![Meraki](/portal/page/out/mss/cisco/pic/header/cisco_meraki.png)
Cisco 担当者コラム
Cisco・Meraki
Meraki 第111回 「MXのVPNがNAT越えできる理由とは?」
今回はMerakiのAuto VPNのNAT越えの挙動について、少し深い話をしてみたいと思います。
MerakiのMXシリーズのAuto VPN機能では、上流にファイアウォールがある環境で利用していても上流のファイアウォールで外側に向けてポートを開放したり、ポートフォワーディングの設定を行ったりする必要なく、MX間でVPNを張ることができます。
その仕組みがUDPホールパンチングというクラウドならではの面白い仕組みです。
まず、Meraki MXはそれぞれUDPポート範囲32768-61000の中から動的に使用するポートを選択して、Merakiのクラウド(クラウドレジストリ)に登録します。
すると、なんということでしょう。
先ほどの通信で左側拠点のFWではNATテーブルが生成されており、ステートフルファイアウォールによって戻りのトラフィックが許可されているため、通信がMXに到達します。
ちなみにもしうまくいかない場合にはUDPポート範囲32768-61000の中から別のポートを使用して接続を試行し続ける、という挙動を取ります。
さてこれでMX間で双方向の通信が可能になりましたので、無事VPNが確立します。すごい!
ちなみに、UDPホールパンチングについての注意点ですが、上位のファイアウォールが静的に内側から外への通信に対して通信できるポートを制限している場合、必要なポートを開放していただく必要がございます。
この場合、クラウドレジストリとの通信にUDPポート9350/9351番を使用、MX間のVPN接続にUDPポート範囲32768-61000を使用します。
現状、UDPポート範囲32768-61000についてはヘルプのファイウォール情報にも表示されないため、上流にFWがある環境では忘れずにこちらのポートの開放状況についてもチェックするようにしてください。
今回は以上となります。ここまでお読みいただきありがとうございました。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。
Ciscoの記事
- Wireless 第60回「Catalyst 9100シリーズ EWC on APのEoS/EoLのお知らせと他製品の導入について」
- Collaboration 第133回 「Cisco Room Bar Proの紹介 ~ 多様な会議室に対応するビデオ会議端末 ~」
- Collaboration 第132回 「注目ソリューション!Ciscoデバイス for MTR(Microsoft Teams Rooms)のご紹介 その3 ~ 構成例・必要なもの ~」
- Meraki 第146回「Cisco Secure Connect利用時のリモートユーザの保護」
- Security 第73回「【重要】Chromebook ClientでUmbrellaをご利用の方へ~Umbrellaを継続的にご利用いただくために~」
- Collaboration 第131回 「注目ソリューション!Ciscoデバイス for MTR(Microsoft Teams Rooms)のご紹介 その2 ~ これまでのTeams連携との違い ~」