今回は、Meraki MXにおいてHA構成を行い、Internet回線を共有しNAT越しにAuto-VPN通信を行う検証を行いました。
これは、
・MXの冗長を行いたいがInternet回線は共有にしたい。
・しかし、IPアドレスが1つか付与されないのでMXの上位にNATルータを配置したい。
というようなケースが該当すると思います。
1.検証環境
HUB拠点としてHA構成を組んだMXを2台、Spoke拠点としてMXを1台使用します。
HUB拠点側にはInternet接続を行うNAT Routerを設置します。
2.正常時確認
「セキュリティ&SD-WAN > 監視 > VPNの状況」からVPNのステータスを確認します。
マスター機としてのMXのPrivate IPは172.16.200.24でPort#は52626であることが分かります。
また、NAT変換されたGlobal IPとしては、150.x.x.18となっており、Port#は52626であることが分かります。
3.マスター機電源断
HA構成のマスター機のMXの電源断を行います。
HUB側に設置したPCからGoogle DNS(8.8.8.8)とSpoke側IP(192.168.2.1)へPing通信を行い確認します。
しかし、Auto-VPN越しの通信は復旧することはありませんでした。
VPNのステータスを確認してみます。
NATタイプがUnfriendlyとなっておりエラーとなっていることが確認出来ます。
NAT Unfiriendlyに関しては別途解説をしたいと思いますが、MerakiクラウドにあるVPN Registlyにて登録情報にミスマッチが発生している状況となります。
3.HA構成でVIPを設定する
先の記事でMeraki MXでHA構成を行う際にVIP(仮想IP)の設定が可能であることをまとめました。
この記事の中でHAのVIPはAuto-VPNにも利用されるとまとめていますので、その設定を行い同じ検証をしてみることにします。
上記記事を参考にVIPを172.16.200.200に設定します。
VPNの状況を改めて確認してみると、VIPを利用していることが確認出来ます。
この状態で、再びマスター機の電源断を行います。
Auto-VPN通信は無事復旧しました。
通信断の時間としては558 - 500 = 58秒程度となることが確認できました。
VPNの状態も確認しましたが、特に変化が無いことも確認出来ます。
4.まとめ
Meraki Documentで本検証結果を裏付けるような内容を見つけることはできませんでした。
しかし、NAT配下にMXをHA構成で設置し、Auto-VPNを利用する場合はVIPの設定は必須であると言えると思います。
そもそも、NAT配下ですのでIPアドレスには余裕があると思いますので特に問題は発生しないと思います。
