• Meraki Auto VPNとNon-Meraki VPNの併用について
• この記事での前提構成
• パターン1
• パターン2
• パターン3
• 関連するドキュメント

Meraki Auto VPNとNon-Meraki VPNの併用について

Meraki Auto VPNとNon-Meraki VPNを併用は可能です。

それらの併用は可能ですが、冗長構成を構築することは苦手な側面があります。

MXの仕様によりどのような通信が可能なのか、不可能なのか、

混乱することがありますので、代表的な例を交えてコミュニティ記事としてまとめます。

この記事での前提構成

Full Mesh構成のMeraki Auto VPNがA,B,Cの３拠点で構成されており、同時にNon-Meraki VPNでNon-Meraki VPN peer拠点と接続した構成を想定しています。また、IPv4デフォルトルートは構成していないものとします。

以下に3つのパターンに分けて動作を説明します。

パターン1

Non-Meraki Peerと接続を許可された拠点はAのみの場合。

サポートケースとしても最も多い問い合わせの一つです。許可されたA拠点はNon-Meraki Peerと通信が可能ですが、そのほかの拠点は通信ができません。

理由としては、A拠点がNon-Meraki VPN peerへのスタティックルートを他のB,C拠点に再配送しないためです。

Meraki Auto VPNは自身のLANサブネット以外のルートについては再配送しません。

上記のNon-Meraki peer ⇔ B 拠点間の通信に関して、MX 19.1.4 以降で利用可能となった、BGP routing over IPsec VPN 機能を用いることで通信を可能とすることができます。

パターン2

NonMeraki Peerと接続を許可された拠点は全てであり、C拠点がMeraki Auto VPNの接続を全て失った場合。

MXがHUBとして動作している場合、A,B拠点への接続を失ったとしてもそれらをトラッキングしておらず同じルートを保持し続けます。

そのため、同じルートにパケットを送信し続けることになり、仮にNon-Meraki peerがルーティング機能を持っていたとしても、それを介しての通信はできません。

パターン3

NonMeraki Peerと接続を許可された拠点は全てであり、C拠点がNon-Meraki peerとの接続を失った場合。

パターンAを踏まえると、これは不可能な通信であることが分かります。

こちらも同様にHUB拠点はNon-Meraki VPN peerへのスタティックルートを他の拠点に再配送しないため、A,B拠点を経由して通信はできません。

上記のNon-Meraki peer ⇔ C 拠点間の通信に関して、MX 19.1.4 以降で利用可能となった、BGP routing over IPsec VPN 機能を用いることで通信を可能とすることができます。

関連するドキュメント

Meraki Auto VPN の一般的なベスト プラクティス - Cisco Meraki ドキュメント
https://documentation.meraki.com/Architectures_and_Best_Practices/Cisco_Meraki_Best_Practice_Design/...

Site-to-Site VPN Settings - Cisco Meraki Documentation
https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-Site_VPN_Settings

MX Routing Behavior - Cisco Meraki Documentation
https://documentation.meraki.com/MX/Networks_and_Routing/MX_Routing_Behavior#Auto_VPN_and_Non-Meraki...

BGP routing over IPsec VPN - Cisco Meraki Documentation
https://documentation.meraki.com/MX/Site-to-site_VPN/BGP_routing_over_IPsec_VPN