 |
 |
 |
前回はレイヤ3スイッチの役割と、レイヤ3スイッチを利用したネットワークの構築例を解説しました。今回は、レイヤ3スイッチを活用する上で欠かせないVLAN機能と、VLAN間の通信について紹介します。
VLANとは?VLANとはVirtual LANの略で、物理的なポートに依存しないネットワーク設計を可能にする技術です。レイヤ3スイッチをベースにしたネットワーク構築を行なう際に、非常に重要な概念となります。
VLANを理解するには、まずレイヤ2スイッチの動作を理解することが重要です。レイヤ2スイッチは、前回も紹介したように、OSI第2層のヘッダを解釈し、Ethernetフレームのフォワーディングを実現する機器です。すなわち、受信パケットの宛先MACアドレスの情報を確認し、そのMACアドレスを持った端末が接続されているポートだけに、フレームを転送します。ただ、レイヤ2スイッチはどんな場合でも必ずフォワーディングを行なうかというと、そうではありません。もし、受信パケットの宛先のMACアドレスが、ある特定の端末を表わすものではなく、ブロードキャスト(全員宛て)、あるいはマルチキャスト(ある特定のグループ宛て)の通信を指定するアドレスだった場合には、レイヤ2スイッチはこれらのフレームをフラッディングします。フラッディングとは、受信したポート以外のすべてのポートにフレームを転送する機能を指します。つまり、ある端末がブロードキャストやマルチキャストのフレームを送信すると、このフレームは同じレイヤ2スイッチを共有するすべての端末へ転送されてしまうことになります。
 |
[拡大表示する] |
たとえば、ARP(Address ResolutionProtocol)は、宛先ホストのMACアドレスを調べるために使用するプロトコルですが、このARPによるアドレス解決のためのやりとりでは、ブロードキャストを利用します。そのため、レイヤ2スイッチに接続する端末がARPでアドレス解決を行なうたびに、ブロードキャストのフレームが、レイヤ2スイッチを介して接続しているすべての端末へと転送されます。このブロードキャストのフレームの流れる範囲のことを「ブロードキャストドメイン」といいます。このブロードキャストドメインが広範囲になることは、あまり好ましいことではありません。なぜなら、ブロードキャストのフレームがすべての端末へ流れるということは、それだけネットワークの帯域(データ転送の許容量)を消費することになるからです。また、レイヤ2スイッチに接続している端末は、プロトコルアナライザ(ネットワーク上のパケットを解析できるツール)を利用すれば、そのスイッチを介してやりとりされるすべてのブロードキャストのフレームを見ることができてしまうため、セキュリティレベルを低下させる要因にもなります。そこで活躍するのが、VLAN機能です。
VLAN機能を持ったレイヤ2スイッチでも、工場出荷時の状態では、すべてのポートが1つのブロードキャストドメインに属しています。つまり普通のスイッチングハブとして機能します。しかし、レイヤ2スイッチのVLAN機能を利用すると、1台のスイッチの中でブロードキャストドメインを複数に分割することができます。この時、分割された1つ1つのブロードキャストドメインを、それぞれVLANといいます。
 |
[拡大表示する] |
VLAN間の通信レイヤ2スイッチで複数のVLANを構成した場合、異なるVLANに属する端末同士では通信ができません。複数のVLANを構成すると、物理的には1つのレイヤ2スイッチに接続していても、論理的にはVLANごとに別のレイヤ2スイッチを用意したのと同じようなイメージになるからです(図1)。異なるVLANに接続している端末同士では、それぞれ別のレイヤ2スイッチに接続しているのと同じことですから、当然通信ができないことになります。
VLANを構成し、ブロードキャストドメインを制限できても、異なるVLAN間で通信できないのでは不便です。そこで、VLANごとに異なるIP サブネットを割り当て、VLAN間をルータで相互接続することによってルーティングさせるのです。
ここで、ルーティングについて少しおさらいしておきます。ある企業では、各部署のネットワークに異なるネットワーク番号を割り当て、部署ごとに別々のIPサブネットを構築しているとします。すると、各部署のIPサブネット間を相互接続するには、パケットの第3層のヘッダを解釈する機器、つまりルータが必要になります。ルータは、IPサブネットの境界に置かれます。そして、あるIPサブネットから受け取ったパケットの第3層のヘッダに書かれているアドレスを解釈し、このパケットを次にどこへ転送していけばよいかを判断します。第3層のアドレスを確認して、経路選択を行なう処理のことをルーティングといいます。
VLANの構成とIPサブネット分割が基本ここまでみてきたように、VLANというのは、1つのレイヤ2スイッチの中で複数のIPサブネットを構築することができるとても便利な機能です。ただ、レイヤ2スイッチを用いた場合には、VLAN間の通信をさせるために、別途ルータを用意する必要があります。では、ルータを用意することなく、VLAN間のルーティングまでできてしまうスイッチはないのでしょうか?
もうおわかりのように、それが、この連載で紹介しているレイヤ3スイッチです。レイヤ3スイッチはOSI第3層の機能も提供するスイッチなので、ルータの機能もあわせ持っています。そのため、レイヤ3スイッチを利用してネットワークを構築する場合には、VLAN間の通信をさせるために、わざわざ別のルータを用意する必要はありません。レイヤ3スイッチ1台で、複数のIPサブネットの構成とIPサブネット間のルーティングまで行なえてしまいます(図2)。
レイヤ3スイッチを利用してネットワーク構築をする際には、まず複数のVLANを構成することでブロードキャストドメイン(=IPサブネット)を分割し、さらにVLAN間の通信をさせるためにルーティングの設定を行なう、という流れが一番基本の作業となります。
第2章は、VLANとルーティングの基礎がテーマです。実践編では部署ごとにスイッチでつなげている例を説明していきます。
VLANとルーティングを理解するために小規模なネットワークの事例を見てみましょう(図3)。今まで、このネットワークはVLANのような機能を持たない安価なレイヤ2スイッチ4台と1台のルータからなっていました。しかし、規模が大きくなっていくに従い、これらのスイッチやルータを統合して、VLANの機能を持つスイッチで置き換えていくのは自然の流れです。以下、その理由を見ていきましょう。
ルータとスイッチの統合通常のルータは、インターフェイスなどを差し替えることで、通信事業者から提供されるWAN回線に対応できるようになっています。しかし、LANではEthernetをサポートしていれば十分に事足りますし、Ethernet上で使うプロトコル(IPX、AppleTalk等)もIPが主流です。そのため、LAN内でルーティングする必要があった場合、WAN用に作られた既存のルータを使うのは適切ではありません。こうしたWANにも対応するルータは概して高価だからです。また、ルータは回線速度の遅い外部(WANやインターネット)との接続に利用するため、100Mbpsやギガビットを要求されるLAN内でのルーティングには向いていません。このような事情からLANにおいてはEthernetのような特定のインターフェイスに限定し、プロトコルもIPを中心として処理にしぼったレイヤ3スイッチを使ったほうがよいわけです。
レイヤ3スイッチでは、ルータのように1つのネットワークセグメントに1つの物理ポートを割り当てるのではなく、複数のポートを1つのセグメントに対応させこれを1つのVLANとします。VLAN内は同一セグメントなので、その中のポート間ではレイヤ2スイッチとしてスイッチングを行ないます。
そして、VLAN間のルーティングはハードウェアにより高速に行なうことができます。レイヤ3スイッチのVLANはIPのサブネットとまったく同じなので、レイヤ2ではなくIPレベルでのルーティングになるわけです。
同一スイッチ内のVLAN間のルーティングでは、複数のセグメントが同一スイッチにあるためにRIPやOSPFのようなルーティングプロトコルは必要ありません。
VLANのメリットレイヤ3スイッチでVLANを使うメリットは、以下の2点になります。
- ポートが属するVLANを自由に変更できるため、そのポートの先のマシンの所属が変更になったときでも、スイッチの簡単な設定変更だけで済む。そのため、管理者の負担が軽減される。
- 1台のスイッチを1つのセグメントで利用すると、利用者の少ないスイッチとポートの足りなくなったスイッチができてしまうため、ポートが有効に活用できない。しかし、VLANを利用できれば、ポートを任意のセグメントに割り当てることが可能になる。
 |
[拡大表示する] |
エクストリーム スイッチの設定エクストリームのスイッチでは工場出荷時はすべてのポートが「default」という名前のVLANに属しています。つまり、初期状態ではすべてのポートが1つのブロードキャストドメインに所属していて、ルーティング機能がdisableになっているのでレイヤ2スイッチとして動作します。第1回ではスイッチの管理のために、このdefaultというVLANにIPアドレスを割り当てました。
■VLANの作成
図3のとおり、このdefaultというVLANは使わずに、新たにSales、Finance、Extという3つのポートベースVLANを作ります。ポートベースVLANとは名前の通り、ポートを単位にしたVLANのことで、ほかにはMACアドレスを単位とするVLANやプロトコルごとに区切るプロトコルVLANなどがあります。ただし、通常はポート単位で区切るポートVLANを利用します。
ここではまずdefaultという名前のVLANに所属しているすべてのポートをdefaultから開放します。
Configure default delete port all
このコマンドにより、すべてのポートは任意のVLANに割り当てることができるようになります。各VLANにつながれているコンピュータはdefaultというVLANのIPアドレスにpingしなくても、自分が属するVLANに割り当てられたIPアドレスにpingすることができます。 |
[拡大表示する] |
■ アドレスとフォワーディング
すべてのポートをdefaultのVLANに所属しないようにしたのち、図3のように3つのVLANを作成します。登録するのは割り当てるポートの番号とそのVLAN名です。さらに作成したVLANから他のVLANへルーティングするためには、VLANにIPアドレスを割り当てる必要があります。リスト1では実際のコマンドを表しています。
IPアドレスを割り当てたら、フォワーディング機能というVLAN間のルーティング機能をenableにしなければなりません(リスト2)。このフォワーディング機能はVLANごとにenableできます。こうしないと、各VLAN同士での通信ができなくなってしまいます。設定終了後、各VLANのコンピュータから10.0.3.22のPCにPingを打ち、ルーティングが正しく行なわれていることを確認します。
次回は他のL3スイッチやルータと接続するためのルーティングプロトコルと、複数のスイッチにある複数のVLAN同士を1つのケーブルで接続するためのタグVLANについて解説します。
 |
[拡大表示する] |
 |
 |
 |
| Ping 宛先のIPアドレスを指定することで、通信相手ときちんと通信できるかを調べるためのコマンド。通信ができない場合は、「Network Unreacable(目的のIPアドレスに行き着くための経路をルータが知らない)」といったエラーメッセージが戻される。経路上にあるホストやルータなどの障害を検知する「ICMP(Internet Control Message Protocol)」というプロトコルが使われる。 |
||
 |
 |
 |
||
|
||
|
||
|
||