Skip to main content

 

Cisco Meraki Documentation

MXアドレスとVLAN

アプライアンスの設定は、Security & SD-WAN(セキュリティ&SD-WAN) > Configure(設定) > Addressing & VLANs(アドレスとVLAN)ページからアクセスできます。この設定には、MXのルーティング モード、クライアントの追跡方法、サブネットとVLANの設定、およびスタティック ルートが含まれています。

導入設定

MXアプライアンスは2つのモードで導入できます。

  • ルーテッド
  • パススルーまたはVPNコンセントレーター

ルーテッド モード

これはデフォルトの選択です。このオプションは、MXアプライアンスをレイヤー7のファイアウォールとして使用して、LANのトラフィックをインターネット(WAN)から隔離して保護する場合に選択します。インターネットへのクライアント トラフィックのソースIPは、アプライアンスのWAN IPに一致するように書き換えられます。このモードでは、MXアプライアンスは一般に、LAN上のデバイスのデフォルト ゲートウェイでもあります。このセクションには、DHCP設定ページへのリンクもあります。

パススルーまたはVPNコンセントレーター モード

レイヤー2パススルー デバイスとして動作

以下のようにMXデバイスを導入する場合は、このオプションを選択します。

  • トラフィック シェーピングとネットワーク可視性の強化のためにブリッジモードで導入する場合。
  • ワンアームVPNコンセントレーターとして導入する場合。

このモードでは、MXデバイスはアドレス変換を行わず、インターネットとLANポートの間のパススルー デバイスとして動作します(レイヤー2ブリッジと呼ばれることもあります)。アプライアンスはVPNトンネリング機能も提供します。

詳細については、導入ガイドを参照してください。

 

セキュリティ リスクが発生する可能性があるため、パブリック ルーティング可能なIPアドレスを持つネットワークの周辺にパススルー モードのMXアプライアンスを配置することは推奨されません。ベスト プラクティスとして、パススルー モードのMXアプライアンスは常に、エッジ ファイアウォールの背後に導入してください。

クライアント追跡

ここでは、ネットワーク アクセス ポリシーを適用して、クライアントのアクティビティに関する情報を保存するために、MXアプライアンスがクライアント デバイスを識別して追跡する方法を設定できます。3つのオプションが使用可能です。

  • Track clients by Unique client identifier(一意のクライアント識別子によってクライアントを追跡):これは、特定の要件が満たされている場合にのみ表示されるオプションです。要件については、ガイドのクライアント追跡オプションに説明があります。 このオプションは、MXと少なくとも1台のMerakiレイヤー3ルーティング スイッチが同じネットワークにあり、ネットワーク内にMeraki以外のレイヤー3デバイスがない複合ネットワークに適しています。 
  • Track clients by MAC address(MACアドレスによってクライアントを追跡):これはデフォルトの選択です。すべてのクライアント デバイスがアプライアンスに設定されたVLAN/サブネット内にあり、アプライアンスとクライアントの間にレイヤー3デバイスがない場合には、このオプションを使用します。
  • Track clients by IP address(IPアドレスによってクライアントを追跡):アプライアンスとクライアントの間にMeraki以外のレイヤー3デバイスがあり、MACアドレスによる識別が信頼できないか正確でない場合は、このオプションを使用します。ARPベースの(レイヤー2)ツールの中には、このモードでは使用できないものもあります。たとえば、クライアントpingやクライアント接続アラートが該当します。

ルーティング

VLANを使用する

Addressing & VLANs(アドレスとVLAN)ページのRouting(ルーティング)セクションでは、単一のLANを設定するか、VLANを有効にできます。VLANを有効にするには、Use VLANs(VLANを使用する)ボックスを選択します。

サブネット

VLANでは、ネットワークを複数のサブネットに区分化して、所属するVLANに基づいてダウンストリーム ホストを異なるブロードキャスト ドメインに分類できます。VLANベースのネットワーク分離は、ネットワークのさまざまなセグメントを分離して識別するための効果的なツールであり、セキュリティと制御の追加のレイヤーを提供します。アプライアンスは複数のLAN IPを持ち、それぞれが特定のVLANでのデフォルト ゲートウェイ アドレスです。

新しいVLANを追加するには、Subnets(サブネット)テーブルの右上にあるAdd VLAN(VLANを追加)をクリックします。既存のVLANを変更するには、Subnets(サブネット)テーブル内のVLANをクリックします。ローカルVLANについて、以下のフィールドを設定できます。

  • Name(名前):VLANの名前。
  • Subnet(サブネット):このオプションを使用して、VLANのIPサブネットを入力します。単一LANモードと同様に、この情報はCIDR表記で入力する必要があることに注意してください。CIDR表記のサブネットには、少なくとも4つのIP(「/30」以上)が含まれる必要があります。2つはネットワークおよびブロードキャスト アドレス用に予約されているためです。
  • MX IP:この特定のVLAN/サブネット内のMXアプライアンスのIPアドレス。これは、そのVLANのデフォルト ゲートウェイのIPアドレスです。
  • VLAN ID:VLANに割り当てられる数値の識別子。
  • Group Policy(グループ ポリシー):このVLANに適用するグループ ポリシー(ある場合)(Group policies(グループ ポリシー)を参照)。
  • In VPN(VPN 内):MXがこのVLANをサイト間VPNピアにアドバタイズするかどうかを指定します。

VLANを削除するには、VLANの横のボックスを選択して、Delete(削除)ボタンをクリックし、Save(保存)をクリックします。

ポート単位のVLAN設定

ここでは、MXアプライアンスのVLAN設定をポート単位で確認し、変更できます。ポート単位のVLAN設定を変更するには、変更するポートを選択して、Edit(編集)をクリックします。表示されるメニューを使用して、以下のパラメータを設定できます。

  • Enabled(有効):ポートを有効または無効にします。ポートを「Disabled(無効)」に設定した場合、他のオプションは使用できません。
  • Type(タイプ):ポートをtrunk(トランク)またはaccess(アクセス)モードに設定します。トランク モードに設定されたポートは、複数のVLANにトラフィックを渡すことができますが、アクセス モードのポートは1つのVLANにしかトラフィックを渡すことができません。
  • Native VLAN(ネイティブVLAN(トランク モードのみ)):ポートのネイティブVLANを設定します。このポートに着信したすべてのタグなしトラフィックは、このVLANに属するものとして処理されます。これはDrop Untagged Traffic(タグなしトラフィックをドロップ)に設定することもできます。
  • Allowed VLANs(許可されたVLAN)(トランク モードのみ):このポートがトラフィックを受け入れ、渡すVLAN。ネイティブVLANが設定されている場合は、それを含める必要があります。
  • VLAN(アクセス モードのみ):このポートがトラフィックを受け入れ、渡すVLAN。すべてのタグなしトラフィックは、自動的にこのVLANに属するものとして処理されます。
  • Access Policy(アクセス ポリシー)(アクセス モードのみ):特定のモデルは、802.1Xアクセス ポリシーで設定できます。詳細については、ここをクリックしてください。

Static routes(スタティック ルート)

スタティック ルートは、レイヤー3スイッチの背後にあるか、直接接続されていないか、アプライアンスで設定されているサブネットに到達するために使用されます。

新しいスタティック ルートを追加するには、Static routes(スタティック ルート)テーブルの右上にあるAdd Static Route(スタティック ルートを追加)をクリックします。既存のスタティック ルートを変更するには、Static routes(スタティック ルート)テーブル内のスタティック ルートをクリックします。スタティック ルートについて、以下のフィールドを設定できます。

  • Enabled(有効):MXがこのルートを使用するかどうか。後で手動で再作成しなくても済むように、一時的にルートをMXから削除するには、この設定を使用します。
  • Name(名前):スタティック ルートの名前。
  • Subnet(サブネット):このオプションを使用して、このスタティック ルート経由で到達するリモート サブネットを入力します(CIDR表記)。
  • Gateway IP(ゲートウェイIP):MXアプライアンスをスタティック ルートのサブネットに接続するデバイス(ルータやレイヤー3スイッチなど)のIPアドレス。これは「ネクスト ホップIP」と呼ばれることもあります。
  • Conditions(条件):このルートがいつ使用されるかを制御する条件。スタティック ルートは、次の3つのモードのいずれかに設定できます。
    • Always(常時):ルートは常に使用されます。
    • While next hop responds to ping(ネクスト ホップがpingに応答している間):このルートに設定されたネクスト ホップIPにMXが正常にpingできる場合のみ、このルートは使用されます。
    • While host responds to ping(ホストがpingに応答している間):このルートを使用して、指定されたホストIPにMXがpingできる場合のみ、このルートは使用されます。
  • Host IP to ping(ping対象のホストIP):上記のWhile host responds to ping(ホストがpingに応答している間)が選択された場合のみ表示されます。これは、ルートが正常に機能しているかどうかを判断するために、MXがスタティック ルート経由でpingするIPです。このデバイスは、スタティック ルートで指定されたサブネット内になければならず、常にスタティックIPまたはDHCP予約を使用するデバイス(サーバなど)でなければなりません。
  • In VPN(VPN 内):MXがこのスタティック ルートをサイト間VPNピアにアドバタイズするかどうかを指定します。

スタティック ルートを削除するには、Static routes(スタティック ルート)テーブルの左側のルートの横にあるチェックボックス をクリックします。

設定されたルートのステータスは、Security & SD-WAN(セキュリティ&SD-WAN) > Monitor(監視) > Route table(ルート テーブル)ページで確認できます。

ルートの障害検出と回復力のあるWANアーキテクチャの実装については、MPLS - VPNフェールオーバー導入ガイドを参照してください。

Warm Spare

Warm Spareは、Security & SD-WAN(セキュリティ&SD-WAN) > Monitor(監視) > Appliance status(機器のステータス)ページで設定できます。 Warm Spare機能の詳細については、ここを参照してください。

ダイナミックDNS

ダイナミックDNSを使用すると、パブリックIPアドレスが変更された場合でも、インターネット経由でパブリック向けMXアプライアンスに到達できます。Merakiはアプライアンスに対して一意のFQDN(完全修飾ドメイン名)を自動的に発行し、Meraki独自のダイナミックDNSサービスを通じてMXを自動登録します。DHCPリースの更新またはアップリンクのフェールオーバーによってアプライアンスのパブリックIPアドレスが変更された場合、このパブリックDNSレコードも更新されます。ダイナミックDNSは、Security & SD-WAN(セキュリティ&SD-WAN) > Monitor(監視) > Appliance status(機器のステータス)ページで設定できます。

  • Was this article helpful?