Meraki MXではAuto-VPNと呼ばれるSite-to-Site VPNを簡単に設定が行える機能があります。
今回から何回かに分けてAuto-VPNの特徴やデザイン、設定に関してまとめていきたいと思います。
Auto-VPNで構成できるトポロジーについて
Auto-VPNで構成できるトポロジーは、
・Full Mesh
・Hub-and-Spoke
の2つのトポロジーになります。
1. Full Meshトポロジー
Full Mesh構成はその名の通り全てのAuto-VPNを構成するMeraki MX間でSite-to-Site VPN接続を行います。
2. Hub-and-Spokeトポロジー
Hub-and-Spoke構成はHUB拠点(一般的にはData Centerや本社)を中心としてSpoke拠点とSite-to-Site VPN接続を行います。
Spoke拠点間はHUB拠点を必ず介して通信を行います。
Auto-VPNで構成できないトポロジーについて
Auto-VPNでは上記のトポロジーのみをサポートすることから一般的に要求されるようなWANトポロジーを実現できないことが多くあります。
1.多段構成はNG
複数のVPNセッションを受け入れるHUB拠点はFull Mesh構成となってしまうことから多段構成はNGとなります。
例えば、本社(Data Center)があり東日本、西日本に各拠点を取りまとめる支店があるとします。
東日本、西日本支店のMXは本社向けのVPNと各支店向けのVPN接続を行う必要があるためAuto-VPNの設定としてHUB拠点として設定する必要があります。
HUB拠点に設定した場合は全てのHUB拠点とVPN接続を行うことになりますので、上記のような構成を取ることはできません。
下図のように支店間VPN接続を許容する構成であればAuto-VPNにて実現可能です。
2. 1つのOrganizationでAuto-VPNトポロジーは1つしか作成出来ない
繰り返しとなりますが、Auto-VPNにおいてHUB拠点は全てのHUB拠点とVPN接続を行います。
1つのOrganization内で複数の(独立した)HUB拠点を設定することはできません。
上の図では東日本、西日本がそれぞれ独立したHUB拠点となってしまうのでこの構成はNGとなります。
まとめ
MerakiにおけるAuto-VPNはシンプルであるが故に、設定できるトポロジーには限界があります。
Full MeshもしくはHub-and-Spokeの構成で良いのであれば、おそらく何処のSD-WANベンダーの製品よりも簡単にSD-WANを構築できると思いますので次回から具体的な設定とその動作を解説していきたいと思います。
