My Home NW Lab

逸般の誤家庭のネットワーク

Meraki MXにおける「Cloud On-Ramp」使用時のAuto VPNトンネル確立の挙動変更 (SASEソリューション)

MerakiのSASEソリューションとしてMeraki MXとUmbrellaを組み合わせてCloud On-Rampで構成する設計方法がありますが、Cloud On-RampではAuto VPNトンネル確立の挙動変更が行われるため、仕様を把握した上で設計する必要が出てきます。 本記事ではAuto VPNトンネルの挙動変更について整理します。

Cloud On-Ramp使用時の挙動変更の情報源

まずCloud On-RampにおいてAuto VPNトンネルの確立が変更される旨は、下記のドキュメントに記載されております。

documentation.meraki.com

Due to the default Meraki Auto-VPN design, all VPN hubs in an organization will automatically tunnel to all other hubs in an organization. This behaviour changes for the Meraki Umbrella SDWAN Connector solution, when the connector hubs are deployed, all other hubs in the organization will not automatically tunnel to SIG and all hub traffic will not be defaulted to Umbrella. The Meraki Umbrella SDWAN Connector network hubs will not automatically tunnel to other hubs in the organization.

Auto VPNトンネル確立の挙動変更の要点

ドキュメント上の表現だけでは人によって解釈がずれる可能性があるため要点を整理します。

  • Umbrella SIG Connector (別名表記: UMB-SIG Connector)はHubとしてデプロイされます。

  • Umbrella SIG Connector同士は、Hub同士となりますがAuto VPNトンネルを張りません。

  • Umbrella SIG ConnectorとMeraki MXのHubはAuto VPNトンネルを張りません。

  • Meraki MXのHub同士はAuto VPNトンネルを張ります。

  • Umbrella SIG ConnectorにAuto VPNトンネルを張っている「SpokeのMeraki MX」は、「HubのMeraki MX」にAuto VPNトンネルを張れません。

  • Meraki MXのHubからUmbrella SIG ConnectorにExit HubsでAuto VPNトンネルを張れません。
    ドキュメント上には下記の記述がありましたが、サポートへの仕様確認で明確に確認しております。

    If the site is configured as a Hub ensure that the two Umbrella SIG Connectors are configured as Exit Hubs.

Cloud On-Ramp使用時の動作イメージの全体像

要点を一枚絵に整理しました。情報過多になっているので、コメントあり版とコメント削除版を掲載します。 更にAuto VPNトンネルの組み合わせ別の全体像も用意しております。

全体像のコメントあり版

Cloud On-Ramp使用時の動作イメージ (コメントあり版)

全体像のコメント削除版

Cloud On-Ramp使用時の動作イメージ (コメント削除版)

Cloud On-Ramp使用時のAuto VPNトンネルの組み合わせ別の全体像

Cloud On-Ramp使用時にはAuto VPNトンネルを確立しない組み合わせが存在するため、「Umbrella SIG Connector」に関わるか否かで大きく2つにグルーピングできます。

「Cloud On-Ramp用のAuto VPNトンネルの組み合わせ」と、「通常のMeraki MXのAuto VPNトンネルの組み合わせ」に分けるように、配置換えを行うと下記のイメージになります。

Cloud On-Ramp使用時のAuto VPNトンネルの組み合わせ別の全体像

要素別の図解

動作イメージの各要素を個別に図解しました。

「Umbrella SIG Connector」同士はAuto VPNトンネルを張らない

「Umbrella SIG Connector」はHubとして自動的にデプロイされますが、「Umbrella SIG Connector」同士はHub同士になるのにも関わらずAuto VPNトンネルは張らない挙動になっています。

「Umbrella SIG Connector」同士はAuto VPNトンネルを張らない

「Umbrella SIG Connector」と「HubのMeraki MX」が混在時

「Umbrella SIG Connector」と「HubのMeraki MX」の混在時は下記の3点を意識してください。

  • Umbrella SIG ConnectorとMeraki MXのHubはAuto VPNトンネルを張りません。

  • Meraki MXのHub同士はAuto VPNトンネルを張ります。

  • Umbrella SIG ConnectorにAuto VPNトンネルを張っている「SpokeのMeraki MX」は、「HubのMeraki MX」にAuto VPNトンネルを張れません。

「Umbrella SIG Connector」と「HubのMeraki MX」が混在時

「Umbrella SIG Connector」と「HubのMeraki MX」が混在すると、「Cloud On-Ramp用のAuto VPNトンネルの組み合わせ」と、「通常のMeraki MXのAuto VPNトンネルの組み合わせ」に分かれるイメージになります。

「Umbrella SIG Connector」と「HubのMeraki MX」が混在時 - Auto VPNトンネルの組み合わせの視点

「Umbrella SIG Connector」をHubに指定しなければ、「SpokeのMeraki MX」は「HubのMeraki MX」に対してVPNトンネルを張れる

「SpokeとなるMX」は必ずHubを指定する必要があります。しかし、「SpokeのMeraki MX」から「Umbrella SIG Connector」と「HubのMeraki MX」は同時にAuto VPNトンネルを張れません。

表現を変えると、Spokeが「Umbrella SIG Connector」をHubに指定しなければ、Spokeから「HubのMeraki MX」にAuto VPNトンネルを張れます。

「Umbrella SIG Connector」をHubに指定しなければ、「SpokeのMeraki MX」は「HubのMeraki MX」に対してVPNトンネルを張れる

「Exit Hubs」は「Umbrella SIG Connector」に対して設定不可

「HubであるMeraki MX」は、他のHubに対して「Exit Hubs」の設定が出来ます。しかし、「HubのMeraki MX」から「Umbrella SIG Connector」に対しては「Exit Hubs」の設定ができません。

「Exit Hubs」は「Umbrella SIG Connector」に対して設定不可

Cloud On-Rampと隠し機能

ダイワボウ情報システム株式会社のiDATEN (韋駄天)の記事に、Cloud On-Rampにおける隠し機能についての情報があります。

www.idaten.ne.jp

ちなみにこのハブ間接続を禁止する設定はサポートへの依頼で解除することも可能ですので、実は要検証という条件付きであればハブ拠点をUmbrellaと接続することも可能です。

Merakiには積極的には公開されていない隠し機能によって、上記以外のその他の挙動も変更できる可能性があります。 ただし、隠し機能を使用してしまうと、Merakiの根幹をなしているアーキテクチャに対しての前提が乖離してくるため隠し機能の採用は慎重に行うべきです。少なくとも隠し機能ありきで導入すべきではありません。

Cloud On-Ramp使用時の設計への影響

Cloud On-Ramp使用時はAuto VPNトンネル確立が別物となるため、既存導入済みのMeraki MXからCloud On-Rampの構成に変更する場合の影響範囲は大きくなります。
そもそも論として、一般的なオンプレミス環境からSASEアーキテクチャに鞍替えするの同等であるため、影響が出ないわけがないとも言えます。

そのため、Meraki MXを先行導入してから後々Cloud On-Rampを構成して、SASEアーキテクチャへの変更したい場合は難航する可能性があります。 Merakiの特長上、隠し機能によってはOrganization全体への適用が推奨される場合があります。 もしOrganization全体への適用となると影響範囲が大きくなるため、一度のタイミングでCloud On-Rampへ完全移行できるシナリオでなければ更改できないケースが想定されるためです。

本記事の情報源に関して

本記事の内容は2022年08月頃にサポートの方にCloud On-Rampの仕様を確認して、仕様情報を元に書き起こしております。

実機での挙動に関しては、dCloudの SASE-Cisco Meraki Secure Edge - Instant Demo で可能な限り確認しておりますが、Read Onlyで設定変更ができなかった都合で確認粒度には限度があったので、全てを筆者自身で確認できているわけではありません。 更に別の大きな理由として、「SpokeのMeraki MX」が「Umbrella SIG Connector」と「HubのMeraki MX」に対して同時にAuto VPNトンネルを張っていたので隠し機能を使っているように見受けられました。そのため通常時の挙動の把握が困難でした。

dCloud: SASE-Cisco Meraki Secure Edge - Instant Demo のAuto VPNトンネル視点の構成図

なお、dCloudで確認できなかった点は、仕様確認としてサポートの方とはかなり綿密なやり取りをさせて頂いて情報の精度が高くなるように務めてはおります。

筆者の認識違いがないとは言えないため、実導入を検討される際は検証環境を用意したりPoCで実動作を確認してください。

筆者がコミュニティに情報共有を行っているため、筆者の仕様の理解に認識違いがある場合は指摘が書かれてるかもしれないので適宜チェックしてください。

community.meraki.com