フルトンネル使用時のハブ拠点がダウンした通信の挙動について

解決済み
yuyuyuyu
Comes here often

フルトンネル使用時のハブ拠点がダウンした通信の挙動について

コミュニティのみなさま

お世話になります。

 

1つのハブと2つのスポークで拠点間VPNを構築し、

フルトンネルにてすべての通信をハブに集約させる構成にしました。

 

ハブ拠点がダウンした際、

2つのスポーク拠点もすべての通信が出来なくなりましたが、

これは期待される動作でしょうか?

 

トンネルがダウンした場合、

スポーク側のデフォルトルートは通常のWANインターフェースに向く事を期待していましたが、

どうやらトンネル向きのデフォルトルートが残り続けてしまうようです。

 

耐障害性を考慮する場合、

ハブ拠点を2つ以上を置く、もしくはスプリットトンネルの有効化を検討するべきでしょうか。

それとも何か設定上の見落としがあるのでしょうか。

 

ご教示いただけますと幸いです。

1 件の受理された解決策
MyHomeNWLab
Getting noticed

Meraki MXのAuto VPN経由で学習したルートですが、
Auto VPN Peerの対向ステータスをトラッキングしていないため、ルーティング テーブルにインストールされ続けます。
そのため、ハブ拠点がダウンしても、スポーク拠点のルーティング テーブルはハブにNexthopが向いたままになります。
よって、スポーク拠点同士で通信が出来ないのは想定される動作だと見受けられます。
 
なお、Auto VPN Peerのステータスのトラッキングはしない点に関しては、明確にドキュメントに記載がなかったと思われます。
私はサポートの方に問い合わせている過程で知り得ました。一般的なR&Sの挙動と異なるのでハマりやすい点かなと存じます。
 
 
> 耐障害性を考慮する場合、
> ハブ拠点を2つ以上を置く、もしくはスプリットトンネルの有効化を検討するべきでしょうか。
 
はい、フル トンネルを張っているとAuto VPN Peerのハブの障害状況に依存する点があるため、それらの手法が考えられると思います。
特に、ハブにフル トンネルを張る特別な理由があるか否かが重要かと思います。
ハブ拠点側にて、各拠点のトラフィックに対して一元的に専用セキュリティ アプライアンスの機能でアクセス制御を適用したい要件などあれば、
スプリット トンネルでInternetに直抜けになる通信に対して、セキュリティ ポリシー的な議論になるかなと思いますため。

元の投稿で解決策を見る

2件の返信2
MyHomeNWLab
Getting noticed

Meraki MXのAuto VPN経由で学習したルートですが、
Auto VPN Peerの対向ステータスをトラッキングしていないため、ルーティング テーブルにインストールされ続けます。
そのため、ハブ拠点がダウンしても、スポーク拠点のルーティング テーブルはハブにNexthopが向いたままになります。
よって、スポーク拠点同士で通信が出来ないのは想定される動作だと見受けられます。
 
なお、Auto VPN Peerのステータスのトラッキングはしない点に関しては、明確にドキュメントに記載がなかったと思われます。
私はサポートの方に問い合わせている過程で知り得ました。一般的なR&Sの挙動と異なるのでハマりやすい点かなと存じます。
 
 
> 耐障害性を考慮する場合、
> ハブ拠点を2つ以上を置く、もしくはスプリットトンネルの有効化を検討するべきでしょうか。
 
はい、フル トンネルを張っているとAuto VPN Peerのハブの障害状況に依存する点があるため、それらの手法が考えられると思います。
特に、ハブにフル トンネルを張る特別な理由があるか否かが重要かと思います。
ハブ拠点側にて、各拠点のトラフィックに対して一元的に専用セキュリティ アプライアンスの機能でアクセス制御を適用したい要件などあれば、
スプリット トンネルでInternetに直抜けになる通信に対して、セキュリティ ポリシー的な議論になるかなと思いますため。
yuyuyuyu
Comes here often

MyHomeNWさん

 

詳細な解説までいただきありがとうございます!

調べてもなかなか情報が出てこずモヤモヤとしていたので、

大変に腑に落ちました。ありがとうございます。

 

現状では特にフルトンネルに拘る必要性はあまりないですが、

仰られるようにセキュリティポリシーの部分で今後検討すべきところは出てくるかもしれません。

今後の為にも念頭に置いておくように致します。

ありがとうございました。

Get notified when there are additional replies to this discussion.
Welcome to the Meraki Community!
To start contributing, simply sign in with your Cisco account. If you don't yet have a Cisco account, you can sign up.
ラベル