Meraki DashboardでSAMLによる認証時のログをトラブルシューティングなどの目的で追いたい場合は、 メニュー: Organization > Administrators の画面内にある SAML login history から確認できます。

メニュー: Organization > Login attempts でも認証の成否に関しては確認を行えますが、認証の失敗理由までは確認が行えない点に違いがあります。

Meraki vMXはWarm-Spareを組めないため、AWS環境ではVIP (Virtual IP)を用いたGatewayの冗長化が行えません。
そのため、Primary vMXとSecondary vMXの2台のMeraki vMXを用意しても、AWS側のRoute TableにはNext hopを1つしか設定できず、 障害時には何かしらの手段を用いてNext hopを切り替える必要があります。

幸いにもMeraki vMXのFailoverを自動的に行うためのAWS Lambdaスクリプトが存在するため、本記事ではCloudFormationによるデプロイ方法を紹介します。

• Meraki vMX向けのAWS Quick Startsの概要
• Meraki vMXの設計・構築前に
• 本記事の設定方針
• DC-DC Failoverに関して
• 検証構成
• AWS MarketplaceからCisco Meraki vMXのSubscribe
• Meraki Dashboard API Keyの用意
  • OrganizationレベルでAPIの有効化
  • AccountでAPI Keyを生成
  • Meraki vMXのNetwrokの作成
  • Meraki vMX用NetworkへのTagの追加
• AWS Quick Startsによるデプロイ
  • Regionの移動
  • EC2 DashboardからKey Pairの用意
  • CloudFormationによるデプロイ
    • Step 1: Specify template
    • Step 2: Specify stack details
      • Meraki Organization IDの確認
      • Meraki organization API keyと権限
      • 認証トークンに関して
      • Meraki vMXのインスタンスのタイプ
      • AWS Lambdaスクリプトの実行間隔
    • Step 3: Configure stack options
    • Step 4: Review
• Meraki vMXのステータスの確認
• AWSのRoute Table & Transit Gateway Route Tableの事後 (After)確認
  • AWSのRoute Tableの事前 (Before)確認
  • AWSのTransit Gateway Route Tableの事前 (Before)確認
• MerakiのAuto VPNの設定
  • Meraki vMXのAuto VPNの設定
  • SpokeのAuto VPNの設定
• AWSのRoute Table & Transit Gateway Route Tableの事後 (After)確認
• 関連記事

Meraki vMX向けのAWS Quick Startsの概要

Meraki vMXをAWSのBest Practicesに従ってデプロイするためのAWS CloudFormationのテンプレートが、Cisco社とAWS社により共同で作成されています。

aws-quickstart.github.io

本CloudFormationのテンプレートは、Transit Gatewayを使用する構成を前提としています。 AWS基盤が管理するRoute tableのNext hopの切り替えが必要なため、 シンプルな設計にするにはトラフィックをTransit Gateway経由にしてルーティング情報を集中的に管理し、 Next Hopの操作対象のRoute Tableを限定する必要があるのが背景にあります。

そのため、Transit Gatewayを使用しない構成にはそのままでは適用できない点に留意してください。

Meraki vMXの設計・構築前に

Meraki vMX向けのAWS Quick Startsは、導入におけるあらゆる問題を解決するような銀の弾丸ではありません。 導入環境に応じての細かな調整が必要になる可能性があります。 そのため、関連する資料は全て目を通して、スクリプトの挙動なども把握して考慮点がないか確認してください。

Meraki vMXはネットワーク機器の分類になるため、大きくはネットワーク エンジニアの範疇になると思われます。 しかしながら、スクリプトの挙動や、Public CloudであるAWSの特性を加味した設計が必要になってくるため、 実案件ではプログラミングやPublic Cloudの知見があるエンジニアの存在が必要不可欠になります。

GitHub上のリポジトリにCloudFormationのテンプレートやAWS Lambdaのスクリプトが公開されているので、必ず情報の把握に努めてください。

github.com

AWS QuickStartsはCloudFormationのテンプレートを用いたデプロイを前提としているため、 既存のAWS環境の構成によってはCloudFormationによるデプロイが行えない可能性があります。 そうなると、CloudFormationで行われる設定内容を把握して、AWS Lambdaのスクリプトも個別にデプロイする必要が出てきてしまいます。 そのような状態になった際に、知見がなくてGitHub上に公開されている情報が把握できないなら目も当てられません。

本記事の設定方針

Meraki vMX向けのAWS Quick Startsによるデプロイは2種類のパターンがあります。

• Deploy Cisco Meraki Virtual MX into a new VPC
  Meraki vMXを新しいVPCにデプロイする方法です。本記事ではこの手順を扱います。

• Deploy Cisco Meraki Virtual MX into an existing VPC
  Meraki vMXを既存のVPCに展開する方法です。

DC-DC Failoverに関して

Meraki vMXの冗長化は、DC-DC Failoverの構成となります。

• DC-DC Failover自体に関しては下記の記事を参照してください。

  myhomenwlab.hatenablog.com

• DC-DC Failoverの構成はHub間のループが発生してしまうため、対処方法は下記を参照してください。

  myhomenwlab.hatenablog.com

検証構成

筆者の検証構成では、 AWS側のVPCに 10.253.0.0/16 を割り当てて、そのアドレスの範囲から Public Subnet 1 には 10.253.0.0/24 と、Public Subnet 2 には 10.253.1.0/24 を払い出しています。
拠点のLAN側には 10.255.11.0/24 のサブネットが存在し、AWS側のMeraki vMXが学習するAuto VPN Routeとなっています。

なお、本記事の中では疎通確認用のEC2インスタンスは作成せず、AWS Quick Startsによるデプロイのみを取り扱います。

また、AWSのRegionは Asia Pacific (Tokyo): ap-northeast-1 を指定しています。 筆者の検証時の所感ですが、拠点間の物理距離が離れているとAuto VPN経由の通信のパケットのドロップが気になったので、国内のRegionを指定しています。

AWS MarketplaceからCisco Meraki vMXのSubscribe

Meraki vMXのインスタンスを作成するには、AWS MarketplaceでCisco Meraki vMXをSubscribeしておく必要があります。

• AWS Marketplaceで下記の Cisco Meraki vMX にアクセスして、Continue to Subscribe ボタンを押下します。

  aws.amazon.com

  

• Terms and Conditions をよく読んだ上で、合意するのであれば Accept Terms ボタンを押下します。

  

• Cisco Meraki vMX がSubsrcibeされると AWS Marketplace > Manage subscriptions に表示されます。

  

Meraki Dashboard API Keyの用意

Meraki Dashboard APIを用いるため、Meraki Dashboard上で予めAPI Keyの発行が必要になります。

AWS Lambdaのスクリプトを確認すると、読み取り系のMeraki Dashboard APIしか使用していなかったため、 筆者の場合はOrganizationに対してRead Onlyの権限を設定したAccountでAPI Keyを発行しました。

Meraki Dashboard APIを使用するには、大きく分けて2つの手順があります。 セキュリティ観点を含めたAPI Keyの設定の詳細に関しては、下記の記事にまとめているので参考にしてください。

myhomenwlab.hatenablog.com

本記事内ではAPI Keyの発行までを簡潔に紹介します。

OrganizationレベルでAPIの有効化

• メニュー: Organization > Settings より Dashboard API access セクションにある API Access にて、Organizationに対するAPIアクセスを有効にします。

  

AccountでAPI Keyを生成

• メニュー: Account名 > My profile より API access セクションにある Generate new API key でAPI Keyを生成して情報を控えます。API Keyが漏洩すると悪用される危険性があるため厳重に管理します。

  

Meraki vMXのNetwrokの作成

• Meraki vMXはWarm-Spare構成を組めないため、1台目 (Primary vMX)と 2台目 (Secondary vMX)のNetworkで個別に作成します。
  筆者は下記のようなNetwork名で作成しております。適宜読み替えてください。

  Network名	用途
  NW_AWS_vMX1	Primary vMX向け
  NW_AWS_vMX2	Secondary vMX向け

• メニュー: Organization > Create network に移動します。

• 設定項目: Network type には Security appliance を指定して、任意の名称でNetworkを作成します。
  備考: AWS向けのNetworkには、Meraki vMX以外を所属させる余地がないため Combined hardware にする必要がありません。

  

• Networkを作成すると、メニュー: Security & SD-WAN > Appliance status の画面に移動します。 Meraki vMXのライセンス登録状況に応じて、Add-vMX-S, Add-vMX-M, Add-vMX-L のボタンが表示されるので、追加対象のボタンを押下します。

  

  

Meraki vMX用NetworkへのTagの追加

• メニュー: Organization > Overview に移動します。

• Cisco Meraki vMXのPrimary MXとSecondary MXになるNetworkに対して、一意なTagを追加します。
  筆者の環境では下記のように指定しております。AWS Lambdaのスクリプトから参照される情報になります。

  Network名	用途	Tag
  NW_AWS_vMX1	Primary vMX向け	AWS_vMX1
  NW_AWS_vMX2	Secondary vMX向け	AWS_vMX2

  対象のNetworkを一つずつ選択して、Tag ボタンから追加します。

  

  

AWS Quick Startsによるデプロイ

Regionの移動

• AWS ConsoleからRegionを明示的に選択します。
  筆者は Asia Pacific (Tokyo) に指定しています。適宜読み替えてください。

  

EC2 DashboardからKey Pairの用意

EC2 Dashboard から メニュー: Security & Network > Key Pairs でSSH Keyを予め発行しておきます。
CloudFormationでデプロイする際にKey Pairの指定が必須になっているためです。 ですが、Meraki vMXはSSHログインしてのコマンド操作には対応していないため、実質的にはSSHで接続する必要性はありません。

CloudFormationによるデプロイ

• AWS Quick StartsのMeraki vMXのページに移動して、How to deploy タブより Deploy Cisco Meraki Virtual MX into a new VPC を押下します。

  aws.amazon.com
  

  

Step 1: Specify template

• デプロイ先のRegionに移動します。

  

• Amazon S3 URL にAWS Quick StartsのMeraki vMX向けのURLが指定されているのを確認します。
  筆者が確認した際のURLは下記となっております。

  URL: https://aws-quickstart.s3.us-east-1.amazonaws.com/quickstart-cisco-meraki-sd-wan-vmx/templates/quickstart-cisco-meraki-sdwan-vmx-entrypoint-new-vpc.template.yaml

Step 2: Specify stack details

環境に応じたパラメータを入力してデプロイします。筆者が検証した際の情報を参考に記載します。
補足が必要なパラメータは個別に解説していきます。

参考情報としてデフォルト値の画面を掲載します。

Meraki Organization IDの確認

Meraki Dashboard の画面下部に organization ID の情報が表示されます。

Meraki organization API keyと権限

Meraki vMXのルーティング情報を読み込むのにAWS LambdaのスクリプトでMeraki Dashboard APIを使用しています。
AWS LambdaからのMerakiに対する設定の権限は不要であるため、Read-only の権限で専用のAccountを用意してAPI Keyを発行するのが好ましいです。

認証トークンに関して

Authentication token, first vMX instance と Authentication token, second vMX instance にはMeraki vMXの認証トークンを指定します。
Meraki Dashboardのメニュー: Security & SD-WAN > Appliance status に移動して、Meraki vMXのデバイスの画面から Generate authentication token... ボタンを押下すると認証トークンが発行が可能です。
なお、Meraki vMXがMeraki Cloudに接続して認証できる状態になるまで1時間以内になるようにしてください。

Meraki vMXのインスタンスのタイプ

Meraki vMXは、vMX-S, vMX-M, vMX-Lのライセンス種別によってAWS側で指定すべきインスタンスのタイプが異なります。
ドキュメントを確認にして適切なインスタンスのタイプを指定します。

documentation.meraki.com

AWS Lambdaスクリプトの実行間隔

AWS Lambdaスクリプトの実行間隔は CloudWatch Events rule rate で指定します。 デフォルトでは rate(10 minutes) となっており、障害の検知時間を短くするのであれば rate(1minutes) に変更してください。

Step 3: Configure stack options

Step 3ではCloudFormationのStackのオプションを適宜指定します。
参考情報としてデフォルト値の画面を掲載します。

筆者は生成されたリソースを追いやすくするために、Tag情報のみを明示的に設定しました。

Step 4: Review

CloudFormationのテンプレート内でIAM (Identity and Access Management)リソースを作成する可能性があるため、 続行するには Capabilities のセクションで下記の2点に同意する必要があります。

• I acknowledge that AWS CloudFormation might create IAM resources with custom names.

• I acknowledge that AWS CloudFormation might require the following capability: CAPABILITY_AUTO_EXPAND

Meraki vMXのステータスの確認

Primary vMXとSecondary vMXがMeraki Cloudとの接続性があり、Portsの状態が取得できているかを確認します。 もしMeraki vMXがMeraki Cloudとの接続性がなければ、Portsの状態が取得できないままになります。

AWSのRoute Table & Transit Gateway Route Tableの事後 (After)確認

Meraki vMXの冗長化が関係するAWSのルーティングの設定には Route Table と Transit Gateway Route Table があります。 Meraki vMXのAuto VPNの設定をまだ行っていない場合にどうなるか確認しておきます。

なお、Meraki Dashboard側の設定も完了してAWS Lambdaスクリプトが動作すると、 Meraki vMXが学習しているAuto VPN RouteがAWS側の Route Table と Transit Gateway Route Table に反映されます。

AWSのRoute Tableの事前 (Before)確認

Route Table: Public Subnets には local と igw (Internet Gateway) しか載りません。

AWSのTransit Gateway Route Tableの事前 (Before)確認

Transit Gateway Route Table: Cisco-Meraki-Sd-Wan-Vmx-WorkloadStack-... には CIDR block for the VPC で指定したVPCのCIDRブロックしか載りません。

MerakiのAuto VPNの設定

AWS環境のMeraki vMXをHubとして、AWS環境の各拠点がHub & Spoke構成になるように設定します。

Meraki vMXのAuto VPNの設定

• Primary vMXとSecondary vMXのそれぞれに設定します。

• メニュー: Security & SD-WAN > Site-to-site VPN に移動します。

• Type の設定を Hub に指定します。

• Local networks を下記のように設定します。

  Name	Subnet	備考
  AWS_NW	10.253.0.0/16	Name は任意の名称を指定します、Subnet にはCloudFormationのテンプレートの項目にあった CIDR block for the VPC と同じサブネットの範囲を指定します。

• Primary vMXとSecondary vMXの両方に設定を行うのを忘れないようにしてください。

SpokeのAuto VPNの設定

• Auto VPNに参加する各Spokeに対して設定します。

• メニュー: Security & SD-WAN > Site-to-site VPN に移動します。

• Type の設定を Spoke に指定します。

• Hubs を下記のように設定します。

  #	Name	IPv4 default route	備考
  1	NW_AWS_vMX1	Uncheck	Primary vMXを1番目に指定します。
  2	NW_AWS_vMX2	Uncheck	Secondary vMXを2番目に指定します。

• 全てのSpokeに設定を行うのを忘れないようにしてください。

AWSのRoute Table & Transit Gateway Route Tableの事後 (After)確認

Meraki Dashboard上でAuto VPNのHub & Spoke構成が適切に設定されると、 Primary vMXとSecondary vMXによって学習されるAuto VPN Routeの情報が、AWS LambdaスクリプトによってAWS側の Route Table と Transit Gateway Route Table に反映されます。

ここまでの手順でCloudFormationによるデプロイと、AWS Lambdaスクリプトが動作しているかの簡単な確認が終わりとなります。

関連記事

myhomenwlab.hatenablog.com

myhomenwlab.hatenablog.com

Meraki MXでDC間の冗長化や、Warm-Spareに非対応なMeraki vMX (Virtual MX)で冗長化する場合は、DC-DC Failoverの構成を取る必要があります。
DC-DC Failoverの情報は下記の公式ドキュメントに記載がありますが、「何故そのような仕組みになっているのか？」までは明記されていません。 そのため、DC-DC Failoverを成り立たせている要素を本記事では整理して紹介します。

documentation.meraki.com

下記のイメージ図は、DC-DC Failoverを成り立たせている必須級の要素を表したものです。 表現を変えると、MXでDC間の冗長化を行うには、この必須級の要素を満たさなければならないため、 DC-DC Failover構成における設計の要所を理解しておく必要があります。

• Meraki MX, vMXのModeとDC-DC Failoverの関係性
  • Meraki MXのMode
  • Meraki vMX (Virtual MX)のMode
  • DC側のMXは原則的にOne-Armed構成
• Auto VPNへの参加とサブネットの重複
• Spoke発の通信フロー
• Auto VPN Peerの状態とAuto VPN Routeの関係性
• DC-DC FailoverはHubから同一ルートを広報する
• DC-DC Failover構成におけるHub間のループ
• DC-DC FailoverのFailoverの時間
• 最後に

Meraki MX, vMXのModeとDC-DC Failoverの関係性

DC-DC Failover構成では、DC側のMXは Passthrough or VPN Concentrator Mode である必要があるため、その理屈を順を追って紹介します。

Meraki MXのMode

Meraki MXには2種類のModeがあります。

• Routed Mode
• Passthrough or VPN Concentrator Mode

Routed Mode は拠点のInternetを収容するのに向いているModeです。 DC-DC Failover構成では、DC側に設置するMXは必然的に Passthrough or VPN Concentrator Mode となります。 表現を変えると、DCのInternet収容をMXですべきではありません。 DC側を Routed Mode にしてしまうと、Primary DCとSecondary DCによるDC間の冗長化が行えなくなってしまいます。

Meraki vMX (Virtual MX)のMode

仮想アプライアンスのvMX (Virtual MX)では、物理アプライアンスのMXとModeの名称が異なります。

Concentrator Mode の中に One-Armed Concentrator と NAT Mode Concentrator の区分があります。 MXのPassthrough or VPN Concentrator Mode は、vMX (Virtual MX) では One-Armed Concentrator に相当します。

そのため、本記事内での Passthrough or VPN Concentrator Mode は vMX の One-Armed Concentrator を含んだ意味合いとして解説します。

Concentrator Mode の中に One-Armed Concentrator と NAT Mode Concentrator の区分がありますが、基本的には One-Armed Concentrator となります。 そしてvMXがどちらのModeであっても、MXで言えば Passthrough or VPN Concentrator Mode に相当します。

そのため、本記事内での Passthrough or VPN Concentrator Mode は vMX を含んだ意味合いとなります。

筆者の解釈に誤りがありましたので、2022年06月21日付けで上述の内容を訂正しております。
NAT Mode Concentrator の詳細は下記の記事で解説しております。

myhomenwlab.hatenablog.com

vMXは各種Public Cloudに対応しているため、Modeの記述は各Public Cloud向けのドキュメントに記載があります。

• vMX Setup Guide for Amazon Web Services (AWS) - Cisco Meraki

• vMX Setup Guide for Microsoft Azure - Cisco Meraki

• vMX Setup Guide for Google Cloud Platform (GCP) - Cisco Meraki

• vMX Setup Guide for Alibaba Cloud - Cisco Meraki

DC側のMXは原則的にOne-Armed構成

DC側に設置するMXは必然的に Passthrough or VPN Concentrator Mode になる点を紹介しました。 その Passthrough or VPN Concentrator Mode は、Passthrough と VPN Concentrator の言葉が混ざっており、 構成のイメージが大きく分けて2パターンあるように取れますが、原則的にDC側はOne-Armed構成のVPN Concentratorとなります。

Meraki MXはBPDUを透過するのみでSTPに対応していない点、LAGを組めない点があり、Passthrough構成にすると冗長性に問題が出ます。

Auto VPNへの参加とサブネットの重複

MXがAuto VPNへ参加する際は、Routed Modeの場合はAuto VPN内でサブネットが一意である必要があります。(Routed ModeではAuto VPN内でサブネットの重複が許されません。)

Routed ModeのMXは拠点のInternet収容用途がメインになるため、 例えば拠点1と拠点2で物理的に分かれていてLAN内のネットワークも分断されているのに、 サブネットが重複していたら送るべきAuto VPN Peerが一意に特定できなくなるからです。

それに対して Passthrough or VPN Concentrator Mode がAuto VPNへ参加する際は、サブネットの重複が許容されます。 Auto VPN内にサブネットが重複して広報されていても、DC間接続の渡りによってどちらのDC経由でも到達性が確保されているためです。

なお、DC側をRouted Modeにして、MXから対向DCにStatic Routeを向けつつ、そのStatic RouteをAuto VPNに広報するのもサブネット重複の制約に引っかかるためできません。

更に補足すると、Routed Modeはサブネットの重複が許されないため、 同一拠点内でMX (シングル・Warm-Spare構成)を複数セット用意して、一つの拠点で複数のInternetの出口を向くような構成が実質的にできなくなります。

上述のRouted ModeにおけるAuto VPN内のサブネット重複の制約により、DC側に設置するMXは必然的に Passthrough or VPN Concentrator Mode となります。

Spoke発の通信フロー

Spokeの視点で、複数のHubから同一のルートが広報されている場合は「Hubの優先度」に従ってルーティングが行われます。
優先度によって一意に宛先が決まるため、負荷分散が行われない点に留意してください。 また、あくまでもSpoke発の通信に適用されるため、ルーティング設計によって「戻りの通信」が異なるHubから返ってくる可能性があります。 非対称ルーティングは、一般的に通信フローやトラブルシューティングを複雑化してしまうため、DC内のルーティング設計には留意してください。

Auto VPN Peerの状態とAuto VPN Routeの関係性

Auto VPN Routeは基本的にAuto VPN Peerの状態 (Up/Down)に関わらず、常にRoute tableにインストールされた状態になります。 一般的なRouting & Switchの知識がある方には不思議な挙動に見受けられると思われます。

理屈的には、Auto VPN Peerの状態をトラッキングしていなくても、Routed Modeはサブネットの重複が許されてないので迂回経路が発生せず、 Auto VPN PeerがDownしているのであれば、トラッキングの有無に関わらずに該当拠点への到達性がないのは当たり前になるからです。

ただし、DC-DC Failover構成ではDC間接続による冗長化を行っていると想定しているため、Primary DCとSecondary DCのどちらのDCからも到達性があります。 そのため、DC-DC Failover構成では例外的な挙動があります。 Passthrough or VPN Concentrator Mode の複数のHubが、同一サブネット長のAuto VPNのルートを広報している場合に、 対象Auto VPN Routeを持つAuto VPN Peerの状態を死活監視して、障害時はルートを切り替える挙動になっています。

DC-DC FailoverはHubから同一ルートを広報する

DC-DC Failoverの構成ではDC側のHubは同一サブネット長のルートを広報する必要があります。同一のルートでなければFailoverの対象にならないためです。 そのため、Logest Matchで一方のDCを優先させる制御はできなくなります。

補足ですが、MX Routing Behavior の DC-DC Failover のセクションによると、サポートへ連絡すればLongest Matchによる制御にも対応可能にはなるようです。

documentation.meraki.com

If you require the spoke MX to be able to failover to a hub with a less specific subnet, please contact Cisco Meraki Support.

ただし、例外的な挙動を許容した設計とすると、MXの製品特性を大きく逸脱しかねないためリスクが伴う点を理解すべきです。 例外的な挙動を許容しなければならない時点で、そもそも論としてシンプルが売りのMeraki MXを導入するのがリスクになります。

DC-DC Failover構成におけるHub間のループ

DC-DC Failover構成ではHub間のループが発生するのが想定動作となります。
そのため、Hub間のループを引き起こされないようにする必要がありますが、注意点もあるため下記の記事に個別にまとめております。

myhomenwlab.hatenablog.com

DC-DC FailoverのFailoverの時間

DC-DC Failover構成では、Spokeから見たHubへのFailoverの時間は 20 ～ 30 秒になっております。

また、HubからSpokeへのFailoverは、ルーティング設計に依存する点に留意してください。 さらに、vMXをPublic Cloudに導入した場合は、Public Cloudの基盤側がRoute Tableの制御を持つため、冗長化の切り替えスクリプトや、BGPによる動的ルーティングの切り替えにFailoverの時間が依存します。

documentation.meraki.com

Warning: Failover between datacenters typically occurs in 20 to 30 seconds after connectivity between the remote site and the datacenter is lost. The failover time will vary if utilizing BGP, due to the iBGP hold-timer.

Meraki SD-WAN のドキュメントの Failover Times のセクションの表には、他のFailoverの観点と一緒に記載があります。

documentation.meraki.com

最後に

Meraki MXはクラウド管理型のため、Internetへの接続性に大きく依存しています。 そして、そのInternetは不特定多数のネットワークが集まって成り立っているため、専用線を用いてSLAが保証されている閉域網よりは不安定と表現できるかもしれません。 その対策として、Meraki MXはルーティングに対してはフラップが発生しにくい仕組みを取っていると推察されます。 そのため、一般的なR&Sと比較すると特殊な挙動となっており、DC-DC Failoverはその最たる例と言えると筆者は考えております。

また、Meraki MXは特殊な挙動同士が密接に関係しているため、意図しない挙動による考慮漏れが生まれないように、原則的にBest Practicesに沿って設計すべきです。
表現を変えると、導入環境がBest Practicesに適合しないのであれば、Meraki MXの導入は避けるべきです。
Meraki MXの特殊な挙動を全て読み切るのは難しく、多機能でもないため設計によるリカバリも困難であり、複雑な要件を個々に対応していくのが実質的に不可能なためです。

要は、プロの料理人が書き残したBest Practicesと呼ばれるレシピに、素人が自己流のアレンジを加えるようなやり方をすべきではありません。 Meraki MXに限らない話ですが、製品特性を踏まえて導入すべきです。