同セグのL3スイッチのIPへPINGが通らない

同セグからのPINGなのに、CiscoのL3スイッチのSVIのIPへPINGが通らないことがある。
ただ単にACLの掛け方が悪いのであるが、同セグなのに弾かれる理由が分からなかった。

例えば下記のような場合である。

svi01.png

端末Aから端末BへのPINGは、ACLで許可していなくても問題なく通る。
しかし、端末A(またはB)からL3スイッチのSVIのIPへPINGを打つと、
なぜだかACLにて弾かれる。同セグなのに・・・。

L3は端末から見ればデフォルトゲートウェイにあたるが、
端末からデフォゲへの疎通確認が取れないのは何かと不便である。


なぜ同セグなのに弾かれるのか


先にも述べたが、ACLの掛け方が悪いのであるが、いまいち分かりづらいので図にしてみた。
あくまで自分の理解するイメージ図なので、決して正しい図ではない。

svi02.png

IN方向へのACLの場合を考えると、
端末Aから端末Bへの通信はL2のVLANまでしか通らない為、特にACLで許可しなくても良いが、
L3スイッチのSVIのIPアドレスに対しては、ACLが評価された後に辿り着くので、
別途許可設定をいれてあげなければならないのである。

個別に許可しても問題ないが、良く使う対処法としては下記2つが考えられる。

 ・ICMPをすべて許可する。
 ・同セグ通信は無条件で許可する。

ICMPをすべて許可する場合は下記を該当ACLへ追加する。

 permit icmp any any


同セグ通信を許可する場合はこんな感じ。

 permit ip any 10.1.1.0 0.0.0.255


意外と忘れがちなので、気をつけなければ。



徹底攻略 Cisco CCNP Routing & Switching SWITCH教科書
[300-115J]対応 徹底攻略シリーズ


人気記事