Meraki

Cisco 担当者コラム

Cisco・Meraki

Meraki 第164回「Cisco Secure ConnectのEnrolled HubとHybrid Spoke」

こんにちはMeraki製品担当の林です。

 

今回はCisco Secure Connectのサイト間VPN設計について、Enrolled HubとHybrid Spokeを使った設計についてご紹介したいと思います。

まず、一般的なSecure Connectのサイト間VPN設計としては、Secure Connectのクラウド側をハブとして、各拠点はこのハブのみと接続するスポークとして構成します。(この場合のスポークをCloud Spokeと呼びます)

この設計ではインターネット宛も別拠点宛もすべての通信がSecure Connectを経由する形になりますので、Secure Connectで一元的にファイアウォールポリシーを適用することが出来ますし、通信のログもすべてSecure Connectで確認することが可能になりますので、SASEとしては理想的な構成かと思います。

 

しかしながら、Cisco Secure Connectと各拠点間でのVPNはスループット上限が500Mbpsとなっており、大量の通信が集中する拠点をお持ちのユーザ様ではこの部分がボトルネックとなってしまう可能性があります。

こうしたシチュエーションにおいて、特定の拠点については他の拠点と直接通信させる設計を行うために使用するのが、Enrolled HubとHybrid Spokeです。

利用イメージとしては下図のような形になります。

Enrolled HubはSecureConnectを含むすべてのハブとHybrid Spokeに対してVPN接続する拠点です。そしてSecure Connectと指定したEnrolled Hubに対してVPN接続を行う拠点がHybrid Spokeとなります。

この設計にすることでEnrolled HubとHybrid Spokeの間は別途VPNトンネルが作成されますので、拠点間の通信はSecure ConnectのVPNスループット上限500Mbpsとは分けて考えることが出来るようになります。

(ただし拠点に設置するMeraki MXのVPNスループットについては検討が必要です)

通信のボトルネックについて懸念されるユーザ様には、こうした設計もご検討いただけますと幸いです。

 

なお、この設計のデメリットとしては拠点間Enrolled HubとHybrid Spoke間の通信に対してはSecure Connectのファイアウォールルールを適用できなくなる点です。この場合、拠点間通信の制御には別途Meraki MX上でのファイアウォールルールを管理する必要があります。また、通信ログもSecureConnect上には残りません。

とはいえ、お客様の要望に応じた柔軟な設計がしやすくなった点はメリットになるかと思いますので、ぜひこちらの構成もお試しいただければと思います。

 

今回は以上です。最後までお読みいただきありがとうございます。

 

<参考リンク> Cisco Secure Connect - Design BestPractices

https://documentation.meraki.com/SASE_and_SD-WAN/Cisco_Secure_Connect/Design_and_Configure/Cisco_Secure_Connect_-_Design_Overview/Cisco_Secure_Connect_-_Design_Best_Practices

<<<Cisco Meraki エンジニア情報局 前回の記事>

全44回のMeraki過去記事を掲載中!

製品情報や導入事例を掲載中!

使いやすいと好評!選び方ガイド無料DL!

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事