Security

Cisco 担当者コラム

Cisco・Security

Security 第87回「Cisco Secure AccessにおけるMeraki MXを用いたトンネルの構築」

こんにちは。セキュリティ担当の今村です。

今回はCisco Secure AccessにおけるMeraki MXを用いたトンネルの構築についてご紹介します。前回の記事では、Cisco SecureAccessの概要やその魅力についてご紹介しましたが、今回は一歩踏み込んで、社外環境から社内アプリケーションへ安全にアクセスするための具体的な接続方法にフォーカスします。ぜひ最後までご覧ください。

 

社内アプリケーションを社外環境から利用するためには、社内ネットワークをCisco Secure Accessに接続する必要があります。

CiscoSecure Accessでは、以下の2つの方式が用意されています。

・IPsecトンネル方式

・コネクタ方式

今回はこのうち、IPsecトンネル方式を使って、Meraki MXとCisco Secure Access間にトンネルを構築する方法をご紹介します。

 

以下はトンネルの構築にあたり使用した検証環境の絵です。

MerakiMXのポート4にVLAN1 192.168.0.0/24を割り当ててVPNを無効にし、ポート5にはVLAN10 192.168.10.0/24を割り当ててVPNを有効にします。

トンネルの構築はCisco Secure Accessダッシュボード上で行いますが、トンネルを構築する前に、複数のトンネルを管理するトンネルグループを作成する必要があります。トンネルグループを作成することで、トンネルの冗長性と高可用性を実現することができます。

 

■トンネルグループの作成

まずトンネルグループを作成します。

CiscoSecure Accessダッシュボードの左メニューから、Connect>Network Connectionsを

開き、Network Tunnel Groupsタブからトンネルグループの作成画面を開きます。

任意のトンネルグループの名前を入力します。「Region(リージョン)」はAsia Pacific(Tokyo)、

「Device Type(デバイスタイプ)」はMeraki MXを選択します。

MerakiMXがトンネルグループに接続するためのトンネルIDとパスフレーズを設定します。

パスフレーズはトンネル作成時に必要になるので、メモを取っておきます。

トンネルグループのIPアドレス範囲を設定します。

今回はVPNを有効にするVLAN10 192.168.10.0/24を入力します。

トンネルIDとデータセンターIPが作成されるので、確認します。

トンネルIDとデータセンターIPはトンネル作成時に必要になるのでメモを取っておきます。

以上でトンネルグループの作成は完了です。

 

■トンネルの構築

次にトンネルを構築します。

Merakiダッシュボードの左メニューからオーガナイゼーション>概要を開き、

トンネルグループに接続するネットワークを選択します。

トンネルグループに接続するネットワークにタグを追加します。

左メニューからセキュリティ&SD-WAN>サイト間VPNを開き、VPNの構成をハブにします。

また、今回はVLAN10である192.168.10.0/24はVPNを有効にするので、VPNモードを有効にします。

下にスクロールし、VPNピアを追加します。

VPNピアはIPsecトンネルに接続するデバイスのことを意味します。ここではトンネルグループを指します。

VPNピアの設定を行います。

任意のVPNピアの「名前」を入力し、「IKEバージョン」はIKEv2に設定します。

VPNピアの「パブリックIPまたはホスト名」、「ローカルID」の欄には、トンネルグループ作成時にメモを取ったプライマリデータセンターIPとプライマリトンネルIDをそれぞれ入力します。

また、「共有パスワード」にはトンネルグループ作成時に作成したパスフレーズを入力します。

VPNピアの任意の「プライベートサブネット」を入力し、「利用可否」の欄ではトンネルグループに接続するネットワークを選択します。また、IPsecポリシーの「プリセット」をUmbrellaに設定します。

続いてIKEフェーズ1の設定を行います。

「暗号」化方式をAES256、「認証」方式をSHA1、疑似ランダム関数を意味する「Pseudo-random function」をSHA1、「Diffie-Hellmanグループ」番号を14、「ライフタイム」を14440に設定します。

最後にIKEフェーズ2の設定を行います。

「暗号」化方式をAES256、「認証」方式をSHA1、「PFSグループ」をオフ、「ライフタイム」を3600に設定し、保存します。

以上でトンネルの構築は完了です。

 

■構築したトンネルの確認

構築したトンネルを、Cisco Secure Accessダッシュボード上で確認します。左メニューからConnect>Network Connectionsを開き、Network Tunnel Groupsタブからトンネルグループの作成画面を開きます。

 

数分後、Status(ステータス)が「Disconnected(切断済み)」から 「Warning(警告)」に変化します。

※今回は簡易的に1本のトンネルのみを張っているので、ステータスが「Connected(接続済み)」にはならず、「Warning(警告)」と表示されました。解消する手順は今回割愛としますが、詳しくはこちらをご参照ください。

以上で、Meraki MXを用いたトンネルの構築は完了です。

 

■動作確認

最後に通信がCisco Secure Accessを通っているか確認を行います。

MerakiMXにPCを接続し、確認くんPro上に表示されるグローバルIPアドレスが151.186.192.0/20(CiscoSecure AccessのIPアドレス範囲)であれば、通信がCiscoSecure Accessを通っていること、それ以外であれば通っていないことが確認できます。

 

まずVLAN1 192.168.0.0/24を割り当ててVPNを無効にしたMeraki MXのポート4にPCを接続し、確認くんProでグローバルIPアドレスを確認します。

グローバルIPアドレスが150.x.x.xであり、151.186.192.0/20に含まれていないため、通信がCisco Secure Accessを通っていないことが確認できました。

 

次にVLAN10 192.168.10.0/24を割り当ててVPNを有効にしたMeraki MXのポート5にPCを接続し、確認くんProでグローバルIPアドレスを確認します。

 

グローバルIPアドレスが151.186.193.0であり、151.186.192.0/20に含まれているため、通信がCisco SecureAccessを通っていることが確認できました。

したがって、VPNを有効にしたポートでは通信がCisco Secure Accessを通っていることがわかり、Meraki MXとCisco Secure Access間にトンネルが正常に構築されたことが確認できました。

 


■まとめ

今回は、Cisco Secure AccessにおけるMeraki MXを用いたトンネルの構築についてご紹介しました。Meraki MXはクラウドベースで管理されるので、複雑なCLI操作をすることなく、すべてGUIでトンネルを構築することができます。今回のブログがIPsecトンネル構築の理解や実践に少しでもお役に立てば幸いです。最後までご覧いただきありがとうございました。

<<<Cisco Security エンジニア情報局 前回の記事>

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事