Cisco 担当者コラム
Cisco・Meraki
Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」
こんにちはMeraki製品担当の林です。
今回はSecureConnectについて少し変則的な構成なのですが、下図のような接続を試験してみましたのでご紹介します。
※今回の構成はあくまで設定可能であった事例となり、シスコ様で紹介されているユースケースではありませんので、ご利用になる際には必ず事前にご試験頂けるようお願い致します。
まず背景についてですが、通常SecureConnectでは全ての通信を一旦クラウドに集めてからインターネットに出しますので、送信元グローバルIPアドレスとしてクラウド側で用意されている以下のIPアドレスプールからいずれかのIPアドレスが割り当てられます。
・146.112.0.0/16
・151.186.0.0/16
・155.190.0.0/16
そのため、宛先のサイトやサービスでグローバルIPアドレスによるアクセス制限を使用されている場合には送信元となるIPアドレスを指定することが難しくなります。
こうした課題を解決するオプションとしてReservedIPがあるのですが、次のようなご要件から他の手段を検討されたいというご要望を頂くことがあります。
・TCP80/443以外のポートを使用する必要がある。
・ユーザ様の規模によっては費用が割高に見えてしまう。
・既存のグローバルIPアドレスを使い続けたい
そこで、冒頭のイメージの様に一旦任意の拠点のMXを経由させて、拠点のグローバルIPアドレスからアクセスさせるような構成をやってみよう、というわけです。
前置きが長くなりましたが、まず結論からお伝えするとあっさりとできました。
すでにVPN経由でSecure Connectから拠点へのリモートアクセスが可能な場合、追加で行う設定は以下の通りです。
・拠点のMXに対して特定のサイトへのスタティックルートを追加する
・Secure Connectのクラウドファイアウォールに許可ルールを追加する
まず、スタティックルートの追加ですが普通にMXでスタティックルートを追加します。この際登録できるのはCIDR形式でのサブネットのみとなりますので、ドメインでの宛先指定は今回ご紹介する仕組みでは行うことができません。
また、ネクストホップの指定もIPアドレスとなりますので、MXが直接回線を収容している場合にはデフォルトゲートウェイとして使用できるIPアドレスをキャリアに対してご確認ください。
なお、この経路はVPN越しにSecure Connect側の仮想MXに対して伝搬される必要がありますので、VPNモードは必ず有効とします。
上記のルートを保存すると、Meraki MXのAuto VPNの仕組みを使ってSecure Connect側にも経路が追加されます。(Meraki Auto VPNについてはこちら)
個人的には、Secure Connectを経由する際、宛先がグローバルIPアドレスの場合でも拠点MXに対して折り返すようなルーティングが書けるのか?という点が懸念点でしたが、すんなり成功しましたね!
あとは追加でクラウドファイアウォールのルールを追加します。
Secure Connectの場合、拠点間でやりとりされるトラフィックに関してはデフォルトで全て拒否のポリシーが掛かれていますので、今回拠点MX経由でアクセスするグローバルIPアドレス宛の許可ルールを追加することが必要です。
最後にこの構成についての注意点ですが、通信が拠点MXに集中する構成となるため大容量の通信が必要なケースではお勧めできません。
また、グローバルIPアドレスを大量に保有するパブリッククラウドのようなサービスでは、宛先IPアドレスのメンテナンスの手間が煩雑になり現実的ではありません。
こうしたケースでは、冒頭にご紹介したReserved IPをご検討頂くか、IDaaSのようなグローバルIPアドレス以外でのアクセス制御手段をご検討ください。
今回は以上です。
最後までお読みいただきありがとうございました。
<<<Cisco Meraki エンジニア情報局 前回の記事>
<Cisco Meraki エンジニア情報局 次回の記事>>>
Ciscoの記事
- Collaboration 第145回 「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」
- Collaboration 第144回 「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」