【Merakiブログ第6回】MX(セキュリティアプライアンス)｜技術ブログ

Cisco

2020.12.24

皆さま、こんにちは。（メリークリスマス！）

Merakiブログ第6回は、セキュリティ製品のMXの紹介になります。

セキュリティ：MXシリーズ

いきなり余談ですが、MRは「Meraki Radio」、MSは「Meraki Switch」の略称でした。ですがこの記事を書くにあたり、MXの「X」ってなんだろう？と私自身疑問に思い調べてみたところ、
「X」はセキュリティ技術が数多く搭載されていることを意味しているとのことでした。（Merakiのコミュニティサイト情報です。）
「Meraki Security」の略称にしてしまうと、MSとかぶってしまうというのもあったのでしょうか？笑

　

それでは、本題に入りたいと思います。まずは下記にMXシリーズのラインナップをまとめてみました。

MX64(W)、MX67(W、C)、MX68(W、CW)がデスクトップタイプで、MX84、100、250、450がラックマウントタイプ、vMXが仮想タイプとなっています。

仮想タイプのMXは今月（2020年12月）から新しい型番となりましたので、後ほどご紹介します。

また、MXですがWANポートがデフォルトで2つ搭載されているタイプと1つだけ搭載されているタイプがありますが、後者には「デュアルパーパス」と呼ばれるLANポートをWANポートに変換可能なポートが搭載されています。（変換方法もブログの最後でご紹介します。）

今回は機器を選定する基準となりやすいスループットや利用ユーザー数といった特徴を表にまとめておりますが、詳細につきましてはメーカーのカタログやデータシートをご確認をお願いします。

今回も本ブログの最後に、各データシートのリンクをまとめています。

ここからはMerakiのMXシリーズのセールスポイントについてお話していきましょう。

ダッシュボード上での管理・設定

MR、MSをご紹介してきましたので、もう知っている！と言われるかもしれませんが、繰り返し言わせていただきます。とても分かりやすいGUIです。
MXを導入いただきますとクラウドのダッシュボードメニューに「セキュリティ&SD-WAN」のメニューが追加されます。

「ネットワーク全体」のメニュー同様に、「監視」と「設定」に分かれており、

MX機器の設定やVPNのステータスなどを確認したい時には【監視】のカテゴリを、ファイアウォールやVPNなどの設定をおこないたい時には【設定】のカテゴリを確認すればよいといったような直感的で統一されたGUIになっています。

MXで出来ること

MXはNATやDCHPといったネットワーク機能はもちろん、数多くのセキュリティ機能が搭載されています。

ダッシュボードから全拠点のMXを一元管理出来るのも大きな特徴です。

また、Meraki MXにはライセンスが3種類あり、提供される機能が異なります。ざっくりと表にまとめてみましたが、各ライセンスで提供される機能詳細は下記サイトから確認をお願いします。

■Meraki MX Security and SD-WAN Licensing

ここからはMXの機能の中でも特徴的なものをいくつか選んでご紹介していきます。

Auto VPN

まず最初に紹介しますのが、AutoVPN機能です。通常は高度な知識や複雑な設定（対抗拠点の情報、鍵交換、暗号化の設定、etc...）が必要とされる拠点間VPNですが、わずか数回のクリックで自動的に構成することが出来ます。

ダッシュボードメニューから「サイト間VPN」を選択し、VPNタイプ(ハブ、スポーク)とローカルネットワーク(どのサブネットでVPN接続を行いたいか)の選択をするだけで、他の必要な情報は自動で構成してくれるという本当に簡単な機能になっています。

ちなみにクライアント VPN（リモートアクセス VPN）も、個別のライセンス購入なしで利用可能な点もMeraki MXの大きな特徴の１つです。

セキュリティ機能

2つ目のポイントは、豊富なセキュリティ機能です。アプリケーション認識型の次世代ファイアウォール、業界標準の Cisco Snort エンジンによる侵入防御システム（IPS）、きめ細やかなコンテンツフィルタリング、高度なマルウェア防御（Cisco AMP）など、1 台に全部集約されています。

ここではコンテンツフィルタリング機能の設定方法をご紹介します。

ダッシュボードメニューから「コンテンツフィルタリング」を選択し、「ブロックされたWebサイトのカテゴリ」をクリックします。あらかじめ用意されたカテゴリ一覧が表示されますので、ブロックしたいコンテンツカテゴリを選択するだけです。

ブロックしたいサイトのカテゴリを調べたい時は、「URLカテゴリーチェックツールを起動」をクリックしますと、URLがどのカテゴリに該当するのかを確認することが出来ます。

また、「SNS関係は基本的にブロックしたいけれど、Facebookだけは業務で利用するんだよな・・・」という時には、カテゴリのフィルタリングをかけつつ、許可リスト（ホワイトリストに登録されたURLパターン）にFacebookのURLを追加しておけばOKです。

コンテンツフィルタリング機能はアドバンスドセキュリティ以上のライセンスが必要となります。

そのためMXを検討いただく際には、利用したいセキュリティ機能に合わせてライセンスを選択いただければと思います。

ローカルインターネットブレークアウト

次に、SD-WAN機能の１つである「ローカルインターネットブレークアウト」についてご紹介します。

Office365のようなSaaSサービス利用増加や、最近ですとコロナ禍の影響によりWeb会議などの利用も増えています。
その影響により、下図のような本社にトラフィックを集約するような形をとっている企業では、トラフィックが集中し帯域不足となる課題が出てきました。

対策として帯域を拡張する方法もありますが、コスト負担が増えてしまうため、注目されている方法がローカルインターネットブレークアウトになります。

特定のサービスや通信を拠点から直接アクセスさせることで、トラフィックの集中を回避することが出来ます。

Merakiのローカルインターネットブレークアウトは、指定した宛先(IPアドレス)との通信やアプリケーションの通信をVPN経由せずに、直接インターネットにアクセスする機能です。

設定も簡単で、拠点側のMX（スポーク）で、VPN除外ルールとして直接アクセスさせたい通信やサービスを設定するだけです。

ローカルインターネットブレークアウトの利用にはファームウェア条件（MX15.X以上）やライセンス条件（SD-WAN プラス）があり、アプリケーションを選択してのローカルインターネットブレークアウトは現在（2020年12月）BETA版となっていますので、利用する際にはデータシートの確認と事前の動作確認をお願いします。