こんにちは。Meraki担当のDsasです。
　MerakiのSD-WANについて紹介すると必ずと言ってよいほど、「インターネットブレークアウトはできますか？」というご質問を頂くので、「インターネットブレークアウトはできないのですがMerakiのSD-WANは?」と前置きを入れて説明しておりましたが、、、ついに念願のインターネットブレークアウトの機能がリリースされましたので、一足先にご紹介いたします！！！※一部BETA版の為、実際のご提案には十分な検証をお願いします。
　今回の概要編では、インターネットブレークアウト機能の紹介と設定に必要なライセンスやバージョンなどの条件についてご紹介いたします。次回の設定編では、実際の設定項目や設定方法をご紹介いたします。

　されまずそもそもMeraki MXシリーズがサポートするインターネットブレークアウトとはどんな機能なのか紹介します。Merakiでは、インターネットブレークアウトのことを「VPNフルトンネル除外機能」と呼んでおり、(機能名は全くかっこよくないのですが、、、)その名の通りレイヤー3のIPアドレスとポート番号情報やイヤー7のアプリケーション情報を指定することで、指定した通信をフルトンネルVPNから除外し、直接インターネットに送信します。
　なぜこのインターネットブレークアウトの機能がSD-WANの代名詞というほどにまで注目されているのかと言いますと、それにはWANに不安や問題を抱えているネットワークが増えていることがあげられます。例えば以下のスライドのように、拠点のインターネットアクセスを一旦本社やデータセンターのセキュリティ機器で集約している設計では、拠点の端末数やインターネットのSaaSアプリケーションの増加によりインターネット回線が逼迫してしまうという状況が考えられます。
　特に最近ではWebexのようなビデオ会議の通信が増加しているかと思いますが、その場合映像が途切れる、音声が届かないといった致命的なトラブルとなります。。。
　そのような状況でインターネットブレークアウトは効果的です。以下のスライドの通り管理者が指定したセキュリティの高いアプリケーションへの通信を本社やデータセンターを経由せず直接インターネットに送信することが可能です。これによりインターネット接続の負荷を軽減することが可能です。例えばwebexを指定した場合、当然ですが本社やデータセンターのインターネット回線が万が一逼迫してしまっていたとしても、webexのビデオ通信には全く影響はありません。
　そんなインターネットブレークアウト機能ですが、MerakiのMXシリーズで利用する場合は、以下の３つ条件がございます。
　２.レイヤー７のアプリベースのブレークアウトには、SD-WAN Plusライセンスが必要
　３.SD-WAN Plusライセンスはオーガナイゼーション内の全てのMXに必要
　まず1つ目のファームウェア関しては、アップグレード作業して頂ければよいということですので、特に問題無いかと思います。
　2つ目ですが、レイヤー3のIPアドレスとポート番号により通信をブレークアウトする場合、SD-WAN Plusライセンスは不要です。しかしながら、SaaSで利用される通信のIPアドレスとポート番号を手動で入力するのはさすがに限界があるかと思います。。。レイヤー７のアプリケーションベースであればマウス操作で簡単にブレークアウトするアプリケーションを指定することが可能です。ただSD-WAN Plusライセンスという最上位のライセンスが必要です。また2020年11月時点では、このレイヤー７のアプリ識別によるブレークアウトは、BETA機能であることと指定可能アプリケーションは10種類ですのでご注意ください。サポートされるアプリケーションについては、次回の設定編で紹介します。
　最後に3つ目ですが、MXシリーズはオーガナイゼーション全体でライセンス種類を統一する必要があります。その為、SD-WAN Plusライセンスも本社やデータセンターを含む全てのオーガナイゼーション内のMXシリーズに適応させなくてはなりません。
　本社とデータセンターのMXシリーズがインターネットブレークアウトを必要としない場合でもSD-WAN　Plusライセンスが必要となってしまいますが、ライセンスが無駄になるわけではありません、SD-WAN　Plusライセンスはインターネットブレークアウト以外にもSaaSアプリの健全性を可視化するMeraki Insightなどの機能もサポートします。

　以上となります。
　次回の設定編では実際に検証した内容と結果をご紹介させて頂きます。