第24回 MRシリーズのNATモード (Meraki DHCP)
掲載日 2017/10/31
こんにちは。
Meraki担当のDSASです。
今日はMerakiならではの機能である「NATモード (Meraki DHCP)」機能についてです。
他社にはない?優れた機能ですので、是非ご一読ください。
特定のSSIDに対してNATモードを設定すると、以下の3つの機能が有効になり、ゲストアクセスの構築に関する手間と大幅に削減します。
① MRアクセスポイント自身でDHCPサーバ機能を実行し、ゲストクライアントに対してIPアドレスを配布します。
② ゲストクライアントのデータをMRアクセスポイントの管理IPアドレスでNATします。
③ 無線クライアント間の通信を禁止します。
それぞれの機能をもう少し詳しく紹介します。
まず①についてですが、MRアクセスポイントがDHCPサーバとして動作しますので、当然外部のDHCPサーバ等を考慮する必要はありません。具体的にはクライアントに対して、10.0.0.0/8サブネット(10.x.x.x)のアドレスを提供します。
また10.x.x.xの範囲のIPアドレスは、セキュリティのためハッシングアルゴリズムによってクライアントのMACアドレスを実行することによって作成されますので、連番ではありません。(ちなみにゲートウェイアドレス10.128.128.128、DNSアドレス10.128.128.128を利用します)
次に②ですが、クライアントはMRアクセスポイントを介して有線ネットワーク(インターネット)へ接続することになりますが、この時クライアントのIPアドレス10.x.x.x は、MRアクセスポイントの管理IPアドレスにNATされます。これによりクライアントの10.x.x.xセグメントに関するルーティングを考慮する必要が無くなります。つまり、MRの管理IPアドレスがインターネットに接続できる(Merakiクラウドで管理できている状態)であれば、他のL3スイッチ、ルータ、FWなどのネットワーク機器の設定を一切変更せずに10.x.x.xというクライアント向けのセグメントを追加することが可能です。これは「他のネットワーク機器は他社が導入している為、設定変更ができない、もしくは設定変更をしたくない」という状況でとても効果的なソリューションです。
通信のイメージは下図になります。
Meraki担当のDSASです。
今日はMerakiならではの機能である「NATモード (Meraki DHCP)」機能についてです。
他社にはない?優れた機能ですので、是非ご一読ください。
特定のSSIDに対してNATモードを設定すると、以下の3つの機能が有効になり、ゲストアクセスの構築に関する手間と大幅に削減します。
① MRアクセスポイント自身でDHCPサーバ機能を実行し、ゲストクライアントに対してIPアドレスを配布します。
② ゲストクライアントのデータをMRアクセスポイントの管理IPアドレスでNATします。
③ 無線クライアント間の通信を禁止します。
それぞれの機能をもう少し詳しく紹介します。
まず①についてですが、MRアクセスポイントがDHCPサーバとして動作しますので、当然外部のDHCPサーバ等を考慮する必要はありません。具体的にはクライアントに対して、10.0.0.0/8サブネット(10.x.x.x)のアドレスを提供します。
また10.x.x.xの範囲のIPアドレスは、セキュリティのためハッシングアルゴリズムによってクライアントのMACアドレスを実行することによって作成されますので、連番ではありません。(ちなみにゲートウェイアドレス10.128.128.128、DNSアドレス10.128.128.128を利用します)
次に②ですが、クライアントはMRアクセスポイントを介して有線ネットワーク(インターネット)へ接続することになりますが、この時クライアントのIPアドレス10.x.x.x は、MRアクセスポイントの管理IPアドレスにNATされます。これによりクライアントの10.x.x.xセグメントに関するルーティングを考慮する必要が無くなります。つまり、MRの管理IPアドレスがインターネットに接続できる(Merakiクラウドで管理できている状態)であれば、他のL3スイッチ、ルータ、FWなどのネットワーク機器の設定を一切変更せずに10.x.x.xというクライアント向けのセグメントを追加することが可能です。これは「他のネットワーク機器は他社が導入している為、設定変更ができない、もしくは設定変更をしたくない」という状況でとても効果的なソリューションです。
通信のイメージは下図になります。
図1.NATモード通信イメージ(Client AとBは192.168.1.1にNATされます)
最後に③ですが、これはクライアントのセキュリティを高める為によく利用される機能です。無線クライアント間の通信を禁止する機能なので、図1の場合では、Client AのClientB宛の通信はAPによって転送されません。したがって、クライアントは互いに隔離されています。
設定も至って簡単です。下図の通りSSIDのアクセス制御という設定画面の「IPアドレスとトラフィック」にて、「NATモード:Meraki DHCP」を選択するだけです。
設定も至って簡単です。下図の通りSSIDのアクセス制御という設定画面の「IPアドレスとトラフィック」にて、「NATモード:Meraki DHCP」を選択するだけです。
図2.NATモード:Meraki DHCPの選択画面
注意点もいくつかございます。
まず「NATモード:Meraki DHCP」を選択しただけですと、デフォルトでは社内LANへのアクセスも可能な為、SSIDファイウォールの設定で社内LANセグメント宛の通信を明示的に禁止する必要があります。忘れずに行ってください。
また、紹介した3つの機能は全て強制的に有効になりますので、どれか一つを無効にすることはできません。また③の「無線クライアント間の通信を禁止」する機能は「NATモード:Meraki DHCP」でのみ提供されることもご注意ください。
さらにAPがDHCPサーバとしてIPアドレスを配布する為、クライアントがAP間を移動する「ローミング」に問題があります。その為、「ローミング」を必要としないゲストアクセス用途でのみの利用を推奨します。
また、「無線クライアント間の通信を禁止」している為、Bonjour、レイヤ2ディスカバリプロトコル、およびマルチキャストプロトコルが機能しなくなります。これにより、無線クライアント間でBonjourを使用するネットワークや、IP電話やマルチキャスティングが必要なアプリケーションで問題が発生する可能性があります。
さらに、クライアントのIPアドレスをMRが管理IPアドレスでNATする為、有線ネットワークなどの別のネットワークから無線クライアントへのアクセスをすることができなくなります。例えば、有線クライアントから無線クライアントAへのリモートデスクトップセッションなどの接続は失敗します。他の一般的な例としては、Chromecastデバイス、AirPlay対応デバイス、プリンタ、またはプロジェクタへのワイヤレスLAN接続の失敗が挙げられます。
制限事項も少なからずありますが、アクセスポイントを追加するだけでゲストアクセス用のネットワークが作成できるこの「NATモード (Meraki DHCP)」機能は、とても素晴らしいと思います。
以上、よろしくお願いします。
まず「NATモード:Meraki DHCP」を選択しただけですと、デフォルトでは社内LANへのアクセスも可能な為、SSIDファイウォールの設定で社内LANセグメント宛の通信を明示的に禁止する必要があります。忘れずに行ってください。
また、紹介した3つの機能は全て強制的に有効になりますので、どれか一つを無効にすることはできません。また③の「無線クライアント間の通信を禁止」する機能は「NATモード:Meraki DHCP」でのみ提供されることもご注意ください。
さらにAPがDHCPサーバとしてIPアドレスを配布する為、クライアントがAP間を移動する「ローミング」に問題があります。その為、「ローミング」を必要としないゲストアクセス用途でのみの利用を推奨します。
また、「無線クライアント間の通信を禁止」している為、Bonjour、レイヤ2ディスカバリプロトコル、およびマルチキャストプロトコルが機能しなくなります。これにより、無線クライアント間でBonjourを使用するネットワークや、IP電話やマルチキャスティングが必要なアプリケーションで問題が発生する可能性があります。
さらに、クライアントのIPアドレスをMRが管理IPアドレスでNATする為、有線ネットワークなどの別のネットワークから無線クライアントへのアクセスをすることができなくなります。例えば、有線クライアントから無線クライアントAへのリモートデスクトップセッションなどの接続は失敗します。他の一般的な例としては、Chromecastデバイス、AirPlay対応デバイス、プリンタ、またはプロジェクタへのワイヤレスLAN接続の失敗が挙げられます。
制限事項も少なからずありますが、アクセスポイントを追加するだけでゲストアクセス用のネットワークが作成できるこの「NATモード (Meraki DHCP)」機能は、とても素晴らしいと思います。
以上、よろしくお願いします。
掲載日:2017/10/31 更新日:2019/09/03 16:16 管理ID:172782