Merakiを構築する上で最大の特徴的は、Merakiデバイスをネットワークに接続するだけでMeraki Cloudに設定された情報が反映されるプラグ・アンド・プレイ機能であると言っても良いと思います。
小さなネットワークで、VLAN#1のみを使って構築するだけですと、とてもシンプルなのですが、一般的な企業ネットワークでは複数のVLANを設定する場合がほとんどだと思います。
また、そのようなネットワークにおいては歴史的にVLAN#1を使うことは無く、VLAN#2からを使うことが多いと思います。
今回はVLAN#1を使わずにMerakiフルスタック(MX、MS、MR)でプラグ・アンド・プレイの機能を損なわずにネットワークを構築する方法をまとめておきます。
VLAN構成
今回の試験では2つのVLANを作成します。
VLAN#2 : Userが利用するVLAN(192.168.2.0/24)
VLAN#128 : Meraki管理用VLAN(192.168.128.0/24)
MerakiがDHCPで利用する取得するIPはVLAN#128のサブネットとして、MRにSSIDで設定するVLANをVLAN#2にすることとします。
MXの設定
まずは基本となるMXの設定を行います。
「セキュリティ&SD-WAN > 設定 > アドレス&VLAN」からVLANの設定を行います。
「LAN設定」を「VLAN」に設定し、VLAN#2、VLAN#128を設定します。
次にMXのLANインターフェースに対してTrunk設定を行います。
「タイプ」を「Trunk」に、「ネイティブVLAN」を「タグなしトラフィックドロップ」に設定します。
また、今回は「許可されたVLAN」に対して今回使用するVLAN#2とVLAN#128のみを許可する設定を行いました。
これで、MXにはVLAN#1は設定されておらず、また「許可されたVLAN」でVLAN#1を含めていないことになります。
MSの設定
次にMSの設定を行います。
「スイッチ > 設定 > スイッチ設定」へ移動します。
MSの管理VLANとして128を設定します。
次にMXと接続するMSのポートのTrunk設定を行います。
「スイッチ > 監視 > スイッチポート」へ移動し、該当のポートを選択します。
タイプ:Trunk
ネイティブVLAN:未選択
許可されたVLAN:2,128
で設定を行います。
これにより上流に存在するMXとTrunkの設定が一致したことになりますので、MSをMXに接続してMeraki Cloudと通信可能になるのか確認を行います。
しばらくすると無事Meraki DashboardからMSのステータスを見ることができるようになりました。
IPアドレスを確認してみます。
先に設定した管理VLAN 128として192.168.128.2でIPアドレスを取得出来ていることが確認できました。
ここで謎なのは初期化状態のMSがMeraki Cloud上に設定されている管理VLAN 128を知り得たのか?ということです。
上流のMXではタグの付いていないトラフィックはドロップ設定しているので、タグの付いていないMSからのDHCPパケットは破棄されることになるはずです。
MSからVLANタグ128が付けられたDHCPパケットが送信されているとしか思えないのです。
MXのDHCPリース状況をみてみるとMSはVLAN#2のIPアドレスを取得した形跡も無く、いきなりVLAN#128でIPを取得したとしか思えないんです。
Merakiドキュメントを読んでみましたがよく分からずなので、一旦深く考えるのはやめてMRの検証を行いたいと思います。
MRの設定
これに関しては以前に記事にまとめています。
改めて設定をまとめます。
MRが接続されるMSのポート設定を行います。
タイプ:Trunk
ネイティブVLAN:128
許可されたVLAN:2,128
で設定します。
MRには特別な設定は必要ありません。
初期化された状態でMSに接続します。
VLAN#128のIPアドレスでMeraki Cloudに接続されていることがわかります。
テスト用のSSIDにVLAN#2を設定して通信を行います。
テスト用のiPhoneを接続しIPアドレスを確認します。
無事SSIDに設定したVLAN#2である192.168.2.0/24からIPアドレスが取得できていることが確認できました。
もちろん通信も可能です。
まとめ
上記検証によりVLAN#1を使わずにMerakiフルスタックでの設定を行うことが出来ることが確認できました。
MSの管理VLANについては若干謎ではありますが、継続して調査は行いたいと思います。
