My Home NW Lab

逸般の誤家庭のネットワーク

Meraki MXのOne-Armed構成のVPN ConcentratorはUplink (WAN)ポートを一つしか使えない (リンク冗長化を行えない)

目次

概要

Meraki MXの Passthrough or VPN Concentrator ModeでのOne-Armed (ワンアーム)構成では、UplinkのポートにWAN1 (Internet 1)ポートしか使えません。
そして、MXはLAG (Link Aggregation)に非対応となるため、Passthrough or VPN Concentrator Mode ではUplinkのリンク冗長化が行えません。

なお、Routed Mode ではWAN1とWAN2をWAN負荷分散に使用できますが、 挙動としてはInternet側へのトラフィックを送出する際に、 非対称ルーティングを回避するために送信元NATを行って戻りのトラフィックが確実に元の出力Interfaceに戻るようにしている仕組みです。 そのため、WAN負荷分散とLAG (Link Aggregation)を混同しないように注意してください。

f:id:myhomenwlab:20220114172406j:plain
One-Armed構成のVPN ConcentratorはUplinkにWAN1のみしか使用できない


また、Auto VPNの暗号化トラフィックと、カプセル化が解除された非暗号化トラフィックが一つのUplinkに混ざるため、スループットへの影響に注意してください。

例えば、暗号化トラフィックが600Mbpsほど流れる想定であれば、非暗号化トラフィックも同等程度流れる可能性があるため、 Uplinkでは約2倍のトラフィック量の約1200Mbps (1.2Gbps)を捌ける必要があると考えられます。 この場合は、GigabitEthernet (1Gbps)のInterfaceではトラフィックを捌けない可能性が出てくるため、10 GigabitEthernet搭載モデルの選定を検討する必要が出てきます。

さらに各種機能の使用状況がスループットにも影響するため、下記のサイジング資料の Network performance benchmarks のスライドを参照してください。

MX Sizing Principles
https://meraki.cisco.com/product-collateral/mx-sizing-guide/?file

そして、筐体冗長化でWarm-Spare構成にしたとしても、Active-Standby方式となるため捌けるトラフィック量は増えません。

f:id:myhomenwlab:20220114172413j:plain
One-Armed構成のVPN Concentratorは一つしかないUplinkにトラフィックが集中してしまう

関連ドキュメント

Passthrough or VPN Concentrator Mode の仕様

VPN Concentrator Deployment Guide - Cisco Meraki
One-Armed Concentrator のセクション
https://documentation.meraki.com/MX/Deployment_Guides/VPN_Concentrator_Deployment_Guide#Appendix_1:_One-armed_concentrator_operation

One-Armed Concentrator This configuration utilizes an MX device configured to act in VPN concentrator mode, with a single Ethernet connection to the upstream network. All traffic will be sent and received on this interface. This is the recommended configuration for MX appliances serving as VPN termination points into the datacenter.

VPN Concentrator Deployment Guide - Cisco Meraki
Interface Configuration のセクション
https://documentation.meraki.com/MX/Deployment_Guides/VPN_Concentrator_Deployment_Guide#Interface_Configuration

Interface Configuration
The MX Security Appliance being configured as a one-armed VPN concentrator should be connected to the upstream datacenter infrastructure using its Internet port, or using the Internet 1 port on devices models with two Internet uplink ports.

When using the MX as a one-armed VPN concentrator for VPN endpoints, be sure to not connect anything to the MX's LAN ports. If the MX is simply being used as a passthrough device, using its LAN ports will not impact its performance.

ドキュメント上の Internet 1 port は WAN1 ポートと同義の扱いです。

MXはLAG (Link Aggregation)に非対応です。

Link Aggregation and Load Balancing - Cisco Meraki
https://documentation.meraki.com/General_Administration/Tools_and_Troubleshooting/Link_Aggregation_and_Load_Balancing#MX_Series

MX Series Cisco Meraki security appliances use a proprietary algorithm to provide load balancing across two Layer 3 links (if configured). This can be customized to use different ratios and specific rules for outbound traffic. As NAT is used, flows that are part of a particular conversation will remain on the link they are placed.

Please refer to MX Load Balancing and Uplink Preferences for details on how to implement.