本連載が企図しているのは、これまで高機能のスイッチを使用した経験がなかったユーザーに対して『高機能のスイッチを導入することで、どういったメリットがあるのか?』を知っていただく点にある。しかし、いきなり本論に入っても話が難しくなってしまうので、今回はスイッチの基本についておさらいしておこう。
スイッチは単なる集線装置?
かつてはさまざまな規格が入り乱れていた有線LAN(Local Area Network)用の伝送手段は、現在ではほとんどイーサネットに収れんしたといってよい。そのイーサネットの中でも、より対線(ツイストペアケーブル)を使用する方式が主流となり、その他の方式を目にする機会は稀になっている。
より対線イーサネットを使用する際に必須となる機器が、いわゆる「ハブ」である。少ないもので2個、多いものでは48個のポートを備えており、そこにケーブルを接続することで相互の通信を可能にして、ネットワークを構築する。
単に増幅機能(リピータ)と集線機能を一体化したリピータハブ(ダムハブ)の時代から、現在ではスイッチに切り替わっているが、集線装置という基本機能の部分は変わらない。動作内容が違うので、厳密にいうとダムハブとスイッチは区別するべきなのだが、一般にはどちらも「ハブ」として認識されているだろう。
では、「スイッチ」がどう違うのかというと、通信する当事者のポート同士だけを接続するハードウェアを備えた点が違う。イーサネットを行き来するデータは、送信元や宛先を識別するために、個々のLANアダプタに割り当てられた固有のアドレス、すなわち「MACアドレス」を利用している。
MACアドレスはすべてのイーサネット機器で重複しない建前になっているので、その情報をスイッチが読み取って学習すれば、行き来するデータの送信元と宛先のデータに基づいて、該当するポートだけを直結できる理屈である。だから、何も考えないですべてのポートに通信を垂れ流すダムハブよりも効率がよい。
ダムハブでは、あるポートに接続したコンピュータが送出したデータがすべてのポートに届けられる(上)。それに対してスイッチでは、宛先に指定したコンピュータが接続されたポートにだけデータを送出するので効率的(下) |
ともあれ、「ハブ=集線装置」であり、LANを構築する際に使用するPCやその他のネットワーク機器の台数に合わせて、適切なポート数を持つスイッチを購入する、というのが一般的なスタイルだろう。
しかし、単なる「集線装置」という認識でいいのだろうか?
確かに、安価なスイッチは集線装置でしかないが、スイッチの動作機構を活用した付加機能を持たせている製品も存在する。それは、そうした付加機能が役立つ場面が存在するからである。それだからこそ、高価で高機能なスイッチにも存在価値があり、実際、そうした製品がリリースされる理由になっている。
バーチャルLANの考え方と活用法
前述したように、スイッチは個々のポートに接続しているLANアダプタのMACアドレスの情報を学習して、当事者のポート同士だけを直結する機能を持つ。ということは、スイッチとダムハブを比較した場合に大きく異なる機能は、以下の2点ということになる。
・接続されているコンピュータのLANアダプタに割り当てられたMACアドレスを学習・把握できる
・特定のポート同士だけを直結する、電話交換機のような機能を持つ
スイッチはもともと、ポートごとに「接続する・しない」を切り替える機構を持っている。これを活用すると、同じスイッチにつながっているポート同士であっても、意図的に「接続する・しない」を切り替えることができる。それを活用する機能が、バーチャルLAN(VLAN : Virtual LAN)である。
いわゆる用語解説では、「スイッチを使って、そこに接続したPCを論理的にグループ化する技術」と書かれるが、それでは分かりにくいので、もうちょっと噛み砕いて説明してみよう。
たとえば、16ポートのスイッチがあり、そこに16台のPCを接続しているとする。VLANを設定していない場合には、これらはすべて相互に通信が可能な状態になっており、必要に応じてスイッチが当事者同士を結びつける。その際に、どのポートとどのポートを結びつけるかについての制約はないので、ユーザーから見るとダムハブと同じである。
ところがスイッチにVLANの設定を行うと、1つのスイッチをポート単位に独立した複数のネットワークに分割することができる。たとえば二分割して、ポート1~8とポート9~16を別々のVLANにすると、ポート1~8同士、あるいはポート9~16では相互の通信が可能だが、ポート1~8とポート9~16の相互通信は不可能になる。
これが何の役に立つのかといえば、よくあるのは、機密保全のレベルが異なる、独立した複数のネットワークを構築する場面である。具体的にいうと「インターネットに接続している通常のLAN」と「機密度が高いためにインターネットに接続しない、内部で閉じているLAN」を分ける、といった場面である。
普通に考えれば、それぞれのネットワークを個別に構築すればよく、それにはスイッチとケーブルをネットワークごとに用意すればよい。しかし、そうすると機器の数が増えてしまうし、PCの台数が変わらなくても配線が錯綜して複雑になりやすい。接続するネットワークを変更する際にはケーブルを抜いてつなぎ替える必要があり、そこで接続先を間違えるとトラブルの元である。
そこでVLANが登場する。VLANに対応したスイッチを用意して、ポート番号ごとに所属するVLANを分ける方法なら、配線の変更は必要ない。VLANの設定を変えれば、見た目の上では同じスイッチにつながっているが、相互の通信はできなくなる。
こうすると、スイッチの台数を集約しつつ異なる複数のネットワークを構築する、という課題を実現できて、機器の集約化が可能になる。もし、所属するVLANを変えたければ、PCとスイッチの接続はそのままにして、スイッチ側で設定を変えて、当該PCを接続しているポートのVLANを配置替えすればよい。
VLANの種類
VLANを構築するには、グループ化の手がかりが何か必要になる。その方法には、以下のようにいろいろな種類がある。
ポートVLAN | 前述した例のように、スイッチのポートを単位にして所属するVLANを決める。接続するポートが変われば所属するVLANも変わる。もっともポピュラーな方法であり、かつ、分かりやすい |
---|---|
MAC VLAN | MACアドレスの情報を使って、所属するVLANを決める。接続するポートを変えても所属するVLANが変わらない利点があるが、いちいちMACアドレスを調べる手間がかかる |
サブネットVLAN | コンピュータに割り当てたIPアドレスの情報を使って、所属するVLANを決める。接続するポートを変えても所属するVLANが変わらない利点があるが、IPアドレスの割り当てに注意を払う必要がある |
プロトコルVLAN | 通信に使用するプロトコルの情報を使って、所属するVLANを決める。たとえば、TCP/IPの通信とAppleTalkの通信を分ける、といった使い方をする。使用するプロトコルによってVLANを分ける場合に便利だが、昨今ではたいていの通信がTCP/IPだから、現実的には出番はなさそうだ |
タグVLAN | イーサネットのフレーム(やり取りするデータの単位)に、VLAN識別用の目印(タグ)を付加する方法。複数のスイッチにまたがるVLANを構築するときには、ポート単位の設定だけでは区別がつかなくなるので、この方法を用いる |
次回は、ネットギアのギガビット対応イーサネットスイッチを使って、具体的なVLANの構築方法をわかりやすく紹介いく予定だ。これを機に、ぜひVLAN導入にチャレンジしていただきたい。