Cisco Meraki MXのActive/Passive

前々から検証したかったんですが、最近になってようやく手をつける事が出来ました。
それはMeraki　MXシリーズの『Warm Spare』と言う可用性の機能です。日本では冗長化とか言いますが、Merakiは「ウォームアップスペア」と表現しているようですね。
Meraki MX/Z1シリーズではZ1以外はWarm Spareを使う事が出来ます。

可用性・冗長化での構成でよく言われるのが

・Active/Active
・Active/Passive　または　Active/Standby　または　Active/Hot Standby

こんなかんじっすかね。これに付随して出てくるのが「Cold Standby」。

で、Meraki　MXの仕様ですが、『Active/Passive』です。
世の中的に言うと、普通の可用性機能の実装となりますが、実はわたくし、今まで経験上で可用性機能で良い目にあった事がないんです。特に『Active/Active』。負荷分散やら出来て良いかと思いきや、障害発生の条件設定が難しく、思ったように動作しない事の方が多かったので、ぶっちゃけ可用性機能については疑心暗鬼でした。
なので、私の扱っている可用性の殆どが『Active/Passive』設計にしています。可用性によるリスク・・・なんてこっちゃどうにもならん[E:despair]
最近、「Active/Active」で運用しているのはPulsesecure（旧Juniper)のMAGぐらいですかね。

で、その標準的仕様の可用性を取り上げる１つの理由としては「簡単」という一言につきます（笑）
今までのネットワーク機器で冗長構成を組もうと考えると「うっ！？」となる事とか、GUIで全て設定が出来なかったりとか、仕様的な話で組み方間違えるとドエライ目に合うとかありました。
MerakiのMXはシンプルです。意識しなければならないのは、Merakiは「インターネット接続環境が前提のクラウドコントロール製品であること」です。

なので、WAN側を軸に可用性を考えているので、グローバルIPのアレンジには2種類あります。
１）VIPを持たせてMX個々にWAN(Internet)のIPを振る方法
２）MXのWAN(Internet port)に付与された実IPで可用性を実現する方法

１についてはVIPを持ちますので、切り替わってもVPN接続など継続的に維持する事が出来ます。VPN環境でセンター拠点ではVIPの手段をお勧めします。
２についてはグローバルIPが変わりますので、VPN的には1度落ちますが、DDNS処理によって勝手に回復してきます。VPNを使わない環境では２の方式でもいいのかも。

では、設定～

[Security appliance]->[Addressing&VLANs]より、一番下に[Warm Spare]とありますので、「Enable」にして、スペアのMerakiシリアルを入力して、VIPを決定して「Save」です（画像はVIP設定時のもの）。

んー・・・これで以上です・・・[E:coldsweats01]
ちなみに「Swap Primary and spare」を押すと、PrimaryとSpareを逆転させることができます。

で、こんな感じで冗長化されているのが判ります。~~簡単すぎるので会社への作業説明があったら「いやぁ…冗長構成が難しくて・・・」といいながら時間稼ぎすると良いと思います。~~

試しに「PrimaryのCurrent master」になっている方のInternetポートを引っこ抜くと・・・

Spare側にVIPが移動しました。この時、LAN側のMXのIPもSpare側に移動します。LAN側はVIPではないので注意です。LAN側もVRRPが通信していてLANフェイルオーバーも出来ます。切り替わりのタイムロストとしてはping1～２回分ぐらいです。
上記画像キャプチャは、LANを引っこ抜いたばかりだったので、LANポートがアップしたように見えていますが、クラウドコントローラーという事もあり、重要な情報を先に書き換えて知らせてくれている感じです。