前回はMerakiの設定テンプレートを作成するところまでをまとめました。
今回はMXについて設定テンプレートを使った設定の仕方についてまとめておきます。
VLAN設定
設定テンプレートでMXをバインドする際に少し注意が必要なのはVLANの設定になります。
ネットワークとして設定テンプレートで作成したテンプレートを選択します。
「セキュリティ&SD-WAN > 設定 > アドレス&VLAN」へ移動します。
ルーティング設定で「VLAN」もしくは「単一VLAN」の設定を行うのですが、それぞれで少し挙動が異なります。
単一VLAN設定
まずは「単一VLAN」で設定しMXをバインドしてみます。
「オーガナイゼーション > 設定 > ネットワーク作成」から設定テンプレートをバインドし作成しますが、作成の方法は前回にまとめていますので割愛します。
作成されたNetworkに移動し、「セキュリティ&SD-WAN > 設定 > アドレス&VLAN」へ移動します。
Templateにて設定デフォルトで設定している「192.168.128.1/24」で設定されていることが分かります。
設定変更を行おうにも編集を行うことができず確認のみとなってしまいます。
この設定では、MX自身には設定テンプレートで設定されたIPアドレスからの変更はできず同じサブネットを使った拠点が作成されると言うことになります。
VLAN設定
次に設定テンプレートとしてVLAN設定を行った場合を解説します。
設定テンプレートの「セキュリティ&SD-WAN > 設定 > アドレス&VLAN」へ移動します。
「VLAN」をクリックし、VLAN 1を編集します。
VLAN名とVLAN IDを変更したければ設定を行います。
「共通」もしくは「ユニーク」を選択します。
「共通」は上の単一VLANの設定と同じで全てのバインドされたMXに同じIPサブネットが割り当てられます。
「ユニーク」はIPアドレスの重複が認められない環境(むしろこちらが主流)に利用されます。
デフォルトで「10.0.0.0/8」の中から各MXに対して「/24」のサブネットマスクのサブネットを割り当てていく設定になります。
Meraki管理者が拠点に割り当てるIPサブネットに特にこだわりがない場合はこの設定を行うのが一番楽に展開できる方法だと思います。
「ユニーク」でバインドされたMXの設定を見てみます。
「10.0.0.0/8」の中から「/24」で切り出されたサブネットが割り当てられていることが確認できます。
切り出されたサブネットを編集してみると、異なるサブネットに変更できることが分かります。
「単一VLAN」や「共通」では設定編集出来なかったサブネットが「ユニーク」では設定編集が出来ることになりますので、Meraki管理者が割り振って決めたサブネットに変更する必要がある場合はこの「ユニーク」を選んでおく必要があります。
Firewall設定
Firewall設定は全て設定テンプレート側で行います。
「新規追加」で通常と同様にFirewallルールの設定が可能です。
設定テンプレートで追加されたFirewallルールは各MXにコピーがされていることが分かります。
実MXの設定では「新規追加」ボタンが表示されないことが確認できます。
設定テンプレート環境におけるFirewallルールは設定テンプレート上の一律設定のみで、各MXで上書き設定は出来ないことに注意してください。
多くの拠点を展開する場合、例えば例外Firewall設定を行うことが多いと思います。
設定テンプレートではそのような運用は出来ないことになりますので、利用できないことになります。
各MX単体で設定できること
上記の通り基本的には設定テンプレートの環境では設定テンプレート内に設定された内容がそのまま各MXに反映されます。
例外的に一部の設定が各MX(Network)に設定が可能です。
繰り返しとなりますが、これ以外の設定に関しては設定テンプレートに設定された内容がそのまま各MXに展開されることになります。
設定テンプレートは非常に便利な仕組みとなりますが、FirewallルールやHTTPカテゴリフィルタ等例外設定を行う必要がある場合は設定テンプレートは有効では無いことを理解しておく必要があります。
