Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

アプライアンスの設定にアクセスするには、[セキュリティ アプライアンス(Security Appliance)] > [Configure(構成)] > [アドレッシングと VLAN(Addressing & VLANs)] ページに移動します。このページで、ネットワーク名、パススルーまたは NAT モード、クライアント トラッキングの方法、サブネットおよび VLAN、LAN のスタティック ルート、ダイナミック DNS などを設定できます。

名前

このフィールドでは、セキュリティ アプライアンスが配置されているダッシュボード ネットワークの名前を設定・変更できます。

導入モード

MX アプライアンスは次の 2 つのモードで導入できます。

  • パススルーまたは VPN コンセントレータ モード
  • NAT モード

パススルーまたは VPN コンセントレータ モード

レイヤ 2 パススルー デバイスとして

MX デバイスを単に次のように導入する場合は、このオプションを選択します。

  • トラフィック シェーピング、またはネットワーク可視性の強化のためにブリッジ モードで導入する。
  • ワンアーム VPN コンセントレータとして導入する。

このモードでは、MX デバイスはアドレス変換を実施せず、インターネットと LAN ポートの間のパススルー デバイスとして動作します(「レイヤ 2 ブリッジ」と呼ばれる場合もあります)。また、アプライアンスで VPN トンネリング機能も提供されます。

詳細については、導入ガイドを参照してください。

 

パブリック ルーティング可能な IP アドレスを持つネットワークの周辺にパススルー モードの MX アプライアンスを配置すると、セキュリティ リスクが発生する可能性があるため、推奨されません。ベスト プラクティスとして、パススルー モードの MX アプライアンスは常にファイアウォールの背後に配置してください。


ネットワーク アドレス変換(NAT)

インターネット(WAN)から LAN トラフィックを分離して保護するために MX アプライアンスをレイヤ 7 ファイアウォールとして使用する場合は、このオプションを選択します。この場合、インターネットへのクライアント トラフィックの送信元 IP アドレスは、アプライアンスの WAN IP と一致するように変換されます。このモードでは通常、MX アプライアンスが LAN 上のデバイスのデフォルト ゲートウェイにもなります。また、このセクションには DHCP 設定ページへのリンクも示されます。

クライアントの追跡

ここでは、ネットワーク アクセス ポリシーを適用してクライアント アクティビティ情報を保存する目的で MX アプライアンスがクライアント デバイスを識別・追跡する方法を設定できます。次の 2 つのオプションがあります。

  • [MAC アドレスによるクライアントの追跡(Track client by MAC address)]:デフォルトのオプションです。すべてのクライアント デバイスが、アプライアンス上に設定された VLAN またはサブネット内にあり、アプライアンスとクライアントの間にレイヤ 3 デバイスがない場合は、このオプションを使用します。
  • [IP アドレスによるクライアントの追跡(Track clients by IP address)]:アプライアンスとクライアントの間にレイヤ 3 デバイスがあるために MAC アドレス識別の信頼性が低い(または不正確な)場合は、このオプションを使用します。ARP ベース(レイヤ 2)のツールの中には、このモードで使用できないものがあります。たとえば、クライアント ping や接続アラートなどです。

VLAN の有効化

[アドレッシングと VLAN(Addressing & VLANs)] ページでは、単一の LAN または複数の VLAN を設定できます。VLAN セレクタを使用して、単一の LAN サブネットまたは複数の LAN サブネット(VLAN)を使用するようにアプライアンスを設定できます。

ルート

このセクションには、MX アプライアンス上に設定されているローカル ルートが表示されます。これには、設定されているサブネットまたは VLAN、およびスタティック ルートが含まれます。ここで、VLAN とスタティック ルートを追加、削除、変更できます。

設定されているルートのステータスは、[ルート テーブル(Route table)] ページで確認できます。

 

ルートの障害検出、および耐障害性 WAN アーキテクチャの実装の詳細については、MPLS - VPN フェールオーバー導入ガイドを参照してください。


VLAN

VLAN を使用すると、ネットワークを複数のサブネットに区分化し、所属する VLAN に基づいてダウンストリーム ホストを異なるブロードキャスト ドメインに分類できます。ネットワークのさまざまなセグメントを隔離して識別し、セキュリティと制御を強化する上で、VLAN ベースのネットワーク分離は効果的なツールです。アプライアンスには複数の LAN IP が割り当てられ、それぞれが特定の VLAN のデフォルト ゲートウェイ アドレスになります。

新しい VLAN を追加するには、ルート テーブルの最下部にある [ローカル VLAN を追加(Add a local VLAN)] をクリックします。既存の VLAN を変更するには、ルート テーブル内の該当する VLAN をクリックします。ローカル VLAN には次のフィールドを設定できます。

  • [名前(Name)]:VLAN の名前。
  • [サブネット(Subnet)]:VLAN の IP サブネットを入力するには、このオプションを使用します。単一 LAN モードの場合と同様に、CIDR 表記でこの情報を入力する必要があることに注意してください。
  • [MX IP]:この特定の VLAN/サブネット内での MX アプライアンスの IP アドレス。これが、その VLAN のデフォルト ゲートウェイ IP アドレスになります。
  • [VLAN ID]:VLAN に割り当てる数値識別子。
  • [グループ ポリシー(Group Policy)]:この VLAN に適用するグループ ポリシー(存在する場合)。グループ ポリシーを参照してください。
  • [VPN 内(In VPN)]:MX がこの VLAN をサイト間 VPN ピアにアドバタイズするかどうかを指定します。

VLAN を削除するには、ルート テーブルの右端にある該当する VALN の横の [X] をクリックします。

LAN のスタティック ルート

スタティック LAN ルートは、レイヤ 3 スイッチの背後にあるサブネット、または直接接続することもアプライアンス上で設定することもできないサブネットに到達するために使用されます。

新しいスタティック LAN ルートを追加するには、ルート テーブルの最下部にある [スタティック ルートを追加(Add a static route)] をクリックします。既存のスタティック ルートを変更するには、ルート テーブル内の該当する項目をクリックします。スタティック LAN ルートには、次のフィールドを設定できます。

  • [有効(Enabled)]:MX にこのルートを使用させるかどうかを指定します。後で手動でルートを再作成しなくても済むよう、一時的に MX からルートを削除するには、この設定を使用します。
  • [名前(Name)]:スタティック ルートの名前。
  • [サブネット(Subnet)]:このスタティック ルート経由で到達するリモート サブネットを指定します(CIDR 表記)。
  • [ネクストホップ IP(Next hop IP)]:MX アプライアンスをスタティック ルートのサブネットに接続するデバイス(ルータまたはレイヤ 3 スイッチなど)の IP アドレス。これは「ルート ゲートウェイ IP」と呼ばれることもあります。
  • [アクティブ(Active)]:このルートをいつ使用するかを制御する条件。スタティック ルートは次の 3 つのモードのいずれかに設定できます。
    • [常時(Always)]:ルートが常に使用されます。
    • [ネクスト ホップが ping に応答している間(While next hop responds to ping)]:このルートに設定されたネクスト ホップ IP に MX が正常に ping できる場合にのみ、ルートが使用されます。
    • [ホストが ping に応答している間(While host responds to ping)]:MX がこのルートを使用して指定のホスト IP に ping できる場合にのみ、ルートが使用されます。
  • [ping 対象のホスト IP(Host IP to ping)]:上記の [ホストが ping に応答している間(While host responds to ping)] を選択した場合にのみ表示されます。これは、ルートが正常に機能しているかどうかを判断するために MX がスタティック ルート経由で ping する IP です。このデバイスは、スタティック ルートで指定されるサブネットに含まれる必要があります。このデバイスは常に、スタティック IP または DHCP 予約を使用するデバイスです(サーバなど)
  • [VPN 内(In VPN)]:MX がこのスタティック ルートをサイト間 VPN ピアにアドバタイズするかどうかを指定します。

スタティック ルートを削除するには、ルート テーブルの右端にある該当するスタティック ルートの横の [X] をクリックします。

ポート単位での VLAN 設定

ここでは、ポートに基づいて MX アプライアンスの VLAN 設定を表示および変更できます。ポート単位の VLAN 設定を変更するには、再設定するポートを選択し、[編集(Edit)] をクリックします。その後、表示されるメニューを使用して、次のパラメータを設定できます。

  • [有効(Enabled)]:ポートを有効または無効にします。ポートが [無効(Disabled)] に設定されている場合、その他のオプションは使用できなくなります。
  • [タイプ(Type)]:ポートをトランク モードまたはアクセス モードに設定します。トランク モードに設定されたポートは複数の VLAN にトラフィックを渡すことができますが、アクセス モードのポートは 1 つの VLAN のみにトラフィックを渡すことができます。
  • [ネイティブ VLAN(Native VLAN)](トランク モードのみ):ポートのネイティブ VLAN を設定します。このポートが受信するすべてのタグなしトラフィックは、この VLAN に属するものとして処理されます。これを [タグなしトラフィックをドロップ(Drop untagged traffic)] に設定することもできます。
  • [許可 VLAN(Allowed VLANs)](トランク モードのみ):このポートでトラフィックを受け渡す VLAN。ネイティブ VLAN が設定されている場合は、それを含める必要があります。
  • [VLAN)](アクセス モードのみ):このポートでトラフィックを受け渡す対象の VLAN。すべてのタグなしトラフィックは、この VLAN に属するものとして自動的に処理されます。

ダイナミック DNS

ダイナミック DNS を使用すると、パブリック IP アドレスが変化しても、インターネット経由でパブリック向け MX アプライアンスに接続できます。Meraki は一意の FQDN(完全修飾ドメイン名)を自動的にアプライアンスに発行し、Meraki 自身のダイナミック DNS サービスを通じて MX を自動登録します。DHCP リースの更新またはアップリンクのフェールオーバーによってアプライアンスのパブリック IP アドレスが変更されると、このパブリック DNS レコードも更新されます。

カスタム FQDN 名:

アプライアンスのカスタム DNS 名は、簡単に作成できます。たとえば「myMX90」という名前が付いた MX90 があり、その名前を「myMX90.example.com」に変更するとします。Meraki は、myMX90-wmktpbbzt.dynamic-m.com などの一意の FQDN を自動生成します。

CNAME レコードと呼ばれる DNS レコード タイプを使用して、任意の DNS 名を他の DNS 名にマッピングできます。ドメイン(たとえば example.com)を登録すると、レジストラによって新しいドメイン(またはサブドメイン)の CNAME を myMX90-wmktpbbzt.dynamic-m.com に設定できるはずです。この時点で、元の自動生成された FQDN と同じ方法で、カスタム DNS 名がアプライアンスのパブリック IP に解決されるようになります。

ウォーム スペア

ここでは、高可用性(HA)ペアを作成するために、2 番目の MX アプライアンスをウォーム スペア ユニットとして追加できます。これを行うには、[ウォーム スペアを追加(Add a warm spare)] ボタンをクリックし、スペアのシリアル番号、および使用中のすべてのアップリンクの仮想 IP を入力します。

既存の HA ペアに対して、次の機能を実行できます。

  • アップリンクに使用されている仮想 IP を変更する
  • [プライマリとスペアのスワップ(Swap primary and spare)] ボタンをクリックして、ペアを構成するアプライアンスのロールをプライマリとセカンダリの間で切り換える
  • [スペアを削除(Remove spare)] ボタンをクリックしてネットワークからスペアを削除し、他の場所で使用できるようにするこれによってスペアがデフォルト設定に戻るので、スペアをネットワークから削除するかオフラインにした後でこのアクションを実行することを強く推奨します。

ウォーム スワップの機能について詳しくは、ウォーム スペアページを参照してください。