Meraki 第106回「Meraki Virtual MX(vMX)とAWS検証(後編)」

2021/03/02

　こんにちは。Meraki担当のDsasです。

　前回に続きまして、パブリッククラウド向けの仮想アプライアンスであるVirtual MX(vMX)とAmazon Web Services(AWS)の検証について紹介いたします。vMXの製品紹介については、お手数ですが前回の「第105回　Meraki Virtual MX(vMX)とAWS検証(前編)」をご確認ください。そして今回の後編では、各製品のセットアップ方法についてご紹介いたします。

　※弊社検証環境における設定内容についてのご紹介となりますので、動作を保証するものではございません。

　まずは今回の検証環境と通信テストについてです。

　図の通りですが、本社のMX64とAWSのvMX間でMeraki Auto VPNによるインターネットVPN接続を行います。AWS側のネットワーク(VPC)は10.0.0.0/16を利用しており、インターネットに接続可能なパブリックサブネットにvMXの仮想インスタンスを設置しています。また通信確認用にEC2をプライベートサブネットに設置しております。通信確認としましては本社のLAN側のセグメント（192.168.1.x/24）に設置したＰＣからVPNを介してEC2に対しPINGとhttpアクセスを行います。

　続きましてセットアップ手順についてです。

　※セットアップのポイントを図解で紹介しております。すべての手順を紹介するものではございませんのでご注意ください。またセットアップ手順についてはこちらのマニュアル(英語)をベースに実施しております。https://documentation.meraki.com/MX/MX_Installation_Guides/vMX_Setup_Guide_for_Amazon_Web_Services_(AWS)

　まず最初にオーガナイゼーションにvMXのライセンスキーを投入いたします。こちらはvMXだからといって特別なことはなく他のMerakiライセンス同様にダッシュボードのオーガナイゼーション＞ライセンス情報から入力いたします。今回はvMX-Mという中規模向けのパフォーマンス(スループット500Mbps)のライセンスを投入しました。

　その後にvMX用(AWS側)のネットワークを新規作成します。※本社側のネットワークの作成については省略します。これも通常どおり、ダッシュボードのネットワーク＞新しいネットワークから作成します。今回はvMX_AWSというネットワークを作成します。

　ここでネットワークの種類で「セキュリティアプライアンス」を作成しネットワークの作成をクリックすると、下図の通り [Add VMX-M]ボタンが表示されるので、クリックして新しいvMXをネットワークに展開します。

　その後下図のようなvMXのネットワークが作成されますが、その際にファームウェアがMX15.37以降を実行していることを確認してください。

　vMXをネットワークに追加しましたら、認証トークンというものを生成します。このトークンを後にAWS側に入力することでMerakiクラウドとAWSの仮想インスタンスが連携します。※認証トークンの有効期限は1時間ですのでお気をつけください。なお何度でも作成可能です。

　ちなみに認証トークンはこのようなテキストデータです。

　続きましてAWS側のセットアップになります。

　こちらからAmazon Machine Image(AMI)にアクセスします。

　EC2インスタンスを起動するリージョンとEC2インスタンスタイプを選択します。なおEC2インスタンスの実行には、AWSインフラストラクチャの料金がかかりますのでご注意ください。（料金は、右側にあるコスト見積もりテーブルで確認できます）[Continue to Subscribe]ボタンをクリックして、vMX展開を構成および確定します。

　その後、EC2インスタンス設定を構成するように求められますので、[Choose Action]オプションで[Launch through EC2]を選択し、[Launch]をクリックします。※vMX-SおよびvMX-Mの推奨インスタンスタイプはc5.large、vMX-Lの場合は、c5.xlargeです。その後、[次のステップ：インスタンスの詳細の設定]をクリックします。

　インスタンスタイプを選択した後、インスタンスが含まれるVPCとサブネットを選択し、「自動割り当てパブリックIP」が有効になっていることを確認します。

　[詳細]の下の[ユーザーデータ]フィールドに先ほどMerakiダッシュボードからコピーしたvMX認証トークンを入力後、 [確認と作成]をクリックしインスタンスの作成を終了します。

　※ソフトウェアのサブスクリプションが完了してインスタンスが起動するまでに数分かかる場合があります。

　インスタンスが起動した後にvMXのソース/宛先チェックを無効にする必要があるため、新しく作成したvMXインスタンスのネットワークインターフェイスを選択します。

　ネットワークインターフェースを選択後、アクションの[ 送信元/送信先チェックを変更]を選択し、有効化のチェックを外します。

　※Merakiのクラウドダッシュボード接続を提供するためにアップストリームを追加で許可する必要がある場合は、許可するべきIP/Port番号をMerakiダッシュボードの[ヘルプ > ファイアウォール情報]ページから確認し設定を追加してください。

　vMXは、AWSと他のリモートMX間のMeraki Auto VPNを使用したサイト間VPN接続を可能にしますが、vMXを介してAWSに終端するリモートサブネットとAWS内のホストの間で適切な双方向通信を行うには、VPN接続するリモートサブネット(今回の検証では本社のLAN側ネットワーク)をVPCルーティングテーブルに追加する必要があります。これを行うには、AWSの「VPC」ダッシュボードに移動し、以下の手順に従います。※リモートサブネットにはサマリアドレスがお勧めです。

　・左メニューの [ルートテーブル] をクリック

　・vMXがホストされているVPCまたはサブネットに関連付けられているルートテーブルを選択

　・[ルート]タブをクリック

　・[ルートの編集]ボタンをクリックして、ルートを追加

　※詳細な手順は省略しますが、本ケースでは、パブリックサブネット(ｖMX-Pub-rt)に0.0.0.0と192.168.1.0/24をプライベートサブネット(ｖMX-Pri-rt)に192.168.1.0/24を追加しております。またインタフェースに対して必要な通信をセキュリティグループで許可してください。

　再度MerakiダッシュボードにアクセスしてVPNを設定します。

　AWS側のネットワーク(例：vMX_AWS)から、セキュリティ＆SD-WAN ＞サイト間VPNにアクセスし、サイト間VPNのタイプを選択(例：ハブ)後、ローカルネットワークを追加しますをクリックし、ローカルネットワーク(本社側のMXに通知するサブネット)の名前とサブネットを入力 (例：AWS_vMX_Subnet　10.0.0.0/24、AWS_EC2_Subnet 10.01.0/24)します。