Meraki vMX (Virtual MX)のModeには One-Armed Concentrator と NAT Mode Concentrator (Limited NAT mode) の2種類があります。

• Concentrator Mode

  • One-Armed Concentrator
    備考: 2022年10月31日以前 (Before)のデフォルトのModeです。

  • NAT Mode Concentrator (Limited NAT mode)
    備考: 2022年10月31日以降 (After)のデフォルトのModeです。それ以前はサポートへの有効化依頼が必要でした。

2022年10月31日時点よりModeのデフォルト値が変更になりました。

myhomenwlab.hatenablog.com

デフォルトでは One-Armed Concentrator になっており、Limited NAT mode の有効化はサポートへの依頼が必要になります。 本記事ではLimited NAT mode の特長や設定方法を整理します。 また、Limited NAT modeはLimitedが意味する通りに動作上の制約がある点に留意してください。

• Meraki vMXのMode設定画面
• Meraki vMXで認識可能なNICの個数は1つ
• Meraki vMXのLimited NAT modeの挙動
  • Meraki vMXのLimited NAT modeの挙動 - Internet宛の通信
  • Meraki vMXのLimited NAT modeの挙動 - Public Cloud宛の通信
  • Meraki vMXのLimited NAT modeの挙動 - 拠点宛の通信
• Limited NAT modeの設定方法
  • Limited NAT modeの設定方法の注意点
  • Limited NAT modeの前提条件
  • Public Cloud側のMeraki vMXの設定
  • 拠点側 (Spoke)のMeraki MXの設定
• Limited NAT modeでの冗長化
• Limited NAT modeと設計
• 関連ドキュメント
• 情報源に関して

Meraki vMXのMode設定画面

Limited NAT mode の有効化を行うと、Meraki vMXにもMXと同様のメニュー: Security & SD-WAN > Addressing & VLANs が表示されます。

Modeの対応関係は下記の通りになります。

Mode名称	実際の動作
Routed Mode	NAT Mode Concentrator (Limited NAT mode)
Passthrough or VPN Concentrator Mode	One-Armed Concentrator

Meraki vMXで認識可能なNICの個数は1つ

ModeやPublic Cloud種別にも関わらず、Meraki vMXが認識可能なNICの個数は1つとなっています。 そのため、Limited NAT modeに変更しても、UplinkとLANで2つ以上のNICが搭載されるわけではありません。あくまでもMeraki vMXはUplink用のNICのみが搭載されます。

また補足となりますが、AWS環境では追加のNICを搭載しても認識しません。
なお、Azure環境ではそもそもManagedなResoure GroupになっているためNICの追加自体が不可能になっています。

Meraki vMXのLimited NAT modeの挙動

他拠点からAuto VPNを通ってMeraki vMXを経由する通信は、InternetやPublic Cloud内部宛を問わずに、Meraki vMX自身に割り当てられているIPアドレスで送信元NATされる点に留意してください。
本記事ではAWS環境を例に挙動を解説します。

Meraki vMXのLimited NAT modeの挙動 - Internet宛の通信

拠点からのMeraki vMXを経由したInternet宛の通信は、まずMeraki MXのプライベートIPアドレスで送信元NATされます。 その上でAWS環境ではInternet GatewayでMeraki vMXに紐付くグローバルIPアドレスで多段に送信元NATされるため、Internetからの折り返し通信が戻ってきて通信が成立します。

なお、Meraki vMXがOne-Armed Concentratorの場合は、拠点からMeraki vMXを経由したInternet宛の通信は成立しません。

myhomenwlab.hatenablog.com

Meraki vMXのLimited NAT modeの挙動 - Public Cloud宛の通信

拠点からPublic Cloud内のインスタンス宛の場合は、Meraki vMXで送信元NATされるため、送信元の実アドレスが隠ぺいされる点に注意してください。
補足ですが、デフォルトのModeであるOne-Armed Concentratorでは送信元の実アドレスは隠蔽されません。

Meraki vMXのLimited NAT modeの挙動 - 拠点宛の通信

Limited NAT modeの場合は、Public Cloud内から拠点宛の通信が行えなくなります。 仮想アプライアンスのMeraki vMX (Virtual MX)のLimited NAT modeは、物理アプライアンスのMeraki MXのRouted Modeに相当するため、Uplink側からAuto VPN経由の他拠点宛の通信を受け付けないためです。

Limited NAT modeの設定方法

Public Cloud側のMeraki vMX と 拠点側 (Spoke)のMeraki MX の2つの観点があります。

Limited NAT modeの設定方法の注意点

Limited NAT modeでは、メニュー: Security & SD-WAN > Addressing & VLANs の LAN Config の設定方法に注意が必要になります。

Meraki vMXは認識可能なNICが1つではありますが、Meraki MXの設定方法と仕方が同じのためUplinkとLAN側の設定が存在してしまいます。

LAN側の LAN Config の設定ですが、MX IP で指定されたアドレスはMeraki vMXで送信元NATに使用されます。 そして、Subnet は指定が必須となっておりますが、Subnet で指定したアドレス範囲はMeraki vMXに吸い込まれるようなイメージとなり、その範囲のアドレスに対して通信ができなくなります。 更に連鎖的な話となりますが、広報対象のサブネットに通信ができないとなると、そもそも VPN mode でAuto VPNにルート広報するのは実質的に意味を成さなくなります。 そのため、Spoke側でFull Tunnelを張って到達性を確保する必要が出てきます。

Limited NAT modeの前提条件

Meraki vMXはPublic Cloud上では専用のサブネットに配置してください。 複数のMeraki vMXがある場合も、PrimaryやSecondaryのインスタンスで専用のサブネットを用意してください。

Public Cloud側のMeraki vMXの設定

• Public Cloud側のMeraki vMXにて、メニュー: Security & SD-WAN > Addressing & VLANs の Mode を Routed に指定します。

• LAN setting がデフォルト値の Single LAN になっているのを確認します。

• LAN Config を下記の例のように指定します。

  設定項目	設定値	備考
  MX IP	Uplinkに割り当てられているIPアドレスと同じものを指定	メニュー: Security & SD-WAN の Uplink タブから確認できます。
  Subnet	Meraki vMXが所属するサブネットと同じ範囲を指定	Subnet で指定した範囲のアドレスには到達性がなくなります。
  VPN mode	設定不要	拠点側のMeraki MXをFull Tunnelに指定してAuto VPN経由の通信を制御するため VPN mode の設定項目は実質的に意味を成しません。

  具体的には下記の例のようになります。

  設定項目	設定例
  MX IP	10.253.0.176
  Subnet	10.253.0.0/24
  VPN mode	Enabled もしくは Disabled

  

  補足: 障害対応などでMeraki vMXを再デプロイした際に MX IP が変更される可能性があるため、予め再デプロイ手順書などを用意して手順内でケアしてください。

• 設定を反映するにはインスタンスの再起動が必要です。
  補足ですが VPN mode が Enabled になっている状態で Subnet を設定すると、その時点でAuto VPNで他の拠点に対象サブネットが広報されるため、構成や設定によっては再起動してなくても問題なく通信されるように見える可能性があります。
  その状態で運用してしまい、インスタンスの再起動に起因して通信できなくなるパターンにならないようにしてください。

拠点側 (Spoke)のMeraki MXの設定

• 拠点側 (Spoke)のMeraki MXにて、メニュー: Security & SD-WAN > Site-to-site VPN を開きます。

• Hubs の設定項目で、Public CloudのMeraki vMXに対して IPv4 default route にチェックをつけてFull Tunnelを張ります。経路の冗長化のために適宜複数のHubに対してFull Tunnelを張ってください。

  

Limited NAT modeでの冗長化

仮想アプライアンスのMeraki vMX (Virtual MX)のLimited NAT modeは、物理アプライアンスであるMeraki MXのRouted Modeに相当するため、DC-DC Failover構成としての冗長化はできません。

ですが、SpokeからHubとなるMeraki vMX (Virtual MX)に対してFull Tunnelを張る都合上、Default RouteをPrimaryとSecondaryのMeraki vMX (Virtual MX)に向けるとIPv4 default route 設定の観点で冗長構成時のルート切り替えが可能となります。 また、SpokeからHubとなるMeraki vMX (Virtual MX)を経由する通信は、Limited NAT modeだと送信元NATが行われてPublic Cloud上にあるセグメントのIPアドレスとなるため、Public Cloud基盤側でのRoute Tableの制御は不要になります。

Limited NAT modeと設計

Limited NAT modeは隠し機能の位置付けになっているため、積極的に使用すべきではありません。あくまでも最終手段とするべきです。
特にLimited NAT modeでは、Public Cloud側から拠点宛への通信ができなくなるため、Auto VPNによる拠点間通信の利点を大きく損ないます。
そして、Meraki MXは多機能ではなくシンプルなのが製品特徴であるため、Best Practicesに寄せる設計をしないと後々に問題が発生した際のリカバリが困難になりやすいです。

関連ドキュメント

• vMX Setup Guide for Amazon Web Services (AWS) - Cisco Meraki

• vMX Setup Guide for Microsoft Azure - Cisco Meraki

• vMX Setup Guide for Google Cloud Platform (GCP) - Cisco Meraki

• vMX Setup Guide for Alibaba Cloud - Cisco Meraki

情報源に関して

本記事は2022年05月頃に各種仕様をサポートに確認した上で執筆しております。

筆者が当時に確認した限りでは、ドキュメントにLimited NAT modeの設定方法の記載が見当たりませんでした。 そのため、いくつかの設定パターンを検証して本挙動を割り出したうえでサポートに問い合わせを行い、サポートの方の調査で設定方法が判明しました。 よって、今後もドキュメントに記載がなく不明瞭な点がある場合は、サポートに事前に問い合わせるのをオススメします。