Meraki MX の Auto VPN を データセンター (DC) 冗長環境 (データセンター間 L2 延伸している構成) で使用すると、各データセンターに設置していてハブとして動作している MX 間でループが発生します。具体的に、下図のように DC1 と DC2 が 10.0.0.0/8 というサブネットが割り振られていた場合、DC1 と DC2 に設置されている MX は 拠点 (Branch) に設置されている MX にこのサブネットを通知しますが、デフォルトの設定だと互いにもサブネットを通知してしまいます。 これがループ発生の原因です。防ぐためには Meraki のサポートにハブ間の Virtual Private Network (VPN) トンネルを無効にする依頼等が必要になりますが、Auto VPN を使用時になぜこのようなことが発生してしまうのか考察したいと思います。 検証環境 図での検証環境を整えるのは簡単だと思いますが、同一オーガナイゼーション配下の MX が同一のサブネットを通知するためには、下記のいずれかのモードではぶの MX を運用する必要があります。 「ルーティングモード」 + Virtual Local Area Network (LAN) 無効 … Continue reading Meraki MX を DC 冗長環境で使用した時のハブ間ループについて →

Amazon Web Service (AWS) 上の Virtual Private Cloud (VPC) を MX と接続するためには、Virutal MX (vMX) と仮想プライベートネットワークの方法がありますが、仮想プライベートネットワークの方法を選んだ場合は各 MX を VPC に接続する必要があります。なぜならば、MX は「Meraki 以外の VPN ピア」で設定したサブネットは  Auto Virtual Private Network (VPN) 経由で他の MX にルートを通知することができません。なので、「Meraki 以外の VPN ピア」を全ネットワークで設定する必要があります。AWS のみの場合は vMX と 複数の VPC が存在した場合は VPC Peering を駆使した方がいいと思いますが、第三の選択肢も存在するということは知っておいて損はないと思います。その第三の選択肢というのは余分に MX を購入することです。 ネットワーク構成 今回は本社 (Head Quarter)、データセンター (Data Center)、AWS の三拠点で実現方法を考えたいと思います。下図にもあるように、Data Center には 2 … Continue reading Meraki Auto VPN と AWS 仮想プライベートネットワークを連携 →

Meraki MX と Amazon Web Service (AWS) Virtual Private Cloud (VPC) を接続するためには Meraki Virtual MX (vMX) を使用するのが一番簡単な上に運用で余計な手間が掛かりませんが、AWS の仮想プライベートネットワークを使用して MX と VPC を繋ぐことができます。運用フェーズのコストは馬鹿にならないので、私自身はどのような場面でも vMX を導入した方がいいと思っていますが、どうしてもこの部分でコストを削減しなければいけないとなった場合は、AWS の拠点間 VPN サービスを使用することを視野に含めてもいいかもしれません。各拠点を直接 VPC に接続した時、8 拠点以下の環境だと AWS の仮想プライベートネットワークを使用した方が請求書に表示される料金は安くなるかもしれません。もちろん 1 つの MX を Hub として使用し、Spoke の MX は Hub 経由で AWS にアクセスさせる構成も構築可能ですが、Meraki 以外の VPN ピア で登録したサブネットは直接他の MX へ通知することができないのでその構成は省きます。 料金比較 運用コストを一切考えずに vMX のライセンスを定価で … Continue reading AWS 仮想プライベートネットワークを使用して Meraki MX を VPC へ接続 →

Meraki Virtual MX (vMX) は MX の仮想ソリューションとなります。仮想ソリューションといっても、他のクラウドサービスとネットワーク間を拠点間 Virtual Private Network (VPN) で簡単に繋ぐことを目的にしているため、オンプレの仮想マシンとして動かすことはできません。また、現在 Azure と Amazon Web Service (AWS) でしか稼働させられません。AWS のネットワークの設定は Meraki の責任範囲外ということもあり、公式ドキュメントでは Virtual Private Cloud (VPC) の設定は詳細に記載されていません。ハイブリッド環境が増えているため、vMX を AWS でどのように設定すればいいのかという質問が増えると予想しています。なので、簡単な例にはなってしまいますが、VPC を一から構築した時、どのような設定が必要なのか紹介したいと思います。 ネットワーク構成 下図のネットワークを構築し、Meraki のネットワークに存在するクライアントが Elastic Compute Clound (EC2) 上のインスタンスに Secure Shell Host (SSH) できることをゴールとします。 設定 大まかな設定手順は下記の通りになります。インスタンスの設定や Meraki ダッシュボードの設定をまとめればより効率的に設定できると思います。 vMX へサブスクライブ vMX を EC2 へデプロイ (VPC … Continue reading Meraki vMX100 を使用して MX を AWS VPC へ接続 →

１ヶ月ほど前の記事で Meraki MR とグループポリシーを使用して MAC アドレス認証の実現方法を公開しました。この記事を公開してしまったせいか、MX の無線モデルで同様なことを実現できないか聞かれました。MX の無線モデルには MX64W、MX65W、MX67W、MX68W、MX68CW があります。他の記事でも記載しましたが、Media Access Control (MAC) アドレス認証はセキュアではありません。使用するのであれば MAC アドレス認証を使用する VLAN はインターネットの接続を遮断し、レイヤ 2 よりも上のレイヤのプロトコルで通信を暗号化しなければいけません。正常性バイアスによって惑わされ、この 2 つの条件を満たさずに使用するのは非常に危険です。 設定手順 今回は MX で作成する VLAN で全ての通信を遮断したグループポリシーをデフォルトで適用するよう設定します。そして、接続を許可した端末には Layer 3 ファイアーウォールにてセグメンテーションがしっかりと実施されたグループポリシーを割り当てます。MAC アドレスが許可されていない端末が SSID に接続しようとすると、デフォルトのグループポリシーが適用され、全ての通信が遮断されます。逆に MAC アドレスが許可されている端末は、Layer 3 ファイアーウォールで許可された宛先には通信が可能になります。設定手順は下記の通りです。 1. 全ての通信を遮断したグループポリシーを作成 「ネットワーク全体」> 「グループポリシー」から Block All というポリシーを作成します。 「ファイアーウォールとトラフィックシェーピング 」にて「カスタムのネットワークファイアウォールとシェーピングの各ルールを作成」を選択し、全てのトラフィックを遮断する Access Control List (ACL) を「Layer 3 ファイアーウォール 」で定義します。 … Continue reading Meraki MX の無線モデル + グループポリシーで実現する MAC アドレス認証 →