Cisco 担当者コラム
Cisco・Meraki
Meraki 第117回「Meraki MXとUmbrella SD-WANコネクタ接続時の設計ポイント2」
こんにちは。Meraki担当のDsasです。
今回も、前回前々回に引き続きMeraki MXとUmbrellaをAuto VPN(Meraki SD-WAN)で接続する利用ケースについて、気になる点や考察を書いていきたいと思います。
■冗長化の設定について
冗長化については、Meraki SD-WANの仕組みが利用できるため、MXに2回線を収容するだけで、自動的にUmbrellaへの経路を冗長化することができます。
また、ロードバランシング機能を有効化するだけで自動的に2回線を同時に利用してUmbrellaとのVPN接続を行い、回線の品質を見ながら負荷分散までしてくれますので、スループットの改善も同時に図ることが可能です。
普通にパブリッククラウドとオンプレミスの間で同じことをしようとすると、BGPなどを用いた高度な設計が必要になるので、Meraki / Umbrella連携の一番のメリットは、この部分にあるかもしれません。
■ブレークアウトの設定について
社内で許可されたアプリケーションの中で、Web会議などの遅延に敏感なサービスやグローバルIPによる接続制限を設けているサービスは、あえてUmbrellaを経由させないという選択もとることができます。
MerakiMXでは宛先IPアドレスやポート番号、ドメインなどを使用した静的なブレークアウトの設定が可能ですので、必要に応じてこうした設定を組み合わせます。
また、MX側にSD-WAN Plusライセンスをご購入いただくことで、アプリケーション単位でのブレークアウト設定も可能です。
・現在指定可能なアプリケーション
AWS/Box/Office 365 Sharepoint/Office365 Suite/Oracle/SalesForce/SAP/Skype & Teams/Webex/Zoom
■ポリシーの細分化について
実際に運用することを想定すると、ユーザ単位や部署単位でポリシーを分けて運用したい、という要望も出てくるかと思います。
実は、今回ご紹介しているMeraki MXとのSD-WANコネクタを使用した連携では、Umbrella側から見るとすべての通信はトンネルという一つのIDに紐づけて扱われるため、細かく条件付けしたポリシー分けは行うことができません。
ではどうするか、というとユーザ様のActive Directoryの情報をUmbrellaに同期するAD Connectorというサービスをインストールして使用します。
ADConnectorについて詳しくはこちら。
このADConnectorを利用することで、Meraki MX経由の通信に対してもAD UserやAD Groupを使用したポリシーの割り当てが可能になります。
小規模のお客様ではActive Directoryをお持ちでないところもあるかと思いますので、この点は要注意です。
ちなみに、ADConnector自体はActive Directoryを実行するWindowsサーバ上で動作する設定スクリプトとなります。別途サーバやアプライアンスが必要になることはありませんのでご安心ください。
■DNSによる連携との比較について
今回ご紹介しているAuto VPNによる連携では、WebトラフィックをUmbrellaに転送してクラウド上でセキュリティの適用を行いますが、DNSのクエリのみを転送してドメインレベルでのアクセス制御を行う連携の方法もございます。この連携について詳しくはこちらの記事も併せてご参照ください。
検索でMeraki とUmbrellaの連携について調べると、どちらも出てきてしまうので非常にややこしいのですが、この2つは別の機能です。
簡単に比較ポイントを挙げると、
・DNSによる連携
メリット:処理が軽くスループットへの影響がほぼ無い。
デメリット:ドメインベースでの処理となるためセキュリティの粒度は粗い。
ライセンス:MerakiMXはAdvanced Security以上/UmbrellaはDNS Essentials以上
・AutoVPNによる連携
メリット:Umbrellaを経由させることで高度なセキュリティを適用可能
デメリット:VPNを経由して複雑な処理を行うことでスループットに影響が出る可能性がある。
ライセンス:MerakiMXはEnterprise以上/UmbrellaはSIG Essentials以上
となります。ご提案の際にはご注意ください。
3回にわたってUmbrellaとのAuto VPNを使用した連携をご紹介してきましたがいかがだったでしょうか。いわゆる普通のUTMと差別化を図る上で非常に面白い商材かなと思いますので、是非とも検証いただき、お客様にもご紹介いただけますと幸いです。
お読みいただきありがとうございました。
Ciscoの記事
- Collaboration 第145回 「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」
- Collaboration 第144回 「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」