今回は前回に引き続きMerakiにおけるFirewallルールについてまとめておきます。
本日まとめるのはMeraki MXとMRの組み合わせで利用できるワヤレスコンセントレーター機能を使った場合に必要となるFirewallルールに関してです。
その前に
これまでMerakiはCatalyst9800のようなクライアントからのトラフィックをWLANコントローラにて終端するようなソリューションは持っていませんでした。
MerakiではAPから直接トラフィックをLANに対して送信する方法か、今日のお題であるワイヤレスコントローラーを使うしかありませんでした。
しかし、Merakiにもやっとトラフィックを中央で終端することのできるデバイスがリリースとなりました。
Campus Gatewayと呼ばれる製品で、見た目はCW9800のようですがMeraki Cloudにレジストして機能する物となっているようです。
本日は一旦このCampus Gatewayの事は忘れて、旧来からあるワイヤレスコントローラー機能についてまとめておきます。
Firewall基本設定
基本的なFirewall穴あけ設定は前回の記事を参考にしてください。
唯一異なるのは、Meraki MXに関してです。
Meraki MXは必ずInternetとの疎通性が行える必要があります。
・DNSにて"meraki.com"、"google.com"、"yahoo.com"の名前解決ができる必要があります。
・ICMPで毎秒8.8.8.8への疎通確認が行われます。
・"http://google.com"、"http://yahoo.com"、"http://meraki.com"に対してHTTPアクセスが行われます。
ワイヤレスコントローラにおける追加Firewall設定
ワイヤレスコントローラー機能は仕組みとしてはAuto-VPNの機能を利用して実現しています。
Auto-VPNはMeraki DeviceがMeraki Cloud上のVPN Registry Serverに情報を登録することによって実現します。
上記の標準Firewall設定に追加してAuto-VPN registory Serverに対するFirewall設定を行う必要があります。
追加で必要となる設定は、Meraki Cloudに対して
UDP#9350 - 9381
の通信許可を行います。
これにより、LAN内でワイヤレスコントローラーを使ったMXとMR間の通信が可能になります。
まとめ
今回は、LAN内に設置されているMeraki MXとMR間でワイヤレスコントローラーの機能を実現するために必要となるFirewallの設定に関してまとめました。
ワイヤレスコントローラ機能においてはInternetを介した接続も可能であり、その場合には企業のDMZ等に設置されたMXとInternetを介したMRの間でIPsec通信が行われることになりますので、これとは別のFirewallルールが必要となります。
