ネットワークではコア、ディストリビューション、アクセスと 3 つの階層を考えて設計を行います。Meraki ではコア層とディストリビューション層を一体化し 2 層で設計することが多いですが、どの virtual local area network (VLAN) をどの機器に設定すればいいのかが記載された手順書のようなドキュメントは公開されていません。唯一公開されているのがこの英語のドキュメントだけですが、管理 VLAN はどこに設定すればいいのかや demilitarized zone (DMZ) を設けたい場合どうすればいいのか等、ツッコミどころが多いドキュメントになっています。どの機器にどの VLAN を設定すればいいのかという問いに正解はないのですが、雛川を紹介したいと思います。 MX は WAN、MS は LAN MX は WAN（宛先がインターネット）を、MS は LAN （VLAN 間ルーティング）のトラフィックを捌くように設計します。このルールに基づいてネットワークを設計すると、下図のように管理 VLAN、トランジット VLAN、DMZ の VLAN は MX で、その他の VLAN（音声やデータ）は MS で設定することになります。 管理 VLAN はオフィスがワンフロアのみであれば 1 つだけ設定すれば大丈夫ですが、各階に管理 VLAN を作成した方が良いです。 Meraki のシドニーオフィスは 19 階と 21 階にありますが、MX … Continue reading 階層設計で MX に設定する VLAN →

Meraki MX の Auto VPN を データセンター (DC) 冗長環境 (データセンター間 L2 延伸している構成) で使用すると、各データセンターに設置していてハブとして動作している MX 間でループが発生します。具体的に、下図のように DC1 と DC2 が 10.0.0.0/8 というサブネットが割り振られていた場合、DC1 と DC2 に設置されている MX は 拠点 (Branch) に設置されている MX にこのサブネットを通知しますが、デフォルトの設定だと互いにもサブネットを通知してしまいます。 これがループ発生の原因です。防ぐためには Meraki のサポートにハブ間の Virtual Private Network (VPN) トンネルを無効にする依頼等が必要になりますが、Auto VPN を使用時になぜこのようなことが発生してしまうのか考察したいと思います。 検証環境 図での検証環境を整えるのは簡単だと思いますが、同一オーガナイゼーション配下の MX が同一のサブネットを通知するためには、下記のいずれかのモードではぶの MX を運用する必要があります。 「ルーティングモード」 + Virtual Local Area Network (LAN) 無効 … Continue reading Meraki MX を DC 冗長環境で使用した時のハブ間ループについて →

Amazon Web Service (AWS) 上の Virtual Private Cloud (VPC) を MX と接続するためには、Virutal MX (vMX) と仮想プライベートネットワークの方法がありますが、仮想プライベートネットワークの方法を選んだ場合は各 MX を VPC に接続する必要があります。なぜならば、MX は「Meraki 以外の VPN ピア」で設定したサブネットは  Auto Virtual Private Network (VPN) 経由で他の MX にルートを通知することができません。なので、「Meraki 以外の VPN ピア」を全ネットワークで設定する必要があります。AWS のみの場合は vMX と 複数の VPC が存在した場合は VPC Peering を駆使した方がいいと思いますが、第三の選択肢も存在するということは知っておいて損はないと思います。その第三の選択肢というのは余分に MX を購入することです。 ネットワーク構成 今回は本社 (Head Quarter)、データセンター (Data Center)、AWS の三拠点で実現方法を考えたいと思います。下図にもあるように、Data Center には 2 … Continue reading Meraki Auto VPN と AWS 仮想プライベートネットワークを連携 →

Meraki MX と Amazon Web Service (AWS) Virtual Private Cloud (VPC) を接続するためには Meraki Virtual MX (vMX) を使用するのが一番簡単な上に運用で余計な手間が掛かりませんが、AWS の仮想プライベートネットワークを使用して MX と VPC を繋ぐことができます。運用フェーズのコストは馬鹿にならないので、私自身はどのような場面でも vMX を導入した方がいいと思っていますが、どうしてもこの部分でコストを削減しなければいけないとなった場合は、AWS の拠点間 VPN サービスを使用することを視野に含めてもいいかもしれません。各拠点を直接 VPC に接続した時、8 拠点以下の環境だと AWS の仮想プライベートネットワークを使用した方が請求書に表示される料金は安くなるかもしれません。もちろん 1 つの MX を Hub として使用し、Spoke の MX は Hub 経由で AWS にアクセスさせる構成も構築可能ですが、Meraki 以外の VPN ピア で登録したサブネットは直接他の MX へ通知することができないのでその構成は省きます。 料金比較 運用コストを一切考えずに vMX のライセンスを定価で … Continue reading AWS 仮想プライベートネットワークを使用して Meraki MX を VPC へ接続 →

Meraki Virtual MX (vMX) は MX の仮想ソリューションとなります。仮想ソリューションといっても、他のクラウドサービスとネットワーク間を拠点間 Virtual Private Network (VPN) で簡単に繋ぐことを目的にしているため、オンプレの仮想マシンとして動かすことはできません。また、現在 Azure と Amazon Web Service (AWS) でしか稼働させられません。AWS のネットワークの設定は Meraki の責任範囲外ということもあり、公式ドキュメントでは Virtual Private Cloud (VPC) の設定は詳細に記載されていません。ハイブリッド環境が増えているため、vMX を AWS でどのように設定すればいいのかという質問が増えると予想しています。なので、簡単な例にはなってしまいますが、VPC を一から構築した時、どのような設定が必要なのか紹介したいと思います。 ネットワーク構成 下図のネットワークを構築し、Meraki のネットワークに存在するクライアントが Elastic Compute Clound (EC2) 上のインスタンスに Secure Shell Host (SSH) できることをゴールとします。 設定 大まかな設定手順は下記の通りになります。インスタンスの設定や Meraki ダッシュボードの設定をまとめればより効率的に設定できると思います。 vMX へサブスクライブ vMX を EC2 へデプロイ (VPC … Continue reading Meraki vMX100 を使用して MX を AWS VPC へ接続 →

１ヶ月ほど前の記事で Meraki MR とグループポリシーを使用して MAC アドレス認証の実現方法を公開しました。この記事を公開してしまったせいか、MX の無線モデルで同様なことを実現できないか聞かれました。MX の無線モデルには MX64W、MX65W、MX67W、MX68W、MX68CW があります。他の記事でも記載しましたが、Media Access Control (MAC) アドレス認証はセキュアではありません。使用するのであれば MAC アドレス認証を使用する VLAN はインターネットの接続を遮断し、レイヤ 2 よりも上のレイヤのプロトコルで通信を暗号化しなければいけません。正常性バイアスによって惑わされ、この 2 つの条件を満たさずに使用するのは非常に危険です。 設定手順 今回は MX で作成する VLAN で全ての通信を遮断したグループポリシーをデフォルトで適用するよう設定します。そして、接続を許可した端末には Layer 3 ファイアーウォールにてセグメンテーションがしっかりと実施されたグループポリシーを割り当てます。MAC アドレスが許可されていない端末が SSID に接続しようとすると、デフォルトのグループポリシーが適用され、全ての通信が遮断されます。逆に MAC アドレスが許可されている端末は、Layer 3 ファイアーウォールで許可された宛先には通信が可能になります。設定手順は下記の通りです。 1. 全ての通信を遮断したグループポリシーを作成 「ネットワーク全体」> 「グループポリシー」から Block All というポリシーを作成します。 「ファイアーウォールとトラフィックシェーピング 」にて「カスタムのネットワークファイアウォールとシェーピングの各ルールを作成」を選択し、全てのトラフィックを遮断する Access Control List (ACL) を「Layer 3 ファイアーウォール 」で定義します。 … Continue reading Meraki MX の無線モデル + グループポリシーで実現する MAC アドレス認証 →

Meraki MX の目玉機能といえば auto virtual private network (VPN) です。Auto VPN は拠点間 VPN のことを示しますが、上流のデバイスが存在してもその機器の設定を変更しなくても 数クリックで VPN を確立できてしまう、夢のような機能になります。この仕組みが非常に気になりました。普通だったら上流の機器が存在した場合、その機器でポートフォワーディングを設定しなければいけません。Cisco Adaptive Security Appliance (ASA) では間違いなく上流の機器の設定を変更しなければいけません。そんな謎に包まれた Auto VPN ですが、図を駆使しこの Auto VPN という仕組みの理解を深めたいと思います。 ネットワーク構成 初めに、下の図のように本社に MX250 と拠点に MX67 を導入することにします。 拠点側は asymmetric digital subscriber line (ADSL) 回線なので、internet service provider (ISP) が用意したルータを使用しなくてはなりません。つまり、拠点側の MX67 の wide area network (WAN) インターフェースにはプライベート internet protocol (IP) アドレスが設定されていることになります。図にもありますが、ここでは … Continue reading Meraki MX Auto VPN の仕組み →

Meraki MX のモデル選定方法は MS よりも遥かに簡単です。MX は使用できる機能が全てのモデルで統一されているので、スペックで選択する必要があります。アクセサリも MX の場合は簡単です。もちろんエントリーモデルである MX67 や MX68 はLTE や無線が付いたモデルがあるので、50 クライアント以下の拠点では用途に応じて選ばなければなりません。MX の選定で悩んでいる人は少ないと予想していますが、正しいモデル選定を行うためにも、この記事で選定となる軸を紹介したいと思います。 スペック MX では以下の 2 つの質問をすればモデルが決まります。 拠点のクライアント数はいくつかVPN トンネル (クライアント VPN + 拠点間 VPN) 数はいくつか 各 MX のスペックをまとめた表は下記になります。W は Wi-Fi モジュールが付いたモデル、C は SIM カードを挿せば LTE を使用できるモデルになります。 モデルクライアント数VPN トンネル数メモMX645050 MX64W5050 MX655050PoE ポート有MX65W5050PoE ポート有 MX675050 MX67C5050アンテナは取り外し可MX67W5050 MX685050PoE ポート有MX68W5050PoE ポート有MX68CW5050アンテナは取り外し不可MX7520075PoE ポート有MX84200100ファンレス MX85250200ファンレスラックマウント用金具別途購入MX95500500ラックマウント用金具別途購入MX100500250 MX1057501000ラックマウント用金具別途購入MX25020003000 MX450100005000  MX67 でのクライアント数の上限は 50 台となっていますが、51 台目を繋げたからといって必ずパフォーマンスイシューが発生する訳ではありません。ですが、Meraki としては絶対に守ったほうがいい数字となっています。2 つの数字を守っていれば、パフォーマンスイシューに陥ることはありません。気になる場合は、Meraki の営業からデモ機を借り、オーガナイゼーション > … Continue reading Meraki MX のモデル選び方 →

Meraki MX シリーズでは追加費用なしでクライアント VPN を使用でき、TLS 接続の Lightweight Directory Access Protocol (LDAP) 認証にて Windows Server の Active Directory (AD) と連携することが可能です。今日では Azure AD への移行も段々と増えてきていますが、Azure AD は Windows Server を完全に置き換えることはできないので、Windows Server に Azure AD Connect をインストールし運用するのが一般的です。Azure AD のみでは MX のクライアント VPN とは連携させることはできません。なので、まずは MX と Windows Server を連携させる必要があります。 Windows Server に AD 機能をインストール 「サーバーマネージャー」の「役割と機能の追加」から「Active Directory Domain Services」を選択します。 上記スクリーンショットで「次へ」をクリックし、機能で「.NET Framework … Continue reading Meraki クライアント VPN と Active Directory 連携 →