームウェア 18.1 以前：トークンバケットの割り当てには、次の比率で厳密な優先順位キューイング（Strict Priority Queueing）が適用されます。
  - High: 4/7
  - Normal: 2/7
  - Low: 1/7
QoS（Quality of Service）の優先順位付けをレイヤー 3 トラフィックに適用できます。レイヤー 3 でトラフィックを優先順位付けするには、すべての送受信 IP パケットの IP ヘッダーにある DSCP タグの値を選択します。これは、トラフィックの Wi-Fi Multimedia (WMM) 優先順位にも影響します。

優先順位機能が期待どおりに動作するには、アップリンクのスループット設定が正確であることを確認してください。

QoS 優先順位付けが期待どおりに動作するには、上流のネットワーク機器も QoS 優先順位付けをサポートしていることを確認してください。

トラフィックシェーピングルールの作成例

これは、複数のトラフィックシェーピングルールを使用してトラフィックシェーピングポリシーを設定する方法の例です。その他の例については、シンプルなトラフィックシェーピング戦略の記事を参照してください。
VoIP を優先し、ピアツーピアトラフィックやゲームを最小限に抑えるには、次の手順に従って新しいトラフィックシェーピングポリシーを作成します。

ルール #1 の [Definition]（定義）プルダウンメニューで、[VoIP & video conferencing] を選択します。
[Bandwidth limit]（帯域制限）で、[Ignore network limit]（ネットワーク制限を無視）を選択します。
[Priority]（優先順位）プルダウンメニューで、[High]（高）を選択します。
[DSCP tagging]（DSCP タグ付け）で、[7 (WMM Voice)] を選択します。
[Add a new shaping rule]（新しいシェーピングルールを追加）をクリックします。
ルール #2 の [Definition]（定義）プルダウンメニューで、[Peer-to-peer (P2P)] を選択します。
[Add an expression]（表現の追加）をクリックします。
新しいプルダウンメニューで、[Gaming] を選択します。
[Bandwidth limit]（帯域制限）セクションで、[Choose a limit]（帯域制限を設定）をクリックし、スライダーを使用して低いスループット（最小値は 20 Kb/s）を選択します。
ページ下部の [Save Changes]（変更を保存）をクリックして変更を保存します。

Web キャッシュ

このオプションは、MX64、MX64W、MX65、MX65W、MX67、MX67W、MX67C、MX68、MX68W、MX68CW、MX75、MX85、MX95、MX105、Z3、Z3C、Z4、Z4C デバイスでは利用できません。

HTTP コンテンツキャッシュを有効にすると、MX は Web コンテンツをソリッドステートドライブ (SSD) にキャッシュします。これにより、頻繁にアクセスされる Web コンテンツのページ読み込み時間やファイルダウンロード時間が短縮され、エンドユーザーエクスペリエンスが向上します。Web キャッシュは静的な HTTP コンテンツに対してのみ機能するため、YouTube などのサイトはキャッシュできません。

この機能は、帯域幅が制限されているサイトにのみ推奨されます。20 Mbps 以上の帯域幅を持つ拠点では、コンテンツキャッシュの恩恵を受ける可能性は低いです。