今回は、Meraki MXの新機能として実装されたNAT Exceptions(例外)について検証を行いました。
これまでのMeraki MXではルーティングモードで動作する場合はLAN側からWAN側への通信においては必ずNATが行われ、必ずWANインターフェースのIPアドレスを使って通信が行われていました。
今回のNAT Exceptions設定によりこのMXでのNATを無効にすることが可能になり、通常のルーティングが行えるようになりました。
1.アーリーアクセスプログラムの有効化
この記事を書いている2024年6月初旬では、このNAT Exceptions機能は標準では無効になっておりアーリーアクセスプログラムから有効にする必要があります。
「オーガナイゼーション > 設定 > 新機能を試す」へ移動します。
「手動のインバウンドファイアウォールによる NAT 例外」を有効にします。
2.NAT例外設定を行う
「セキュリティ&SD-WAN > 設定 > アドレス&VLAN」へ移動します。
「NAT例外」設定が追加されていることが確認できます。
今回は2台のMXを用意して通信確認を行います。
2台のMXのアップリンクにそれぞれNAT無効化の設定を行います。
上位のMX(今回はMXを利用しましたが、Routerであれば何でも良いと思います)にそれぞれのMXに対するStatic Routeを設定します。
3.通信確認
対向のMXのLAN側インターフェースに対してPingを行います。
Pingは成功しませんでした。
対向(構成図 右側)のMXの設定を確認します。
「セキュリティ&SD-WAN > 設定 > ファイアウォール」へ移動します。
Meraki MXではデフォルトではWANインターフェースからLANインターフェースへのファイアウォール・ルールが全て非許可になっていることが確認できます。
今回は全ての通信を許可するルールを追加してみます。
改めて通信確認を行います。
無事通信が成立しました。
4.まとめ
これまでのMeraki MXはNATが前提となっていたため設置のデザインにかなりの制限がありました。
アップリンクの上位がInternetであればNAT前提でも問題はないのですが、MPLS等の閉域網にMXを接続する場合にはこのNATが弊害となり拠点内のサブネットへのアクセスができませんでした。
今回のNAT Exceptions設定においてそのような場合にも対応できるような動作をMXがサポートできるようになったということになると思います。
