My Home NW Lab

逸般の誤家庭のネットワーク

Meraki vMXのNAT Mode Concentrator (Limited NAT mode)の特長や設定方法

Meraki vMX (Virtual MX)のModeには One-Armed Concentrator と NAT Mode Concentrator (Limited NAT mode) の2種類があります。

  • Concentrator Mode
    • One-Armed Concentrator
      備考: デフォルトのModeです。

    • NAT Mode Concentrator (Limited NAT mode)
      備考: サポートへの有効化依頼が必要で様々な制約があります。

デフォルトでは One-Armed Concentrator になっており、Limited NAT mode の有効化はサポートへの依頼が必要になります。 本記事ではその Limited NAT mode の特長や設定方法を整理します。 また、Limited NAT modeはLimitedが意味する通りに動作上の制約がある点に留意してください。

Meraki vMXのMode設定画面

Limited NAT mode の有効化を行うと、Meraki vMXにもMXと同様のメニュー: Security & SD-WAN > Addressing & VLANs が表示されます。

Meraki vMXのメニュー: Security & SD-WAN > Addressing & VLANs 表示 (サポートへの依頼後)

Modeの対応関係は下記の通りになります。

Mode名称 実際の動作
Routed Mode NAT Mode Concentrator (Limited NAT mode)
Passthrough or VPN Concentrator Mode One-Armed Concentrator

Modeの対応関係

Meraki vMXで認識可能なNICの個数は1つ

ModeやPublic Cloud種別にも関わらず、Meraki vMXが認識可能なNICの個数は1つとなっています。 そのため、Limited NAT modeに変更しても、UplinkとLANで2つ以上のNICが搭載されるわけではありません。あくまでもMeraki vMXはUplink用のNICのみが搭載されます。

また補足となりますが、AWS環境では追加のNICを搭載しても認識しません。
なお、Azure環境ではそもそもManagedなResoure GroupになっているためNICの追加自体が不可能になっています。

Meraki vMXで認識可能なNICの個数は1つ

Meraki vMXのLimited NAT modeの挙動

他拠点からAuto VPNを通ってMeraki vMXを経由する通信は、InternetやPublic Cloud内部宛を問わずに、Meraki vMX自身に割り当てられているIPアドレスで送信元NATされる点に留意してください。
本記事ではAWS環境を例に挙動を解説します。

Meraki vMXのLimited NAT modeの挙動 - Internet宛の通信

拠点からのMeraki vMXを経由したInternet宛の通信は、まずMeraki MXのプライベートIPアドレスで送信元NATされます。 その上でAWS環境ではInternet GatewayMeraki vMXに紐付くグローバルIPアドレスで多段に送信元NATされるため、Internetからの折り返し通信が戻ってきて通信が成立します。

Meraki vMXのLimited NAT modeの挙動 - Internet宛の通信

なお、Meraki vMXがOne-Armed Concentratorの場合は、拠点からMeraki vMXを経由したInternet宛の通信は成立しません。

myhomenwlab.hatenablog.com

Meraki vMXのLimited NAT modeの挙動 - Public Cloud宛の通信

拠点からPublic Cloud内のインスタンス宛の場合は、Meraki vMXで送信元NATされるため、送信元の実アドレスが隠ぺいされる点に注意してください。
補足ですが、デフォルトのModeであるOne-Armed Concentratorでは送信元の実アドレスは隠蔽されません。

Meraki vMXのLimited NAT modeの挙動 - Public Cloud宛の通信

Meraki vMXのLimited NAT modeの挙動 - 拠点宛の通信

Limited NAT modeの場合は、Public Cloud内から拠点宛の通信が行えなくなります。 仮想アプライアンスMeraki vMX (Virtual MX)のLimited NAT modeは、物理アプライアンスMeraki MXのRouted Modeに相当するため、Uplink側からAuto VPN経由の他拠点宛の通信を受け付けないためです。

Meraki vMXのLimited NAT modeの挙動 - 拠点宛の通信

Limited NAT modeの設定方法

Public Cloud側のMeraki vMX と 拠点側 (Spoke)のMeraki MX の2つの観点があります。

Meraki vMXのLimited NAT modeの設定概要

Limited NAT modeの設定方法の注意点

Limited NAT modeでは、メニュー: Security & SD-WAN > Addressing & VLANsLAN Config の設定方法に注意が必要になります。

Meraki vMXは認識可能なNICが1つではありますが、Meraki MXの設定方法と仕方が同じのためUplinkとLAN側の設定が存在してしまいます。

Limited NAT modeの設定方法の注意点

Meraki vMXのUplink側の設定箇所

Meraki vMXのLAN側の設定箇所

LAN側の LAN Config の設定ですが、MX IP で指定されたアドレスはMeraki vMXで送信元NATに使用されます。 そして、Subnet は指定が必須となっておりますが、Subnet で指定したアドレス範囲はMeraki vMXに吸い込まれるようなイメージとなり、その範囲のアドレスに対して通信ができなくなります。 更に連鎖的な話となりますが、広報対象のサブネットに通信ができないとなると、そもそも VPN mode でAuto VPNにルート広報するのは実質的に意味を成さなくなります。 そのため、Spoke側でFull Tunnelを張って到達性を確保する必要が出てきます。

Limited NAT modeのMX IPの設定

Limited NAT modeのSubnetの設定

Limited NAT modeのVPN modeの設定

Limited NAT modeの前提条件

Meraki vMXはPublic Cloud上では専用のサブネットに配置してください。 複数のMeraki vMXがある場合も、PrimaryやSecondaryのインスタンスで専用のサブネットを用意してください。

Public Cloud側のMeraki vMXの設定

  • Public Cloud側のMeraki vMXにて、メニュー: Security & SD-WAN > Addressing & VLANsModeRouted に指定します。

  • LAN setting がデフォルト値の Single LAN になっているのを確認します。

  • LAN Config を下記の例のように指定します。

    設定項目 設定値 備考
    MX IP Uplinkに割り当てられているIPアドレスと同じものを指定 メニュー: Security & SD-WAN の Uplink タブから確認できます。
    Subnet Meraki vMXが所属するサブネットと同じ範囲を指定 Subnet で指定した範囲のアドレスには到達性がなくなります。
    VPN mode 設定不要 拠点側のMeraki MXをFull Tunnelに指定してAuto VPN経由の通信を制御するため VPN mode の設定項目は実質的に意味を成しません。

    具体的には下記の例のようになります。

    設定項目 設定例
    MX IP 10.253.0.176
    Subnet 10.253.0.0/24
    VPN mode Enabled もしくは Disabled

    Meraki vMXのLimited NAT modeの設定例

    補足: 障害対応などでMeraki vMXを再デプロイした際に MX IP が変更される可能性があるため、予め再デプロイ手順書などを用意して手順内でケアしてください。

  • 設定を反映するにはインスタンス再起動が必要です。
    補足ですが VPN modeEnabled になっている状態で Subnet を設定すると、その時点でAuto VPNで他の拠点に対象サブネットが広報されるため、構成や設定によっては再起動してなくても問題なく通信されるように見える可能性があります。
    その状態で運用してしまい、インスタンスの再起動に起因して通信できなくなるパターンにならないようにしてください。

拠点側 (Spoke)のMeraki MXの設定

  • 拠点側 (Spoke)のMeraki MXにて、メニュー: Security & SD-WAN > Site-to-site VPN を開きます。

  • Hubs の設定項目で、Public CloudのMeraki vMXに対して IPv4 default route にチェックをつけてFull Tunnelを張ります。経路の冗長化のために適宜複数のHubに対してFull Tunnelを張ってください。

    拠点側 (Spoke)のMeraki MXの設定

Limited NAT modeでの冗長化

仮想アプライアンスMeraki vMX (Virtual MX)のLimited NAT modeは、物理アプライアンスであるMeraki MXのRouted Modeに相当するため、DC-DC Failover構成としての冗長化はできません。

ですが、SpokeからHubとなるMeraki vMX (Virtual MX)に対してFull Tunnelを張る都合上、Default RouteをPrimaryとSecondaryのMeraki vMX (Virtual MX)に向けるとIPv4 default route 設定の観点で冗長構成時のルート切り替えが可能となります。 また、SpokeからHubとなるMeraki vMX (Virtual MX)を経由する通信は、Limited NAT modeだと送信元NATが行われてPublic Cloud上にあるセグメントのIPアドレスとなるため、Public Cloud基盤側でのRoute Tableの制御は不要になります。

Limited NAT modeと設計

Limited NAT modeは隠し機能の位置付けになっているため、積極的に使用すべきではありません。あくまでも最終手段とするべきです。
特にLimited NAT modeでは、Public Cloud側から拠点宛への通信ができなくなるため、Auto VPNによる拠点間通信の利点を大きく損ないます。
そして、Meraki MXは多機能ではなくシンプルなのが製品特徴であるため、Best Practicesに寄せる設計をしないと後々に問題が発生した際のリカバリが困難になりやすいです。

関連ドキュメント

情報源に関して

本記事は2022年05月頃に各種仕様をサポートに確認した上で執筆しております。

筆者が当時に確認した限りでは、ドキュメントにLimited NAT modeの設定方法の記載が見当たりませんでした。 そのため、いくつかの設定パターンを検証して本挙動を割り出したうえでサポートに問い合わせを行い、サポートの方の調査で設定方法が判明しました。 よって、今後もドキュメントに記載がなく不明瞭な点がある場合は、サポートに事前に問い合わせるのをオススメします。