今回は、Meraki MXにてHA構成を行い、ぞれぞれのMXで異なるInternet回線を利用する構成においてのAuto-VPNの切り替わり時間を検証したいと思います。
1. 検証構成
簡単には複数のInternet回線を用意するのは難しいため、MXのHA構成におけるSpare側のInternet回線は上位にMG41を置いてのLTE回線を利用することにします。
HA構成を組んだMX x 2台をAuto-VPNのHUB拠点とし、さらにSpoke拠点のMXを配置します。
2. 正常稼働時のAuto-VPNの状態
HUB拠点側Networkから「セキュリティ&SD-WAN > 監視 > VPNの状況」でAuto-VPNのステータスを確認します。
Global IP情報が含まれるのでマスクしていますが、Port#52626でVPN Registryに登録されていることがわかります。マスター機側のGlobal IPは150.x.x.18となっています。
3.マスター機電源断
HUB拠点側HA構成のマスター機の電源を落として、強制的にスペア機に切り替えを行います。
電源を落としてからスペア機側でAuto-VPN通信が復旧するまでの時間を計測します。
HUB側拠点にPCを設置し、Google DNS(8.8.8.8)とSpoke側拠点IP(192.168.2.1)へPingを行って確認を行います。
まずは、Google DNSへのPingは、数秒程度の通信断であることが確認できました。
これは単純にVRRPの切り替わりの時間ということになります。
次に、Auto-VPNの切り替わりの時間をPingから確認してみます。
MacOSのPingのTimeoutは1秒のはずですので、155 - 104 =51秒でAuto-VPNが復旧したことが確認できました。
この状況でVPNのステータスを確認してみます。
正常稼働時と比べて、Global IPが163.x.x.247に変わっていることが分かると思います。
これはMG41を経由したLTE網のIPアドレスとなります。
そして、Port#が正常時と変わらず52626となっていることも確認できました。
4. 障害発生機の電源復旧
「3.」の手順で電源を落としたMXの電源を再投入してHA構成復旧時の通信断の時間を計測します。
復旧時にはGoogle DNSへの通信の断は確認されませんでした。
Auto-VPNの通信断は、436 - 385 = 51秒となりました。
複数回確認していないので詳細は不明ですが、「3.」の電源断の時と同じ時間でのAuto-VPN通信の復旧となりました。
5.まとめ
Meraki MXのHA構成におけるAuto-VPNの通信断は本試験においては51秒程度であることが確認出来ました。
Meraki Documentを見てみると、Auto-VPNのフェールオーバーは40秒と書かれており、本検証とは完全には一致しませんが、Meraki MXにおけるHA構成時のAuto-VPNのフェールオーバーは即時切り替わりではなく、それなりの時間を必要とすることを頭に入れておく必要がありそうです。
