スイッチ等の情報機器の設定について、最終回は管理 IP アドレスの設定をどうするか?というお題です。実はこの話、ネットワークの規模やセキュリティの考え方で、全く違った対応になるので、あくまで私見というか参考にする程度でお願いします。

 L3 スイッチの場合

L3 スイッチはポートがたくさんあるルータのような機器なので、基本的に VLAN 毎にネットワークアドレスを設定し、ノードにもそのネットワークアドレスに含まれる個別の IP アドレスを設定します。もちろん、設定上必要があれば、ネットワークアドレスを振らずに VLAN を設定することも可能です。
一般的には、VLAN に設定されているネットワークのデフォルトゲートウェイとして、設定されたルーティングテーブルにより、次の経由先(ネクストホップ)または、通信相手が所属する別のネットワークへ行くルート(経路)が決定され、そこへパケットを転送します。
このように L3 スイッチの場合は、ルータとして動作する時のゲートとなる IP アドレスと、それとは別に各種設定を投入する管理用 IP アドレスの二種類が存在します。但し、機種やメーカにもよりますが、この二種類ある IP アドレスを区別しない機器もあります。つまり、特段区別された管理 IP アドレスというのは無くて、VLAN のネットワークアドレスに所属するゲートに設定された IP アドレス(複数あっても)にブラウザや、telnet 等で接続すると管理画面が表示されるタイプです。

 L2 スイッチの場合

L2 スイッチの基本的動作は、本来ネットワークアドレスというか、IP アドレスという概念は必要ありません。あくまでブロードキャストが到達出来るネットワーク(ブロードキャストドメイン)内で、MAC アドレスをベースに通信をコントロールします。その為、廉価版というか 8 ポート程度の L2 スイッチ(家庭用とか)では管理用 IP アドレスの設定はなかったりします。つまり、L2 スイッチに設定する IP アドレスは、あくまで管理用として用いられ、ネットワークを通過する通信には影響しない(関係無い)点に注意が必要です。別な言い方をすると、L2 スイッチに設定する VLAN にはネットワークアドレスという概念はないので、上位にある L3 スイッチやルータ等が VLAN に設定するネットワークアドレスと、L2 スイッチに設定する管理用 IP アドレスのネットワークアドレスが違っていても設定自体は可能です。あくまで、L2 スイッチと L3 スイッチでは、VLAN ID だけで所属する VLAN の疎通を決定しているという事になります。

この辺は、スイッチの設定に慣れていないと誤解するポイントなのですが、tagVLAN の取扱には注意してください。例えば、L2 スイッチにはデフォルト VLAN(普通は VLAN ID が 1 )だけで、全てのポートは unTAG(tagVLAN を設定しない) とします。この L2 のポートに、L3 スイッチの unTAG ポートを接続すると、このL3スイッチのポートに設定している VLAN ID が、L2 スイッチのデフォルト VLAN(VLAN ID=1)と異なる他の VLAN ID であっても、L2 スイッチに接続されている機器と、L3 スイッチに接続されている情報機器(PCやサーバ等)のネットワークアドレスが同じであれば、問題なく通信ができます。

もちろん、L2 スイッチと L3 スイッチを接続している、いわばアップリンクポートが unTAG ではなく、tagVLAN の設定をした場合には、tagVLAN に設定された VLAN ID が、L3 と L2 スイッチで同じであり、尚且つ、L2 スイッチにもその VLAN 設定が存在し、他の unTAG ポートが全てその VLAN に所属していないと、スイッチに接続されている情報機器のネットワークアドレスが同じであっても疎通しません。

 お勧めの設定

  • L3 と L2 スイッチ共に、管理用 IP アドレスはデフォルト VLAN(VLAN ID=1)に設定します。業務で利用する VLAN はデフォルト VLAN 以外の VLAN ID とします。
  • L3 スイッチにおいては、デフォルト VLAN のネットワークに設定した管理用 IP アドレスだけを利用し、各 VLAN に設定しているゲート用 IP アドレスでは、管理画面に到達出来ないようにアクセス制限を行います。
  • L2 スイッチについては、デフォルト VLAN である VLAN ID=1 を設定し、他の業務用 VLAN と共に、tagVLAN で多重化して L3 スイッチへ接続(アップリンク)します。
  • L3 スイッチにおいて、管理用 IP アドレスが設定されているデフォルト VLAN へのアクセスは、監視系ネットワーク及び、管理者が所属する特定のネットワークからだけ接続可とし、それ以外のネットワークからの接続は拒否します。
  • L2 スイッチにおいては、デフォルト VLAN が所属する unTAG ポートをあえて設定しないという方法もあります。こうすれば現場の L2 スイッチのどのポートに PC 等を接続してもデフォルト VLAN へ直接接続が出来ません。ただし、業務用のスイッチングハブであれば、シリアルポートが用意されていて、ここに接続することで IP アドレスベースのアクセスコントロールを迂回してスイッチの管理画面へ到達することが可能となります。そのようなスイッチを使う場合には、鍵付のハブラック等のケースを導入することをご検討ください。
    ※もちろん、管理者でログインするためのパスワードは、工場出荷時のデフォルトパスワードをそのままにしないで、必ず変更しておくことが重要です。
 まとめ

拠点内のスイッチは全て管理用 IP アドレスをデフォルト VLAN に所属させ、スイッチ間の接続ポートにはこのデフォルト VLAN(VLAN ID=1)を tagVLAN で設定しておけば、リモートでの管理及び設定変更がとても楽になります。くれぐれも、簡単に管理用 IP アドレスに接続出来ないように、アクセスコントロールの設定と動作確認は万全でお願いします。前のブログ記事でも書きましたが、現地にログサーバがあれば、スイッチのログ(ファシリティはエラーレベルでよいので)を保存出来るようにしておくと、障害時の対応や障害原因の切り分けにとても役立ちます。その場合には、各スイッチへタイムサーバの設定を忘れないようにしてください。NTP の設定が無いと、数ヶ月で内部時計の時刻は結構狂ってくるので…