sidetech

インフラエンジニアの寄り道メモ。

上海(中国)でMerakiMXを使ってiWAN試したよ

Cisco Meraki MX コラム

やっと帰国しました。日本は暑いっすね。。。[E:coldsweats02]
昨年末に輸出しておいたMX80とMX64のセットアップをしてきました。6か月遅れですね[E:wobbly]

今回は初の上海で、インターネット事情に手を焼くこと必須でしたが、ほんとに・・・色々苦労しました。[E:coldsweats01]
Merakiといえば「ゼロタッチオペレーション」というフレーズで知られておりますが・・・まぁそれにはある程度の状況や事情、現地のスキル等々ある程度の好条件が必要だったりします。
日本だったら結構楽勝なんですが、海外拠点の状況は、結構自分が思っている状況とは異なっていることが殆どです。その為、出張セットアップの道を選んだわけですが・・・出張してよかった。
 
Volansfw
日本も他の国の事は言えないのですが、中国語のファイアウォールを理解するのはほんっと大変[E:coldsweats01] 英語はできない私ですが、英語は便利っすね。
これは現地で使われていたファイアウォールで、一通りの機能が搭載されており、決して悪い製品には感じませんでした。
 
話は戻ってホテルでの調査から開始しましたが、例のごとく、GoogleやFB,KLINE、Amazon等々、日本で皆さんが便利に使われているものはほとんど通信できません。YahooだけはOKで、これが救いな位です。ちなみにYahoo程の検索サイトが使えるということは・・・中国のお国の条件を飲んでいるって事ですね。あーこわいこわい。
そして、現地側では、日本ではブロック気味なBaiduが検索のメインサイトみたいな雰囲気でした。個人的には私のGoogle依存度の大きさにビックリ。Googleがないだけで色々と不便になる現実に少し考えを改めなければと感じました。
 
そして、ホテルでもオフィスでもどちらでも起きた現象なのですが、突如時間帯関係なくインターネットが利用出来なくなることがチョイチョイあります。
これも滞在中にDNSの影響が結構あるんだなということが分かりましたが、現地の人曰く、ガバメントDNSなんだよと言っていました。なるほど・・・グレートなファイアウォールDNSとIPフィルタの組み合わせでしたか。
それと現地の人にグレートファイアウォールって言っても通じませんでした。
 
そんな中なのですが、よくCisco Merakiさんは中国に製品を卸す気になったなぁと。マーケットとしてはやはりデカいんですかね。
今回は、MerakiのAutoVPNがどこまで頑張れるのか。クラウドコントローラーがどこまで行けるのか・・・実は行き当たりばったり動作検証です。[E:coldsweats01]
Meraki的にGoogle系がブロックされている部分が少し痛い部分があるハズなのですが・・・。
 
そして、現地オフィスでの機器と回線の状況と、どこまでアレンジして入れ替えが出来るかということだったんですが・・・結論から言うと・・・想定していたよりもやり過ぎた状態でフィニッシュしました。[E:coldsweats01]
 
その中でも、誰もがこんな決断はしないだろうなという事もしてきました。
Mx64iwan
まだベータでしか提供されていないファームウェアにある「iWAN」という機能です。これはWANの回線が2回線ある状態でAutoVPNをするときにすごく効果があります。VPNなのにロードバランスしてくれるっす。世間一般的にいうとBGPみたいな感じですね。
さすがにベータというだけあって、表示系の一部はまだ何か動きが変なところがありますが、クリティカルではないです。
たまたま、オフィスに2回線あって、キャリアが違う状態だったので、VPNの不安定さを吸収できる可能性に掛けてみました。なので現地でベータファームウェアの適用したりとちょっと冒険しましたね。[E:coldsweats01]
 
Mx64betafirmiwan
このレイテンシグラフとパケロスグラフは中々いい。だけどまだ発展途上中ぽい。
トラフィックグラフもWAN1/WAN2/VLANtoVLANが見られるのはグッド。
 
Traana
トラフィックアナライズというのが今後メニューに増えるみたいですね。こちらも中々よかです。欲しかった見え方ですね。
 
で、最初はですね、冒頭の画像にだしたVolansルーターと共存する設計にしていたはずなのですが、滞在後半にはVolansルーターを外すという事になってしまうという・・・。
StaticRouteが上手く機能しないという摩訶不思議な現象に出会ってしまいまして。。。
散々ルーターと付き合ってきた私がルーティングが上手く行かないってなんだろ・・・って感じなのですが、まぁ海外拠点ではこの程度の不具合は付き物です。
実は、ローカルアドレスにプライベートネットワークアドレスレンジ外が使われていたので、その影響を受けてしまった・・・と考えていますが・・・エージング時間が全然なくって困った(^^;
 
他にも細かいトラブルはあったんですが・・・それは話す機会があればという事で。
とりあえず、思ったよりもVPNが出来るし、通信速度も出るときはでる。
駄目なIPは駄目なんだけど…DNSがアカンときがある・・・。
しかし・・・エリアの影響なのか、キャリアの影響なのか・・・2か所のオフィスから日本に向けてSite-to-Site VPNを組んでいるのですが、1拠点だけ、VPNがよく切れる。切れても1分から4分程度の範囲。パケットロスがひどくなる現象と比べればかなりよくはなったけど、やはり安定要素が確実につかめていない部分があり、今後も注視していかねばならない感じ。
ローカルで40Mbps程度の回線と聞いてますが、日本側は100Mbpsのちょっと良いやつを相手にVPNを張って、3MbpsぐらいはVPNFTPは頑張れてる感じ。
思ったよりも帯域頑張れてる。でも3Mbpsがいつも維持出来るわけではなく、この不安定な部分が現在悩んでいます。
 
やっぱり国際IP-VPNかな?[E:coldsweats01]
とりあえず、中国国内での拠点間VPNがなかったので、VPNを張ってあげたら喜ばれました。他にもMDMコントロールとか、Merakiならではの機能を少しお披露目したり。
でも、中国の方々でもGoogleは便利と思っている模様。何とかしてあげたいのう。
 
さて、明日からまた講演資料を書き上げなければならないので、しばらくお留守です[E:wobbly]