ここ最近、「サーバ仮想化」など、「仮想化」という言葉を耳にする機会がとても多くなっている。ネットワーク技術においても、仮想化技術がよく利用されている。
ネットワーク技術における仮想化技術の代表例がVLAN(Virtual LAN)だ。VLANは、企業のLANを構築する上で必須と言っていいくらいよく利用されている仮想化技術だ。
本稿では、5回の予定でVLANの仕組みを基礎から詳細に解説する。仕組みの解説に基づいて、ネットギアのレイヤー2スイッチとレイヤー3スイッチを利用して、VLANによるネットワークの構築例も紹介していく。
レイヤー2スイッチのデータ転送の仕組み
VLANの仕組みを解説する前に、まず、レイヤー2スイッチのデータ転送の仕組みをおさらいしておこう。レイヤー2スイッチは、MACアドレスに基づいて適切なポートにのみイーサネットフレームを転送するネットワーク機器だ。受信したイーサネットフレームの送信元MACアドレスをMACアドレステーブルによって学習していく。そして、宛先MACアドレスとMACアドレステーブルに基づいて、イーサネットフレームを転送する。
レイヤー2スイッチ起動直後は、MACアドレステーブルにMACアドレスは登録されていない。もし、宛先MACアドレスがMACアドレステーブルに登録されていなければ、受信ポート以外のすべてのポートに転送する。この転送動作を「フラッディング」と呼ぶ。未知のMACアドレスは、とにかく転送しようというのがレイヤー2スイッチの動作ということだ。
MACアドレステーブルにはイーサネットフレームの送信元MACアドレスを登録するので、ブロードキャストやマルチキャストのMACアドレスは登録されない。ブロードキャストやマルチキャストのMACアドレスが送信元MACアドレスに指定されることはないからだ。つまり、ブロードキャストフレームおよびマルチキャストフレームもレイヤー2スイッチによってフラッディングされる。
ブロードキャストフレームが転送される範囲を「ブロードキャストドメイン」と呼ぶ。TCP/IPの通信をイーサネット上で行うときには、IPアドレスに対応するMACアドレスをARPによって解決する。同じネットワークのIPアドレスと通信するときには、ARPリクエストをブロードキャストしてアドレス解決を行うことから、ブロードキャストドメインは1つのネットワークとみなせる。そのため、レイヤー2スイッチは、1つのブロードキャストドメイン、すなわち1つのネットワークを構成することになる。レイヤー2スイッチに接続するPCやサーバなどは同一ネットワーク扱いだ。
なお、何台レイヤー2スイッチを接続しても1つのブロードキャストドメイン、すなわち1つのネットワークとなる。
VLANの概要
VLANはレイヤー2スイッチで仮想的にブロードキャストドメイン、すなわちネットワークを分割する。VLANを利用することの主なメリットは以下のとおりだ。
・セキュリティの向上
・ネットワーク構成を柔軟に変更可能
まず、セキュリティの向上について解説していこう。VLANによって仮想的にネットワークを分割することで、直接通信できる範囲を限定できる。これにより、セキュリティが向上する。マルウェアの中にはブロードキャストで感染を拡大しようとするものがあるが、ネットワークを分割していれば、ブロードキャストが届く範囲も限定できる。ブロードキャストで感染を広げるようなマルウェアの拡大を防いでセキュリティを向上させることができるのである。また、VLANによって分割したネットワークを相互接続するためには、別途ルーターまたはレイヤー3スイッチが必要になるが、VLAN間の通信はルーターやレイヤー3スイッチでパケットフィルタリングを行うことで、よりセキュリティを向上させられる。
そして大きな利点としては、レイヤー2スイッチの設定のみでVLANによって仮想的にネットワークを分割できる点にある。VLANのポートの割り当てもレイヤー2スイッチで設定すればよいだけだ。利用する機器によって最大のVLAN数などは異なるが、物理的な配線などをいっさい変更することなく、柔軟にネットワーク構成を決められるメリットがある。
ネットワーク構成を柔軟に変更可能な点では、レイヤー2スイッチの設定のみでVLANによって仮想的にネットワークを分割できるメリットがある。VLANのポートの割り当てもレイヤー2スイッチで設定すればよいだけだ。利用する機器によって最大のVLAN数などは異なるが、物理的な配線などをいっさい変更することなく、柔軟にネットワーク構成を決められるメリットがある。
VLANの仕組み
VLANの仕組み自体は極めてシンプルだ。通常のレイヤー2スイッチはすべてのポート間でのイーサネットフレームの転送が可能だ。それがVLANによって、同じVLANに割り当てているポート間でのみイーサネットフレームを転送するように制限する。同じVLANのポート間だけでしかイーサネットフレームを転送しないようにすることで、ブロードキャストドメイン、すなわちネットワークを分割する。
VLANは、1~4094のVLAN番号で区別する。そして、TCP/IPのネットワークはネットワークアドレスで区別する。VLANによってネットワークを分割するときには、VLAN番号とネットワークアドレスの対応を考えなければならない。VLAN番号とネットワークアドレスの対応をわかりやすくするためには、多くの場合、VLAN番号をネットワークアドレスの一部に組み込む。たとえば、VLAN10であれば192.168.10.0/24のネットワークアドレスに対応づけるといった具合だ。
以下の図は、VLANの概要を表している。レイヤー2スイッチでVLAN10とVLAN20を作成し、ポート1とポート2をVLAN10に割り当てている。また、ポート3とポート4はVLAN20に割り当てている。こうしてVLANを設定していると、MACアドレステーブルにはポートとMACアドレスだけではなくVLANの情報も一緒に管理することになる。
PC Aからブロードキャストフレームが送信されると、レイヤー2スイッチのポート1で受信する。イーサネットフレームの転送先を判断するために、受信ポートと同じVLAN10のMACアドレスを参照する。ブロードキャストMACアドレスの場合、MACアドレステーブルには登録されていない。その場合はフラッディングされるが、同じVLAN10のポートのみになる。つまり、レイヤー2スイッチはポート1で受信したブロードキャストフレームをポート2にフラッディングする。
VLANについてわかりやすく捉えるために、レイヤー2スイッチを仮想的に分割すると考えるとよい。さきほどの例では、VLAN10とVLAN20の2つのVLANを考えている。すると、1台のレイヤー2スイッチは仮想的に2台のスイッチとして扱うことができる。分割したVLANごとのスイッチのポートは設定次第で自由に決められ、加えてVLANごとのスイッチ間は接続されていないので、ネットワークを分割してトラフィックをVLAN内に隔離する
本稿で扱うVLAN関連の技術
ここまでのVLANの仕組みを踏まえた上で、次回以降、VLAN関連の技術についてその仕組みとネットギア社の製品で構築例を解説する。扱っていく技術とその概要は、以下のとおりだ。
・ポートベースVLAN
ポートのVLANの割り当て方法
・タグVLAN
複数のレイヤー2スイッチでのVLANを構成するときのスイッチ間の接続方法
・VLAN間ルーティング(レイヤー3スイッチ)
VLANの相互接続
・プライベートVLAN
同一VLAN内のアクセス制御
また、構築例に利用するネットギア社のスイッチは、
・GSM7248(レイヤー2スイッチ)
・M5300-28G3(レイヤー3スイッチ)
である。
まとめ
・レイヤー2スイッチはMACアドレスに基づいてイーサネットフレームを転送する
・VLANを利用すると、レイヤー2スイッチは同一VLANのポート間のみでイーサネットフレームを転送し、仮想的にネットワークを分割する
・VLANによって1台のレイヤー2スイッチを仮想的に複数台として扱うことができる
次回は、ポートベースVLANについて、その概要や仕組みと構築例について解説していきたい。
[PR]提供:ネットギアジャパン