Skip to main content

 

Cisco Meraki Documentation

MS デバイスの代替管理インターフェース(AMI)

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年08月21日付けで翻訳したものです。
最新の情報は原文をご確認ください。

概要

従来のMerakiネットワーク導入では、Syslogメッセージ、SNMPポーリングへの応答、RADIUSサーバーとの通信などの管理トラフィックは、デバイスのデフォルト管理VLAN(LAN IP)のアドレスから発信されます。このVLANはMSデバイスがMerakiダッシュボードと通信するためにも使用され、インターネット接続が必要です。

一部の環境では、管理トラフィックをパブリックネットワークから分離するセキュリティポリシーが求められる場合があります。代替管理インターフェース(AMI)機能は、MSシリーズスイッチがデフォルト管理VLAN以外のIPアドレスから管理トラフィックを発信できるようにすることで、こうした要件に対応します。

要件・ガイドライン・制限事項

  1. ハードウェア・ソフトウェア要件:代替管理インターフェースは、以下のMSスイッチプラットフォームとファームウェアバージョンでサポートされています。
     
    MS Switch ファミリー MS Switch モデル MSファームウェアサポート(初対応バージョン)
    MS1xx MS150 MS17
    MS2xx MS210 MS14.5
    MS225 MS14.5
    MS250 MS14.5
    MS3xx MS350 MS14.5
    MS355 MS14.5
    MS390 MS15
    MS4xx MS410 MS14.5
    MS425 MS14.5
    MS450 MS14.5
      
  2. 代替管理インターフェース(AMI)はネットワーク単位で有効化されるため、ダッシュボードネットワーク内のすべてのスイッチが同じVLANでAMIを利用します。AMI IPアドレスはスイッチごとに設定できます。
  3. AMI VLANは、いずれかのスイッチで設定されている管理VLAN(スイッチ詳細ページのLAN IP VLAN)や、ネットワークの管理VLAN(スイッチ > スイッチ設定 > VLAN の設定)と重複してはいけません。
  4. AMIを有効化するには、スイッチでレイヤー 3ルーティングが有効になっている必要があります。詳細はAMI利用時の管理サーバーへのルート設定をご覧ください。

ダッシュボードから代替管理インターフェースを設定する手順

Meraki DashboardネットワークでMSスイッチにAMIを使用させるには、以下の3ステップが必要です。

  1. ネットワーク単位でAMIを有効化し、管理サービスを紐づける
  2. 各スイッチで代替管理インターフェース IPアドレスを設定する
  3. 管理サーバーへのルートをスイッチで設定する

ネットワーク単位でAMIを有効化し管理サービスを紐づける

代替管理インターフェースを有効化するには、ネットワーク全体 > 一般 へ移動します。ネットワークタイプが「Switch」の場合は「代替管理インターフェース」、ネットワークタイプが「Combined(統合ネットワーク)」の場合は「スイッチ 代替管理インターフェース」欄から設定します。
AMI in single switch network
AMI in combined network

有効化すると、AMI用VLANや、RADIUS/SNMP/Syslogから必要なサービスの組み合わせを指定できます。

スイッチで代替管理インターフェース IPアドレスを設定する

AMIが有効になると、ネットワーク内のAMI対応スイッチすべてに 代替管理VLAN としてAMI VLAN番号が自動反映されます。

代替管理インターフェース IPは静的に割り当て、各スイッチのスイッチ詳細ページから設定します。

AMI switch details UI

AMIのサブネット(サブネットマスク)は、スイッチでそのVLANのレイヤー3インターフェースが設定されていればそこから取得されます。レイヤー3インターフェースがなければ、AMIは/32ネットワークとして扱われます。

管理サーバーへのルート設定

スイッチはルーティングテーブルを基に、AMIにマッピングされたプロトコルのトラフィックをどのネクストホップに送信するかを判断します。必要なルートは静的または動的ルーティングプロトコル(スイッチ > ルーティング & DHCP)で設定できます。ルーティング設定詳細はMS レイヤー3 Switching and Routingをご参照ください。

スイッチでレイヤー3ルーティングが無効な場合、AMI IPアドレスはスイッチで有効になりません。この場合AMI IPは設定できますが、UIには表示されません(下図参照)。

AMI error state

代替管理 VLAN は反映されますが、代替管理 IPは表示されません

スイッチのレイヤー3ルーティング状態はスイッチ詳細ページのL3 ルーティングタブで確認できます。

AMI switch routing state

APIで代替管理インターフェースを設定する

GET Alternate Management Interface Configuration

GET /networks/{networkId}/switch/alternateManagementInterfaceリクエストで、ダッシュボードネットワークおよび各スイッチのAMI設定を取得できます。レスポンス例は以下の通りです。

APIリクエストの詳細はAPIドキュメントを参照してください。

ネットワークテンプレートからのレスポンス例

Successful HTTP response code: 200

{ 
  "enabled": true,
  "vlanId": 100,
  "protocol": [
    "snmp",
    "radius",
    "syslog"
  ]
}

 

AMI有効時のネットワークからのレスポンス例

Successful HTTP response code: 200

{ 
  "enabled": true,
  "vlanId": 100,
  "protocols": ["radius","snmp","syslog"],
  "switches": [
    {
      "serial": "Q2AB-CDEF-GHIJ",
      "alternateManagementIp": "192.168.128.100"
    },
    {
      "serial": "Q2AB-CDEF-KLMN",
      "alternateManagementIp": "192.168.128.200"
    },
    .....
  ]
}

 

AMI無効時のネットワークからのレスポンス例

Successful HTTP response code: 200

{ 
  "enabled": false,
}

代替管理インターフェース設定の適用

PUT Alternate Management Interface Configuration

PUT /networks/{networkId}/switch/alternateManagementInterfaceリクエストを使用して、ネットワークのAMI(代替管理インターフェース)を設定します。以下の表に構成例とそのレスポンス例を示します。

APIリクエストの詳細はAPIドキュメントを参照してください。

リクエスト レスポンス
ネットワーク全体でのSwitch AMI設定 
PUT /networks/L_12345/switch/alternateManagementInterface

{
  "enabled": true,
  "vlanId": 100,
  "protocols": ["syslog"]
}

Successful HTTP response code: 200

{ 
  "enabled": true,
  "vlanId": 100,
  "protocols": ["syslog"],
  "switches": []
}
スイッチごとのAMI IPアドレス設定 
PUT /networks/L_12345/switch/alternateManagementInterface

{
  "switches": [
    {
      "serial": "Q2AB-CDEF-GHIJ",
      "alternateManagementIp": "192.168.128.100"
    },
    {
      "serial": "Q2AB-CDEF-KLMN",
      "alternateManagementIp": "192.168.128.200"
    }
  ]
}

Successful HTTP response code: 200

{ 
  "enabled": true,
  "vlanId": 100,
  "protocols": ["syslog"],
  "switches": [
    {
      "serial": "Q2AB-CDEF-GHIJ",
      "alternateManagementIp": "192.168.128.100"
    },
    {
      "serial": "Q2AB-CDEF-KLMN",
      "alternateManagementIp": "192.168.128.200"
    }
  ]
}
ネットワーク全体設定+スイッチ単体AMI IP設定 
PUT /networks/L_12345/switch/alternateManagementInterface

{
  "enabled": true,
  "vlanId": 100,
  "protocols": ["syslog"],
  "switches": [
    {
      "serial": "Q2AB-CDEF-GHIJ",
      "alternateManagementIp": "192.168.128.100"
    }
  ]
}

Successful HTTP response code: 200

{ 
  "enabled": true,
  "vlanId": 100,
  "protocols": ["syslog"],
  "switches": [
    {
      "serial": "Q2AB-CDEF-GHIJ",
      "alternateManagementIp": "192.168.128.100"
    }
  ]
}
ネットワークでAMIを無効化 
PUT /networks/L_12345/switch/alternateManagementInterface

{
  "enabled": false
}

Successful HTTP response code: 200

{ 
  "enabled": false
}

代替管理インターフェースでのトラフィックフロー

代替管理インターフェースで選択したサービスのトラフィックは、スイッチのルーティングテーブル情報に従いルーティングされます。送信元IPアドレスにはAlternate Management VLANのIPが使用されます。AMI VLANのIPアドレスを使用することで、重複を回避し、サーバーからの応答トラフィックをパブリックネットワークから分離できます。

 

AMI - traffic flow - MS