L3スイッチ導入後に発生しがちな設計ミス

L2環境からの脱却、トラフィック分散、ルータ統合などを目的にL3スイッチを導入したものの、

• 通信が不安定になる
• 特定セグメントだけ遅い
• FWを跨ぐ通信が壊れる
• 冗長構成なのに障害時に全断する

このようなトラブルが発生するケースは少なくありません。

原因の多くは「L3スイッチはルータではない」という誤解から生まれる設計ミスです。

本記事では、L3スイッチ導入後に発生しがちな代表的な設計ミスと、判断基準・修正方法を体系的に解説します。 この記事だけで問題の特定から解決まで到達できる構成にしています。

1. L3スイッチの前提を正しく理解する

L3スイッチは以下の特徴を持ちます：

• ASICによる高速ルーティング
• 基本的なスタティック / ダイナミックルート対応
• ステートフル機能は基本持たない
• ルーティングポリシーは制限があることが多い

つまり、「高性能ルータ」ではなく「高速な内部ルーティング装置」です。 この前提を誤ると設計事故が起きます。

2. よくある設計ミス① デフォルトゲートウェイ設計の崩壊

症状

• FWを跨ぐ通信で片方向のみ通る
• 戻り通信が別経路に行く
• NAT通信が壊れる

原因

各VLANのSVIをL3スイッチに集約した結果、 FWを通らない経路が生まれる。

判断基準

• クライアントのGWがFWではなくL3SWになっている
• FWのログに通信が見えない

解決策

• FW経由必須通信はポリシールートで強制
• インターネット出口はFWに集約
• 内部専用ルーティングのみL3SWで処理

設計原則：FWを迂回させない。

3. よくある設計ミス② 非対称ルーティングの発生

症状

• FWセッションが片側だけ生成
• ECMP導入後に断続的通信断

原因

L3SWが複数経路を持ち、往復経路が一致しない。

判断方法

• 往路tracerouteと復路tracerouteが異なる
• FWログに片方向のみ記録

対策

• ECMPはフロー単位ハッシュ確認
• FW跨ぎ通信は経路固定
• スタティックルートで制御

4. よくある設計ミス③ STP設計の軽視

症状

• 断続的なパケットロス
• MACアドレスフラッピング

原因

L3化してもL2は残る。 STPルートブリッジ未設計。

判断基準

• show spanning-tree でルートが想定外
• ログにTopology Change多発

解決策

• ルートブリッジ明示設定
• 不要なL2ループ排除

L3化してもL2問題は消えません。

5. よくある設計ミス④ ARPスケール問題

症状

• 特定時間帯だけ通信遅延
• ARPエントリ溢れ

原因

全VLANを1台に集約しARPテーブル肥大。

確認方法

• ARPエントリ数が仕様上限近い
• CPU上昇

対策

• VLAN分散
• ルーティング分割
• 不要セグメント削減

6. よくある設計ミス⑤ ACLをFW代わりに使う

症状

• 通信制御が複雑化
• ログ取得不可

原因

L3SWのACLで細かい通信制御を実装。

問題点

• ステートレス制御
• 運用困難
• セキュリティ監査不可

原則

セキュリティ制御はFWで行う。

7. よくある設計ミス⑥ 冗長構成の思い込み

症状

• 片系障害で全断
• HSRP/VRRP切替時にセッション断

原因

• トラッキング未設定
• リンク障害のみ監視
• 上位経路未監視

対策

• IP SLA活用
• 上位到達性監視
• 強制フェイルオーバーテスト

8. 設計ミスを防ぐチェックリスト

項目	確認内容
GW設計	FW経由が保証されているか
経路対称性	往復経路一致しているか
STP設計	ルートブリッジ固定済みか
ARP規模	テーブル上限余裕あるか
冗長設計	実際に切替試験済みか

9. 結論

L3スイッチ導入後のトラブルは、

「高速化しただけで設計を再検証していない」ことが原因です。

L3SWは万能ではありません。

• セキュリティはFW
• 内部高速化はL3SW
• 経路対称性は必須

この役割分担を明確にすれば、大半の設計事故は防げます。