MX450 VPNなしでBGPを利用できるか

解決済み
zamisan
Comes here often

MX450 VPNなしでBGPを利用できるか

WAN側でBGPを使用しているISR4331をMX450へ入れ替えることを検討しています。

(BGPはISPとのやり取りのみで、他拠点等は存在しない)

 

ドキュメント類を確認していると軒並みVPN(Auto-VPNなど)の文言が出てくるのですが、MX450でBGPを使用する場合、VPNありきで使用するしかないのでしょうか?(拠点間VPNなど)

1 件の受理された解決策

念のため他の人も見てるので補足します。

NAT Exceptionですが、昔はサポートへ依頼して有効化する機能でした。
現状では「Early Access」(早期アクセス)のメニューから任意に有効化と無効化ができます。デフォルトでは無効化です。

NAT_Exception_Early_Access.jpg

 

そして今現在でも「BETA」の表示があります。

 

NAT_Exception_Setting.jpg

 

End UserがBETA機能であるのを認識した上で導入するのは問題ないとしても、
SIerが「BETA機能を前提」として提案/導入するとトラブルの原因になりやすいのでご留意ください。

 

本当に導入する際は下記のドキュメントもよく読んでください。

 

NAT Exceptions with Manual Inbound Firewall on MX Security Appliances - Cisco Meraki Documentation
https://documentation.meraki.com/MX/Networks_and_Routing/NAT_Exceptions-No_NAT_on_MX_Security_Applia...

 

元の投稿で解決策を見る

5件の返信5
cmr
Kind of a big deal
Kind of a big deal

You have to enable the Auto-VPN to access the BGP features, but I don't think you need to have another site.

zamisan
Comes here often

Thanks!!

MyHomeNWLab
A model citizen

言い切れはしないですが「Auto VPNありき」の特性になっているかなとは思います。

小難しい話になるかもしれませんが、参考程度に関連情報をお伝えします。

 

●用途の観点

Meraki MXでBGPを利用する典型的な用途だと
DC側のMXでBGPピアから学習したルートを、拠点側に配布するようなイメージになります。

 

具体的には、拠点側のMXがSplit TunnelでDC側のMXにトンネルを張っている設計で、
Express RouteのようなDCを経由させたルートをBGPで拠点側のMXに知らせる感じです。
※備考: Full Tunnelだと全ての通信がトンネルを通ってDC経由になりますが、Split Tunnelでは拠点から直接抜けれます。

 

 

●設定の観点

BGPの設定が可能なのは、基本的にはOne-Armed構成のMXになります。DC側に設置されるMXが対象になると思って頂くのが分かりやすいです。

拠点側のMX (Routed Mode)はBGPのルートは受けれますがBGPの設定はできません。
また、BGPルートの細かな制御はできないです。

 

一応、最近のバージョンだとRouted Mode (主に拠点側のMX用)と呼ばれる状態でもBGPを設定できるようになったようですが、
前述の用途の都合上、Routed ModeでBGPを使うメリットはあまりないと思います。

Routed ModeでBGPを使うためには、NAT Exception (NATしない機能)が必要なのも向いてないのも理由になります。

Routed Modeは拠点のWAN Router想定で、送信元NATする前提のようなアーキテクチャになっているので、NAT無効化すると色々な前提が崩れて設計が大変になると思います。

 

【関連ドキュメント】
Border Gateway Protocol (BGP) - Cisco Meraki Documentation
https://documentation.meraki.com/MX/Networks_and_Routing/Border_Gateway_Protocol_(BGP)

> To enable routed mode eBGP routing, the MX must be running MX 18.205 or higher firmware.
> When establishing eBGP peering in on the WAN, NAT Exceptions with Manual Inbound Firewall is also needed, otherwise the subnets advertised by the MX will be behind NAT and not reachable via eBGP upstream.

 

 

●製品選定の観点

Merakiは機能を限定して展開力に秀でたアーキテクチャになってますが、

シンプルに寄せていて機能は絞っているので、
多機能性に秀でた製品からの更改には適さない可能性があります。
そのため、製品候補に最後まで残るのであれば、PoCされるのが良いかと思います。

MX配下にFWを設置してそこでNATする想定なので、どちらにしろMXではNAT機能は不要と考えています。

そもそも機器選定でMXを選ぶべきではないのかもしれませんが、NAT機能を無効化することもできそうなので改めて検討してみます。

 

https://documentation.meraki.com/MX/Networks_and_Routing/NAT_Exceptions-No_NAT_on_MX_Security_Applia...

念のため他の人も見てるので補足します。

NAT Exceptionですが、昔はサポートへ依頼して有効化する機能でした。
現状では「Early Access」(早期アクセス)のメニューから任意に有効化と無効化ができます。デフォルトでは無効化です。

NAT_Exception_Early_Access.jpg

 

そして今現在でも「BETA」の表示があります。

 

NAT_Exception_Setting.jpg

 

End UserがBETA機能であるのを認識した上で導入するのは問題ないとしても、
SIerが「BETA機能を前提」として提案/導入するとトラブルの原因になりやすいのでご留意ください。

 

本当に導入する際は下記のドキュメントもよく読んでください。

 

NAT Exceptions with Manual Inbound Firewall on MX Security Appliances - Cisco Meraki Documentation
https://documentation.meraki.com/MX/Networks_and_Routing/NAT_Exceptions-No_NAT_on_MX_Security_Applia...

 

Get notified when there are additional replies to this discussion.
Welcome to the Meraki Community!
To start contributing, simply sign in with your Cisco account. If you don't yet have a Cisco account, you can sign up.
ラベル