sidetech

(元)インフラエンジニアの寄り道メモ。

Cisco Meraki MX 不思議なQoS over VPN

イタリアにいるメンバーから「VPNが切れちゃう」という話が。。。

今までそんな経験は無いぞ?何が起きているのか・・・うーん?

てことで、今回は国際インターネットVPNな話。

ベルギーをHUBにして、イタリアをspokeにしたAutoVPNの構築を済ませているのですが、何故かイタリアのメンバーから、VPNが何回か切れてしまうという。

普通のインターネットへのトラフィックは問題は無しと。

ベルギーのグローバルIPまでも問題は無さそうだ。

イタリアの回線の負荷を掛ける為にスピードテストサイトでトラフィックを発生させると、その間のインターネットへのコンテンツ閲覧は問題ないけど、ベルギーへのVPNがロストしてしまうという。

負荷がなければまたVPNが回復すると・・・。

(-ω-;)ウーン。イタリア滞在中には経験していないなぁ・・・どうするべか。

イタリアの回線自体は80Mbps位はでているので結構調子いい。

懸念事項としては、Meraki MXの上位にTIMという会社のルーターが置かれている。

なので、VPNはNAT-Traversalの状態になっているのね。
確かに、時々、VPNレジストリのアラートが上がっているが・・・レジストリだしなぁ・・・。

VPNが重いならともかく、一次的に切れてしまうのは厄介だ。VPNのパケットだけ優先制御出来ればいいんだけど・・・さてどうやってやるんだろうと。

Merakiのナレッジベースを探した所、以下の記事がヒット。

ただ、この内容を読んでも、ほんまかいな?っていう設定内容で。

正直、他に手が浮かばないので、騙されたと思ってやってみた。

f:id:hunter1014:20170828190302p:plain

イタリア側のローカルサブネットを指定して、DSCPタギングを44にセットし、プライオリティを「高」にしただけという。。。

帯域に対して優先順位を組む場合は、帯域のサイズが大事になってくるんだけど、回線は上りと下りで異相なので、さてどうするかなぁ・・・80Mbpsでとりあえず設定。

 

で、現地側で、VPNトラフィックを発生させながらスピードテストをやってもらった所、VPNが落ちなくなったという。。。

 

うーん・・・これってば、ローカルサブネット全部にDSCPタグを付けたのよね。対向先がどうこう関係なく。おまけにIPSecのカプセルパケットに効果をどうやってだすんだ?!と理解は出来ていないのですが・・・上手く行ったようです(^^;

理解できずに出来た事って・・・・なんか気持ち悪い。。。

多分、カプセル内のパケットじゃなくて、IPSecのヘッダの方にQoSのビットがたっているんだよね・・・きっと。。。

QoSの勉強をちゃんとしないと駄目かも・・・(^^;

まぁとりあえず?凌げたのでよかった。

MerakiVPNが安定しないというケースがあった場合は試してみてください?