SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【Merakiブログ 第6回】MX(セキュリティアプライアンス)

ネットワーク
2020.12.24

皆さま、こんにちは。(メリークリスマス!)

Merakiブログ第6回は、セキュリティ製品のMXの紹介になります。

セキュリティ:MXシリーズ

いきなり余談ですが、MRは「Meraki Radio」、MSは「Meraki Switch」の略称でした。ですがこの記事を書くにあたり、MXの「X」ってなんだろう?と私自身疑問に思い調べてみたところ、
「X」はセキュリティ技術が数多く搭載されていることを意味しているとのことでした。(Merakiのコミュニティサイト情報です。)
「Meraki Security」の略称にしてしまうと、MSとかぶってしまうというのもあったのでしょうか?笑

 

それでは、本題に入りたいと思います。まずは下記にMXシリーズのラインナップをまとめてみました。

hyou2.png
MX64(W)、MX67(W、C)、MX68(W、CW)がデスクトップタイプで、MX84、100、250、450がラックマウントタイプ、vMXが仮想タイプとなっています。

仮想タイプのMXは今月(2020年12月)から新しい型番となりましたので、後ほどご紹介します。

また、MXですがWANポートがデフォルトで2つ搭載されているタイプと1つだけ搭載されているタイプがありますが、後者には「デュアルパーパス」と呼ばれるLANポートをWANポートに変換可能なポートが搭載されています。(変換方法もブログの最後でご紹介します。)

今回は機器を選定する基準となりやすいスループットや利用ユーザー数といった特徴を表にまとめておりますが、詳細につきましてはメーカーのカタログやデータシートをご確認をお願いします。

今回も本ブログの最後に、各データシートのリンクをまとめています。

ここからはMerakiのMXシリーズのセールスポイントについてお話していきましょう。


ダッシュボード上での管理・設定

MR、MSをご紹介してきましたので、もう知っている!と言われるかもしれませんが、繰り返し言わせていただきます。とても分かりやすいGUIです。
MXを導入いただきますとクラウドのダッシュボードメニューに「セキュリティ&SD-WAN」のメニューが追加されます。

top2.png

「ネットワーク全体」のメニュー同様に、「監視」と「設定」に分かれており、

MX機器の設定やVPNのステータスなどを確認したい時には【監視】のカテゴリを、ファイアウォールやVPNなどの設定をおこないたい時には【設定】のカテゴリを確認すればよいといったような直感的で統一されたGUIになっています。

MXで出来ること

MXはNATやDCHPといったネットワーク機能はもちろん、数多くのセキュリティ機能が搭載されています。

ダッシュボードから全拠点のMXを一元管理出来るのも大きな特徴です。

 

kinou.png

 

また、Meraki MXにはライセンスが3種類あり、提供される機能が異なります。ざっくりと表にまとめてみましたが、各ライセンスで提供される機能詳細は下記サイトから確認をお願いします。

 

license.png

■Meraki MX Security and SD-WAN Licensing


ここからはMXの機能の中でも特徴的なものをいくつか選んでご紹介していきます。

Auto VPN

まず最初に紹介しますのが、AutoVPN機能です。通常は高度な知識や複雑な設定(対抗拠点の情報、鍵交換、暗号化の設定、etc...)が必要とされる拠点間VPNですが、わずか数回のクリックで自動的に構成することが出来ます。

ダッシュボードメニューから「サイト間VPN」を選択し、VPNタイプ(ハブ、スポーク)とローカルネットワーク(どのサブネットでVPN接続を行いたいか)の選択をするだけで、他の必要な情報は自動で構成してくれるという本当に簡単な機能になっています。

vpn4.png
ちなみにクライアント VPN(リモートアクセス VPN)も、個別のライセンス購入なしで利用可能な点もMeraki MXの大きな特徴の1つです。

セキュリティ機能

2つ目のポイントは、豊富なセキュリティ機能です。アプリケーション認識型の次世代ファイアウォール、業界標準の Cisco Snort エンジンによる侵入防御システム(IPS)、きめ細やかなコンテンツフィルタリング、高度なマルウェア防御(Cisco AMP)など、1 台に全部集約されています。

allinone.png
ここではコンテンツフィルタリング機能の設定方法をご紹介します。

ダッシュボードメニューから「コンテンツフィルタリング」を選択し、「ブロックされたWebサイトのカテゴリ」をクリックします。あらかじめ用意されたカテゴリ一覧が表示されますので、ブロックしたいコンテンツカテゴリを選択するだけです。

katefilter1.png

katefilter3.png

ブロックしたいサイトのカテゴリを調べたい時は、「URLカテゴリーチェックツールを起動」をクリックしますと、URLがどのカテゴリに該当するのかを確認することが出来ます。

katefilter2.png

また、「SNS関係は基本的にブロックしたいけれど、Facebookだけは業務で利用するんだよな・・・」という時には、カテゴリのフィルタリングをかけつつ、許可リスト(ホワイトリストに登録されたURLパターン)にFacebookのURLを追加しておけばOKです。

コンテンツフィルタリング機能はアドバンスドセキュリティ以上のライセンスが必要となります。

そのためMXを検討いただく際には、利用したいセキュリティ機能に合わせてライセンスを選択いただければと思います。

ローカルインターネットブレークアウト

次に、SD-WAN機能の1つである「ローカルインターネットブレークアウト」についてご紹介します。

Office365のようなSaaSサービス利用増加や、最近ですとコロナ禍の影響によりWeb会議などの利用も増えています。
その影響により、下図のような本社にトラフィックを集約するような形をとっている企業では、トラフィックが集中し帯域不足となる課題が出てきました。

対策として帯域を拡張する方法もありますが、コスト負担が増えてしまうため、注目されている方法がローカルインターネットブレークアウトになります。

特定のサービスや通信を拠点から直接アクセスさせることで、トラフィックの集中を回避することが出来ます。

LBO.png

Merakiのローカルインターネットブレークアウトは、指定した宛先(IPアドレス)との通信やアプリケーションの通信をVPN経由せずに、直接インターネットにアクセスする機能です。

設定も簡単で、拠点側のMX(スポーク)で、VPN除外ルールとして直接アクセスさせたい通信やサービスを設定するだけです。

LBO2.png

ローカルインターネットブレークアウトの利用にはファームウェア条件(MX15.X以上)やライセンス条件(SD-WAN プラス)があり、アプリケーションを選択してのローカルインターネットブレークアウトは現在(2020年12月)BETA版となっていますので、利用する際にはデータシートの確認と事前の動作確認をお願いします。

仮想版MX:vMX

最初のラインナップでもご紹介しましたように物理アプライアンスとは別に、仮想版のMXも用意されています。

従来モデル(vMX100)は、クラウドプラットフォームもAWSとAzureのみで1プランのみでしたが、新モデルでは3プラン(Small、Medium、Large)から選べるようになり、クラウドの選択肢も増えております。

vmx_matome.png

 

一部今後対応予定のクラウドもありますので、今後に期待したいですね。

デュアルパーパス

最後に、デュアルパーパスについて説明します。ブログ前半でも記載しましたが、LANポートをWANポートに変更出来るポートのことで、カタログでは「WAN/LANポート」と記載されています。
設定変更方法は、ダッシュボードメニューから変更したい機器を選択いただき、「アップリンク」タブをクリックします。

「別のWANポートを追加」をクリックすると、LANポートをWANポートに変更することが出来ます。

(MX64の場合、LANの4番ポートがデュアルパーパス ポートです)

dual2.png

 

dual3.png

   

また、MXのローカルステータスページにアクセスして変更することも可能です。

   

dual1.png

   

MXシリーズの紹介は以上となります。

Meraki MXの特徴やメリットが伝わっていれば幸いです。

 
年明け2021年のmeraki連載は、SMシリーズ(エンドポイント管理)のご紹介からのスタートとなります。それではよいお年を。

 

★★Meraki MX データシート リンク集★★
MX64-HW データシート

MX64W-HW データシート

MX67-HW データシート

MX67W-HW データシート

MX67C-HW データシート

MX68-HW データシート

MX68W-HW データシート

MX68CW-HW データシート

MX84-HW データシート

MX100-HW データシート

MX250-HW データシート

MX450-HW データシート

vMX - Large データシート

vMX - Medium データシート

vMX - Small データシート

他のおすすめ記事はこちら

著者紹介

SB C&S株式会社
技術本部 技術統括部 第2技術部 1課
矢野 隆規