Meraki

Meraki 第117回「Meraki MXとUmbrella SD-WANコネクタ接続時の設計ポイント2」

こんにちは。Meraki担当のDsasです。

今回も、前回前々回に引き続きMeraki MXとUmbrellaをAuto VPN(Meraki SD-WAN)で接続する利用ケースについて、気になる点や考察を書いていきたいと思います。

■冗長化の設定について

 冗長化については、Meraki SD-WANの仕組みが利用できるため、MXに2回線を収容するだけで、自動的にUmbrellaへの経路を冗長化することができます。

また、ロードバランシング機能を有効化するだけで自動的に2回線を同時に利用してUmbrellaとのVPN接続を行い、回線の品質を見ながら負荷分散までしてくれますので、スループットの改善も同時に図ることが可能です。

 普通にパブリッククラウドとオンプレミスの間で同じことをしようとすると、BGPなどを用いた高度な設計が必要になるので、Meraki / Umbrella連携の一番のメリットは、この部分にあるかもしれません。

 

■ブレークアウトの設定について

 社内で許可されたアプリケーションの中で、Web会議などの遅延に敏感なサービスやグローバルIPによる接続制限を設けているサービスは、あえてUmbrellaを経由させないという選択もとることができます。

 MerakiMXでは宛先IPアドレスやポート番号、ドメインなどを使用した静的なブレークアウトの設定が可能ですので、必要に応じてこうした設定を組み合わせます。


 また、MX側にSD-WAN Plusライセンスをご購入いただくことで、アプリケーション単位でのブレークアウト設定も可能です。


・現在指定可能なアプリケーション

AWS/Box/Office 365 Sharepoint/Office365 Suite/Oracle/SalesForce/SAP/Skype & Teams/Webex/Zoom

 

■ポリシーの細分化について

 実際に運用することを想定すると、ユーザ単位や部署単位でポリシーを分けて運用したい、という要望も出てくるかと思います。

 実は、今回ご紹介しているMeraki MXとのSD-WANコネクタを使用した連携では、Umbrella側から見るとすべての通信はトンネルという一つのIDに紐づけて扱われるため、細かく条件付けしたポリシー分けは行うことができません。

 

 ではどうするか、というとユーザ様のActive Directoryの情報をUmbrellaに同期するAD Connectorというサービスをインストールして使用します。

 ADConnectorについて詳しくはこちら

 このADConnectorを利用することで、Meraki MX経由の通信に対してもAD UserやAD Groupを使用したポリシーの割り当てが可能になります。

 小規模のお客様ではActive Directoryをお持ちでないところもあるかと思いますので、この点は要注意です。

 ちなみに、ADConnector自体はActive Directoryを実行するWindowsサーバ上で動作する設定スクリプトとなります。別途サーバやアプライアンスが必要になることはありませんのでご安心ください。

 

■DNSによる連携との比較について

 今回ご紹介しているAuto VPNによる連携では、WebトラフィックをUmbrellaに転送してクラウド上でセキュリティの適用を行いますが、DNSのクエリのみを転送してドメインレベルでのアクセス制御を行う連携の方法もございます。この連携について詳しくはこちらの記事も併せてご参照ください。

検索でMeraki とUmbrellaの連携について調べると、どちらも出てきてしまうので非常にややこしいのですが、この2つは別の機能です。

 簡単に比較ポイントを挙げると、

・DNSによる連携

 メリット:処理が軽くスループットへの影響がほぼ無い。

 デメリット:ドメインベースでの処理となるためセキュリティの粒度は粗い。

 ライセンス:MerakiMXはAdvanced Security以上/UmbrellaはDNS Essentials以上

 

・AutoVPNによる連携

 メリット:Umbrellaを経由させることで高度なセキュリティを適用可能

 デメリット:VPNを経由して複雑な処理を行うことでスループットに影響が出る可能性がある。

 ライセンス:MerakiMXはEnterprise以上/UmbrellaはSIG Essentials以上

 

 となります。ご提案の際にはご注意ください。

3回にわたってUmbrellaとのAuto VPNを使用した連携をご紹介してきましたがいかがだったでしょうか。いわゆる普通のUTMと差別化を図る上で非常に面白い商材かなと思いますので、是非とも検証いただき、お客様にもご紹介いただけますと幸いです。

 

お読みいただきありがとうございました。

全44回のMeraki過去記事を掲載中!

製品情報や導入事例を掲載中!

使いやすいと好評!選び方ガイド無料DL!

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事