My Home NW Lab

逸般の誤家庭のネットワーク

Meraki MXのRouted ModeではAuto VPN Topology内に同一サブネットを重複して広報できない

目次

概要

Meraki MXには2つのModeがありますが、Auto VPN Peerがとあるサブネットを広報している際に、
* Routed ModeではAuto VPN Topology内に重複するサブネットを広報できません。(重複不可)
* Passthrough or VPN Concentrator ModeではAuto VPN Topology内に重複するサブネットを広報できます。(重複可能)

f:id:myhomenwlab:20220113162716j:plain
MXのRouted ModeではAuto VPNに広報するサブネットを重複できない

ドキュメント上の情報

ドキュメント上の該当する記述は下記になります。

Site-to-Site VPN Settings - Cisco Meraki
https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-Site_VPN_Settings#Local_networks

The same subnet can only be advertised from more than one appliance if all appliances advertising that subnet are in Passthrough or VPN Concentrator mode. All subnets advertised from an appliance in Routed mode must be unique within the Auto VPN topology.

エラー メッセージのサンプル

実際にAuto VPN Topology内でサブネットを重複させて広報しようとすると、下記のようなエラー メッセージが表示されます。

f:id:myhomenwlab:20220113164133j:plain
MXのRouted ModeでAuto VPNへ広報するサブネットが重複した場合のエラー メッセージ

There were errors in saving this configuration:
The VLAN subnet 10.1.0.0/16 conflicts with a remote VPN subnet on the network TokyoHQ-a (10.1.0.0/16).

関連情報

本仕様に付随する関連情報があります。
Passthrough or VPN Concentrator ModeではAuto VPN Topology内に同一サブネットを広報できるため、DC冗長化 (DC-DC Failover構成)を行う際に活用します。
DC冗長化では、Primary DCとSecondary DCでDC間の渡りを作っていると、一方のDCから他方のDCへの迂回経路が存在するため、両DCから同一サブネットを広報する意義が出てきます。

f:id:myhomenwlab:20220113180836j:plain
DC-DC Failover構成

そのため、DC冗長化が要件にある場合は、DC側のMXのModeは、本仕様を踏まえて必然的に Passthrough or VPN Concentrator Mode となります。

その他の詳しいDC-DC Failover構成の情報に関しては、下記のドキュメントを参照してください。

Datacenter Redundancy (DC-DC Failover) Deployment Guide - Cisco Meraki
https://documentation.meraki.com/MX/Deployment_Guides/Datacenter_Redundancy_(DC-DC_Failover)_Deployment_Guide

アンチ パターンの例

回線を効率的に活用するために、MXをRouted ModeでNetworkを分けてActive-Active構成を取ろうとした場合に、本仕様が制約となり引っかかる可能性があります。

f:id:myhomenwlab:20220113175833j:plain
アンチ パターンの例

MXはWarm-Spareで筐体冗長化を行えますが、Active-Standby方式であるためStandby側に収容されている回線を平常時に活用できないデメリットがあります。 そのため、MXでActive-Activeの構成が取れるように構成案を試行錯誤した際に、上述の図のように本仕様の影響を受ける可能性があります。

特に既存環境でOSPFやEIGRPでECMP構成を取っている場合は、回線を効率的に使用できている場合があるので、 Merakiに更改した際にActive-Active構成を取れないと、Failoverの許容時間や、障害時にしか活用できない回線コストが問題視される可能性があります。

勿論、一概に比較できない要素もあり、Merakiに更改した際に、専用線からInternet回線に乗り換えて大幅なコストの削減を行い、 Local Internet BreakoutでDCを経由するトラフィック流量の削減などのメリットがあるとも考えられます。

しかしながら、既存の要件で満たしているものができなくなると、製品への心象にも影響が出てしまいます。 そのため、パッケージ製品にビジネスを寄せて業務変革を伴いつつメリットを享受していくかの如く、製品の特性を踏まえて納得頂けるような提案にしていく必要があります。

仕様の話から飛び火した内容と捉えられるかもしれませんが、 個々の細かい仕様が製品の特性を決定づけるものとなり、巡り巡って要件実現の障壁になる可能性が出てくるためアンチ パターンの例として記載致しました。