Meraki MX 17.10が安定リリース(Stable Release)となりました

MerakiのセキュリティアプライアンスであるMXのソフトウェアであるMX 17.10.2が安定リリース(Stable Release)となりました。
本記事ではMX 17で実装された新機能を簡単に解説したいと思います。
(それにしてもこの"MX 17"というネーミングは機種名を指すのかソフトウェアバージョンのことを言ってるのか分かりにくいですよね。。)

 

IPv6基本機能

IPv6によるInternet接続環境も世界レベルで整い始め、とうとうMeraki MXにおいてもIPv6のサポートが開始となりました。
日本のNGNにおいてはRA(SLAAC)もしくはPDによるIPv6アドレスの取得を行うの必要があるのですが、MerakiのDocumentを見てみるとそう言ったキーワードはサポートされている旨が記載されています。
とは言いながら、(詳細は別途まとめたいと思いますが、)ひかり電話契約の無いRAによるIPv6アドレスの取得形式の場合にMXはどう振る舞うのか?等謎も多いので、別のタイミングで検証をしたいと思います。

また、IPv6のみによる実装は行えずIPv4とのデュアルスタックの構成が必須であったり、HA構成やテンプレート構成の場合は現状では未サポートとなるので注意が必要です。 

documentation.meraki.com

 

NBAR2

Meraki MXではこれまでもトラフィック分析としてアプリケーションの詳細を表示する事ができていましたが、Ciscoが開発したNBARを利用することによってさらに詳細な1,500以上のアプリケーションを識別する事が可能となりました。
これまでは、"Miscellaneous secure web"や"UDP"と表示され分類不明であったアプリケーションもより詳細に表示が可能になります。
トラフィックの可視化だけではなく、レイヤー7ファイヤーウォールやSD-WAN、トラフィックシェーピングの設定においてもNBARをベースとしたアプリケーション単位の設定が可能になります。

このNBARの実装はMX16からサポートされていますが、MX17で機能拡張されています。

 

 

documentation.meraki.com

Cisco Talosによるコンテントフィルタリング

Meraki MXはコンテントフィルタリング機能としてBrightCloud(Webroot)のサービスを利用していました。
MX17からはCisco Talosによるものに変更になりました。
これまではあらかじめカテゴリーリストをMX内にプリロードし利用する形態となっていましたが、Cisco Talosにおいてはクラウド上のインテリジェントサービスにURLのカテゴリーを参照しにく形式となります。一度問い合わせたサイトにおいてはMX内部にキャッシュされます。
よってCisco Talosへの新しい通信フローが発生してしまいますので上流のFW等でフィルタリングを行なっている場合には注意してください。

documentation.meraki.com

 

SD-Internet Steering

Auto-VPNによるSD-WAN環境を実現する上で、VPNを介す必要の無いトラフィックに対してはInternet Breakoutを行うことは重要となります。
Meraki MX 17からO365、Webex、Zoom等代表的な10のアプリケーションを識別してInternetへ直接通信ができるようになりました。
この機能はSD-WAN Plusライセンスが必要となります。

https://documentation.meraki.com/@api/deki/files/15821/Screenshot_2021-09-24_at_12.39.41.png?revision=1&size=bestfit&width=517&height=399

documentation.meraki.com

 

Mandatory DHCP

MXの配下に接続される端末においてMXのDHCPサーバー機能から払い出されたIPアドレスでのみ通信を許可する事が可能になります。
MerakiのDocumentではDORAと書かれていますが、DHCPIPアドレスを取得するための

  • Discover
  • Offer
  • Request
  • ACK

の手順を踏んだ端末のみがその後通信の許可が行われます。

documentation.meraki.com

 

WAN Failover、Fallbackのエンハンス

これまでは、WANの冗長構成を行なっていた場合、WANに障害が発生(もしくは復旧)が発生した場合、既存のセッションはそれがExpireするまでは既存のWANを利用し続けようとしていました。
MX 17から実装されている"Immediate"を設定することにより、既存セッションも即座に回線を切り替えて通信を行う事が可能となりました。
ただし、一般的な構成においてはMXでNATされてInternetへの通信を行うことになると思いますのでGlobal IPアドレスが変更となっても通信は維持できないことになりますのでTCPもしくはアプリケーションレベルで再セッションが張られることになると思います。

documentation.meraki.com

 

まとめ

本日はMerakiのDocumentから読み取れる範囲で新機能の概要を解説しました。
今後はそれぞれの機能について実機で動作を確認しながら詳細をまとめていきたいと思います。