Sansan Builders Box

Sansanのものづくりを支える技術やデザイン、プロダクトマネジメントの情報を発信

クラウド管理型(Cisco Meraki)ネットワークを始めてみる!

経営管理部 ITインフラデザインGroup(社内では、ITIDと略されます)の横川です。本題に入る前に、まずは私の所属部署ITID(アイティーアイディー)について少し紹介させてください。

ITIDは、他の会社で言うところの情シス部門にあたり、自社社員がお客様になります。Missionとして、「IT環境をより良く整えていくことで、組織のパフォーマンスを最大限に引き出す」ことを掲げています。そのため、社内インフラ構築や新規サービスの選定・検証、ヘルプデスク・全社向け設備管理など業務内容は多岐にわたっています。その中で私は、社内インフラ構築や新規サービスの選定・検証などを行う「企画チーム」に属しています。

そこで、今回は私がこの数ヶ月の中で検証に取り組んだ Cisco Meraki について紹介させていただこうと思います。コンテンツは、こんな感じにしてみました!

  • Merakiとは?
  • Merakiのメリット・デメリット
  • ライセンスの考え方
  • TIPS
  • 終わりに

それでは、早速始めましょう♪


Merakiとは?

Merakiとは、Ciscoのクラウド管理型NWソリューションで、様々な種類の製品がラインアップされています。
【主なシリーズ*1
・セキュリティ(MX)
・スイッチ(MS)
・ワイヤレス(MR)
・カメラ(MV)

【参考】
Cisco Meraki ドキュメンテーション - Cisco

恐らく会社のシステム部門にいる方、ITベンダーでNW設計を担当されているようなエンジニアの方はよくご存知のソリューションかと思いますが、そうではない方々でも最近では耳にする機会が増えてきたのではないでしょうか?

昔(もう結構前ですかね)は、多くの企業がいわゆるオンプレNW(CiscoはCiscoでもCatalyst[Yamahaルータもよく見かけました])主流だったと思いますが、Merakiは(機器自体は自前で設置するものの)設定や管理運用をクラウド上の管理画面(Merakiクラウド)から一元的に行えるので、ガラッとイメージが変わります。
f:id:h_yoko:20190603180040p:plain

Merakiのメリット・デメリット

下表にまとめてみました。なお、シリーズによっては、当てはまらないものもありますが総評として記載しています。
※Merakiエンジニアの方がご覧になると、もしかしたら違和感あるかもしれませんが、あくまで実際に製品に携わってみた私の主観(感想)ですのであしからずww

メリット デメリット
ゼロタッチ導入*2が可能
メーカの公式ナレッジ*3が豊富 英語のナレッジが多いので苦手な方はつらい
設定量が非常に少なくて済む(設定複製も楽) 設定して得られる達成感はレガシー機器より非常に少ない
Auto VPNが非常に便利 Merakiで全体NWを作る必要がある
同一管理画面でシリーズ製品全体を管理可能 設定やステータス反映までのタイムラグがある
設計要素がコンパクトに絞られている トラブル時は、細かく切り分けるというよりサポートへCaseを上げることが中心になる
接続するインターネット回線を選ばない*4
包括的なライセンスモデル*5


ライセンスの考え方

デメリットの最後に記載しましたが、Merakiは他のNW製品のようなライセンス体系とは異なるのが大きな特徴です。管理の大きな区切りとして「Organization」というものがあります。ライセンスは、この「Organization」単位で管理され、「Organization」配下のMeraki全台に対して、一つのライセンス期限で管理されます(一つのライセンス期限にマージされます)。

f:id:h_yoko:20190603192734p:plain
※上記画像は、ある「Organization」のライセンス情報を表示したところですが、MXやMSといったシリーズ毎に区分けされているのではなく、購入製品の有効期限とトライアル製品の有効期限のみが表示されていることが分かります。

要するに、Merakiが提唱する包括的なライセンスモデルというのは、「一つのシリーズ、一台の機器毎にライセンス期限を意識することなく、Meraki全体で期限がマージされるので、複雑な管理が必要ない」ということを意味している*6と理解できます。

したがって、Meraki導入時に購入した製品を数量変更なくそのまま期限を迎えれば管理は非常に楽ですが、途中で追加購入するなど管理機器数が運用中に増減すると、ライセンス期限が機器の費用・台数に応じて変動します。このとき困るのが、例えば「3年ライセンスで購入した機器の単価よりも圧倒的に高価な機器を新たに1年ライセンスで購入した」場合です。

この場合、元々3年後だった有効期限が1年ライセンスの方に寄せられて、3年ライセンスで購入した機器が購入から3年を待たずに期限切れを迎えてしまうということになってしまうので、ライセンス管理には注意が必要です。逆に、1年ライセンスの機器は、期限が1年より僅かに延びてしまうかと思います。

【参考】
Cisco Meraki Licensing Guidelines and Limitations - Cisco Meraki

TIPS

ここでは、今回の検証を通して確認した項目の内、役に立ちそうなトピックを取り上げてみます。

VRF(Virtual Routing and Fowarding)実装について

MerakiにはMXシリーズという、いわゆるUTMのラインアップが用意されているので、自社のFWのリプレース案件に候補として考えられている方もおられるかと思います。
私もMerakiを検証するにあたって、そういう観点でも設定項目やナレッジを確認していたのですが、Merakiには仮想ルータ機能が用意されておりません。
※VRFと記載しましたが、メジャーどころであるFWのFortigateに実装されているVDOMのような機能が実装されていない*7という意味です。

ただ、VRFの実装については、Cisco側でも議題には上がるそうなので、将来的には実装される可能性はあるかもしれません。。。

Auto VPNは万能ではない

Merakiが特にオススメなのは、Auto VPN機能といっても良いかと思いますが、何でもかんでも万能というわけではありません。

Auto VPNがMeraki同士でのVPN接続の話であること、一方でその他機器とも当然個別にVPNが張れるということを理解されている方は多いかと思います。たった数クリックで各拠点とVPN接続ができるようになるというのは、事実ではあります。しかしながら、(私も実際に検証するまで意識できていなかったのですが、)「Meraki 以外の VPN ピア」で設定したサブネットは Auto VPN経由で他の MX にルートが通知できないので、「Meraki 以外の VPN ピア」を全ネットワークで設定する必要が出てきます。

Auto VPNは、全社のNWがMerakiのみで構成されていれば非常に強力な機能ではありますが、他ソリューションと組み合わせる必要がある場合は、相応に設定は必要になりますので過度な期待は禁物です。

終わりに

今回は、基本的な紹介がメインになってしまいましたが、他の方が既にブログ等で情報発信されているような内容の記載は控えたつもりです。

本当は、AWS環境を含むAuto-VPN/Non-Meraki VPNの接続検証結果を中心にまとめたかったのですが、既に検証環境をリリースしてしまっていて、スクショの用意等の関係で記載を断念しておりますm(_ _)m

Meraki一つを取ってもまだまだトピックは存在するように、技術や製品のアップデートは、年々早くなっている印象なので、Merakiに限らず様々なソリューションにアンテナを張って業務に取り組んでいこうと思います♫

*1:私が少しでも携わったことがある製品を列挙

*2:デバイスを箱から開梱して、NW[LANケーブル]接続するだけで利用できる

*3:https://documentation.meraki.com/

*4:NWクラウド[SD-WAN]サービスに一部見受けられる、特定キャリア[サービス]の回線では接続できない等の制限はない ※全ての回線サービスの接続性を保証するものではありません

*5:機器毎に細かく稟議を上げるような場合や管理運用を求められる場合は、別途機器毎のライセンス管理表を用意して運用する必要があるという意味でデメリットと記載

*6:ただし、ハードウェア1台につき1ライセンスという考え方です

*7:2019年5月末時点

© Sansan, Inc.