Meraki MXの最大の特徴としてAuto VPN機能があります。
複雑で難しいサイト間VPNの設定を数クリックで行うことが可能となり、この機能が良くてMerakiを選ばれるようなケースも多く存在すると思います。
ほとんどのケースはMX間をHUBおよびSpokeサイトとして設定していると思いますが、MXをワイヤレスコンセントレーターとして動作させMRとAuto VPNを使って接続を行う機能も可能となっています。
ワイヤレスコンセントレーターのユースケース
コロナウィルスによって働き方も様変わりしリモートワークを認めている企業も多く出てきました。
VPNクライアントソフトを使ったリモートアクセスVPN機能が一般的ですが、社員の自宅に無線アクセスポイントを配布しオフィスと同じSSIDおよび認証方式で使えるようにすることでセキュアに在宅勤務の環境を社員に提供することが可能になります。
ワイヤレスコンセントレーターの設定
まず最初にMXにワイヤレスコンセントレーターの設定を行います。
MXのモードは「ルーティングモード」、「パススルーまたはVPNコンセントレーター」それぞれをサポートしていますが、「パススルーまたはVPNコンセントレーター」による1アーム構成がMerakiの推奨構成となっています。
「セキュリティ&SD-WAN > 設定 > アドレス&VLAN」を選択します。
「モード」設定を「パススルーまたはVPNコンセントレーター」を選択します。
設定はこれだけです。
MRの設定
SSIDの設定を行います。
「ワイヤレス > 設定 > アクセス制御」を選択します。
「クライアントIPとVLAN 」から「外部DHCPサーバによる割り当て」を選択します。
「トンネル」を選択し、「コンセントレータへのVPNトンネルデータ」を選択します。
「コンセントレーター」として先に設定したMXを選択します。
すべての設定作業は完了です。
VLAN設定
SSIDでVLAN設定をしない場合は、SSIDで利用可能となるIPサブネットはMXの管理IPアドレスと同じサブネットとなります。
SSIDにVLAN設定を行った場合は、MXからはそのVLAN IDの802.1qタグが付与されて通信を行います。
Scalabilityについて
このデザインのScalabilityはMXのSite-to-Site VPNのキャパシティに依存します。
例えばMX105の場合Site-to-Site VPNの接続数は最大1,000となります。
SSID単位でVPN設定を行う必要がある場合、SSIDを2つ設定したい場合は1台のMRから2セッション張られることになりますので、コンセントレーターであるMXのキャパシティに注意を行う必要があります。