sidetech

(元)インフラエンジニアの寄り道メモ。

AutoVPNとVPN subnet translationの凄さ

久々のブログになってしまいました。

先日、監視系の事例講演をしてからDCに飛んで機器の入替を深夜にやってました。
んで、ついでに監視ラインの強化をしようと思っていたのですが、実は事前準備が全然出来ておらず、どの様にインフラデザインを組もうかも考えず、行ってから考えるという暴挙にでてしまいました[E:coldsweats01]

直前までに考えていたことは、YAMAHA RTXルーターを持っていくか、Meraki MX60を持っていくか。
課題は、VPNトンネルを張る作業と、衝突セグメントへの対応をどうするか。
これらの課題で、いつもであれば、何も考えずにYAMAHA RTX1210とかを持っていく所でした。別に出来ない訳ではない。でも今回はその作業は主役ではなく通過点で、兎に角監視ラインを組みたかった。

去年、海外拠点にCisco Meraki MXシリーズに切り替えた時にも恩恵があったのですが、AutoVPN機能は、インターネットVPNを構築してきて来た私の中では驚異的な機能です。
難といってもVPNトンネル設定を殆ど考えずに、HUB&SPOKEやMESHのVPNが組めてしまう。事前にクラウド側で設定しておけば、インターネットにMXが繋がった時点で勝手にVPNも組まれてしまう。フルメッシュのインターネットVPNを組む場合においては、その苦労はVPN構築者であれば誰でもわかるし、SI費も相当になると思う。

その苦労が全くなくVPNが組めてしまうのは、それだけ無駄なドキュメントや設定を記さなくても良いし、構築完了までのスピードはダントツに早い。

Cisco Meraki MXシリーズにも弱点はある。BGPが出来ないというのがある。BGPに関して安価にやろうと思うと、YAMAHA RTXルーターかJuniper SRXルーターになるだろう。

で、今回はインターネットVPNの部分で暇を掛ける時間も無かったので、取り敢えずではあったが、MX60を使って捌いてしまおうと考えた。

しかし、一つだけすっかり忘れていた。VPN sybnet translationは隠し機能になっており、Merakiの中の人にお願いしないと、この機能は付与してもらえない。

Meraki_vpn_subnet_translation
それに気が付いたのは深夜1時頃[E:coldsweats01]
あかん、行き当たりばったりがこんな所で・・・。

すかさず、Meraki の Supportにcase発行依頼でVPN subnet translationのEnable申請をした所、1時間掛からずに機能がEnableになった。対応速度の速さも凄いぞ。

さて、ここまでで、私がした設定は以下の通りである。
・MX60にInternetの接続設定
・必要なVLANとMX IPの設定
・VPNの接続方式の設定(今回はHUB&SPOKE)
・Routingの設定
で、環境の理解は必要だが、判っていれば上記はブラウザから5分程度で終わってしまう。
VPNというと対地側の機器の設定も本来では考えなければならないのだが、Meraki MXは対地側でやることは何もない。対地側を知っている事だけが重要。
本来IPSECの設定でいうと、phase1、phase2とかIKEやらproposalやら色々と考えてあげなければならない部分がある。その中でもYAMAHA RTXは省略形デフォルト値を活用して比較的簡単にVPNが組めるのでコスパよく人気機種になったが、まぁそういった部分が全く分からずに勝手にVPNが出来てしまう。その昔は私はNOKIAの機器で経験したが、IPSECの接続方式がかなり厳格な仕様だったので、覚えるのも苦労したし、VPN構築するのも苦労した覚えがあるが、それは15年前の話で、今の時代はそこの部分の技術力ではもう飯が食えないって事だよね。ほんっとにMeraki恐ろしい子[E:coldsweats02]

そしてMerakiの製品は成長する機器で、去年・一昨年よりも、VPNステータスの確認ページのレベルが上がっている。実は、一昨年ぐらいにMXを触ったときはVPN確認ページがイマイチに感じていたんだが・・・しっかり進化しており、VPNの組み方も当時と比べバリエーションが増えて、私にとっては扱いやすくなった。クラウド系のシステムはGUIのレイアウトや勝手に追加機能が増えたりと戸惑う時も多いが、私の感覚では受け入れられる進化が多いのが印象です。

過去にもVPN subnet translationを取り上げた気もするけど、また感動してしまったもんで、少し熱くお話してしまいました。[E:happy02]