デフォルト VLAN に、管理用 IP アドレスを設定するには注意が必要です。
ネットワークに L3 スイッチは存在しない非常に小規模なネットワークであれば、デフォルト VLAN だけでネットワークを構築する事もあるでしょうが、ある程度の規模(ミドルクラス以上)のネットワークにおいて、デフォルト VLAN の取扱には気をつけた方が良いです。

ネットワーク構成 図1

図1

例えば、拠点内に複数の VLAN が存在し、L3 スイッチにてルーティングやフィルタリングを行っているとします。各々の VLAN が物理的に固まっている(部署毎にVLAN を設定するとか)と、図1 のような構成になりがちです。もちろん、このような構成(L2スイッチはデフォルト VLAN で、明示的に VLAN 設定はしていない)であっても、運用上は何も問題はありませんが、導入後しばらくして、例えば VLAN の追加が必要になると L2 スイッチの設定変更が大変になります。

 困ったその1

ポートベース VLAN(タグ VLAN を使っていない)で、ディージーチェーン的に L2 スイッチを接続している場合、導入当初のドキュメント(特にポート収容図)がしっかりしていないと、L3 スイッチに接続されているアップリンクポートを見つける事がリモートからはとても難しくて(出来る事は出来るけど…)、結局現地で確認する事になったりします。

 困ったその2

アップリンクポートが解っている(見つけた)として、そこにタグ VLAN を設定する事になるのですが、タグ VLAN を設定するには、L3 と L2 スイッチの VLAN ID を同じにする必要があります。例えば、L3 スイッチで VLAN10 に設定してあれば、L2 スイッチにも VLAN10 が存在しなくてはなりません。

ここで、L2 スイッチがデフォルト VLAN(VLAN1 に設定されている事が多い)に設定してあると、新規に VLAN10 を作成する必要があります。VLAN の新規作成まではリモートから作業出来ますが、この VLAN10 に管理用 IP アドレスを設定しようとすると詰みます。スイッチの仕様にもよりますが、デフォルト VLAN に設定してある管理用 IP アドレスを、新しく作成した VLAN10 に設定しようとすると、管理用 IP アドレスと同じセグメントであれば設定を拒否される場合があって、その際には、一度デフォルト VLAN に設定してある管理用 IP アドレスを削除してから、改めて VLAN10 に管理用 IP アドレスを設定することになります。

ここまで書けば気がつくと思いますが、管理用 IP アドレスを削除した瞬間、リモートから作業は出来なくなるので、この一連の作業は 現地にてシリアルポートへ接続したターミナルから設定を行う 事が必須となります。

お勧めの設定

このような後々の苦労を低減する為に、私の場合、最初のネットワーク設計というか L3・L2 スイッチへの設定を以下のように行っています。

 LAG を使う

スイッチのポート数に余裕があれば、L3 から L2、またその先へとスイッチを数珠つなぎで接続する場合、スイッチ間の接続ポートに対して LAG(Link Aggregation、一昔前の用語ではポートトランキング)で接続するように設計します。つまり複数(2本以上)の LAN ケーブルを束ねて論理的に1本に見せる手法ですが、このように LAG でスイッチ間を接続しておけば、どのポートがアップリンクポート?と悩む必要はなくなります。

 タグ VLAN で接続

L3 スイッチで複数の VLAN を設定した場合、直下に接続されている L2 スイッチに 1 個の VLAN しか必要なくても(設計時)、 接続先の L3 スイッチのポートに設定されている VLAN と、接続元の L2  スイッチのポートに設定してある VLAN を同じ VLAN ID にして、L2 スイッチの管理用 IP アドレスは、その VLAN に所属させます。また、可能であれば LAG で接続している L3 と L2 間の接続に関しても、ポートベースのアンタグ VLAN を使わないで、タグ VLAN を使う(VLAN が1つであっても)ようにします。

上記設定を、導入初期に行っておけば、スイッチ間の接続ポートが簡単に確認でき、また、新規で VLAN の追加が発生しても、スイッチ間の接続ポートに設定されているタグ VLAN を追加し、その先の L2 スイッチに新規 VLAN を設定する作業も、全てリモートから安全に行う事が可能となります。

まとめ

ここまでの話をまとめると、L3 スイッチを設置し複数の VLAN を設定する時には、直下に接続される L2 スイッチは例え所属する VLAN が1つであっても、L3 と同じ VLAN ID で VLAN を作成し、タグ VLAN で L3 スイッチと接続します。また、可能であればスイッチ間の接続は LAG(ポートトランキング)として複数の LAN ケーブルで接続し、広帯域化と冗長性を持たせます。

また、管理用 IP アドレスを設定する時には、必ずというか出来るだけ、デフォルトゲートウェイ、DNS サーバ、NTP サーバの設定を入れることをお勧めします。稀にスイッチのログを確認する必要があった時に、時刻があまりにも狂っていると、ログを見ても何が起きているのか解らなくなります。また、管理用 IP アドレスは設定に使うだけではなく、スイッチの死活監視にも使われる事が多いので、監視サーバ等から IP リーチャブルである必要があります。

James porter Bridges
James porter Bridges
さて、今回の記事はここまでですが、次回は続きとして、エンタープライズ系のネットワークにおいて、各種スイッチの管理用 IP アドレスについて、拠点毎のネットワーク設計と絡めて書いてみます。
いまさらながらCIDRとか、ネットワークアドレスとか… 
管理用IPアドレスはやっぱりデフォルトVLAN?
続きを書きました。