IPsec VPN?いいえ、Auto VPNです。
こんにちわ。
椎間板ヘルニアを患ってる木村です。
椎間板ヘルニアは座骨神経痛になってからが本番ですね。靴下穿くのも一苦労です。
さて、今回はMerakiシリーズの次男坊ことMXシリーズについてご紹介致します。MXシリーズはクラウド型のUTMファイアウォールです。通常のUTM機能を兼ね備えていますが、その中でもMeraki MX が持つ特徴の1つとして、「Auto VPN」 という機能があります。
Auto VPNを使うことによって以下のメリットがあります。
1.ワンクリックでフルメッシュのVPNが構築できる
2.グローバルIPアドレスが不要
3.TeleWorker VPN 今回は、MXシリーズのAuto VPNにフォーカスしてご紹介致します。
1.ワンクリックでフルメッシュのVPNが構築できる
今までインターネットVPNを構築したことがあるSEの皆さまであればご存知かと思いますが、インターネットVPNのコンフィグって非常に難しいですよね。IPsecにPPPoE、GRE、QoS、ACL、Routingなどを含めていきますと、より複雑になっていきます。非常に複雑なコンフィグであるためにインターネットVPNが苦手な方も多いのではないでしょうか。(私はとても嫌いです!)
MerakiのAutoVPN機能は、インターネットVPNを簡単に構築する事が出来ます。
全て自動化されていますので、対向側の設定も弄る必要がありません。
設定はワンクリックで済みますので所要時間としては2~3秒で完了します。
AutoVPNのデモを初めてご覧になられた方は感動すら覚えるはずです。
例えば、インターネットVPNサイトを1拠点追加する場合、
おそらく以下のタスクが発生すると思います。
普通のFirewall |
Meraki MXシリーズ |
|
既存環境調査 |
必要 |
場合によっては不要 |
CONFIG作成 |
必要 |
不要 |
事前検証 |
必要 |
不要 |
作業手順書作成 |
必要 |
不要 |
現地作業 |
必要 |
不要 |
センター側立会い |
必要 |
不要 |
ワンクリックで設定が完了してしまいますので、CONFIGの作成や事前検証は不要です。また、ゼロタッチ導入のためオンサイトの作業も不要です。AutoVPN機能を利用することで、インターネットVPNの構築に関わるタスクの7~8割を削減することができ、作業に関わるコストを大幅に抑える事ができると思います。
2.グローバルIPアドレスが不要
インターネットVPNを構築する場合、センター拠点に固定グローバルIPアドレスが最低でも1つ必要です。VPN接続を行う場合にターゲットとなる固定のグローバルIPアドレスが必要だからです。全ての拠点に固定グローバルアドレスを割り当てても良いのですが、これだとかなりランニングコストがかかってしまいますね。
Auto VPNを利用した場合、これら固定グローバルIPアドレスが一切不要になります。全ての拠点が動的グローバルIPアドレスで構成されていても構いません。また、ブロードバンドルータやファイアウォールなどのNATデバイス配下に設置されているような場合でも問題無くVPN接続が可能です。では、どうして固定グローバルIPアドレスが無いのに、ターゲットとなるアドレスを見つけるのでしょうか?不思議ですよね。Auto VPN ではVPN接続が行われる際に以下のプロセスが行われます。
①各MXはクラウド上のVPNレジストリにUDP通信を開始します。
②クラウド上のVPNレジストリは、各MXのパブリックIPアドレスとUDPポートを登録し、
それらを他の各MXに教えます。
③VPNレジストリから通知された情報(パブリックIPアドレスとUDPポート)を元に互いに直接IPsecトンネルを確立します。
クラウド上のVPNレジストリがブローカーとして動作し、グローバルIPアドレスとUDPポートを各MXデバイスに通知するのです。この技法はP2Pアプリケーション等と同じ要領で、MerakiのVPN接続で応用されています。固定アドレスオプションを利用した場合と利用しない場合(動的アドレスを利用)のランニングコストでは大きく差が出てきます。
固定IPアドレスオプションはISPやサービスメニューによってかかるランニングコストはピンキリですが、高額なところですと、月額7万円のランニングコストがかかるケースもあります。年間84万、5年で420万のランニングコストがかかるということになりますね。高すぎですね。
しかしMerakiの場合、これら固定IPアドレスが一切不要になりますので0円です。安すぎですね。
Auto VPNでグローバルIPオプションを無くしたことにより、ずいぶんコストを削減出来るのではないでしょうか。
3.TeleWorker VPN
最後にTeleWorker VPNという機能をご紹介いたします。こちらはMeraki MRシリーズ(無線タイプ)とMX間でVPN接続が出来るという機能です。こちらもAuto VPN機能を使います。例えば、会議やセミナー等のイベントで無線環境とVPN環境のテンポラリーサイトを構築したい場合、TeleWorkerVPNを利用することで、数分でネットワークが構築出来ます。
通常であれば、別途VPN装置を上位に準備する必要がありますが、TeleWorker VPN機能を利用すればVPN装置を準備する必要はありません。直接、MXとVPN接続が出来ます。もちろんAuto VPN機能を使いますので、ワンクリックで構築が完了します。一時的なネットワーク環境を構築する場合等にはとても便利な機能だと思います。
今回ご紹介させて頂きましたMeraki MXシリーズはインターネットVPNが得意な製品です。スタンダードなCiscoの製品の中では珍しく尖がった製品です。
まるで私の椎間板ヘルニアの様ですね!
インターネットVPNと言いますと、一昔前では信頼性の問題から、企業では利用できないという印象が強かったのです。しかし、ここ最近ではフレッツ網の信頼性も向上しておりビジネスユースにも対応してきています。このため、IP-VPN等の閉域網を利用していた企業が、リプレイスのタイミングでインターネットVPNに移行するケースが増えてきています。MXシリーズであれば、WAN回線にかかるランニングコストの削減だけでなく、他にも様々な面でメリットが提供できます。WANリプレイスの際は、是非、Meraki MXシリーズもご検討頂ければ幸いです。
