My Home NW Lab

逸般の誤家庭のネットワーク

Meraki vMX (Virtual MX)のSpoke設定時はFull Tunnelをサポートしていない (2022年05月時点)

仮想アプライアンスであるMeraki vMX (Virtual MX)は、Spoke設定時に他のMXシリーズに対してFull Tunnelの指定ができません。
表現を変えると、Meraki vMX (Virtual MX)はSpoke設定時にSplit Tunnelでのみ動作します。

補足ですが、Full Tunnelとはサービス系の全ての通信が、対向のAuto VPN Peer経由となるようにDefault Routeを向けるのを指します。

Meraki vMXでは他のMXに対するFull Tunnelはサポートされない

勘違いしないように強調しますが、あくまでも仮想アプライアンスのvMX (Virtual MX)から他のMXシリーズに対してのFull Tunnelの指定が出来ないだけです。

物理アプライアンスのMXからは、仮想アプライアンスのvMX (Virtual MX)に設定上はFull Tunnelを張れます。 ただし、通常のvMX (Virtual MX)は送信元NATできないため、Meraki vMX (Virtual MX)経由でのInternetへの接続が行えず、わざわざMXからvMX (Virtual MX)に対してFull Tunnelを張れるように設計する意義は薄いと考えられます。 この話は、例外的な考慮点も含めると本題から脱線するので本記事内では掘り下げません。

Meraki MXとvMXの設定画面の比較

機能のサポート可否の話をした際に、非対応だと問題視する方がいらっしゃるかもしれません。

ですが、そもそもvMX (Virtual MX)でFull Tunnelを張る必要があるでしょうか。

Public Cloud基盤上の仮想アプライアンスのvMX (Virtual MX)は、Internetに直接的に面しているのが基本であり、vMX (Virtual MX)はHubとなるのがBest Practicesに準ずる構成です。 更には、Spokeの設定時はDC-DC Failover構成による冗長化を行えないため、一般的にEnterprise環境ではvMX (Virtual MX)をHubとして設計せざるを得ません。
そのため、Spokeに設定した上で他拠点宛にFull Tunnelをわざわざ張る意義は基本的にないと考えられます。 仮にvMX (Virtual MX)でFull Tunnelが今後サポートされても、Best Practicesから逸脱した特殊な構成になると、それこそリスクが高くなります。
よって、製品特性を見極めて顧客環境に適切な設計で導入しましょう。

Meraki vMX (Virtual MX)のFull Tunnelのサポート可否の情報は、2022年05月頃にサポートの方に確認しております。