こんにちは。
Meraki担当のDSASです。

今日は、MRシリーズ（アクセスポイント）の話ではなく、MXシリーズ(セキュリティアプライアンス)の「冗長化(Warm Spare)」についてです。

このMXシリーズのWarm Spareの冗長構成については、いくつかの注意点がございますので、その点も含めご紹介したいと思います。

まず、Warm Spare自体は容易に設定可能なのですが、機能を正しく理解すために、いくつかの用語を説明します。

まずは「プライマリ」です。
これはユーザのトラフィックを処理するべく管理者によって静的に指定されたメインのデバイスです。

次に「スペア(セカンダリ)」です。
これはプライマリの障害時にユーザトラフックを処理するべく管理者によって静的に指定されたセカンダリのデバイスです。
※スペアにはライセンスを購入する必要ありませんが、プライマリと同じ機種である必要があります。

この「プライマリ」と「スペア」は静的に指定されているため、たとえデバイスに障害が発生しても管理者が設定を変更するまで、この役割が変更されることはありません。
実際にユーザトラフィックを処理しているデバイスをアクティブ(マスター)と呼び、ユーザトラフィックを処理していないデバイスをパッシブと呼びますが、この役割はデバイスに障害が発生したときなどに動的に変更されます。

つまりネットワークの正常時はプライマリがアクティブとなり、ネットワーク異常時にはスペア(セカンダリ)がアクティブになります。

冗長化の仕組みとしてはVRRPという標準技術を採用しており、プライマリとスペアがIPアドレスを共有することで冗長化を実現します。
https://documentation.meraki.com/MX-Z/Deployment_Guides/NAT_Mode_Warm_Spare_(NAT_HA) 基本はLAN側のIPを共有しますが、オプションでWAN側(アップリンク側)に仮想IPアドレスを設定し共有することも可能です。
今回は、このWAN側のオプション方法について正しくご理解頂ければと思います。

設定は図2のように「Use MX uplink IPs」と「仮想アップリンクIPを利用」の２つのオプションが用意されています。
まず「MXのアップリンクIPを利用」を選択すると、トラフィックをインターネットへ送信する際に、アクティブ側のMXに設定されたアップリンクのIPアドレスを使用します。つまりアクティブのMXが切り替わるとアップリンクのIPアドレスも切り替わります。
次に「仮想アップリンクIPを利用」を選択すると、トラフィックをインターネットへ送信するときにプライマリとスペア(セカンダリ)両方のMXが共有仮想IP（vIP）を使用します。つまりアクティブのMXが切り替わっても同じアップリンクの仮想IPアドレスを継続して利用することが可能です。

「仮想アップリンクIPを利用」のオプションの方が、WAN側のIPを共有するとクライアントは常に同じvIPアドレスでNATされるため、MXデバイスの障害に影響されることのないスムーズな「アクティブ」の切り替えが可能になります。

ただしvIPの設定に関して厳しい条件があります。
プライマリとスペアのMXのアップリンクを同一セグメントにする必要があります。またまた共有するvIPも上記とは別に同一セグメントから用意する必要があります。
つまりアップリンクにグローバルIPアドレスを設定する場合は、同一セグメントから３つのグローバルIP(プライマリ側のアップリンク用、スペア側のアップリンク用、vIP用)を割り当てる必要があるので、導入のハードルが高いです。ご注意ください！

「Use MX uplink IPs」では、各MXのアップリンクはインターネットに接続できれば、どのIPアドレスでも構いませんので、こちらの方が容易に導入頂けるかと思います。

あと構成の注意点もあるのですが、長くなりましたので、次回に続きます。

以上、よろしくお願いします。

---

掲載日:2017/12/19 更新日：2019/09/03 16:22 　管理ID：174540