第44回 サイト間VPNの選択肢VPN コンセントレータ モードをご存知ですか? 後編

掲載日 2018/03/27

こんにちは。
Meraki担当のDSASです。

今回は前回に引き続きMXシリーズのVPN コンセントレータ モードについてです。
下図の構成イメージに沿って、VPN コンセントレータ モードへの変更方法やサイト間VPNのパラメータの設定についてご紹介いたします。


左上のブランチ(拠点)側と右側のヘッドオフィス(本社)でVPN接続するイメージ

※VPN コンセントレータモードをご利用頂けくことで、既存のVPN環境への影響を抑えつつ、容易にMXのAuto VPN(数クリックでのVPN構築)を利用頂けます。詳細は前回のブログをご確認ください。
またVPN コンセントレータ モードを利用する為の特別なライセンスは必要りません。設定変更することで、いつでも利用することが可能ですのでご安心ください。

まずVPN コンセントレータへの変更は、下図の通りデフォルトの「ネットワークアドレス変換(NAT)」モードから「パススルーもしくはVPNコンセントレータ」モードに変更するのみです。

セキュリティアプライアンス>アドレッシングとVLAN

なおパススルーモードとはルータとスイッチなどのネットワーク機器の間にMXを設置するため、アップリンク(Internetポート)とダウンリンク(LANポート)を利用します。VPNコンセントレータは、アップリンク(Internetポート)のみを利用します。
今回はシンプルにAuto VPNによるサイト間VPNを構築することが目的の為、VPNコンセントレータモードを利用します。
VPNコンセントレータモードでは、外部のネットワーク接続に1つのInternetポートを利用します。すべてのトラフィックは、このInternetポートで送受信されますので全てのLANポートのケーブルを抜いてください。なお、このInternetポートのケーブル1本だけを利用する構成を一般的にワンアーム(片腕)と呼びます。

なおVPNコンセントレータモードでも、ウォームスペア(アクティブ/スタンバイの冗長構成)をサポートします。その場合、冗長用のハートビートパケットを受信するため、アクティブとスタンバイの両方のVPNコンセントレータのInternetポートを同じサブネット上に接続する必要があります。

次にサイト間VPNのパラメータを設定します。
タイプでハブかスポークを設定しますが、今回はヘッドオフィスへの導入を想定しているためハブを選択します。
※ハブは、他のハブやスポークとVPN接続を行います。
またVPN設定では、ローカルネットワークに自身のVPNで通信するネットワークを追加します。
最後にNATトラバーサル(MXがLAN内に配置されても、インターネットVPNを構築する機能)ですがAuto VPNの自動機能を利用するため、「自動」を選択します。


セキュリティアプライアンス>サイト間VPN

万が一既存のファイヤウォールやルータとの関係でAuto VPNによる自動NATトラバーサルが動作しなかった場合は、「マニュアル:ポート転送」を選択し、パブリックIP(グローバルIPアドレスとポート番号)を入力する必要がありますが、まずはNATトラバーサルを「自動」でお試しください。
またオプションですが、OSPFを利用して自身のローカルネットワークを通知することも可能です。※OSPFルートを習得することはしません。

MX設定は以上となります。
うまくいけばこれでMX間のサイト間のVPNトンネルを構築することが可能ですが、ヘッドオフィスでは、ブランチ毎にVPNのゲートウェイが異なる構成となる為、レイヤ3スイッチなどでルーティングの追加が必要になります。お忘れなく!

今回が今年度の最後のブログです。
閲覧頂きありがとうございました。

来年度はMerakiに限らず他のCisco製品についてもブログを掲載する予定です!
現在は新しいブログサイトを準備しておりますので、楽しみにしていてください。

▲トップへ


掲載日:2018/03/27 更新日:2019/09/03 16:31  管理ID:179407