本サイトはアフィリエイト広告を利用しています。

Cisco Meraki MXシリーズのOSPF機能概要

インフラ
この記事は約15分で読めます。
スポンサーリンク

Cisco MerakiのMXシリーズ(セキュリティ & SD-WANアプライアンス)では、OSPFによる動的ルーティング機能は限定的です。
MXはフル機能のOSPFルータとして動作せず、主にMeraki Auto VPNで学習したリモートサイトの経路を他のOSPF対応ルータに広告するためにOSPFをサポートしています (サイト間VPNの設定 – Cisco Meraki Documentation)。
この機能により、多数のVPN接続先ネットワークがある場合でも隣接ルータ上に静的ルートを大量に設定せずに済みます。
以下では、MXでのOSPFネイバー構築時の制限や設定項目、他社ルータとの互換性上の注意点、およびOSPFルーティング利用時の制約について説明します。

OSPFネイバー関係構築時の制限と対応状況

  • 対応モードの制限: Meraki MXでOSPFを有効にできるのは限定されたモードのみです。
    MXをルーティング(NAT)モードで利用する場合、LANインターフェースが単一ネットワーク(Single LAN)に設定されている必要があります(ファームウェア13.4以降) (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    VLANを複数設定している通常のNATモードではOSPFを有効化できません。
    それ以外では、VPNコンセントレータ/パススルーモードで動作させることでOSPFがサポートされます (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    実際、Meraki公式ドキュメントでもOSPFルート広告機能はVPNコンセントレータ(パススルー)モードでのみサポートされると述べられています (サイト間VPNの設定 – Cisco Meraki Documentation)。
  • 経路学習の非サポート: MXシリーズはOSPFネイバーとのフルなルート交換を行いません
    MXはAuto VPN経由で学習したリモートVPNサブネットの経路情報のみをOSPFでネイバーに通知(広告)し、OSPFネイバーからのルート情報は受信しても経路として学習・適用しません (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    言い換えると、OSPF隣接関係は確立しますが、MXは自らの経路情報を通知する一方向の動作にとどまり、他ルータから動的ルートを取り込むことはできません (BRKTRS-2007)。
    現時点でMerakiはこの設計を採用しており、MXをフル機能のOSPFルータ(動的経路学習を行うルータ)としては対応させていません。
  • ネイバー確立要件: MXが他社製ルータとOSPFネイバー関係を確立する際は、OSPFの基本要件(エリアID、Hello/Deadタイマー、認証方式など)が一致している必要があります。
    例えば、MerakiのデフォルトではHello間隔10秒、Dead間隔40秒であり、これらはOSPFトポロジ内の全デバイスで同一でなければなりません (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    また、OSPF認証を有効にする場合はMD5認証のみサポートしており、ネイバー側とキーIDとパスワードを一致させる必要があります (サイト間VPNの設定 – Cisco Meraki Documentation)。
    設定が一致しない場合や、インターフェースMTUの不一致などがある場合、OSPFネイバーは正常に確立されません(後述)。
    Meraki MX側では基本的にこれらの設定項目以外に細かなチューニングはできず、自動的にOSPFネイバー確立処理が行われます。

設定可能なOSPFパラメータ(エリア構成、タイマー等)

Meraki MXのダッシュボード上で設定可能なOSPFパラメータは以下の通りです (サイト間VPNの設定 – Cisco Meraki Documentation) (サイト間VPNの設定 – Cisco Meraki Documentation):

  • Advertise remote routes(リモートルートをアドバタイズ):有効にすると、Auto VPNで学習したリモートVPNサブネットをOSPFで広告します (サイト間VPNの設定 – Cisco Meraki Documentation)。(※この設定を有効にすることでOSPF機能がオンになります)
  • Router ID(ルータID):MXがOSPFルータとして識別されるためのID(32ビット値、IPv4形式で指定)。
  • Area ID(エリアID):OSPFのエリアID。MXがOSPF経路情報を広告する先のエリアを指定します (サイト間VPNの設定 – Cisco Meraki Documentation)。
    Meraki MXでは一つのエリアのみ設定可能で、マルチエリアやエリア間ルーティング(ABR機能)はサポートされません(エリア0以外を指定する場合は隣接ルータ側でABRとなりバックボーンに接続する必要があります)。
    なお、MerakiのOSPF実装はOSPFv2に基づいており、通常エリアだけでなくスタブエリアNSSA(Not-So-Stubby Area)タイプにも対応しています (OSPF, the Meraki way | The Meraki Blog)。
    実環境では通常、Meraki MXはOSPFバックボーンエリア(エリア0)に接続する構成が推奨されます。
  • Cost(コスト):MXが広告するOSPFルートに付与するコスト値です。デフォルトは1で、すべての広告経路に共通のメトリックとして適用されます (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    必要に応じて他ルータとの経路コスト調整のため変更可能です。
  • Helloタイマー:OSPF Helloパケット送信間隔(秒)。
    デフォルト10秒で、ネイバーと同一の値である必要があります (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
  • Deadタイマー:ネイバーからのHelloパケットを受信しなくなってからネイバーダウンとみなすまでの待機時間(秒)。
    デフォルト40秒で、通常Hello間隔の4倍に設定されます (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。こちらもネイバー機器と一致させます。
  • 認証方式:OSPFネイバー認証の有無。
    デフォルト無効(認証なし)です。
    有効にした場合、MD5認証のみサポートされ、キーIDとパスワード(認証キー)を設定可能です (サイト間VPNの設定 – Cisco Meraki Documentation)。
    ネイバーとなる他社ルータ側もMD5認証(キーIDとパスワード)を同一に設定することで、認証付きOSPF隣接を形成できます (サイト間VPNの設定 – Cisco Meraki Documentation)。

Merakiダッシュボード上で設定できるのは上記項目のみであり、例えばOSPFプライオリティ(DR/BDR選出優先度)やインターフェースごとの細かな設定(ネイバーごとのパラメータ調整、エリアごとのコスト、LSAフィルタなど)は提供されていません。
必要最低限のOSPF項目のみを簡易に設定する形になっています (OSPF, the Meraki way | The Meraki Blog)。

他社製ルーターとの互換性に関する注意点

Meraki MXは標準的なOSPFv2プロトコルで隣接ルータとやり取りを行うため、基本的にはCisco他社製ルータやL3スイッチともネイバー関係を形成可能です。
しかし、いくつか互換性上の注意点があります。

  • OSPFネットワークタイプ: MerakiのOSPFはブロードキャストマルチアクセス型(マルチキャストによるHello送信)でのみピアリングをサポートします。
    他社装置側でOSPFインターフェースのネットワークタイプをポイントツーポイントやNBMAに設定していると、Merakiとのネイバー関係が確立できません (MS OSPF Overview – Cisco Meraki Documentation)。
    Ethernet接続であればデフォルトのBroadcastモードを使用し、ポイントツーポイントモードを強制しないようにしてください (MS OSPF Overview – Cisco Meraki Documentation)。
    これはMerakiスイッチ製品(MSシリーズ)のOSPF実装に関する資料でも、ポイントツーポイント/マルチポイントは未サポートと明記されています (MS OSPF Overview – Cisco Meraki Documentation)。
    従って、例えばMPLS回線経由でOSPFネイバーを張る場合でも、ネットワークタイプはデフォルト(Broadcast)で運用する必要があります。
  • MTUの不一致: MX 18.1以降のファームウェアでは、OSPFのDBDパケット(Database Description)のMTUサイズ検証が行われるよう改善されています。
    そのため、MXとOSPFピア側でインターフェースMTUが不一致の場合、OSPF隣接が正しく確立しない可能性があります (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    これはOSPF標準仕様に準拠した動作であり、ファームウェアアップグレードによってこのチェックが有効になった結果、MTUミスマッチ環境ではネイバー関係確立が失敗または不安定になることがあります (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    対策として、両端のデバイスでMTU設定を揃えることが重要です(一般的にEthernetなら1500バイトに統一など)。
  • タイマーや認証の一致: 前述のとおり、HelloタイマーやDeadタイマー、認証設定はネイバー機器と一致させる必要があります。
    Meraki側でHello/Deadタイマーをデフォルトから変更した場合は、対向ルータ側も同じ値に調整してください (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    認証を有効にした場合も、MD5キーIDとパスワードが完全一致していなければ隣接は確立しません (サイト間VPNの設定 – Cisco Meraki Documentation)。
    Merakiダッシュボードで設定した内容に合わせて他社ルータ側を設定する形になります。
  • OSPFバージョン: MXシリーズのOSPFはIPv4用のOSPFv2です。
    IPv6ルーティング(OSPFv3)については、MX 18.1以降で限定的にサポートが追加されつつありますが、現時点では主にVPNコンセントレータモードでのeBGP/OSPFv3による経路配信といった高度な用途になります (IPv6 Support on MX Security & SD-WAN Platforms – Routing – Cisco Meraki Documentation)。
    基本的なLAN側でのOSPFピアリングはIPv4 (OSPFv2)を前提として構築してください。

以上の点を踏まえれば、Cisco製ルータや他ベンダーのOSPF対応ルータともMeraki MXは問題なくネイバー関係を形成できます。
ただし後述のように、Meraki側がOSPFで取得した経路を自身のルーティングに使うことはない点に留意が必要です。

OSPFを利用したルーティングにおける制約

Meraki MXでOSPFを利用する際には、通常のOSPFルータとは異なる制約がいくつか存在します。

  • 経路広告専用(片方向)のOSPF: 繰り返しになりますが、MXシリーズはOSPF経路の受信・学習を行いません
    そのため、例えばMXの隣にいる他社ルータが自分の持つ経路をOSPFで広告してきても、MXはそれをルーティングテーブルに取り込みません (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    OSPFはあくまでMX側からMeraki Auto VPNで学習したネットワークを周囲に通知する手段として機能します (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    この設計上、MX自身が持つローカルLANサブネット(NATモード時のローカルVLANなど)であっても、それがAuto VPNに参加していないネットワークである場合、OSPFでは広告されません(Auto VPNで広告対象になっているサブネットのみがOSPFに乗る) (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    従って、MXを用いたサイト間VPN環境では、OSPFで広告されるのはリモート拠点のサブネット情報のみと考えてください。
  • 対向経路に対する静的ルート設定: 上記のようにMXはネイバーから経路を学習しないため、MXから見てネイバー側(Meraki外部)のネットワーク宛のルーティングは別途考慮が必要です。
    具体的には、OSPFネイバー側に存在するサブネットへの通信をMX側で成立させるには、MXにその宛先ネットワークのスタティックルートを設定し、かつそのスタティックルートをAuto VPN経由で他のMeraki拠点にも広告する必要があります (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    Meraki公式も、OSPFピアのローカルサブネットに対してはハブ側MXにスタティックルートを投入し、VPN経由で配布することで経路対称性を確保するよう案内しています (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    このように、MXを含むOSPFネットワークではフルメッシュの動的経路同期は行われず、Meraki側→外部への経路通知と、その逆方向は静的設定+Auto VPNによる配布でカバーする形態となります。
    設計上、OSPFによる経路自動交換は一方向だけである点に注意してください。
  • 複数インターフェースでのOSPF未対応: 現在、MXのOSPFは単一のLAN(または集中モード時は単一のインターフェース)に対して動作します。
    複数のLANインターフェースや複数VLANにまたがるOSPFルーティングはサポートされません。例えば、MXが拠点で複数のVLANネットワークを持ち、それらをOSPFで隣接ルータに知らせたいという場合でも、MXではVLAN有効時にOSPF機能をオンにできないため対応できません (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
    どうしても複数ネットワークに対する動的ルーティング連携が必要な場合、MXの上位に別途フル機能のルータを配置するか、MX自体をVPNコンセントレータモードで動作させてその上位ルータとOSPF連携する、といったネットワーク設計上の工夫が必要になります。
  • 経路再配送の不可: MXではOSPFと他のルーティングプロトコルとの間で経路再配送(リディストリビューション)を行う機能は提供されていません。
    MXが扱う動的ルーティングは基本的にAuto VPN経由(Meraki独自プロトコル)とOSPFまたはeBGPとの連携に限られ、OSPFで受け取った経路をそのまま他プロトコルで配信したり、その逆を行うことはできません(MX自体がOSPF経路を受け取らないため、再配送の前提にもなりません)。
    従って、既存ネットワークで例えばOSPFとEIGRPやBGPのゲートウェイ的な役割をMXに持たせることはできず、必要な場合は上位のルータで対応させる必要があります。

以上のように、Cisco Meraki MXシリーズにおけるOSPF機能はAuto VPNとの連携に特化した限定的なものです。
他社製ルータとはOSPFネイバー関係を形成できるものの、経路のやり取りはMeraki側からの広告に限られます (Using OSPF to Advertise Remote VPN Subnets – Cisco Meraki Documentation)。
設定可能な項目も基本的なものに絞られており、高度なOSPF設定は不要かつ不可となっています。
導入検討時には、「Meraki MXはOSPFで受動的に経路を学習しない」ことや対応モードの制限(シングルLANもしくはパススルー時のみ)を考慮し、必要に応じて静的ルート併用やネットワーク設計上の対応を行うことが重要です。
公式ドキュメントやサポート情報を参照し、Meraki固有の挙動を理解した上でOSPFによるルーティング連携を実装してください。

参考資料:

スポンサーリンク
bitbank
インフラ
MerakiMX
スポンサーリンク
8091をフォローする
8091
スポンサーリンク

コメント

タイトルとURLをコピーしました