VLANを写真と文章で詳しく解説しているので、一目でVLANがわかります

1. VLAN が必要な理由は何ですか?

1.1. VLANとは何ですか?

VLAN (Virtual LAN) は、中国語に翻訳すると「仮想ローカルエリアネットワーク」を意味します。 LAN は、数台の家庭用コンピュータで構成されるネットワーク、または数百台のコンピュータで構成される企業ネットワークになります。 VLAN が指す LAN は、具体的にはルーターによって分割されたネットワーク、つまりブロードキャスト ドメインを指します。

まず、ブロードキャスト ドメインの概念を確認しましょう。ブロードキャストドメインとは、ブロードキャストフレーム（宛先MACアドレスがすべて1）を送信できる範囲、つまり直接通信が可能な範囲を指します。厳密に言えば、ブロードキャスト フレームだけでなく、マルチキャスト フレーム (Multicast Frame) や不明なユニキャスト フレーム (Unknown Unicast Frame) も、同じブロードキャスト ドメイン内を妨げられることなく移動できます。

本来、レイヤー 2 スイッチは単一のブロードキャスト ドメインしか構築できませんが、VLAN 機能を使用すると、ネットワークを複数のブロードキャスト ドメインに分割できます。

1.2.ブロードキャストドメインが分割されていない場合はどうなりますか?

では、なぜブロードキャストドメインを分割する必要があるのでしょうか?ブロードキャスト ドメインが 1 つしかない場合、ネットワーク全体の伝送パフォーマンスに影響する可能性があるためです。具体的な理由をより深く理解するには、添付の図を参照してください。

この図は、多数のクライアントに接続された 5 つのレイヤー 2 スイッチ (スイッチ 1 ～ 5) で構成されるネットワークを示しています。このとき、コンピュータ A がコンピュータ B と通信する必要があるとします。イーサネットベースの通信では、通常の通信ではデータ フレームに対象の MAC アドレスを指定する必要があるため、コンピュータ A はまず「ARP 要求情報」をブロードキャストして、コンピュータ B の MAC アドレスを取得しようとします。

スイッチ 1 はブロードキャスト フレーム (ARP 要求) を受信すると、受信ポートを除くすべてのポートにそれを転送します。これをフラッディングと呼びます。次に、スイッチ 2 もブロードキャスト フレームを受信した後にフラッディングします。スイッチ 3、4、5 もフラッディングされます。最終的に、ARP 要求は同じネットワーク上のすべてのクライアントに転送されます。

この ARP 要求は元々、コンピュータ B の MAC アドレスを取得するために送信されたことに注意してください。つまり、コンピュータ B がそれを受信できる限り、すべて正常です。しかし実際には、データ フレームはネットワーク全体に拡散し、すべてのコンピューターがそれを受信することになります。このように、一方ではブロードキャスト情報がネットワーク全体の帯域幅を消費し、他方ではブロードキャスト情報を受信するコンピュータもそれを処理するために CPU 時間の一部を消費します。その結果、ネットワーク帯域幅と CPU 計算能力が大量に不必要に消費されることになります。

1.3.ブロードキャストメッセージはそんなに頻繁に送信されるのですか?

これを読んで、「ブロードキャスト メッセージは本当にそんなに頻繁に表示されるのか?」と疑問に思うかもしれません。

答えは「はい」です。実際、ブロードキャスト フレームは非常に頻繁に表示されます。 TCP/IP プロトコル スタックを使用して通信する場合、上記の ARP に加えて、DHCP や RIP など、他の多くの種類のブロードキャスト情報を送信する必要がある場合もあります。

他のホストとの通信が必要なときに ARP ブロードキャストが送信されます。クライアントが DHCP サーバーに IP アドレスの割り当てを要求する場合、DHCP ブロードキャストを発行する必要があります。ルーティング プロトコルとして RIP を使用する場合、ルータは 30 秒ごとに他の隣接ルータにルーティング情報をブロードキャストします。 RIP 以外のルーティング プロトコルはマルチキャストを使用してルーティング情報を送信し、そのルーティング情報はスイッチによっても転送されます (フラッディング)。 TCP/IP に加えて、NetBEUI、IPX、Apple Talk などのプロトコルでもブロードキャストが必要になることがよくあります。たとえば、Windows で「ネットワーク コンピューター」をダブルクリックして開くと、ブロードキャスト (マルチキャスト) メッセージが送信されます。 (Windows XPを除く)

つまり、ラジオは私たちの周りに存在しているのです。一般的なブロードキャスト通信は次のとおりです。

• ARP 要求: IP アドレスと MAC アドレス間のマッピング関係を確立します。
• RIP: ルーティング プロトコル。
• DHCP: IP アドレスを自動的に設定するために使用されるプロトコル。
• NetBEUI: Windows で使用されるネットワーク プロトコル。
• IPX: Novell Netware で使用されるネットワーク プロトコル。
• Apple Talk: Apple の Macintosh コンピュータで使用されるネットワーク プロトコル。

ネットワーク全体にブロードキャスト ドメインが 1 つしかない場合、ブロードキャスト メッセージが送信されると、そのメッセージはネットワーク全体に広がり、ネットワーク内のホストに追加の負担がかかります。したがって、LAN を設計する際には、ブロードキャスト ドメインを効果的に分割する方法に注意する必要があります。

1.4.ブロードキャストドメインセグメンテーションとVLANの必要性

ブロードキャストドメインを分割する場合、通常はルーターが必要になります。ルーターを使用すると、ルーター上のネットワーク インターフェース (LAN インターフェース) に基づいてブロードキャスト ドメインを分割できます。

ただし、通常、ルーター上のネットワーク インターフェイスの数はそれほど多くなく、その数は 1 ～ 4 程度です。ブロードバンド接続の普及に伴い、ブロードバンド ルーター (または IP シェアラー) がより一般的になっています。ただし、LAN 側に接続されたネットワーク インターフェースが複数 (通常 4 個程度) あるにもかかわらず、実際にはルーターに内蔵されたスイッチであり、ブロードキャスト ドメインを分割できない点には注意が必要です。

さらに、ルーターを使用してブロードキャスト ドメインを分割する場合、分割できる数はルーターのネットワーク インターフェイスの数に完全に依存するため、ユーザーが実際のニーズに応じてブロードキャスト ドメインを自由に分割することはできません。

ルーターと比較すると、レイヤー 2 スイッチには通常、複数のネットワーク インターフェイスがあります。したがって、ブロードキャストドメインを分割するために使用できれば、そのアプリケーションの柔軟性は間違いなく大幅に向上します。

レイヤー 2 スイッチ上でブロードキャスト ドメインをセグメント化するために使用されるテクノロジーは VLAN です。 VLAN を使用することで、ブロードキャストドメインの構成を自由に設計でき、ネットワーク設計の自由度が向上します。

2. VLANを実装するためのメカニズム

2.1、VLANを実装するためのメカニズム

VLAN が必要な理由を理解した後、スイッチが VLAN を使用してブロードキャスト ドメインをセグメント化する方法について理解しましょう。

まず、VLAN が設定されていないレイヤー 2 スイッチでは、ブロードキャスト フレームは受信ポートを除く他のすべてのポートに転送されます (フラッディング)。たとえば、コンピュータ A がブロードキャスト メッセージを送信すると、そのメッセージはポート 2、3、4 に転送されます。

このとき、スイッチ上に red と blue の 2 つの VLAN が生成され、ポート 1 と 2 が red VLAN に属するように設定され、ポート 3 と 4 が blue VLAN に属するように設定されます。ブロードキャスト フレームが A から再度送信された場合、スイッチはそれを同じ VLAN に属する他のポート (つまり、赤い VLAN に属するポート 2) にのみ転送し、青い VLAN に属するポートには転送しません。

同様に、C がブロードキャスト メッセージを送信すると、そのメッセージは青い VLAN に属する他のポートにのみ転送され、赤い VLAN に属するポートには転送されません。

このように、VLAN はブロードキャスト フレームの転送範囲を制限することでブロードキャスト ドメインを分割します。上の図では、便宜上、異なる VLAN が赤と青で識別されています。実際の使用では、「VLAN ID」によって区別されます。

2.2. VLANを直感的に説明する

VLAN をより直感的に説明すると、スイッチを論理的に複数のスイッチに分割するものと理解できます。スイッチ上に 2 つの VLAN (赤と青) を生成することは、1 つのスイッチを 2 つの仮想スイッチ (赤と青) に置き換えることとも言えます。

赤と青の VLAN の外部に新しい VLAN が生成されると、新しいスイッチが追加されると考えられます。

ただし、VLAN によって生成された論理スイッチは相互接続されません。そのため、スイッチ上でVLANを設定した後、他の処理を行わないとVLAN間の通信は不可能になります。

2 つのデバイスは同じスイッチに接続されていますが、通信できません。この事実は受け入れがたいかもしれません。しかし、これは VLAN の便利で使いやすい機能であると同時に、VLAN が理解しにくい理由でもあります。

2.3. VLAN 間通信が必要な場合はどうすればよいでしょうか?

では、異なる VLAN 間で通信する必要がある場合はどうすればよいのでしょうか?

もう一度思い出してください: VLAN はブロードキャスト ドメインです。通常、2 つのブロードキャスト ドメインはルーターによって接続され、ブロードキャスト ドメイン間のデータ パケットはルーターによって中継されます。したがって、VLAN 間の通信では、ルーターがリレー サービスを提供する必要があり、これを「VLAN 間ルーティング」と呼びます。

VLAN 間ルーティングには、共通ルーターまたはレイヤー 3 スイッチを使用できます。具体的な内容については機会があれば詳しくお話ししたいと思います。ここで、異なる VLAN が相互に通信する場合にルーティング機能が必要であることを皆さんに覚えておいていただきたいと思います。

3. VLANアクセスリンク

3.1 スイッチポート

スイッチのポートは、次の 2 つのタイプに分けられます。

• アクセスリンク
• トランクリンク

次に、これら 2 つの異なるポートの特徴を 1 つずつ学習してみましょう。この講義では、まず「アクセスリンク」について学びます。

3.2 アクセスリンク

アクセス リンクとは、「1 つの VLAN にのみ属し、その VLAN にのみデータ フレームを転送する」ポートを指します。ほとんどの場合、アクセス リンクはクライアント コンピューターに向けられます。

VLAN を設定する通常の順序は次のとおりです。

• VLANの作成
• アクセスリンクを設定する（各ポートがどのVLANに属するかを決定する）

アクセスリンクの設定方法は、あらかじめ固定しておくことも、接続するコンピュータに応じて動的に変更することもできます。前者は「静的VLAN」と呼ばれ、後者は当然「動的VLAN」と呼ばれます。

3.2.1 静的VLAN

静的 VLAN はポートベース VLAN とも呼ばれます。名前の通り、各ポートがどのVLANに属するかを明確に指定する設定方法です。

ポートを一つずつ指定する必要があるため、ネットワーク内のコンピュータの数が一定数（数百台など）を超えると、設定操作が非常に複雑になります。さらに、クライアントが接続先のポートを変更するたびに、そのポートが属する VLAN の設定も変更する必要があります。このため、トポロジを頻繁に変更する必要があるネットワークには静的 VLAN は明らかに適していません。

3.2.2 ダイナミックVLAN

一方、ダイナミック VLAN は、各ポートに接続されたコンピュータに基づいて、ポートが属する VLAN を随時変更します。これにより、上記のように設定を変更する必要がなくなります。ダイナミック VLAN は、大きく分けて 3 つのカテゴリに分類できます。

• MAC ベースの VLAN
• サブネットベースのVLAN
• ユーザーベースVLAN

それらの主な違いは、OSI 参照モデルのどの層がポートが属する VLAN を決定するかという情報にあります。

①. MAC アドレスに基づく VLAN は、ポートに接続されたコンピューター上のネットワーク カードの MAC アドレスを照会して記録することにより、ポートの所有権を決定します。 MAC アドレス「A」がスイッチによって VLAN「10」に属するように設定されていると仮定すると、MAC アドレス「A」を持つコンピュータがスイッチのどのポートに接続されていても、そのポートは VLAN 10 に割り当てられます。コンピュータがポート 1 に接続されている場合、ポート 1 は VLAN 10 に属します。コンピュータがポート 2 に接続されている場合、ポート 2 は VLAN 10 に属します。

②.サブネットベースの VLAN は、接続されたコンピューターの IP アドレスによってポートが属する VLAN を決定します。 MAC アドレスに基づく VLAN とは異なり、ネットワーク カードの交換などによりコンピュータの MAC アドレスが変更された場合でも、IP アドレスが変更されない限り、元々設定されていた VLAN に参加できます。

そのため、MAC アドレスベースの VLAN と比較して、ネットワーク構造をより簡単に変更できます。 IP アドレスは OSI 参照モデルの第 3 層の情報であるため、サブネット ベース VLAN は OSI の第 3 層でアクセス リンクを設定する方法であると理解できます。

③.ユーザーベース VLAN は、スイッチの各ポートに接続されているコンピューターに現在ログインしているユーザーに基づいて、ポートが属する VLAN を決定します。ここでのユーザー識別情報は、通常、Windows ドメインで使用されるユーザー名など、コンピューターのオペレーティング システムによってログインしたユーザーです。これらのユーザー名情報は、OSI の第 4 層より上の情報に属します。

一般的に、OSI でポートが属する VLAN を決定するために使用される情報のレベルが高いほど、柔軟なネットワークを構築するのに適しています。

3.2.3.アクセスリンクの概要

まとめると、アクセス リンクを設定するには、静的 VLAN と動的 VLAN の 2 つの方法があり、動的 VLAN はさらにいくつかのサブカテゴリに分類できます。

サブネットベースの VLAN とユーザーベースの VLAN は、ネットワーク機器メーカーが独自のプロトコルを使用して実装する場合があります。異なるメーカーの機器を相互接続する場合、互換性の問題が発生する可能性があります。そのため、スイッチを選ぶ際には必ず事前に確認してください。

次の表は、静的 VLAN と動的 VLAN に関する情報をまとめたものです。

4. VLAN集約リンク

4.1.複数のスイッチにまたがるVLANの設定

これまで、単一のスイッチを使用して VLAN を設定する方法を学習しました。では、複数のスイッチにまたがる VLAN を設定する必要がある場合はどうすればよいでしょうか?

エンタープライズ レベルのネットワークを計画する場合、同じ部門に属するユーザーが同じ建物の異なるフロアに分散している状況に遭遇することがあります。この時点で、複数のスイッチにわたって VLAN を設定する方法を検討する必要があるかもしれません。次の図のようなネットワークがあり、異なるフロアにある A、C と B、D を同じ VLAN に設定する必要があるとします。

この時点で最も重要な質問は、「スイッチ 1 とスイッチ 2 をどのように接続すればよいか」です。

もちろん、最も簡単な方法は、スイッチ 1 とスイッチ 2 に赤と青の VLAN 専用のインターフェイスを設定し、それらを相互接続することです。

しかし、この方法はスケーラビリティと管理効率の点で良くありません。たとえば、既存のネットワークに基づいて新しい VLAN を作成する場合、VLAN が相互に通信できるようにするには、スイッチ間に新しいネットワーク ケーブルを接続する必要があります。建物の各階間の縦方向配線は比較的面倒であり、通常、現場の管理者が自由に実行できるものではありません。さらに、VLAN の数が増えると、フロア間 (厳密にはスイッチ間) の相互接続に必要なポートの数も増えます。スイッチ ポートの利用効率が低いと、リソースが無駄になり、ネットワークの拡張も制限されます。

この非効率的な接続方法を回避するために、スイッチを接続するネットワーク ケーブルを 1 本に集中させようとしますが、このときにトランク リンクが使用されます。

4.2.集約リンクとは何ですか?

トランク リンクは、複数の異なる VLAN からの通信を転送できるポートです。

集約リンク上を循環するデータ フレームには、どの VLAN に属しているかを識別するための特別な情報が添付されています。

さて、戻って、先ほど述べたネットワークがトランク リンクを使用した場合に何が起こるか考えてみましょう。ユーザーは、スイッチを接続するポートをトランク リンクとして設定するだけです。このとき使用されるネットワーク ケーブルは、通常の UTP ケーブルであり、特別な配線ではありません。図の例ではスイッチ間の相互接続を示しており、スイッチを接続するにはクロスオーバー ケーブルが必要です。

次に、スイッチ間の VLAN 全体で集約リンクがどのように実装されるかを詳しく見てみましょう。

①Aが送信したデータフレームがスイッチ1からスイッチ2へのアグリゲーションリンクを通過する際に、赤色のVLANに属していることを示すタグがデータフレームに付加されます。

② スイッチ2はデータフレームを受信すると、VLAN IDをチェックし、データフレームが赤いVLANに属していることを検出します。

③.したがって、タグを削除した後、復元されたデータ フレームは必要に応じて red VLAN に属する他のポートにのみ転送されます。

このときの転送は、対象の MAC アドレスを確認し、MAC アドレス リストと比較した後、対象の MAC アドレスが接続されているポートにのみ転送することを意味します。

データ フレームがブロードキャスト フレーム、マルチキャスト フレーム、または宛先が不明なフレームである場合にのみ、赤い VLAN に属するすべてのポートに転送されます。

同様に、青い VLAN がデータ フレームを送信する場合の状況も同じです。

リンクを集約する際にVLAN識別情報を追加することで、標準の「IEEE 802.1Q」プロトコルをサポートしたり、シスコ製品独自の「ISL（Inter Switch Link）」をサポートしたりすることができます。スイッチがこれらの仕様をサポートしている場合、ユーザーは複数のスイッチにわたって VLAN を効率的に構築できます。

さらに、集約リンクは複数の VLAN からのデータを伝送するため、負荷は当然大きくなります。したがって、集約リンクを設定する場合、前提条件として、100Mbps を超える伝送速度をサポートする必要があります。

さらに、デフォルトでは、トランク リンクはスイッチ上に存在するすべての VLAN からのデータを転送します。別の観点から見ると、集約リンク (ポート) はスイッチ上のすべての VLAN に同時に属していると考えることもできます。実際のアプリケーションではすべての VLAN からデータを転送する必要はない可能性が高いため、スイッチの負荷と帯域幅の無駄を減らすために、ユーザー設定によってアグリゲーション リンク経由で相互接続できる VLAN を制限することができます。

IEEE802.1QとISLの具体的な内容については次回の講義で触れる予定です。

5. VLAN集約方式（IEEE802.1QおよびISL）

5.1.収束法

スイッチの集約リンクでは、データ フレームに VLAN 情報を追加することで、複数のスイッチにまたがる VLAN を構築できます。

VLAN 情報を追加する代表的な方法は次のとおりです。

• IEEE802.1Q
• インド

ここで、これら 2 つのプロトコルが VLAN 情報をデータ フレームに添付する方法を見てみましょう。

5.2 IEEE802.1Q

IEEE802.1Q (一般に「Dot One Q」として知られています) は、データ フレームに VLAN 識別情報を追加するための IEEE 認定プロトコルです。

ここで、イーサネット データ フレームの標準形式を思い出してください。

IEEE802.1Q によって追加された VLAN 識別情報は、データ フレーム内の「送信元 MAC アドレス」と「タイプ フィールド」の間にあります。具体的な内容は、TPID 2 バイトと TCI 2 バイトの合計 4 バイトです。

データ フレームに 4 バイトのコンテンツが追加されると、CRC 値は当然変化します。このとき、データフレーム上のCRCは、TPIDとTCIを挿入した後に、それらを含むデータフレーム全体を再計算して得られた値になります。

データ フレームが集約リンクを離れると、TPID と TCI は削除され、CRC が再計算されます。

TPID の値は 0x8100 に固定されます。スイッチは TPID を使用して、IEEE802.1Q に基づく VLAN 情報がデータ フレームに添付されているかどうかを判断します。実際の VLAN ID は TCI の 12 ビットです。合計 12 ビットあるため、最大 4096 個の VLAN を識別できます。

IEEE802.1Qに基づいて付与されるVLAN情報は、物品を配送する際に付与されるタグのようなものです。そのため、「タグVLAN」とも呼ばれます。

5.3、ISL(スイッチ間リンク)

ISL は、Cisco 製品でサポートされている IEEE802.1Q に似たプロトコルであり、集約リンクに VLAN 情報を添付するために使用されます。

ISL を使用すると、各データ フレームのヘッダーに 26 バイトの「ISL ヘッダー」が追加され、フレームの末尾の ISL ヘッダーを含むデータ フレーム全体に対して 4 バイトの CRC 値が計算されます。つまり、合計 30 バイトの情報が追加されます。

ISL を使用する環境では、データ フレームが集約リンクから出るときに、ISL ヘッダーと新しい CRC を削除するだけです。元のデータ フレームとその CRC は完全に保存されるため、CRC を再計算する必要はありません。

ISL は、元のデータ フレームを ISL ヘッダーと新しい CRC でラップするようなものなので、「カプセル化 VLAN」とも呼ばれます。

IEEE802.1Q の「タグ付き VLAN」も ISL の「カプセル化 VLAN」も、それほど厳密な用語ではないことに注意してください。上記の単語は、さまざまな書籍や参考資料で同じ意味で使用されている可能性があるため、勉強する際には特に注意する必要があります。

ISL は Cisco 固有のプロトコルであるため、Cisco ネットワーク デバイス間の相互接続にのみ使用できます。

6. VLAN間ルーティング

6.1 VLAN間ルーティングの必要性

これまでに学んだことから、2 台のコンピューターが同じスイッチに接続されていても、異なる VLAN に属している限り、直接通信できないことがすでにわかっています。

次に、異なる VLAN に属するホストが相互に通信できるように、異なる VLAN 間でルーティングを実行する方法を学習します。

まず、異なる VLAN がルーティングなしで通信できない理由を確認しましょう。 LAN 内で通信を行う場合、データフレームのヘッダーに通信先の MAC アドレスを指定する必要があります。 MAC アドレスを取得するには、TCP/IP プロトコルの下で ARP が使用されます。 ARP が MAC アドレスを解決する方法はブロードキャストです。つまり、ブロードキャスト メッセージを配信できない場合は、MAC アドレスを解決する方法がないため、直接通信が不可能になります。

コンピュータは異なる VLAN に属しており、つまり異なるブロードキャスト ドメインに属しているため、当然、互いのブロードキャスト メッセージを受信することはできません。したがって、異なる VLAN に属するコンピューターは相互に直接通信することはできません。 VLAN 間で通信を行うには、OSI 参照モデルの上位層であるネットワーク層のルーティング情報 (IP アドレス) を使用する必要があります。ルーティングの具体的な内容については、後ほど機会があれば詳しくご説明させていただきます。

ルーティング機能は通常、ルーターによって提供されます。しかし、今日のローカル エリア ネットワークでは、これを実現するために、ルーティング機能を備えたスイッチ、つまりレイヤー 3 スイッチ (Layer 3 Switch) がよく使用されます。次に、VLAN 間ルーティングにルーターと 3 層スイッチを使用する場合の状況を見てみましょう。

6.2. VLAN間ルーティングにルーターを使用する

ルーターを使用して VLAN 間ルーティングを行う場合、複数のスイッチにまたがって VLAN を構築する場合と同様に、「ルーターとスイッチをどのように接続するか」という問題が依然として発生します。ルータとスイッチを接続するには、次の 2 つの方法があります。

• ルータをスイッチ上の各VLANに接続します
• VLAN がいくつあっても、ルータとスイッチは 1 本のネットワーク ケーブルでのみ接続されます。

①.最も簡単な方法は、もちろん、「VLAN に基づいてルータとスイッチをネットワーク ケーブルで接続する」ことです。ルーターに接続するために使用されるスイッチ上の各ポートをアクセス リンクとして設定し、ネットワーク ケーブルを使用してルーター上の独立したポートに接続します。下の図に示すように、スイッチには 2 つの VLAN があるため、ルータとの相互接続用にスイッチで 2 つのポートを予約する必要があります。ルーターにも 2 つのポートが必要です。 2 つは 2 本のネットワーク ケーブルで接続されています。

このアプローチを採用した場合、そのスケーラビリティが問題になることは想像に難くないでしょう。新しい VLAN が追加されるたびに、ルータ ポートとスイッチ上のアクセス リンクが消費され、新しいネットワーク ケーブルを敷設する必要があります。通常、ルーターにはそれほど多くの LAN インターフェースはありません。新しいVLANを作成する場合、追加されたVLANに必要なポートに対応するために、ルーターを複数のLANインターフェースを備えたハイエンド製品にアップグレードする必要があります。このコストと再配線によって発生するオーバーヘッドにより、この配線方法は人気のない方法となっています。

②では、2つ目の方法、「VLANの数に関係なく、ルーターとスイッチをネットワークケーブル1本のみで接続する」はどうでしょうか？ 1 本のネットワーク ケーブルを使用してルータとスイッチを接続し、VLAN 間ルーティングを行う場合は、トランキング リンクが必要です。

具体的な実装プロセスは、まず、ルータへの接続に使用するスイッチ ポートを集約リンクとして設定し、ルータ上のポートも集約リンクをサポートしている必要があります。当然のことながら、集約リンクの双方で使用されるプロトコルは同じである必要があります。次に、ルーター上の各 VLAN に対応する「サブインターフェース」を定義します。実際にスイッチに接続されている物理ポートは 1 つだけですが、理論的には複数の仮想ポートに分割できます。

VLAN はスイッチを論理的に複数のユニットに分割するため、VLAN 間ルーティングに使用するルータにも各 VLAN に対応する仮想インターフェイスが必要です。

この方法を使用すると、後でスイッチ上に新しい VLAN を作成する場合でも、スイッチとルーターを接続するために必要なネットワーク ケーブルは 1 本だけです。ユーザーは、ルーター上の新しい VLAN に対応する新しいサブインターフェイスを設定するだけで済みます。

この方法は、以前の方法と比較して、はるかに拡張性が高く、LAN インターフェイスが不足しているルーターのアップグレードや配線の変更を心配する必要がありません。

6.3 同一VLAN内での通信時のデータフロー

次に、集約リンクを使用してスイッチとルーターを接続するときに、VLAN 間ルーティングがどのように実行されるかを学習します。下の図のように、各コンピュータとルーターのサブインターフェースの IP アドレスを設定します。

赤い VLAN (VLAN ID=1) のネットワーク アドレスは 192.168.1.0/24 で、青い VLAN (VLAN ID=2) のネットワーク アドレスは 192.168.2.0/24 です。各コンピュータの MAC アドレスは A/B/C/D で、ルータの集約リンク ポートの MAC アドレスは R です。スイッチは、各ポートに接続されているコンピュータの MAC アドレスを学習して、次の MAC アドレス リストを生成します。

まず、コンピュータ A が同じ VLAN 内のコンピュータ B と通信する状況を考えてみましょう。

（１）コンピュータAはBのMACアドレスを解決するためにARP要求メッセージを送信する。

（２）スイッチはデータフレームを受信すると、受信ポートと同じVLANに属するエントリをMACアドレスリストで検索します。

（３）コンピュータBがポート2に接続されていることがわかったので、スイッチはデータフレームをポート2に転送し、最終的にコンピュータBがフレームを受信します。

送信者と受信者は同じ VLAN 内で通信し、すべての処理はスイッチ内で完了します。

6.4、異なるVLAN間で通信する場合のデータフロー

次は、この講義の核となる内容、異なる VLAN 間の通信です。コンピュータ A とコンピュータ C が相互に通信する状況を考えてみましょう。

（１）コンピュータＡは、通信先のIPアドレス（192.168.2.1）から、Ｃとこのコンピュータは同じネットワークセグメントに属していないと判断する。したがって、データフレームは設定されたデフォルトゲートウェイ（デフォルトゲートウェイ、GW）に転送されます。データ フレームを送信する前に、ARP を使用してルーターの MAC アドレスを取得する必要があります。

（２）ルータのMACアドレスRを取得した後、次のステップは図に示す手順に従ってデータフレームをCに送信することです。 ①のデータフレームでは、宛先MACアドレスはルータのアドレスRですが、含まれる宛先IPアドレスは最終的な通信対象Cのアドレスのままです。この部分の内容は、ローカルエリアネットワーク内でルータを経由して転送する場合の通信手順です。機会があれば詳しく説明します。

（３）スイッチはポート１でステップ１のデータフレームを受信した後、ポート１と同じVLANに属するエントリをMACアドレスリストで検索する。集約リンクはすべてのVLANに属するとみなされるため、スイッチのポート６も参照対象となる。このようにして、スイッチは、MAC アドレス R に送信されたデータ フレームをポート 6 経由で転送する必要があることを認識します。

ポート6からデータフレームを送信する場合、トランクリンクであるためVLAN識別情報が付加されます。データフレームは元々赤色のVLANから来たものなので、図②に示すように、赤色のVLANの識別情報が追加されてから集約リンクに入ります。

（４）ルータは、ステップ②でデータフレームを受信した後、VLAN識別情報を確認します。これは red VLAN に属するデータ フレームであるため、red VLAN を担当するサブインターフェイスに送信されます。

次に、ルーター内のルーティングテーブルに基づいて、中継する場所を決定します。

ターゲット ネットワーク 192.168.2.0/24 は blue VLAN であり、ネットワークはサブインターフェイスを介してルーターに直接接続されているため、blue VLAN を担当するサブインターフェイスからのみ転送する必要があります。このとき、データフレームの宛先 MAC アドレスはコンピュータ C の宛先アドレスに書き換えられます。集約リンクを介して転送する必要があるため、青色の VLAN に属する識別情報が添付されます。これが図③に示すデータフレームです。

（５）スイッチは、ステップ３のデータフレームを受信した後、VLAN識別情報に基づいてMACアドレスリストから青色VLANに属するエントリを検索する。通信先のコンピュータCはポート3に接続されており、ポート3は通常のアクセスリンクであるため、スイッチはデータフレーム（データフレーム④）からVLAN識別情報を削除してポート3に転送し、コンピュータCが最終的にデータフレームを正常に受信できるようにします。

VLAN 間で通信する場合、通信相手の両方が同じスイッチに接続されている場合でも、「送信者 - スイッチ - ルーター - スイッチ - 受信者」というプロセスを経る必要があります。

7. レイヤー3スイッチ

7.1. VLAN間ルーティングにルーターを使用する場合の問題

これで、VLAN 間ルーティングが提供できる限り、異なる VLAN に属するコンピューターは相互に通信できることがわかりました。

ただし、VLAN 間ルーティングにルータを使用している場合、VLAN 間のトラフィックが増加し続けると、ルータがネットワーク全体のボトルネックになる可能性があります。

スイッチは、データ フレームのスイッチング操作を処理するために ASIC (Application Specified Integrated Circuits) と呼ばれる専用のハードウェア チップを使用し、多くのモデルでは有線速度でのスイッチングを実現できます。一方、ルーターは基本的にソフトウェアベースです。

データ パケットがケーブル速度で受信されたとしても、速度制限なしで転送することはできないため、速度のボトルネックになります。 VLAN 間ルーティングでは、ルータやスイッチが相互接続される集約リンク部分にトラフィックが集中し、特に速度のボトルネックになりやすくなります。

また、ハードウェアの観点から見ると、ルータとスイッチを別々に設置する必要があるため、スペースが限られている環境によっては設置場所さえ問題になる場合があります。

7.2 レイヤー3スイッチ

上記の問題を解決するために、3層スイッチが誕生しました。レイヤー 3 スイッチは、本質的にはルーティング機能を備えた (レイヤー 2) スイッチです。ルーティングは OSI 参照モデルの第 3 ネットワーク層の機能に属するため、第 3 層のルーティング機能を備えたスイッチは「3 層スイッチ」と呼ばれます。

3 層スイッチの内部構造については、以下の簡略図を参照してください。

1 つの本体にスイッチ モジュールとルーター モジュールが別々にセットアップされています。内蔵ルーティング モジュールはスイッチ モジュールと同じで、ASIC ハードウェアを使用してルーティングを処理します。そのため、従来のルーターに比べて高速なルーティングを実現できます。さらに、ルーティングモジュールとスイッチングモジュールは相互にリンクされており、内部接続されているため、かなりの帯域幅を確保できます。

7.3. VLAN間ルーティング（VLAN内通信）にはレイヤー3スイッチを使用する

レイヤー 3 スイッチ内でデータはどのように伝播しますか?基本的には、ルータとスイッチをアグリゲーションリンクで接続する場合と同じです。

次の図に示すように、レイヤー 3 スイッチで相互接続された 4 台のコンピューターがあるとします。ルーターを使用して接続する場合、LANインターフェイス上の各VLANに対応するサブインターフェイスをセットアップする必要があります。一方、3層スイッチは内部的に「VLANインターフェイス」を生成します。 VLANインターフェイスは、各VLANのデータの送信と受信に使用されるインターフェイスです。

注：CiscoのCatalystシリーズスイッチでは、VLANインターフェイスはSVIと呼ばれます。

ルーターとルーター間ルーティングを対照するために、コンピューターAがコンピューターBと通信する場合にも、宛先アドレスBを持つデータフレームがスイッチに送信される場合も考えてみましょう。同じVLANのMACアドレスリストを検索することにより、コンピューターBがスイッチのポート2に接続されていることがわかります。したがって、データフレームはポート2に転送されます。

7.4。 VLAN間ルーティングにレイヤー3スイッチを使用します（VLAN間通信）

次に、コンピューターAとコンピューターCが通信する状況を想像してください。ターゲットIPアドレスに基づいて、コンピューターAは、通信パートナーが同じネットワークに属していないことを判断することができるため、デフォルトゲートウェイにデータを送信します（フレーム1）。

MACアドレスリストを取得した後、スイッチは内部集約リンクを介してデータフレームをルーティングモジュールに転送します。内部集約リンクを通過すると、データフレームは赤いVLANに属するVLAN識別情報に添付されています（フレーム2）。

ルーティングモジュールがデータフレームを受信すると、最初にデータフレームに添付されたVLAN識別情報に基づいてRed VLANに属していることを識別し、これに基づいて、Red VLANインターフェイスがルーティング処理の受信と実行を担当することを決定します。ターゲットネットワーク192.168.2.0/24はルーターに直接接続されており、青いVLANに対応するためです。

したがって、データは、Blue VLANインターフェイスから内部集約リンクを介してスイッチモジュールに戻されます。集約リンクを通過すると、データフレームには青色のVLANに属する識別情報が付いています（フレーム3）。

スイッチがこのフレームを受信した後、青いVLANのMACアドレスリストを取得し、ポート3に転送する必要があることを確認します。ポート3は通常のアクセスリンクであるため、転送前にVLAN識別情報が削除されます（フレーム4）。最後に、コンピューターCは、スイッチによって転送されるデータフレームを正常に受信します。

全体的なプロセスは、外部ルーターを使用する場合のプロセスと非常によく似ています - すべてが「送信者→スイッチングモジュール→ルーティングモジュール→スイッチングモジュール→レシーバー」のプロセスを通過する必要があります。

8。VLAN間の通信を加速する手段

8.1フロー

これまでに学んだことに基づいて、VLAN間ルーティングは、レイヤー3スイッチの外部ルーターまたは組み込みのルーティングモジュールを通過する必要があることをすでに知っています。ただし、すべてのデータがルーター（またはルーティングモジュール）を通過する必要があるわけではない場合があります。

たとえば、FTP（ファイル転送プロトコル）を使用して、MTUの制限により、数MB以上の容量で大きなファイルを転送する場合、IPプロトコルはデータを小さなブロックに分割し、受信側で再組み立てします。これらの分割されたデータの「送信先」はまったく同じです。同じ送信ターゲットとは、同じターゲットIPアドレスとターゲットポート番号を意味します（注：これがTCP/UDPポートを指すことは特に強調されています）。当然、ソースIPアドレスとソースポート番号も同じでなければなりません。このような一連のデータフローは、「フロー」と呼ばれます。

ストリーム内の最初のデータが正しくルーティングされている限り、後続のデータは同じようにルーティングする必要があります。

したがって、後続のデータにはルーターによるルーティング処理が必要ありません。繰り返しルーティング操作を省略することにより、VLAN間ルーティングの速度をさらに改善できます。

8.2 VLAN間ルーティングを加速するためのメカニズム

次に、高速インターVLANルーティングにレイヤー3スイッチを使用する方法を詳細に考えてみましょう。

まず、フロー全体のデータの最初のブロックは、通常どおりスイッチによって転送されます→ルーターによってルーティング→スイッチによって転送され、ターゲットに接続されたポートに再び転送されます。この時点で、データの最初のブロックをルーティングした結果はキャッシュに記録され、保存されます。記録する必要がある情報は次のとおりです。

• 宛先IPアドレス
• ソースIPアドレス
• ターゲットTCP/UDPポート番号
• ソースTCP/UDPポート番号
• ポート番号の受信（スイッチ）
• 転送ポート番号（スイッチ）
• 宛先MACアドレスを転送します

...

等

同じフローからのデータの2番目のブロックがスイッチに到達すると、「転送ポート番号」は、キャッシュに以前に保存されていた情報をクエリすることで直接見つかり、その後、ターゲットに接続されたポートに転送できます。

このようにして、内部ルーティングモジュールを介して何度もリレーする必要はなく、スイッチ内のキャッシュ情報は、転送する必要のあるポートを決定するのに十分です。

この時点で、スイッチは、MACアドレス、TTLの書き換え、IPパケットヘッダーの合計情報など、ルーターによって中継された場合と同様の処理をデータフレームで実行します。

スイッチ上のルーティング結果をキャッシュすることにより、送信者が有線速度とルートで送信したデータを受信し、全速力で受信機に転送することができます。

VLAN間ルーティングを加速する同様の方法は、主に各メーカーのユニークなテクノロジーによって実装されており、機能の名前はメーカーごとに異なることに注意する必要があります。たとえば、CiscoのCatalystシリーズスイッチでは、この関数は「マルチレイヤースイッチング」と呼ばれます。

さらに、レイヤー3スイッチの内部ルーティングモジュールに加えて、外部ルーターの一部のモデルは、同様の高速VLAN間ルーティングメカニズムもサポートしています。

9。従来のルーターの重要性

9.1ルーターの必要性

レイヤー3スイッチの価格は、最初に発売されたときに非常に高価でしたが、今では価格が大きく下がっています。現在、海外のいくつかの安価なモデルの販売価格は、人民元に変換された場合、10,000元以上であり、引き続き減少しています。

レイヤー3スイッチは、従来のルーターよりも高速ルーティング処理を提供できるため、ネットワークでルーターを使用する必要はありますか？

答えは「はい」です。

ルーターを使用する必要性は、主に次の側面に反映されています。

• WANに接続するために使用されます

レイヤー3スイッチは最終的に「スイッチ」です。言い換えれば、ほとんどのモデルにはLAN（イーサネット）インターフェイスのみが装備されています。また、いくつかのハイエンドスイッチでWANに接続するためのシリアルインターフェイスまたはATMインターフェイスもありますが、ほとんどの場合、WANに接続するにはルーターが必要です。

• ネットワークセキュリティを確保します

レイヤー3スイッチでは、データパケットのフィルタリングは、ある程度のネットワークセキュリティを確保することもできます。ただし、ルーターが提供するさまざまなネットワークセキュリティ関数を使用して、ユーザーはより安全で信頼性の高いネットワークを構築できます。

ルーターが提供するネットワークセキュリティ関数の中で、最も基本的なパケットフィルタリング機能に加えて、IPSECに基づいて仮想プライベートネットワークを構築することもできます。

• TCP/IP以外のネットワークアーキテクチャをサポートしています

TCP/IPは現在のネットワークプロトコルアーキテクチャの主流になりましたが、多くのネットワークは、Novell Netwareの下でIPX/SPXなどのネットワークプロトコルやMacintoshの下でのAppleTalkを使用しています。一部のハイエンドモデルを除き、3番目の層スイッチでは、基本的にTCP/IPのみをサポートします。したがって、TCP/IP以外の他のネットワークプロトコルを使用する必要がある環境では、ルーターが依然として不可欠です。

注：上記のルーターの機能は、いくつかのハイエンドスイッチでもサポートできます。たとえば、CiscoのCatalyst6500シリーズは、WANに接続されたインターフェイスモジュールを選択できます。 IPSECの実装に基づいてオプションのモジュールがあります。また、TCP/IP以外の他のネットワークプロトコルもサポートできます。

9.2。 LANを構築するために一緒に動作するルーターとスイッチの例

ルーターとスイッチビルディングの例を一緒に構築する例を見てみましょう。

各フロアで構成された2層スイッチを使用して、VLANを定義し、TCP/IPクライアントコンピューターに接続します。各フロア間のVLAN間通信は、レイヤー3スイッチの高速ルーティングによって実現されます。ネットワーク環境が高い信頼性を必要とする場合、レイヤー3スイッチの冗長構成を検討することもできます。

WANへの接続は、さまざまなネットワークインターフェイスを備えたルーターを介して実行されます。さらに、ネットワークセキュリティは、フィルタリングやルーターの***などの機能を通じて達成されます。さらに、ルーターを使用すると、Novell NetwareなどのTCP/IP以外のネットワークもサポートできます。

レイヤー2とレイヤー3スイッチと従来のルーターを完全にマスターすることによってのみ、競争を実現し、高効率で費用対効果の高いネットワークを構築できます。

10。VLANを使用してLANを設計します

10.1. LANを設計するためにVLANを使用する特性

VLANを使用してLANを構築することにより、ユーザーは物理的なリンクによって制限されることなくブロードキャストドメインを自由にセグメント化できます。

さらに、ルーターとレイヤー3スイッチによって提供される前述のVLAN間ルーティングを通じて、柔軟で変更可能なネットワーク構造に適応できます。

ただし、VLANを使用すると、ネットワーク構成の複雑さが容易につながる可能性があるため、ネットワーク全体の構成を把握することも困難になります。

次のものに加えて、VLANを使用する場合、

• 柔軟で多様なネットワーク構成

この利点に加えて、それも一致します。

• ネットワーク構成の複雑さ

この欠点。

以下の具体例を見てみましょう。

10.2。 VLANのないLANのネットワーク構成の変化

図に示すように、1つのルーターと2つのスイッチで構成される「VLANなしで構築された」ネットワークがあるとします。

写真のルーターには2つのLANインターフェイスがあります。左側のネットワークは192.168.1.0/24で、右側のネットワークは192.168.2.0/24です。

ネットワーク上のコンピューターAを転送する場合、192.168.1.0/24から192.168.2.0/24には、物理​​的な接続を変更して右側のスイッチに接続する必要があります。

さらに、アドレス192.168.3.0/24の新しいネットワークを追加する必要がある場合、ルーター上の別のLANインターフェイスを占有してスイッチを追加する必要があります。このルーターには2つのLANインターフェイスしかないため、新しいネットワークを追加するには、ルーターを3つ以上のLANインターフェイスを持つ製品にアップグレードする必要があります。

10.3。 VLANを使用したLANのネットワーク構成の変化

次に、1つのルーターと2つのスイッチングメカニズムで構成される「VLAN」LANがあると仮定しましょう。スイッチとスイッチ、およびルーターの間には集約リンクがあります。 192.168.1.0/24は赤VLANに対応し、192.168.2.0/24が青いVLANに対応すると仮定します。

スイッチ1で192.168.1.0/24のネットワークセグメントにコンピューターAが接続されている場合、物理的な配線を変更する必要はありません。スイッチに青いVLANを生成するだけで、コンピューターAに接続されたポート1をブルーVLANに追加して、アクセスリンクにします。

次に、必要に応じて、IPアドレス、デフォルトゲートウェイ、およびコンピューターAのその他の情報を設定します。 IPアドレス関連の設定がDHCPによって取得される場合、クライアントに設定を変更する必要はなく、異なるネットワークセグメント間で移動できます。

VLANを使用した後、物理的な配線を変更せずにネットワークロジックを自由に設計できます。あなたがいる作業環境にネットワークレイアウトの頻繁な変更が必要な場合、VLANを活用することの利点は非常に明白です。

さらに、アドレス192.168.3.0/24に新しいネットワークセグメントを追加する必要がある場合、スイッチで192.168.3.0/24に対応する新しいVLANを作成し、必要なポートをアクセスリンクに追加する必要があります。

ネットワーク環境で外部ルーターを使用するために外部ルーターも必要な場合、より多くの物理インターフェイス（LANインターフェイス）を消費せずにルーターの集約ポートに新しいサブインターフェイス設定を追加することにより、すべての操作を完了できます。レイヤー3スイッチ内のルーティングモジュールを使用するには、新しいVLANインターフェイスを設定するだけです。

ネットワーク環境の成長はしばしば予測不可能であり、既存のネットワークを分割する必要があるか、新しいネットワークが追加される場合がある可能性があります。 VLANを完全に使用した後、これらの問題は簡単に解決できます。

10.4。 VLANを使用することによって引き起こされるネットワーク構造の複雑さ

VLANはネットワークを柔軟に構築できますが、複雑なネットワーク構造の問題ももたらします。

特に、データストリームが交差しているため、障害が発生した場合に障害を正確に見つけてトラブルシューティングすることは困難です。

データフローの複雑さの理解を促進するために、下の図に示されているネットワークがあると仮定します。コンピューターAがコンピューターCにデータを送信する場合、データフローの全体的な方向は次のとおりです。

コンピューターA→スイッチ1→ルーター→スイッチ1→スイッチ2→コンピューターc

（1）最初に、コンピューターAはデータをスイッチに送信します（①）

（2）その後、データは、VLAN間ルーティングのためにルーター（②）に転送されます。

（3）ルーティングされたデータは、集約リンクからスイッチ1（③）に返されます。

（4）通信ターゲットコンピューターCはスイッチ1に直接接続されていないため、集約リンクを介してスイッチ2（④）に転送する必要もあります。

（5）スイッチ2で、データは最終的にCに接続されたポート2に転送され、プロセス全体が完了します（⑤）。

この例では、2つのスイッチのデータフローのみが非常に複雑であるため、VLANが複数のスイッチに及ぶ場合、各データフローのフロー方向を把握するのが明らかに困難になります。

10.5。ネットワークの論理構造と物理構造

ますます複雑なデータフローに対応するために、管理者は、ネットワークの現在の状況を把握するために、「論理構造」と「物理構造」の2つの側面から開始する必要があります。

物理構造とは、物理レイヤーとデータリンクレイヤーから観察されたネットワークの現在のステータスを指し、ネットワークの物理的配線形式とVLAN設定などを表します。

論理構造は、ネットワークレイヤーの上のレベルから観察されるネットワーク構造を表します。次に、IPネットワークの論理構造を中心としてルーターとして分析しようとします。

下の図に示すように、これはまだ前の例であり、VLAN設定の配線フォームと「物理構造」を示しています。

この物理構造を分析し、ルーター中心の論理構造に変換した後、次の論理構造図が取得されます。ルーティングまたはパケットフィルタリングを設定する必要がある場合、論理構造に基づいてそれを行う必要があります。

特にVLANとレイヤーの3つのスイッチが人気がある最新のエンタープライズレベルのネットワークで、これら2つのネットワーク構造図の違いを把握することが非常に重要です。