この記事はシスコの有志による Cisco Systems Japan Advent Calendar 2021 (2枚目)の 16日目の記事です。これまでにも様々なトピックの記事があり非常に面白く読み応えのあるものばかりですので、ぜひ以下のリンクからご覧ください!
2017年版: https://qiita.com/advent-calendar/2017/cisco
2018年版: https://qiita.com/advent-calendar/2018/cisco
2019年版: https://qiita.com/advent-calendar/2019/cisco
2020年版 1枚目: https://qiita.com/advent-calendar/2020/cisco
2020年版 2枚目: https://qiita.com/advent-calendar/2020/cisco2
2021年版 1枚目: https://qiita.com/advent-calendar/2021/cisco
2021年版 2枚目: https://qiita.com/advent-calendar/2021/cisco2
はじめに
自宅にMerakiのMXがやってきた事により、ネットワークの見直し&試行錯誤した結果についてここに書いてみたいと思います。
ネットワーク環境について
UTM:Meraki MX64
IPoE対応ルータ:WG1200HS4(NEC)
IPv6サービス:ひかりTV
etc...
ネットワーク構成①
ネットワーク構成については、こんな感じで自宅NWとしては複数台が数珠つなぎになっておりシンプルではないのですが、どれも必要な機器となるため致し方ないと思っております。
各機器の役割を説明します。
- GE-PON:NTTの収容局からくる光ファイバーをLANケーブルに変換するための装置です
- RT-S300SE:NTT貸与のひかり電話を行うためのルーターです。一般的なフレッツ光などに接続する場合は、この装置のLANポートにPCやアクセスポイントを接続して終わりになります。
- WG1200HS4:IPoEを利用する場合、各プロバイダーで決められた方式で接続する必要があります。そのため、専用の対応しているルーターを利用します。ちなみに、IPoEを使う場合とPPPoEを利用する場合では、かなり速度が変わってきますのでIPoEでの接続をお勧めします。詳細は最後のほうをご覧ください。
- Meraki MX64:Merakiのルーター(UTM)です。この構成では、Paththrough(透過モード)で利用してます。
設定
こちらの構成では、WG1200HS4がDHCPサーバー&デフォルトゲートウェイとして動作しておりました。
Meraki MXの設定としては、この様な形でパススルーを選択しております。
この場合、Meraki MXはIPv6トラフィックも透過できるので特に制限される事無く、ひかりTVなどのIPv6サービスを利用する事が可能です。
ただし、こちらにも記載がある通りトラフィック分析や操作が出来なくなる点で注意が必要です。
ネットワーク構成②
ネットワーク構成①で利用する日々の中で、Meraki MXではもっと色々な機能があり、トラフィック制御やモニタリング、VPNサーバなども動かす事が出来るのに、パススルーで動作させているのはもったいないと思い始めてしまいました・・・
ただ、ルーティングモードで動作させるとIPv6の透過は出来なくなるし、どうしようかと考える中での構成として、こんな感じになりました。(ちょっと無理矢理感が・・・(^^;))
設定
ここでやっているのはVLANを別けての制御です。
IPv6通信が必要なひかりTV端末については、直接RT-S300SEを通してインターネットと通信を行い、
IPv4については、Meraki MX64がVLAN2のゲートウェイになっており、NAT変換でインターネットへ通信可能になります。
(厳密には、ひかりTVの通信はIPv6 Multicast)
セキュリティの観点で、ひかりTV端末がIPv6網に直接晒される懸念はありましたが、一応RT-S300SEにIPv6のfirewall機能があるので、それは有効にしてあります。
それ以外のスマホやPC端末などはMeraki MX64のUTM配下に接続されているので一番守られて欲しい部分は大丈夫なので良しとしました。
ネットワーク構成③
さて、ネットワーク構成②で完成!!したと思っていたネットワークですが、実はまだ課題がありました。。
それは、外からのVPN接続を受け付けるためのVPN終端装置としての機能です。
②の構成で行けるかなと思っていたのですが、実際にはインターネットからのトラフィックを着信する事が出来ず、どうもIPoE経由での受けの通信はダメな様です。
色々試行錯誤し、PPPoE接続であれば受ける事が出来そうであるという事が判ったので、以下の様な構成になりました。
設定
Meraki MX64では、WANの冗長化を行う機能があります。
その機能を利用して、PPPoEのポートとIPoEのポートを設定してあげます。
WAN1がPPPoEポートの設定です。
なぜWAN1にPPPoEを設定してあげる必要があるかというと、DynamicDNSで設定されるWANのIPアドレスがWAN1のアドレスとなるためです。
WAN2については、WG1200HS4に対してのアドレス設定となります。
回線冗長の課題
これで全てのやりたい事と課題は解決しました!
という事で、最後にはチューニングというか課題について話したいと思います。
先ほどの回線冗長の設定で、WANのロードバランシングが出来ます。
設定はこんな感じです。
WAN1とWAN2で利用可能な帯域と、プライマリアップリンク、ロードバランシングの有効無効を設定出来ます。
この場合、PPPoE回線は50MにしてIPoE回線は250Mを上限にするという設定になっています。
これだけ見ると、ふーん。だから?って感じだと思いますがどのプロバイダーでもPPPoE通信は逼迫しているので中々通信の安定が難しいです。特に、Web会議などを利用しているとパケットの遅延や損失が大きく影響してしまいます。
だいたいの平均値として、PPPoEとIPoE回線からGoogleDNS(8.8.8.8)をポーリングした結果はこの様な感じです。
WAN1がPPPoEでWAN2がIPoEとなりますが、WAN1については朝から深夜の人が主に活動している時間帯では遅延も大きくパケット損失も発生しております。
これに比べ、WAN2については損失もほぼ無く、遅延も10ms以下ですのでかなり高品質です。
この結果を見ると、WAN2だけをMAX帯域として利用すれば良い気もするのですが、VPNの終端にするためにはWAN1を利用する必要があり、WAN1の帯域を絞るとVPN通信が遅くなり帯域を広げるとロードバランシング次第ですがインターネット速度が遅くなる可能性もありという感じです。
今のところは、上記画像の設定で問題なくWeb会議も出来ていますが、今後不都合が出た場合にはチューニングしながら対処したいと思います。
ちなみに、Meraki MXではアプリケーション毎にどちらのWANを優先させるか設定可能ですのでWeb会議などの通信についてはIPoE回線を優先させる設定がおすすめです。
最後まで読んでいただきありがとうございました!