みなさまお疲れ様です。

事業開発部、中條です。

 

7月に入り急に気温が上がりまして、体調を崩される方も多いかと思います。

私も例にも漏れず、冷たい麺ばかり啜って胃を冷やしております...

 

水分、塩分しっかり補給して一緒に乗り切りましょう！

 

さて、他のメンバーの記事を参照して頂いた方々には、

結局SDCって何をする会社なの？

と疑問を持たれた方もいらっしゃるのではないでしょうか。

SDCで取り扱う製品や分野は時代のニーズに合わせ少しづつ変化/拡大していますが、

もともとはCisco製品を中心とした企業向けのネットワーク提案、製品販売、設計構築、

場合によっては運用まで含めた一括サポートなどなどを生業としており、

現在もその中核は変わっていません。

 

Ciscoの企業向けネットワーク製品というと用途や規模により大きく分けて、

・Nexusシリーズ

・Catalystシリーズ

・Merakiシリーズ

と分かれていますが、今回はその中でも最もユーザーフレンドリーであろう、

Merakiシリーズに焦点を当てた内容です。

 

Cisco Merakiの製品コンセプトは、「Work Simple」です。

運用管理のユーザ負荷を下げることで、

本来ユーザが取り組むべき業務に集中できるようにしよう！

という明確なビジョンがあります。

 

Meraki製品群は全てクラウド上のダッシュボードで一元管理できるようになっており、

インターネットに繋がる環境であれば世界中どこからでも設定変更含めて運用管理が

可能です。

 

ダッシュボードはシンプルにまとまっていて、

最初こそ少し使い方に癖は感じたものの(仕事上、従来型のCLI管理に慣れていたので)、

慣れてしまえば、そこまでコアな知識がなくともネットワークの管理ができるかと

思います。

 

使い方の不明点や、機器の故障、不具合等あれば右上の"？"アイコンから

気軽にサポートケースをオープンできるので、

そんなところも導入のハードルを下げているように感じます。

 

※参考：MerakiダッシュボードによるMeraki MX(ルータ)の概要ステータス表示

 

前置きが長くなってしまいましたが、

Merakiもなんでもかんでもいいこと尽くめというわけにはいかず、

実際に運用する中で気付く、ここがちょっと、、な部分も正直あります。

 

今回スポットを当てるのは、私たちがMerakiを運用する中で特に気になった

複数拠点にMerakiを展開する場合のウィークポイントについて、

課題となった事柄と、どのように乗り越えようとしているか紹介してみます。

 

 

■Merakiを用いた複数拠点のネットワーク展開について

 

今回の話題の前提としてお話ししたいのですが、

Merakiで複数拠点を展開し相互接続しようとする場合、

1つの拠点単位を「ネットワーク」という単位で管理していくことになります。

 

例えば、東京本社(HQ)、大阪支社、九州支社という3拠点があり、

それぞれのLAN環境をMerakiで構築したとします。

このような構成の場合、一つの拠点単位を「ネットワーク」として定義することで、

それぞれの拠点(=ネットワーク)をMerakiのAuto-VPN機能により相互接続することが

できます。

 

上図でいうグレーの四角枠がネットワークの単位になります。

 

 

■何が大変か

 

各ネットワークに所属するMeraki機器は全てダッシュボードから管理可能なのですが、

設定項目によってはそれぞれのネットワーク個別で設定が必要になるものもあります。

 

私たちが特に難儀したのが、アクセス制御に関する設定です。

 

弊社が担当する、あるお客様の環境では、複数の社内システム群もMeraki配下に

収容している上、クライアント端末も部署ごとに複数の種別が入り乱れており、

結果的にかなり複雑なアクセス制御をMerakiのACL機能で実現しています。

 

※下図は簡略化したイメージ図ですが、実際の環境はもっと複雑です。

MerakiのACLにもいくつか実装方法があり用途によって使い分けるのですが、

同一拠点内でのアクセス制御を考慮する必要がある場合、

その設定は上図のようにネットワーク単位での設定が必要となり、

各拠点に同一のポリシーを適用しようとすると、拠点数が多いほど設定の手間が

大きくなります。

 

※CLIによるCatalstの展開でも手間はかかりますが、

　Merakiは基本的にGUIベースの設定となるため

　大量の設定変更が必要な場合はマウスを持つ手が腱鞘炎になる覚悟が

　必要かもしれません。

　(すこし大袈裟です。Ciscoさんすみません)

 

　CLIだとコピペで一気に設定を流し込めたり、そのおかげでミスも減りますので、

　その点は羨ましかったりします。

 

例えば、グループポリシーという設定項目を使って各クライアントに対するACLを

定義していますが、

すべて以下のようにGUIベースでの設定になります。

これを、ネットワーク毎に個別で設定しなければならないのです。

 

拠点が2つ3つであれば特に困らないかもしれませんが、

ネットワーク数が数十、数百となってくると...

 

想像したくもありません。

設定漏れも出るでしょう。

 

そのような大規模展開を計画する場合は、MerakiもAPIによる設定変更を

サポートしておりますので、なるべく活用したほうが良いと思います。

弊社でも大量設定時に活用しています。

 

APIを使用する場合は以下のReferenceを参照ください。

https://developer.cisco.com/meraki/api-v1/

 

初回構築時など、纏めて設定を入れる際はAPIを活用すればよいのですが、

日頃の運用でネットワーク要件が変更になった場合など、

都度発生する細かい設定についてはGUIベースで行われる場合も多いです。

 

このような運用を続けているといつしか、

「あれ、あの拠点、設定入れたっけ...？」

「この拠点とこの拠点、ちゃんと同じ通信ポリシーになってるかな...」

なんて不安に苛まされることが多々あります。

 

そう、複数ネットワークの設定管理が大変なのです。

 

■まとめ

 

今回、Merakiで企業内ネットワークを構築する場合の悩みの種について

実例に基づき書いてみました。

 

次回は「解決編」ということで、設定管理の悩みをどのように

乗り越えようとしているか記載しますのでお楽しみにして頂けると嬉しいです。

 

それでは、また次回！