本日はMeraki MXの2つのWAN Interfaceを使ってInternet Accessの冗長構成を行った場合の回線のFailoverについてまとめておきたいと思います。
MX WAN Interfaceの設定
MXの型番にもよりますが、小型のMXではWAN2はDefaultでは有効になっていないため設定を行う必要があります。
MXのローカルページにアクセスしても良いですが、WAN1が有効となっておりすでにMeraki Cloudにレジストしている状態であればDashboard上からWAN2の設定を行うことが出来ます。
「セキュリティ&SD-WAN > 監視 > アプライアンス」へ移動します。
「アップリンク」タブを選択し、「別のWANポートを追加」をクリックします。
WAN2が有効になり、利用する回線に合わせた設定を行います。
WAN冗長設定
WAN1とWAN2の両方の回線の接続を行い、Internetへの通信が行えることを確認します。
「ツール」タブを選択し、Internet1、Internet2で8.8.8.8等のInternetへのPingを行い疎通性を確認します。
次に「セキュリティ&SD-WAN > 設定 > SD-WAN&トラフィックシェーピング」へ移動します。
今回はWAN1をプライマリ回線としてWAN2をセカンダリ回線として設定します。
WAN1がInternetへの疎通性を失った場合にのみWAN2を利用することとします。
「プライマリアップリンク」を「WAN1」に設定します。
このプライマリアップリンクというのはMerekiクラウドへのレジスト等に利用されるメインのWANインターフェースになります。
そして「ロードバランシング」を「無効」に設定します。
これにより常にプライマリアップリンク(WAN1)を利用してInternetアクセスを行うことになります。
WAN切り替え試験
1. Interfaceのケーブルを切断
WAN1とWAN2の切り替え試験を行いたいと思います。
WAN1からケーブルを抜き物理的にダウンさせてみます。
MX配下の端末でPingを行いながらケーブルを抜いてみます。
MacOSのターミナル上でのPingで2発欠損がみられます。
ごく短い期間でWAN2へ切り替わっていることが分かると思います。
2. Internetサービスの停止試験
次にWAN1インターフェースの先にHUBを設置しその先のでケーブルを抜く試験を行います。
この試験により擬似的にInternetのサービスがダウンした状態を表現することが可能になります。
1.の試験と同様にPingを行いながら試験を行います。
スクリーンショットでは表現出来ませんが、1.の試験のように一瞬での切り替わりは行えず5分後に無事WAN2に切り替わりました。
セカンダリに切り替わる手順
上記試験により、物理的にインターフェースがダウンした場合には瞬時で切り替わり、そうで無い場合は5分程度の時間を要することがわかりました。
WANインターフェースが物理的にダウンしていない状態でInternetダウンと判断するにはどのような手順を行なっているのでしょうか。
MXは、DNS、ICMP、HTTPを使ってInternetへの疎通性を確認しています。
DNSクエリは"meraki.com"、"google.com"、"yahoo.com"を定期的(通常時は150秒毎)に送信します。300秒間名前解決が出来ない場合にInternetダウンと判断します。
ICMPは209.206.55.10または8.8.8.8に対して毎秒行います。
HTTPは"http://meraki.com"、"http://canireachthe.net"に対して行い、何かしらのレスポンスがあればOKとみなします。
まとめ
MXでWANを冗長した際、そのFailOverは最短で数秒、最大で5分の切り替わり時間を要することが確認できました。
5分は少し長い気もしますが、短くするとInternetが不安定な場合にばたついてしまう可能性もあるのでこれくらいの時間でちょうど良いのかもしれません。
