Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

[ワイヤレス(Wireless)] > [設定(Configure)] > [アクセス制御(Access control)] ページの [クライアントIP割り当て(Client IP assignment)] セクションでは、有線ネットワークでのクライアントの配置方法や、アソシエーション時の IP アドレスの取得方法を制御することができます。

このドキュメントでは、クライアント IP 割り当てに使用できる各オプションと、それらがクライアントに及ぼす影響、および推奨される使用例について説明します。

ブリッジ モード

ブリッジ モードでは、Meraki AP がブリッジとして機能することにより、ワイヤレス クライアントがアップストリームの DHCP サーバから IP アドレスを取得できます。

次のいずれかに当てはまる場合は、ブリッジ モードをイネーブルにする必要があります。

  • ネットワーク内の有線クライアントとワイヤレス クライアントが相互に到達できる必要がある(たとえば、ワイヤレス ラップトップがネットワーク プリンタの IP アドレスを検出する必要がある、または有線デスクトップがワイヤレス監視カメラに接続する必要がある)。
  • レイヤ 2 のマルチキャスト パケットとブロードキャスト パケット(ARP、Bonjour など)が、デバイス検出やネットワーキングなどのために有線クライアントとワイヤレス クライアントの両方に限定的な方法で伝搬される必要がある。
  • ワイヤレス ネットワークがレガシー VPN クライアント(つまり、NAT トラバーサル非対応のクライアント)をサポートする必要がある。
  • 有線クライアントとワイヤレス クライアントが、モニタリングやアクセス制御(ネットワーク内の Web ゲートウェイがクライアントの IP アドレスに基づいてインターネット アクセスを許可/拒否するなど)のために同じサブネット内の IP アドレスを持つ必要がある。
  • Meraki AP とアップストリームの有線インフラストラクチャとの間で、ワイヤレス トラフィックが VLAN タグ付けされる必要がある。
  • ネットワークで IPv6 が使用されているIPv6 ブリッジングの詳細についてはこちらの記事を参照してください。

 

ブリッジ モードを有効にした場合の影響は次のとおりです。

  • 管理者は、SSID に基づく成人向けコンテンツ フィルタリングをイネーブルにすることができない。成人向けコンテンツ フィルタリング機能は DNS ベースであるため、ブリッジ モードでは、ネットワークの DHCP サーバによりアドバタイズされる DNS サーバを使用することによって、成人向けコンテンツ フィルタリングが無効になります。

  • 複数の DHCP サーバを使用できるが、これらの DHCP サーバは同じサブネットからの IP アドレスをワイヤレス クライアントに割り当てる必要がある。これにより、これらの IP アドレスを、Meraki AP の接続先の LAN でルーティングできるようになります。

ユースケース

ブリッジ モードはほとんどの状況で適切に機能し、特にシームレスなローミングに適しています。このモードは、ワイヤレス クライアントを LAN 上に配置するための最もシンプルなオプションです。レイヤ 3/7 のファイアウォール ルールとトラフィック シェーピングを使用することで、クライアント トラフィックが有線ネットワークに到達する前にクライアント トラフィックを制限することができます。また、VLAN タギングを使用することで、特定のサブネットの上流側にワイヤレス クライアントを配置することができます。

ダイアグラム

下の例では、クライアント トラフィックがアクセス ポイントを透過的に通過した後も、その送信元 IP アドレスが同じままになっています。

追加情報

ブリッジ SSID を使用して VLAN タグをワイヤレス クライアントのトラフィックに適用する方法については、Cisco Meraki のドキュメントを参照してください。

NAT モード

NAT モードでは、Meraki AP は、NAT 後のプライベート IP アドレス プール 10.x.x.x からの IP アドレスをワイヤレス クライアントに割り当てる DHCP サーバとして実行されます。

次のいずれかに当てはまる場合は、NAT モードをイネーブルにする必要があります。

  • SSID にアソシエートされたワイヤレス クライアントがインターネット アクセスのみを必要としており、ローカルの有線/無線リソースにはアクセスしない。
  • ワイヤレス クライアントに IP アドレスを割り当てることができる DHCP サーバが LAN に存在しない。

  • LAN に DHCP サーバが存在するが、ワイヤレス クライアントに割り当てる IP アドレスが不足している。

 

NAT モードをイネーブルにした場合の影響は次のとおりです。

  • ワイヤレス ネットワーク外のデバイスは、ワイヤレス クライアントへの接続を開始できない。
  • ワイヤレス クライアントは、レイヤ 2 検出プロトコルを使用して有線ネットワークまたはワイヤレス ネットワーク上の他のデバイスを検出できない。
  • レガシー VPN クライアント(つまり、NAT トラバーサル非対応のクライアント)は、ワイヤレス ネットワーク上で IPSec トンネルを確立できない場合がある(回避策の 1 つとして、VPN クライアントをアップグレードするか、SSL など、TCP 経由の IPSec トンネルを確立するように VPN クライアントを設定する方法があります)。
  • VLAN タギング ワイヤレス トラフィックは NAT モードではサポートされない。

各 AP はそれぞれの管理 IP アドレスに対して NAT を実行することに注意してください。その結果、クライアントが AP 間でローミングすると、LAN フローが遮断されます。

NAT モードの DHCP サービスは、10.0.0.0/8 サブネットのアドレスのみを配布します。10.x.x.x のアドレス空間をすでに使用している有線ネットワークでは、引き続き NAT モードの SSID を使用できますが、NAT SSID のクライアントはこれらのネットワークと通信できなくなる可能性があります。

 

ユースケース

NAT モードは、ワイヤレス ゲスト ネットワークを提供する場合に役立ちます。これはこのモードが、自動アドレッシングを通じてクライアントをプライベート ワイヤレス ネットワーク上に配置するためです。また、レイヤ 3 のファイアウォール ルールを使用して、ネットワーク リソースへのアクセスをすばやく制限またはブロックすることもできます。

ダイアグラム

この例では、クライアントに 10.0.0.0/8 ネットワークのアドレスが設定されていますが、LAN に入ると同時に送信元 IP がアクセス ポイントの IP アドレスに変更されています。

追加情報

NAT モードの詳細については、以下の Cisco Meraki のドキュメントを参照してください。

レイヤ 3 のローミング

レイヤ 3 ローミングは、別の VLAN 上の AP に変更する場合でもシームレスなローミングが可能な組み込みの機能です。この機能では、ネットワーク内のボトルネックを解消するコンセントレータは必要ありません。発信元の VLAN がターゲットの AP 上に存在しない場合、AP は現在の AP から開始 AP に戻る接続を確立します。分散型のレイヤ 3 ローミングは、[アクセス制御(Access Control)] ページで設定します。レイヤ 3 ローミングのアーキテクチャの詳細については、Meraki のレイヤ 3 ローミング ソリューション ガイドを参照してください。

 

レイヤ 3 ローミングのテストによって上流側のネットワークの潜在的な問題が明らかになり、この機能でアクセス ポイント間のトンネルを確立することができなくなる場合があります。

ユースケース

分散型のレイヤ 3 ローミングは、多数のモバイル クライアントが接続する大規模なネットワークに非常に適しています。このモードではよりシームレスなエクスペリエンスが提供され、クライアントはレイヤ 3 の境界をまたがってシームレスにローミングすることができます。

ダイアグラム

この例では、クライアントは最初にポイント 1 で接続します。ここで、クライアントのトラフィックがネットワークにブリッジされます。クライアントがポイント 2 および 3 にローミングして、新しいアクセス ポイントにアソシエートすると、それらのアクセス ポイントはまず、トラフィックを当初の AP に戻すトンネルを作成し、その後にネットワークにブリッジします。トンネルの作成はすべて、AP 間で直接行われます。

関連リソース

レイヤ 3 ローミングの詳細については、Cisco Meraki のドキュメントを参照してください。

コンセントレータを使用したレイヤ 3 ローミング

レイヤ 3 ローミングでは、クライアント デバイスが異なる VLAN 上にある AP 間でローミングするときに、同じ IP アドレスを維持することができます。クライアントは、同じ IP アドレスが維持されることで、VoIP などの遅延の影響を受けやすいアプリケーションに中断なくアクセスすることができます。

Meraki MR アクセス ポイントのレイヤ 3 ローミングを有効にするには、各アクセス ポイントからモビリティ コンセントレータへのセキュアなモビリティ トンネルを作成します。モビリティ コンセントレータは、VPN コンセントレータまたは MX セキュリティ アプライアンスのいずれかにすることができます。レイヤ 3 ローミングのアーキテクチャの詳細については、Meraki のレイヤ 3 ローミング ソリューション ガイドを参照してください。

この設定は、パススルー/コンセントレータ モードの MX と組み合わせて使用するように設計されています。NAT モードの MX へのトンネルは作成できません。

 

使用例

コンセントレータを使用したレイヤ 3 ローミングは、適度な数のモバイル クライアントがネットワークに接続している場合に非常に役立ちます。このモードでは、よりシームレスなエクスペリエンスが提供されます。

ダイアグラム

この例では、クライアントが最初にポイント 1 で接続してから、ポイント 2 および 3 にローミングします。各ポイントで、クライアントのトラフィックがコンセントレータにトンネリングされ、その後でネットワークにブリッジされます。

モビリティ コンセントレータの設定

MX セキュリティ アプライアンスまたは仮想コンセントレータは、レイヤ 3 ローミング用のモビリティ コンセントレータとして機能するように設定することができます。仮想コンセントレータの設定方法については、こちらを参照してください。また、MX セキュリティ アプライアンスについては、こちらをご覧ください。

 

モビリティ コンセントレータがオンライン状態になり、ネットワークに接続されたら、MX または VPN コンセントレータをパススルー モードにする必要があります。

L3 ローミングのための SSID 設定

モビリティ コンセントレータの設定後、トラフィックを集約するように SSID を設定することができます。

  1. [ワイヤレス(Wireless)] > [設定(Configure)] > [概要(Overview)] ページで、L3 ローミングに使用する SSID を作成します。
  2. [ワイヤレス(Wireless)] > [設定(Configure)] > [アクセス制御(Access control)] > [クライアントIP割り当て(Client IP assignment)] で、[コンセントレータを使用したレイヤ3ローミング(Layer 3 roaming with a concentrator)] を選択します。
  3. [コンセントレータ(Concentrator)] メニューで、以前に作成したモビリティ コンセントレータを選択します。
  4. [VLAN タギング(VLAN tagging)] オプションでは、レイヤ 3 ローミングのクライアントに特定の VLAN のタグを付けることができます。
    Screen_Shot_2015-07-09_at_11.01.17_PM.png

VPN:コンセントレータへのデータ トンネリング

管理者は Meraki Teleworker VPN を使用することで、社内 LAN を Meraki AP が設置されているリモート サイトの従業員にまで拡張することができます。しかも、クライアント デバイスにクライアント VPN ソフトウェアをインストールして実行する必要がありません。リモート AP に接続されているワイヤレス クライアントは、本社と同じレベルのエクスペリエンスを提供し、社内ネットワークに完全にアクセスすることができます。

SSID は、ターゲットのネットワーク設計に応じて、フル トンネル モードまたはスプリット トンネル モードに設定できます。

 

この設定は、パススルー/コンセントレータ モードの MX と組み合わせて使用するように設計されています。NAT モードの MX へのトンネルは作成できません。

 

使用例

Teleworker VPN を使用することで、小規模なブランチ オフィス、テレワーカーや経営幹部の自宅オフィス、一時的なサイト オフィス(建設現場など)、外出先で移動中の従業員を社内 LAN に接続したり、本社にある社内リソースへのアクセスを提供したりすることができます。

ダイアグラム

この例では、クライアントのトラフィックがインターネット上のセキュアな VPN トンネルを通って VPN コンセントレータに送信され、そこでネットワークにブリッジされています。