Hub & Spoke構成のMeraki MXにて、MXのOSPFでのルートの広報の仕方と、他のOSPF Router (OSPF Neighbor)からのルートの見え方を確認しました。

SpokeのMXの設定項目にあるHubへのDefault route設定によって、OSPFのルートの広報対象に変わりが出てくるため、2通りのパターンを整理します。

• Default route設定がUncheckされて無効化 (Disabled)されていると、他拠点宛 (Auto VPN Peer)以外への通信は、直接SpokeからInternet向けのDefault Routeのルーティングに従った動作となり、いわゆるSplit Tunnelを張った状態となります。

• Default route設定がCheckされて有効化 (Enabled)されていると、SpokeからHubへのAuto VPNトンネル上にDefault Routeを設定し、いわゆるFull Tunnelを張った状態となります。 原則的にSpokeからInternet宛への通信が、Hubを経由した通信となるため、Data Center内のセキュリティ機器などで通信に対する一元的な制御を行いたい場合に適した設定です。

• MXのOSPFによるルートの広報の観点では、Default route設定がCheckされていると、他拠点への個別ルートに加える形で、HubへのDefault Route (0.0.0.0/0)をOSPF Neighborに広報します。

また、Meraki MXのOSPFは、Auto VPN Peerに対するルートをOSPFで広報はできますが、OSPFによるルートの学習は行えない点に留意してください。 その仕様が故に、MXからOSPF Neighborへ一方的にルートを広報するようなイメージとなります。

ドキュメントにもMXでのOSPFの制約に関して記述があるため確認してください。

Using OSPF to Advertise Remote VPN Subnets - Cisco Meraki
https://documentation.meraki.com/MX/Site-to-site_VPN/Using_OSPF_to_Advertise_Remote_VPN_Subnets

Note: Please note that the MX will only advertise Meraki Auto VPN routes (including static routes shared into Auto VPN) with OSPF. The MX will need static routes configured for any other local subnets.

目次

• 目次
• 検証時の情報
  • 検証構成
  • 検証機器
  • 検証時のバージョン情報
  • OSPF Router (VyOS)のコンフィグ
• ルーティング テーブルの確認
  • SpokeのMXでDefault routeのUncheck時 (Split Tunnel)
    • Meraki MX (Split Tunnel時)のRoute table
    • OSPF Router (VyOS)のshow ip route (MXがSplit Tunnel時)
  • SpokeのMXでDefault routeのCheck時 (Full Tunnel)
    • Meraki MX (Full Tunnel時)のRoute table
    • OSPF Router (VyOS)のshow ip route (MXがFull Tunnel時)

検証時の情報

検証構成

検証機器

• Meraki MX64, MX67

• PROTECTLI Vault VP2410
  小型ベアボーンにVyOSをインストールして動作させています。

検証時のバージョン情報

• MXのVersion: MX 15.44

• VyOSのVersion: VyOS 1.4-rolling-202201020317

vyos@vyos:~$ show version | grep Version:
Version:          VyOS 1.4-rolling-202201020317
vyos@vyos:~$

OSPF Router (VyOS)のコンフィグ

• 投入するコンフィグ (関連コンフィグのみ抜粋)

configure

set interfaces ethernet eth0 address 10.1.0.1/24

set protocols ospf area 0 network 10.1.0.1/32

set protocols ospf parameters router-id 10.1.0.1

set protocols ospf log-adjacency-changes

commit

備考: MXからOSPFで広報されたDefault Routeを学習しているか確認するために、OSPF Router (VyOS)にはStatic RouteのDefault Routeは設定していません。

• 全体のコンフィグ

vyos@vyos:~$ show configuration
interfaces {
    ethernet eth0 {
        address 10.1.0.1/24
        hw-id **:**:**:**:**:**
    }
    ethernet eth1 {
        hw-id **:**:**:**:**:**
    }
    ethernet eth2 {
        hw-id **:**:**:**:**:**
    }
    ethernet eth3 {
        hw-id **:**:**:**:**:**
    }
    loopback lo {
    }
}
protocols {
    ospf {
        area 0 {
            network 10.1.0.1/32
        }
        log-adjacency-changes {
        }
        parameters {
            router-id 10.1.0.1
        }
    }
}
service {
    ssh {
    }
}
system {
    config-management {
        commit-revisions 100
    }
    conntrack {
        modules {
            ftp
            h323
            nfs
            pptp
            sip
            sqlnet
            tftp
        }
    }
    console {
        device ttyS0 {
            speed 115200
        }
    }
    host-name vyos
    login {
        user vyos {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
        }
    }
    ntp {
        server time1.vyos.net {
        }
        server time2.vyos.net {
        }
        server time3.vyos.net {
        }
    }
    syslog {
        global {
            facility all {
                level info
            }
            facility protocols {
                level debug
            }
        }
    }
}
vyos@vyos:~$

ルーティング テーブルの確認

SpokeのMXでDefault route設定によって配布されるルートが異なるため、2パターンの状態を掲載します。

SpokeのMXでDefault routeのUncheck時 (Split Tunnel)

Meraki MX (Split Tunnel時)のRoute table

Default routeをUncheckしているため、Split Tunnelの状態となっており、0.0.0.0/0 のルートは存在してないのが確認できます。

OSPF Router (VyOS)のshow ip route (MXがSplit Tunnel時)

OSPF Router (VyOS)には、他拠点への個別ルートしか広報されてきていないのを確認できます。 表現を変えると、Default routeをUncheckしているため、0.0.0.0/0 のルートは存在していません。

vyos@vyos:~$ show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP,
       O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
       T - Table, v - VNC, V - VNC-Direct, A - Babel, F - PBR,
       f - OpenFabric,
       > - selected route, * - FIB route, q - queued, r - rejected, b - backup
       t - trapped, o - offload failure

O>* 10.0.0.0/24 [110/1] via 10.1.0.254, eth0, weight 1, 2d20h38m
O   10.1.0.0/24 [110/1] is directly connected, eth0, weight 1, 2d20h39m
C>* 10.1.0.0/24 is directly connected, eth0, 2d20h39m
O>* 10.2.0.0/24 [110/1] via 10.1.0.254, eth0, weight 1, 2d20h38m
vyos@vyos:~$

↑↑↑↑ ここまでがSplit Tunnelの状態です。 ↑↑↑↑

↓↓↓↓ ここからがFull Tunnelの状態です。 ↓↓↓↓

SpokeのMXでDefault routeのCheck時 (Full Tunnel)

Meraki MX (Full Tunnel時)のRoute table

Default routeをCheckしているため、Full Tunnelの状態となっており、他拠点への個別ルートに加えて 0.0.0.0/0 のルートが存在しているのを確認できます。

OSPF Router (VyOS)のshow ip route (MXがFull Tunnel時)

OSPF Router (VyOS)には、他拠点への個別ルートに加えて 0.0.0.0/0 のルートが広報されてきているのを確認できます。

vyos@vyos:~$ show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP,
       O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
       T - Table, v - VNC, V - VNC-Direct, A - Babel, F - PBR,
       f - OpenFabric,
       > - selected route, * - FIB route, q - queued, r - rejected, b - backup
       t - trapped, o - offload failure

O>* 0.0.0.0/0 [110/1] via 10.1.0.254, eth0, weight 1, 00:01:11
O>* 10.0.0.0/24 [110/1] via 10.1.0.254, eth0, weight 1, 2d20h43m
O   10.1.0.0/24 [110/1] is directly connected, eth0, weight 1, 2d20h44m
C>* 10.1.0.0/24 is directly connected, eth0, 2d20h44m
O>* 10.2.0.0/24 [110/1] via 10.1.0.254, eth0, weight 1, 2d20h43m
vyos@vyos:~$