Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

この記事では、MS シリーズ スイッチでレイヤ 3 ルーティング機能を実装する方法の基本的な例を示します。この手順を進める前に、一般的な情報や設定オプションについて、「レイヤ 3 スイッチの概要」を参照してください。

最初のトポロジ

このシナリオでは、MX セキュリティ アプライアンスは、ネットワーク ゲートウェイとファイアウォールとして機能し、192.168.128.0/24(VLAN 20)のプライベート サブネットへの NAT を実行します。MX は、VLAN 20 で 192.168.128.254 の IP アドレスを使用します。

これにより、アクセス スイッチとネットワークの VLAN 間ルーティングを実行するワンアーム ルータの両方に接続するディストリビューション スイッチに誘導します。

96ec0c22-bd10-403d-b102-4a09c6e51fce

ここでは、ネットワークの VLAN 間ルーティングを実行するようにディストリビューション スイッチを再設定します。これにより、レガシー ルータを完全に廃止することができます。

注:ディストリビューション レイヤでレイヤ 3 スイッチを用いてネットワークを設計する場合、どのデバイスが各サブネットでクライアントのゲートウェイとして設定されているかを把握することが非常に重要になります。L3 スイッチがクライアントの下流サブネットのゲートウェイである場合、その下流サブネットへのスタティック ルートを使用して上流のファイアウォールを設定する必要があります。この下流サブネットの VLAN インターフェイスでファイアウォールを設定した場合、ファイアウォールはこのサブネットから誤ってタグ付けされたトラフィックを受信する可能性があります(これはドロップされます)。

 

レイヤ 3 インターフェイスの設定

ディストリビューション スイッチには、3 つのレイヤ 3 インターフェイスが必要となります。それぞれ、ファイアウォールへのアップリンク用(スイッチのデフォルト ルートとして機能します)、データ VLAN 用、音声 VLAN 用のインターフェイスになります。以下の手順を使用して、まずアップリンク インターフェイスを設定します。

  1. [モニタ(Monitor)] > [スイッチ(Switches)] からディストリビューション スイッチの詳細ページに移動します。
  2. [ステータス(Status)] セクションの下にある [レイヤ 3 の初期化(Initialize layer 3)] をクリックします。
  3. 次の設定値を入力します。
    • [名前(Name)]:Uplink
    • [サブネット(Subnet)]:192.168.128.0/24 
    • [インターフェイスIP(Interface IP)]:192.168.128.1
    • [VLAN]:20
    • [デフォルトゲートウェイ(Default Gateway)]:192.168.128.254
  4. [保存(Save)] をクリックします。

注:管理インターフェイス(この IP はスイッチの詳細ページで確認できます)とこのアップリンク インターフェイスはであることに注意してください。これらのインターフェイスは両方とも同じ VLAN/サブネット上に存在できますが、管理インターフェイスは、インターネットとの通信が可能な異なる IP に設定する必要があります。

 

次に、次の手順を使用して、データ VLAN および音声 VLAN 用にレイヤ 3 インターフェイスを設定します。

  1. [設定(Configure)] > [レイヤ3ルーティング(Layer 3 routing)] に移動します。
  2. [インターフェイスの追加(Add an interface)] をクリックします。
  3. ディストリビューション スイッチを選択します。
  4. 次の設定値を入力します。
    • [名前(Name)]:Data
    • [サブネット(Subnet)]:10.1.0.0/23
    • [インターフェイスIP(Interface IP)]:10.1.1.254
    • [VLAN]:5
    • [クライアントアドレッシング(Client Addressing)]:別のサーバへの DHCP リレー
    • [DHCPサーバIP(DHCP server IPs)]:192.168.128.254
  5. [保存して別のインターフェイスを追加(Save and add another)] をクリックします。
  6. ディストリビューション スイッチを選択します。
  7. 次の設定値を入力します。
    • [名前(Name)]:Voice
    • [サブネット(Subnet)]:10.1.2.0/23
    • [インターフェイスIP(Interface IP)]:10.1.3.254
    • [VLAN]:10
    • [クライアントアドレッシング(Client Addressing)]:別のサーバへの DHCP リレー
    • [DHCPサーバIP(DHCP server IPs)]:192.168.128.254
  8. [保存(Save)] をクリックします。

 

スイッチ ポートの設定

下流のアクセス スイッチと接続しているクライアントに対して、ルーテッド インターフェイスを利用することを許可するには、アクセス スイッチにつながるスイッチ ポートをトランクとして設定し、両方の VLAN がそこを通過することを許可する必要があります。[設定(Configure)] > [スイッチポート(Switch Ports)] の下で、アクセス スイッチに接続するポートを選択し、以下の設定を更新する必要があります。

  • [タイプ(Type)]:Trunk
  • [ネイティブVLAN(Native VLAN)]:1
  • [許可VLAN(Allowed VLANs)]:All

 

アクセス スイッチのアップリンク ポートも同じように設定する必要があります。そうしなければ、VLAN に不一致が生じます。音声とデータの VLAN にクライアント トラフィックを配置するように、アクセス スイッチも適切に設定する必要があります。スイッチ ポートの設定方法の詳細については、「関連 KB」のセクションを参照してください。2 つのデバイス間に VLAN が 1 つだけ存在するなど設定が多少異なる場合がありますが、ファイアウォールの LAN ポートとディストリビューション スイッチのアップリンク ポートもトランク ポートと同じように設定にする必要があります。

この手順が完了したら、すべてのルーティング機能がディストリビューション スイッチに委任されたため、ネットワークからレガシー ルータを取り除くことができます。

その他の考慮事項

ディストリビューション スイッチは、ネットワークで VLAN 間ルーティングを実行するようになりました。ここで、ネットワーク接続を完全にするため、ファイアウォールでいくつかの追加の設定手順を実行する必要があります。

  1. 音声またはデータの VLAN に送られるすべての着信トラフィックは、スイッチのルーティング インターフェイスを通過するように、スタティック ルートを使用してファイアウォールを設定する必要があります([設定(Configure)] > [アドレッシング(Addressing)] & [VLAN(VLANs)])。これらのルートは次のように設定することも可能です。
    • データ VLAN へのルート:
      • [有効(Enabled)]:Yes 
      • [名前(Name)]:Data 
      • [サブネット(Subnet)]:10.1.0.0/23 
      • [ネクストホップIP(Next hop IP)]:192.168.128.1 
      • [アクティブ(Active)]:Always 
      • [VPNを使用(In VPN)]:No 
    • [音声VLANへのルート(Route to voice VLAN)]:
      • [有効(Enabled)]:Yes 
      • [名前(Name)]:Voice 
      • [サブネット(Subnet)]:10.1.2.0/23 
      • [ネクストホップIP(Next hop IP)]:192.168.128.1 
      • [アクティブ(Active)]:Always 
      • [VPNを使用(In VPN)]:No 
  2. スタティック ルートを MX に追加した場合、DHCP スコープを各 VLAN に対して設定する必要があります。設定手順については、既存のドキュメントの「DHCP サービスの設定」を参照してください。この手順では、各 VLAN に対してスイッチのルーティング インターフェイスをゲートウェイとして使用します。
    • [データ用のゲートウェイIP(Gateway IP for data)]:10.1.1.254
    • [音声用のゲートウェイIP(Gateway IP for voice)]:10.1.3.254

 

この手順が完了したら、両方の VLAN 上のすべてのクライアントは、ネットワークの内外で通信できます。オプションで、ネットワーク要件を満たすために、いくつかの追加の設定を実行できます。

  • VLAN 間の通信を制限するために、IPv4 ACL を使用してディストリビューション スイッチを設定できます。
  • ファイアウォールがサイト間 VPN に参加している場合、音声とデータのクライアントまたはそのいずれかのクライアントで VPN トンネルを介して通信することを許可するように、スタティック ルートを更新できます([VPNを使用(In VPN)] を [はい(Yes)] に変更)。