VLAN を使用して LAN および VLAN 集約リンクを設計する方法

VLANとは何ですか?

VLAN (Virtual LAN) は、中国語に翻訳すると「仮想ローカルエリアネットワーク」を意味します。 LAN は、数台の家庭用コンピュータで構成されるネットワーク、または数百台のコンピュータで構成される企業ネットワークになります。 VLAN が指す LAN は、具体的にはルーターによって分割されたネットワーク、つまりブロードキャスト ドメインを指します。

[[252512]]

まず、ブロードキャスト ドメインの概念を確認しましょう。ブロードキャストドメインとは、ブロードキャストフレーム（宛先MACアドレスがすべて1）を送信できる範囲、つまり直接通信が可能な範囲を指します。厳密に言えば、ブロードキャスト フレームだけでなく、マルチキャスト フレーム (Multicast Frame) や不明なユニキャスト フレーム (Unknown Unicast Frame) も、同じブロードキャスト ドメイン内を妨げられることなく移動できます。

本来、レイヤー 2 スイッチは単一のブロードキャスト ドメインしか構築できませんが、VLAN 機能を使用すると、ネットワークを複数のブロードキャスト ドメインに分割できます。

ブロードキャストドメインが分割されていない場合...

では、なぜブロードキャストドメインを分割する必要があるのでしょうか?ブロードキャスト ドメインが 1 つしかない場合、ネットワーク全体の伝送パフォーマンスに影響する可能性があるためです。具体的な理由をより深く理解するには、添付の図を参照してください。

この図は、多数のクライアントに接続された 5 つのレイヤー 2 スイッチ (スイッチ 1 ～ 5) で構成されるネットワークを示しています。このとき、コンピュータ A がコンピュータ B と通信する必要があるとします。イーサネットベースの通信では、通常の通信ではデータ フレームに対象の MAC アドレスを指定する必要があるため、コンピュータ A はまず「ARP 要求情報」をブロードキャストして、コンピュータ B の MAC アドレスを取得しようとします。

スイッチ 1 はブロードキャスト フレーム (ARP 要求) を受信すると、受信ポートを除くすべてのポートにそれを転送します。これをフラッディングと呼びます。次に、スイッチ 2 もブロードキャスト フレームを受信した後にフラッディングします。スイッチ 3、4、5 もフラッディングされます。最終的に、ARP 要求は同じネットワーク上のすべてのクライアントに転送されます。

この ARP 要求は元々、コンピュータ B の MAC アドレスを取得するために送信されたことに注意してください。つまり、コンピュータ B がそれを受信できる限り、すべて正常です。しかし実際には、データ フレームはネットワーク全体に拡散し、すべてのコンピューターがそれを受信することになります。このように、一方ではブロードキャスト情報がネットワーク全体の帯域幅を消費し、他方ではブロードキャスト情報を受信するコンピュータもそれを処理するために CPU 時間の一部を消費します。その結果、ネットワーク帯域幅と CPU 計算能力が大量に不必要に消費されることになります。

ブロードキャストメッセージはそんなに頻繁に送信されるのですか?

これを読んで、「ブロードキャスト メッセージは本当にそんなに頻繁に表示されるのか?」と疑問に思うかもしれません。

答えは「はい」です。実際、ブロードキャスト フレームは非常に頻繁に表示されます。 TCP/IP プロトコル スタックを使用して通信する場合、上記の ARP に加えて、DHCP や RIP など、他の多くの種類のブロードキャスト情報を送信する必要がある場合もあります。

他のホストとの通信が必要なときに ARP ブロードキャストが送信されます。クライアントが DHCP サーバーに IP アドレスの割り当てを要求する場合、DHCP ブロードキャストを発行する必要があります。ルーティング プロトコルとして RIP を使用する場合、ルータは 30 秒ごとに他の隣接ルータにルーティング情報をブロードキャストします。 RIP 以外のルーティング プロトコルはマルチキャストを使用してルーティング情報を送信し、そのルーティング情報はスイッチによっても転送されます (フラッディング)。 TCP/IP に加えて、NetBEUI、IPX、Apple Talk などのプロトコルでもブロードキャストが必要になることがよくあります。たとえば、Windows で「ネットワーク コンピューター」をダブルクリックして開くと、ブロードキャスト (マルチキャスト) メッセージが送信されます。 (Windows XPを除く)

つまり、ラジオは私たちの周りに存在しているのです。一般的なブロードキャスト通信は次のとおりです。

• ARP 要求: IP アドレスと MAC アドレス間のマッピング関係を確立します。
• RIP: ルーティング プロトコル。
• DHCP: IP アドレスを自動的に設定するために使用されるプロトコル。
• NetBEUI: Windows で使用されるネットワーク プロトコル。
• IPX: Novell Netware で使用されるネットワーク プロトコル。

Apple Talk: Apple の Macintosh コンピュータで使用されるネットワーク プロトコル。

ネットワーク全体にブロードキャスト ドメインが 1 つしかない場合、ブロードキャスト メッセージが送信されると、そのメッセージはネットワーク全体に広がり、ネットワーク内のホストに追加の負担がかかります。したがって、LAN を設計する際には、ブロードキャスト ドメインを効果的に分割する方法に注意する必要があります。

ブロードキャストドメインセグメンテーションとVLANの必要性

ブロードキャストドメインを分割する場合、通常はルーターが必要になります。ルーターを使用すると、ルーター上のネットワーク インターフェース (LAN インターフェース) に基づいてブロードキャスト ドメインを分割できます。

ただし、通常、ルーター上のネットワーク インターフェイスの数はそれほど多くなく、その数は 1 ～ 4 程度です。ブロードバンド接続の普及に伴い、ブロードバンド ルーター (または IP シェアラー) がより一般的になっています。ただし、LAN 側に接続されたネットワーク インターフェースが複数 (通常 4 個程度) あるにもかかわらず、実際にはルーターに内蔵されたスイッチであり、ブロードキャスト ドメインを分割できない点には注意が必要です。

さらに、ルーターを使用してブロードキャスト ドメインを分割する場合、分割できる数はルーターのネットワーク インターフェイスの数に完全に依存するため、ユーザーが実際のニーズに応じてブロードキャスト ドメインを自由に分割することはできません。

ルーターと比較すると、レイヤー 2 スイッチには通常、複数のネットワーク インターフェイスがあります。したがって、ブロードキャストドメインを分割するために使用できれば、そのアプリケーションの柔軟性は間違いなく大幅に向上します。

レイヤー 2 スイッチ上でブロードキャスト ドメインをセグメント化するために使用されるテクノロジーは VLAN です。 VLAN を使用することで、ブロードキャストドメインの構成を自由に設計でき、ネットワーク設計の自由度が向上します。

VLANを実装するためのメカニズム

VLAN が必要な理由を理解した後、スイッチが VLAN を使用してブロードキャスト ドメインをセグメント化する方法について理解しましょう。

まず、VLAN が設定されていないレイヤー 2 スイッチでは、ブロードキャスト フレームは受信ポートを除く他のすべてのポートに転送されます (フラッディング)。たとえば、コンピュータ A がブロードキャスト メッセージを送信すると、そのメッセージはポート 2、3、4 に転送されます。

このとき、スイッチ上に red と blue の 2 つの VLAN が生成され、ポート 1 と 2 が red VLAN に属するように設定され、ポート 3 と 4 が blue VLAN に属するように設定されます。ブロードキャスト フレームが A から再度送信された場合、スイッチはそれを同じ VLAN に属する他のポート (つまり、赤い VLAN に属するポート 2) にのみ転送し、青い VLAN に属するポートには転送しません。

同様に、C がブロードキャスト メッセージを送信すると、そのメッセージは青い VLAN に属する他のポートにのみ転送され、赤い VLAN に属するポートには転送されません。

このように、VLAN はブロードキャスト フレームの転送範囲を制限することでブロードキャスト ドメインを分割します。上の図では、便宜上、異なる VLAN が赤と青で識別されています。実際の使用では、「VLAN ID」によって区別されます。

VLANを直感的に説明する

VLAN をより直感的に説明すると、スイッチを論理的に複数のスイッチに分割するものと理解できます。スイッチ上に 2 つの VLAN (赤と青) を生成することは、1 つのスイッチを 2 つの仮想スイッチ (赤と青) に置き換えることとも言えます。

赤と青の VLAN の外部に新しい VLAN が生成されると、新しいスイッチが追加されると考えられます。

ただし、VLAN によって生成された論理スイッチは相互接続されません。そのため、スイッチ上でVLANを設定した後、他の処理を行わないとVLAN間の通信は不可能になります。

2 つのデバイスは同じスイッチに接続されていますが、通信できません。この事実は受け入れがたいかもしれません。しかし、これは VLAN の便利で使いやすい機能であると同時に、VLAN が理解しにくい理由でもあります。

VLAN間通信が必要な場合の対処方法

では、異なる VLAN 間で通信する必要がある場合はどうすればよいのでしょうか?

もう一度思い出してください: VLAN はブロードキャスト ドメインです。通常、2 つのブロードキャスト ドメインはルーターによって接続され、ブロードキャスト ドメイン間のデータ パケットはルーターによって中継されます。したがって、VLAN 間の通信では、ルーターがリレー サービスを提供する必要があり、これを「VLAN 間ルーティング」と呼びます。

VLAN 間ルーティングには、共通ルーターまたはレイヤー 3 スイッチを使用できます。具体的な内容については機会があれば詳しくお話ししたいと思います。ここで、異なる VLAN が相互に通信する場合にルーティング機能が必要であることを皆さんに覚えておいていただきたいと思います。

VLAN アクセス リンク

スイッチポート

スイッチのポートは、次の 2 つのタイプに分けられます。

• アクセスリンク
• トランクリンク

次に、これら 2 つの異なるポートの特徴を 1 つずつ学習してみましょう。この講義では、まず「アクセスリンク」について学びます。

リンクを訪問

アクセス リンクとは、「1 つの VLAN にのみ属し、その VLAN にのみデータ フレームを転送する」ポートを指します。ほとんどの場合、アクセス リンクはクライアント コンピューターに向けられます。

VLAN を設定する通常の順序は次のとおりです。

• VLANの作成
• アクセスリンクを設定する（各ポートがどのVLANに属するかを決定する）

アクセスリンクの設定方法は、あらかじめ固定しておくことも、接続するコンピュータに応じて動的に変更することもできます。前者は「静的VLAN」と呼ばれ、後者は当然「動的VLAN」と呼ばれます。

静的VLAN

静的 VLAN はポートベース VLAN とも呼ばれます。名前の通り、各ポートがどのVLANに属するかを明確に指定する設定方法です。

ポートを一つずつ指定する必要があるため、ネットワーク内のコンピュータの数が一定数（数百台など）を超えると、設定操作が非常に複雑になります。さらに、クライアントが接続先のポートを変更するたびに、そのポートが属する VLAN の設定も変更する必要があります。これは、トポロジを頻繁に変更する必要があるネットワークには明らかに適していません。

ダイナミックVLAN

一方、ダイナミック VLAN は、各ポートに接続されたコンピュータに基づいて、ポートが属する VLAN を随時変更します。これにより、上記のように設定を変更する必要がなくなります。ダイナミック VLAN は、大きく分けて 3 つのカテゴリに分類できます。

MAC ベースの VLAN

サブネットベースのVLAN

ユーザーベースVLAN

それらの主な違いは、OSI 参照モデルのどの層がポートが属する VLAN を決定するかという情報にあります。

MAC アドレスベースの VLAN は、ポートに接続されたコンピューター上のネットワーク カードの MAC アドレスを照会して記録することで、ポートの所有権を決定します。 MAC アドレス「A」がスイッチによって VLAN「10」に属するように設定されていると仮定すると、MAC アドレス「A」を持つコンピュータがスイッチのどのポートに接続されていても、そのポートは VLAN 10 に割り当てられます。コンピュータがポート 1 に接続されている場合、ポート 1 は VLAN 10 に属します。コンピュータがポート 2 に接続されている場合、ポート 2 は VLAN 10 に属します。

VLAN は MAC アドレスに基づいて決定されるため、OSI の第 2 層でアクセス リンクを設定する方法として理解できます。

ただし、MAC アドレスベースの VLAN を設定する場合は、接続されているすべてのコンピューターの MAC アドレスを確認して登録する必要があります。また、コンピューターのネットワーク カードを交換した場合でも、設定を変更する必要があります。

サブネットベースの VLAN は、接続されたコンピューターの IP アドレスによってポートが属する VLAN を決定します。 MAC アドレスに基づく VLAN とは異なり、ネットワーク カードの交換などによりコンピュータの MAC アドレスが変更された場合でも、IP アドレスが変更されない限り、元々設定されていた VLAN に参加できます。

そのため、MAC アドレスベースの VLAN と比較して、ネットワーク構造をより簡単に変更できます。 IP アドレスは OSI 参照モデルの第 3 層の情報であるため、サブネット ベース VLAN は OSI の第 3 層でアクセス リンクを設定する方法であると理解できます。

ユーザーベース VLAN は、スイッチの各ポートに接続されているコンピューターに現在ログインしているユーザーに基づいて、ポートが属する VLAN を決定します。ここでのユーザー識別情報は、通常、Windows ドメインで使用されるユーザー名など、コンピューターのオペレーティング システムによってログインしたユーザーです。これらのユーザー名情報は、OSI の第 4 層より上の情報に属します。

一般的に、OSI でポートが属する VLAN を決定するために使用される情報のレベルが高いほど、柔軟なネットワークを構築するのに適しています。

訪問したリンクの概要

まとめると、アクセス リンクを設定するには、静的 VLAN と動的 VLAN の 2 つの方法があり、動的 VLAN はさらにいくつかのサブカテゴリに分類できます。

サブネットベースの VLAN とユーザーベースの VLAN は、ネットワーク機器メーカーが独自のプロトコルを使用して実装する場合があります。異なるメーカーの機器を相互接続する場合、互換性の問題が発生する可能性があります。そのため、スイッチを選ぶ際には必ず事前に確認してください。

次の表は、静的 VLAN と動的 VLAN に関する情報をまとめたものです。

VLAN集約リンク

複数のスイッチにわたって VLAN を設定する必要がある場合...

これまで、単一のスイッチを使用して VLAN を設定する方法を学習しました。では、複数のスイッチにまたがる VLAN を設定する必要がある場合はどうすればよいでしょうか?

エンタープライズ レベルのネットワークを計画する場合、同じ部門に属するユーザーが同じ建物の異なるフロアに分散している状況に遭遇することがあります。この時点で、複数のスイッチにわたって VLAN を設定する方法を検討する必要があるかもしれません。次の図のようなネットワークがあり、異なるフロアにある A、C と B、D を同じ VLAN に設定する必要があるとします。

この時点で最も重要な質問は、「スイッチ 1 とスイッチ 2 をどのように接続すればよいか」です。

もちろん、最も簡単な方法は、スイッチ 1 とスイッチ 2 に赤と青の VLAN 専用のインターフェイスを設定し、それらを相互接続することです。

しかし、この方法はスケーラビリティと管理効率の点で良くありません。たとえば、既存のネットワークに基づいて新しい VLAN を作成する場合、VLAN が相互に通信できるようにするには、スイッチ間に新しいネットワーク ケーブルを接続する必要があります。建物の各階間の縦方向配線は比較的面倒であり、通常、現場の管理者が自由に実行できるものではありません。さらに、VLAN の数が増えると、フロア間 (厳密にはスイッチ間) の相互接続に必要なポートの数も増えます。スイッチ ポートの利用効率が低いと、リソースが無駄になり、ネットワークの拡張も制限されます。

この非効率的な接続方法を回避するために、スイッチを接続するネットワーク ケーブルを 1 本に集中させようとしますが、このときにトランク リンクが使用されます。

リンクアグリゲーションとは何ですか?

トランク リンクは、複数の異なる VLAN からの通信を転送できるポートです。

集約リンク上を循環するデータ フレームには、どの VLAN に属しているかを識別するための特別な情報が添付されています。

さて、戻って、先ほど述べたネットワークがトランク リンクを使用した場合に何が起こるか考えてみましょう。ユーザーは、スイッチを接続するポートをトランク リンクとして設定するだけです。このとき使用されるネットワーク ケーブルは、通常の UTP ケーブルであり、特別な配線ではありません。図の例ではスイッチ間の相互接続を示しており、スイッチを接続するにはクロスオーバー ケーブルが必要です。

次に、スイッチ間の VLAN 全体で集約リンクがどのように実装されるかを詳しく見てみましょう。

A が送信したデータ フレームがスイッチ 1 からスイッチ 2 への集約リンクを通過すると、赤色の VLAN に属していることを示すタグがデータ フレームに付加されます。

スイッチ 2 はデータ フレームを受信した後、VLAN タグをチェックし、データ フレームが赤い VLAN に属していることを検出します。したがって、タグを削除した後、復元されたデータ フレームは必要に応じて red VLAN に属する他のポートにのみ転送されます。このときの転送は、対象の MAC アドレスを確認し、MAC アドレス リストと比較した後、対象の MAC アドレスが接続されているポートにのみ転送することを意味します。データ フレームがブロードキャスト フレーム、マルチキャスト フレーム、または宛先が不明なフレームである場合にのみ、赤い VLAN に属するすべてのポートに転送されます。

青い VLAN がデータ フレームを送信する場合も同様です。

リンクを集約する際にVLAN識別情報を追加することで、標準の「IEEE 802.1Q」プロトコルをサポートしたり、シスコ製品独自の「ISL（Inter Switch Link）」をサポートしたりすることができます。スイッチがこれらの仕様をサポートしている場合、ユーザーは複数のスイッチにわたって VLAN を効率的に構築できます。

さらに、集約リンクは複数の VLAN からのデータを伝送するため、負荷は当然大きくなります。したがって、集約リンクを設定する場合、前提条件として、100Mbps を超える伝送速度をサポートする必要があります。

さらに、デフォルトでは、トランク リンクはスイッチ上に存在するすべての VLAN からのデータを転送します。別の観点から見ると、集約リンク (ポート) はスイッチ上のすべての VLAN に同時に属していると考えることもできます。実際のアプリケーションではすべての VLAN からデータを転送する必要はない可能性が高いため、スイッチの負荷と帯域幅の無駄を減らすために、ユーザー設定によってアグリゲーション リンク経由で相互接続できる VLAN を制限することができます。

IEEE802.1Q と ISL

収束法

スイッチの集約リンクでは、データ フレームに VLAN 情報を追加することで、複数のスイッチにまたがる VLAN を構築できます。

VLAN 情報を追加する最も代表的な方法は次のとおりです。

• IEEE802.1Q
• インド

ここで、これら 2 つのプロトコルが VLAN 情報をデータ フレームに添付する方法を見てみましょう。

IEEE802.1Q

IEEE802.1Q (一般に「Dot One Q」として知られています) は、データ フレームに VLAN 識別情報を追加するための IEEE 認定プロトコルです。

ここで、イーサネット データ フレームの標準形式を思い出してください。

IEEE802.1Q によって追加された VLAN 識別情報は、データ フレーム内の「送信元 MAC アドレス」と「タイプ フィールド」の間にあります。具体的な内容は、TPID 2 バイトと TCI 2 バイトの合計 4 バイトです。

データ フレームに 4 バイトのコンテンツが追加されると、CRC 値は当然変化します。このとき、データフレーム上のCRCは、TPIDとTCIを挿入した後に、それらを含むデータフレーム全体を再計算して得られた値になります。

データ フレームが集約リンクを離れると、TPID と TCI は削除され、CRC が再計算されます。

TPID の値は 0x8100 に固定されます。スイッチは TPID を使用して、IEEE802.1Q に基づく VLAN 情報がデータ フレームに添付されているかどうかを判断します。実際の VLAN ID は TCI の 12 ビットです。合計 12 ビットあるため、最大 4096 個の VLAN を識別できます。

IEEE802.1Qに基づいて付与されるVLAN情報は、物品を配送する際に付与されるタグのようなものです。そのため、「タグVLAN」とも呼ばれます。

ISL (インタースイッチリンク)

ISL は、Cisco 製品でサポートされている IEEE802.1Q に似たプロトコルであり、集約リンクに VLAN 情報を添付するために使用されます。

ISL を使用すると、各データ フレームのヘッダーに 26 バイトの「ISL ヘッダー」が追加され、フレームの末尾の ISL ヘッダーを含むデータ フレーム全体に対して 4 バイトの CRC 値が計算されます。つまり、合計 30 バイトの情報が追加されます。

ISL を使用する環境では、データ フレームが集約リンクから出るときに、ISL ヘッダーと新しい CRC を削除するだけです。元のデータ フレームとその CRC は完全に保存されるため、CRC を再計算する必要はありません。

ISL は、元のデータ フレームを ISL ヘッダーと新しい CRC でラップするようなものなので、「カプセル化 VLAN」とも呼ばれます。

IEEE802.1Q の「タグ付き VLAN」も ISL の「カプセル化 VLAN」も、それほど厳密な用語ではないことに注意してください。上記の単語は、さまざまな書籍や参考資料で同じ意味で使用されている可能性があるため、勉強する際には特に注意する必要があります。

ISL は Cisco 固有のプロトコルであるため、Cisco ネットワーク デバイス間の相互接続にのみ使用できます。

VLAN間ルーティング1

VLAN間ルーティングの必要性

これまでに学んだことから、2 台のコンピューターが同じスイッチに接続されていても、異なる VLAN に属している限り、直接通信できないことがすでにわかっています。次に、異なる VLAN に属するホストが相互に通信できるように、異なる VLAN 間でルーティングを実行する方法を学習します。

まず、異なる VLAN がルーティングなしで通信できない理由を確認しましょう。 LAN 内で通信を行う場合、データフレームのヘッダーに通信先の MAC アドレスを指定する必要があります。 MAC アドレスを取得するには、TCP/IP プロトコルの下で ARP が使用されます。 ARP が MAC アドレスを解決する方法はブロードキャストです。つまり、ブロードキャスト メッセージを配信できない場合は、MAC アドレスを解決する方法がないため、直接通信が不可能になります。

コンピュータは異なる VLAN に属しており、つまり異なるブロードキャスト ドメインに属しているため、当然、互いのブロードキャスト メッセージを受信することはできません。したがって、異なる VLAN に属するコンピューターは相互に直接通信することはできません。 VLAN 間で通信を行うには、OSI 参照モデルの上位層であるネットワーク層のルーティング情報 (IP アドレス) を使用する必要があります。ルーティングの具体的な内容については、後ほど機会があれば詳しくご説明させていただきます。

ルーティング機能は通常、ルーターによって提供されます。しかし、今日のローカル エリア ネットワークでは、これを実現するために、ルーティング機能を備えたスイッチ、つまりレイヤー 3 スイッチ (Layer 3 Switch) がよく使用されます。次に、VLAN 間ルーティングにルーターと 3 層スイッチを使用する場合の状況を見てみましょう。

VLAN間ルーティングにルーターを使用する

ルーターを使用して VLAN 間ルーティングを行う場合、複数のスイッチにまたがって VLAN を構築する場合と同様に、「ルーターとスイッチをどのように接続するか」という問題が依然として発生します。ルータとスイッチを接続するには、次の 2 つの方法があります。

• ルータをスイッチ上の各VLANに接続します
• VLAN がいくつあっても、ルータとスイッチは 1 本のネットワーク ケーブルでのみ接続されます。

最も簡単な方法は、もちろん、「VLAN に基づいてルータとスイッチをネットワーク ケーブルで接続する」ことです。ルーターに接続するために使用されるスイッチ上の各ポートをアクセス リンクとして設定し、ネットワーク ケーブルを使用してルーター上の独立したポートに接続します。下の図に示すように、スイッチには 2 つの VLAN があるため、ルータとの相互接続用にスイッチで 2 つのポートを予約する必要があります。ルーターにも 2 つのポートが必要です。 2 つは 2 本のネットワーク ケーブルで接続されています。

このアプローチを採用した場合、そのスケーラビリティが問題になることは想像に難くないでしょう。新しい VLAN が追加されるたびに、ルータ ポートとスイッチ上のアクセス リンクが消費され、新しいネットワーク ケーブルを敷設する必要があります。通常、ルーターにはそれほど多くの LAN インターフェースはありません。新しいVLANを作成する場合、追加されたVLANに必要なポートに対応するために、ルーターを複数のLANインターフェースを備えたハイエンド製品にアップグレードする必要があります。このコストと再配線によって発生するオーバーヘッドにより、この配線方法は人気のない方法となっています。

では、2 番目の方法、「VLAN の数に関係なく、1 本のネットワーク ケーブルのみを使用してルーターとスイッチを接続する」はどうでしょうか。 1 本のネットワーク ケーブルを使用してルータとスイッチを VLAN 間ルーティング用に接続する場合は、トランキング リンクが必要です。

具体的な実装プロセスは、まず、ルータへの接続に使用するスイッチ ポートを集約リンクとして設定し、ルータ上のポートも集約リンクをサポートしている必要があります。当然のことながら、集約リンクの双方で使用されるプロトコルは同じである必要があります。次に、ルーター上の各 VLAN に対応する「サブインターフェース」を定義します。実際にスイッチに接続されている物理ポートは 1 つだけですが、理論的には複数の仮想ポートに分割できます。

VLAN はスイッチを論理的に複数のユニットに分割するため、VLAN 間ルーティングに使用するルータにも各 VLAN に対応する仮想インターフェイスが必要です。

この方法を使用すると、後でスイッチ上に新しい VLAN を作成する場合でも、スイッチとルーターを接続するために必要なネットワーク ケーブルは 1 本だけです。ユーザーは、ルーター上の新しい VLAN に対応する新しいサブインターフェイスを設定するだけで済みます。従来の方法に比べ、拡張性が大幅に向上し、LAN インターフェースが不足しているルーターのアップグレードや配線のやり直しを心配する必要がなくなります。

VLAN 間ルーティング 2

同じVLAN内での通信

次に、集約リンクを使用してスイッチとルーターを接続するときに、VLAN 間ルーティングがどのように実行されるかを学習します。下の図のように、各コンピュータとルーターのサブインターフェースの IP アドレスを設定します。

赤い VLAN (VLAN ID=1) のネットワーク アドレスは 192.168.1.0/24 で、青い VLAN (VLAN ID=2) のネットワーク アドレスは 192.168.2.0/24 です。各コンピュータの MAC アドレスは A/B/C/D で、ルータの集約リンク ポートの MAC アドレスは R です。スイッチは、各ポートに接続されているコンピュータの MAC アドレスを学習して、次の MAC アドレス リストを生成します。

まず、コンピュータ A が同じ VLAN 内のコンピュータ B と通信する状況を考えてみましょう。

コンピュータ A は、B の MAC アドレスを解決するために ARP 要求メッセージを送信します。スイッチはデータ フレームを受信すると、受信ポートと同じ VLAN に属するエントリを MAC アドレス リストで検索します。コンピュータ B がポート 2 に接続されていることがわかったので、スイッチはデータ フレームをポート 2 に転送し、最終的にコンピュータ B がフレームを受信しました。送信者と受信者は同じ VLAN 内で通信し、すべての処理はスイッチ内で完了します。

異なるVLAN間で通信する場合のデータフロー

次は、この講義の核となる内容、異なる VLAN 間の通信です。コンピュータ A とコンピュータ C が相互に通信する状況を考えてみましょう。

コンピュータAは、通信先のIPアドレス（192.168.2.1）から、Cとこのコンピュータは同じネットワークセグメントに属していないと判断する。したがって、データフレームは設定されたデフォルトゲートウェイ（デフォルトゲートウェイ、GW）に転送されます。データ フレームを送信する前に、ARP を使用してルーターの MAC アドレスを取得する必要があります。

ルーターの MAC アドレス R を取得した後、次のステップは、図に示す手順に従ってデータ フレームを C に送信することです。 ①のデータフレームでは、宛先MACアドレスはルータのアドレスRですが、含まれる宛先IPアドレスは最終的な通信対象Cのアドレスのままです。この部分の内容は、ローカルエリアネットワーク内でルータを経由して転送する場合の通信手順です。機会があれば詳しく説明します。

スイッチはポート1で①のデータフレームを受信すると、MACアドレスリストを検索してポート1と同じVLANに属するエントリを探します。集約リンクはすべてのVLANに属しているとみなされるため、スイッチのポート6も参照対象となります。このようにして、スイッチは、MAC アドレス R に送信されたデータ フレームをポート 6 経由で転送する必要があることを認識します。

ポート6からデータフレームを送信する場合、トランクリンクであるためVLAN識別情報が付加されます。データフレームは元々赤色のVLANから来たものなので、図②に示すように、赤色のVLANの識別情報が追加されてから集約リンクに入ります。ルータは、②でデータフレームを受信すると、VLAN識別情報を確認します。これは red VLAN に属するデータ フレームであるため、red VLAN を担当するサブインターフェイスに送信されます。

次に、ルーター内のルーティングテーブルに基づいて、中継する場所を決定します。

ターゲット ネットワーク 192.168.2.0/24 は blue VLAN であり、ネットワークはサブインターフェイスを介してルーターに直接接続されているため、blue VLAN を担当するサブインターフェイスからのみ転送する必要があります。このとき、データフレームの宛先 MAC アドレスはコンピュータ C の宛先アドレスに書き換えられます。集約リンクを介して転送する必要があるため、青色の VLAN に属する識別情報が添付されます。これが図③に示すデータフレームです。

スイッチはステップ 3 でデータフレームを受信すると、VLAN 識別情報に基づいて MAC アドレスリストから青色の VLAN に属するエントリを取得します。通信先のコンピュータCはポート3に接続されており、ポート3は通常のアクセスリンクであるため、スイッチはデータフレーム（データフレーム④）からVLAN識別情報を削除してポート3に転送し、コンピュータCが最終的にデータフレームを正常に受信できるようにします。

VLAN 間で通信する場合、両者が同じスイッチに接続されている場合でも、次の手順を実行する必要があります。

送信者 - スイッチ - ルーター - スイッチ - 受信者

そのようなプロセス。

レイヤー3スイッチ(1)

VLAN間ルーティングにルーターを使用する場合の問題

これで、VLAN 間ルーティングが提供できる限り、異なる VLAN に属するコンピューターは相互に通信できることがわかりました。ただし、VLAN 間ルーティングにルータを使用している場合、VLAN 間のトラフィックが増加し続けると、ルータがネットワーク全体のボトルネックになる可能性があります。

スイッチは、データ フレームのスイッチング操作を処理するために ASIC (Application Specified Integrated Circuits) と呼ばれる専用のハードウェア チップを使用し、多くのモデルでは有線速度でのスイッチングを実現できます。一方、ルーターは基本的にソフトウェアベースです。データ パケットがケーブル速度で受信されたとしても、速度制限なしで転送することはできないため、速度のボトルネックになります。 VLAN 間ルーティングでは、ルータやスイッチが相互接続される集約リンク部分にトラフィックが集中し、特に速度のボトルネックになりやすくなります。また、ハードウェアの観点から見ると、ルータとスイッチを別々に設置する必要があるため、スペースが限られている環境によっては設置場所さえ問題になる場合があります。

レイヤー3スイッチ

上記の問題を解決するために、3層スイッチが誕生しました。レイヤー 3 スイッチは、本質的にはルーティング機能を備えた (レイヤー 2) スイッチです。ルーティングは OSI 参照モデルの第 3 ネットワーク層の機能に属するため、第 3 層のルーティング機能を備えたスイッチは「3 層スイッチ」と呼ばれます。

3 層スイッチの内部構造については、以下の簡略図を参照してください。

1 つの本体にスイッチ モジュールとルーター モジュールが別々にセットアップされています。内蔵ルーティング モジュールはスイッチ モジュールと同じで、ASIC ハードウェアを使用してルーティングを処理します。そのため、従来のルーターに比べて高速なルーティングを実現できます。さらに、ルーティングモジュールとスイッチングモジュールは相互にリンクされており、内部接続されているため、かなりの帯域幅を確保できます。

レイヤー3スイッチ(2)

VLAN間ルーティング（VLAN内通信）にレイヤー3スイッチを使用する

レイヤー 3 スイッチ内でデータはどのように伝播しますか?基本的には、ルータとスイッチをアグリゲーションリンクで接続する場合と同じです。

次の図に示すように、レイヤー 3 スイッチで相互接続された 4 台のコンピューターがあるとします。ルータを使用して接続する場合、通常、LAN インターフェース上に各 VLAN に対応するサブインターフェースを設定する必要があります。一方、3 層スイッチは内部的に「VLAN インターフェイス」を生成します。 VLAN インターフェースは、各 VLAN 内でデータを送受信するために使用されるインターフェースです。 (注: Cisco の Catalyst シリーズ スイッチでは、VLAN インターフェイスは SVI (スイッチ仮想インターフェイス) と呼ばれます)

ルーターによる VLAN 間ルーティングと対比するために、コンピュータ A がコンピュータ B と通信する場合も考えてみましょう。まず、宛先アドレス B のデータ フレームがスイッチに送信されます。同じ VLAN の MAC アドレス リストを検索すると、コンピュータ B がスイッチのポート 2 に接続されていることがわかります。したがって、データ フレームはポート 2 に転送されます。

レイヤー3スイッチを使用したVLAN間ルーティング（VLAN間通信）

次に、コンピュータ A とコンピュータ C が通信する状況を想像してください。コンピュータ A は、ターゲット IP アドレスに基づいて、通信相手が同じネットワークに属していないことを判断できるため、デフォルト ゲートウェイにデータを送信します (フレーム 1)。

スイッチは MAC アドレス リストを取得した後、内部集約リンクを介してデータ フレームをルーティング モジュールに転送します。内部集約リンクを通過する際、データフレームには赤色のVLANに属するVLAN識別情報が付加されます（フレーム2）。

ルーティングモジュールは、データフレームを受信すると、まずデータフレームに付加されたVLAN識別情報に基づいて、それが赤色のVLANに属していることを識別し、これに基づいて赤色のVLANインターフェースが受信とルーティング処理の実行を担当していることを決定します。ターゲット ネットワーク 192.168.2.0/24 はルーターに直接接続されており、青色の VLAN に対応しているため、したがって、内部集約リンクを介して、青い VLAN インターフェイスからスイッチング モジュールに転送されます。集約リンクを通過する際、データフレームには青色のVLANに属する識別情報が付加されます（フレーム3）。

スイッチはこのフレームを受信すると、青い VLAN の MAC アドレス リストを取得し、ポート 3 に転送する必要があることを確認します。ポート 3 は通常のアクセス リンクであるため、転送前に VLAN 識別情報が削除されます (フレーム 4)。最後に、コンピュータ C はスイッチによって転送されたデータ フレームを正常に受信します。

全体的なプロセスは、外部ルーターを使用する場合と非常に似ています。すべては、送信者 → スイッチング モジュール → ルーティング モジュール → スイッチング モジュール → 受信者の順に進む必要があります。

VLAN間通信を高速化する手段

流れ

これまでに学んだことから、VLAN 間ルーティングは外部ルーターまたはレイヤー 3 スイッチの組み込みルーティング モジュールを経由する必要があることがすでにわかっています。ただし、すべてのデータがルーター (またはルーティング モジュール) を通過する必要がない場合もあります。

たとえば、FTP (File Transfer Protocol) を使用して数 MB を超える容量の大きなファイルを転送する場合、MTU の制限により、IP プロトコルはデータを小さなブロックに分割して送信し、受信側で再構成します。これら分割されたデータの「送信先」は全く同じです。送信先が同じということは、送信先 IP アドレスと送信先ポート番号が同じであることを意味します (注: これは TCP/UDP ポートを指すことに特に重点が置かれています)。当然、送信元 IP アドレスと送信元ポート番号も同じである必要があります。このような一連のデータの流れを「フロー」と呼びます。

ストリーム内の最初のデータが正しくルーティングされている限り、後続のデータも同じ方法でルーティングされるはずです。

したがって、後続のデータにはルータによるルーティング処理は不要になります。繰り返しのルーティング操作を省略することで、VLAN 間ルーティングの速度をさらに向上できます。

VLAN間ルーティングを高速化するメカニズム

次に、レイヤー 3 スイッチを使用して高速 VLAN 間ルーティングを行う方法について詳しく説明します。

まず、フロー全体の最初のデータ ブロックが、通常どおりスイッチによって転送され、ルータによってルーティングされ、スイッチによってターゲットに接続されたポートに再度転送されます。このとき、最初のデータブロックをルーティングした結果がキャッシュに記録され、保存されます。記録する必要がある情報は次のとおりです。

• 宛先IPアドレス
• 送信元IPアドレス
• ターゲットTCP/UDPポート番号
• 送信元TCP/UDPポート番号
• 受信ポート番号（スイッチ）
• 転送ポート番号（スイッチ）
• 転送先MACアドレス

等

同じフローの 2 番目のデータ ブロックがスイッチに到達すると、以前にキャッシュに保存された情報を照会することで「転送ポート番号」が直接検出され、ターゲットに接続されたポートに転送できます。

この方法では、内部ルーティング モジュールを何度も中継する必要はなく、スイッチ内のキャッシュ情報だけで転送するポートを決定できます。

このとき、スイッチは、データフレームに対して、IP パケット ヘッダー内の MAC アドレス、TTL、チェックサム情報の書き換えなど、ルータで中継されるときと同様の処理を実行します。

スイッチ上でルーティング結果をキャッシュすることで、送信側が有線速度で送信したデータを受信し、フルスピードでルーティングして受信者に転送することが可能になります。

なお、VLAN 間ルーティングを高速化する同様の方法は、各メーカーの独自技術によって実装されていることがほとんどで、機能名もメーカーごとに異なります。たとえば、Cisco の Catalyst シリーズ スイッチでは、この機能は「マルチ レイヤ スイッチング」と呼ばれます。さらに、レイヤー 3 スイッチの内部ルーティング モジュールに加えて、外部ルーターの一部のモデルも同様の高速 VLAN 間ルーティング メカニズムをサポートしています。

従来のルーターの重要性

ルーターの必要性

レイヤー 3 スイッチは発売当初は非常に高価でしたが、現在では大幅に価格が下がっています。現在、海外の一部の安価なモデルの販売価格は人民元に換算すると1万元を超える程度で、依然として下落が続いている。

レイヤー 3 スイッチは従来のルーターよりも高速なルーティング処理を提供できるため、ネットワーク内でルーターを使用する必要はありますか?

答えは「はい」です。

ルーターを使用する必要性は、主に次の点に反映されます。

 WANへの接続に使用

レイヤー 3 スイッチは、結局のところ「スイッチ」です。つまり、ほとんどのモデルには LAN (イーサネット) インターフェースのみが装備されています。いくつかのハイエンド スイッチには、WAN に接続するためのシリアル インターフェイスまたは ATM インターフェイスも備わっていますが、ほとんどの場合、WAN に接続するにはルーターが必要です。

 ネットワークセキュリティの確保

レイヤー 3 スイッチでは、パケット フィルタリングによって、ある程度のネットワーク セキュリティを確保することもできます。ただし、ルーターが提供するさまざまなネットワーク セキュリティ機能を使用することで、ユーザーはより安全で信頼性の高いネットワークを構築できます。

ルーターが提供するネットワークセキュリティ機能には、最も基本的なパケットフィルタリング機能のほか、IPSec をベースとした VPN (仮想プライベートネットワーク) の構築や、RADIUS を使用したユーザー認証なども行えます。

 TCP/IP以外のネットワークアーキテクチャをサポート

TCP/IP は現在のネットワーク プロトコル アーキテクチャの主流となっていますが、Novell Netware の IPX/SPX や Macintosh の Appletalk などのネットワーク プロトコルを使用するネットワークもまだ数多く存在します。 3 層スイッチでは、一部のハイエンド モデルを除き、基本的に TCP/IP のみがサポートされます。したがって、TCP/IP 以外のネットワーク プロトコルを使用する必要がある環境では、ルーターは依然として不可欠です。

注: 上記のルーター機能は、一部のハイエンド スイッチでもサポートされます。たとえば、Cisco の Catalyst 6500 シリーズでは、WAN に接続するためのオプションのインターフェイス モジュールが提供されています。 IPSec に基づいて VPN を実装するためのオプション モジュールもあります。また、TCP/IP 以外のネットワーク プロトコルもサポートできます。

ルータとスイッチを使用してLANを構築する例

ルーターとスイッチを使用して LAN を構築する例を見てみましょう。

各フロアに設定されたレイヤー 2 スイッチを使用して VLAN を定義し、TCP/IP クライアント コンピューターを接続します。 3層スイッチの高速ルーティングを利用して、フロア間のVLAN間通信を実現します。高い信頼性が求められるネットワーク環境の場合は、3層スイッチの冗長構成も検討できます。

WAN への接続は、さまざまなネットワーク インターフェイスを備えたルーターを介して行われます。さらに、ルーターのパケット フィルタリングと VPN 機能によりネットワーク セキュリティが実現されます。さらに、ルーターの使用により、Novell Netware など TCP/IP 以外のネットワークもサポートできます。

レイヤー 2 およびレイヤー 3 スイッチと従来のルーターを完全に習得することによってのみ、それらを最大限に活用し、高効率でコスト効率の高いネットワークを構築できます。

VLANを使用したLANの設計

VLANを使用したLAN設計の特徴

VLAN を使用して LAN を構築することで、ユーザーは物理リンクに制限されることなくブロードキャスト ドメインを自由に分割できます。

さらに、前述のルーターとレイヤー 3 スイッチによって提供される VLAN 間ルーティングは、柔軟で変更可能なネットワーク構成に適応できます。

しかし、VLAN を使用するとネットワーク構造が複雑になりやすいため、ネットワーク全体の構成を把握することが困難になることもあります。

VLAN を使用する場合、次の点に加えて、

 柔軟で変更可能なネットワーク構造

この利点に加えて、次のような利点もあります。

 ネットワーク構造が複雑になる

この欠点。

それでは、具体的な例を見てみましょう。

VLANのないLANにおけるネットワーク構成の変更

図のようにルータ1台とスイッチ2台で構成された「VLANを使用して構築されていない」ネットワークがあるとします。

写真のルーターには 2 つの LAN インターフェイスがあります。左側のネットワークは 192.168.1.0/24 で、右側のネットワークは 192.168.2.0/24 です。

ここで、192.168.1.0/24 ネットワーク上のコンピュータ A を 192.168.2.0/24 に転送する場合は、物理接続を変更し、A を右側のスイッチに接続する必要があります。

さらに、アドレス 192.168.3.0/24 の新しいネットワークを追加する必要がある場合は、ルーターの別の LAN インターフェイスを占有し、スイッチを追加する必要があります。このルータには LAN インターフェイスが 2 つしかないため、新しいネットワークを追加するには、ルータを 3 つ以上の LAN インターフェイスを備えた製品にアップグレードする必要があります。

VLANを使用したLANのネットワーク構成の変更

次に、ルータ 1 台とスイッチ 2 台で構成される VLAN を使用する LAN があるとします。スイッチ間、スイッチ間、スイッチとルータ間のリンクはすべて集約リンクです。 192.168.1.0/24 は赤色の VLAN に対応し、192.168.2.0/24 は青色の VLAN に対応すると想定されます。

スイッチ 1 のネットワーク セグメント 192.168.1.0/24 に接続されているコンピュータ A を 192.168.2.0/24 に転送する必要がある場合、物理的な配線を変更する必要はありません。スイッチ上に青い VLAN を作成し、コンピュータ A が接続されているポート 1 を青い VLAN に追加してアクセス リンクにします。

次に、必要に応じてコンピュータ A の IP アドレス、デフォルト ゲートウェイなどの情報を設定します。 IP アドレス関連の設定が DHCP によって取得される場合、設定を変更することなく、クライアントを異なるネットワーク セグメント間で移動できます。

VLAN を使用すると、物理的な配線を変更することなく、ネットワークのロジックを自由に設計できます。作業環境でネットワーク レイアウトを頻繁に変更する必要がある場合、VLAN を使用する利点は非常に明白です。

さらに、アドレス 192.168.3.0/24 を持つ新しいネットワーク セグメントを追加する必要がある場合は、スイッチ上に 192.168.3.0/24 に対応する新しい VLAN を作成し、そのアクセス リンクに必要なポートを追加するだけです。

ネットワーク環境で外部ルーターがまだ必要な場合は、ルーターの集約ポートに新しいサブインターフェース設定を追加することで、物理インターフェース (LAN インターフェース) をさらに消費することなく、すべての操作を完了できます。 3 層スイッチ内のルーティング モジュールを使用する場合は、新しい VLAN インターフェイスを設定するだけで済みます。

ネットワーク環境の成長は予測が難しいことが多く、既存のネットワークを分割したり、新しいネットワークを追加したりする必要が生じる可能性が高くなります。これらの問題は、VLAN をフル活用することで簡単に解決できます。

VLANを使用したLANの設計（2）

VLANを使用するとネットワーク構造が複雑になる

VLAN を使用するとネットワークを柔軟に構築できますが、ネットワーク構造が複雑になるという問題も生じます。

特に、データフローが交差しているため、障害が発生すると、障害を正確に特定して排除することが困難になります。

データフローの複雑さを理解しやすくするために、下の図のようなネットワークがあると仮定します。コンピュータ A がコンピュータ C にデータを送信する場合、データ フローの全体的な方向は次のようになります。

コンピュータ A → スイッチ 1 → ルーター → スイッチ 1 → スイッチ 2 → コンピュータ C

まず、コンピュータAがスイッチ1にデータを送信し（①）、その後、そのデータはVLAN間ルーティングのためにルータに転送されます（②）。ルーティングされたデータは集約リンクからスイッチ1に戻ります（③）。通信対象コンピュータCはスイッチ1に直接接続されていないため、集約リンクを経由してスイッチ2（④）に転送する必要があります。スイッチ2では、最終的にCが接続されているポート2にデータが転送され、プロセス全体が完了します（⑤）。

この例では、ネットワークは 2 つのスイッチのみで構成されており、データ フローはすでに非常に複雑です。複数のスイッチにまたがる VLAN が構築されると、各データフローの方向を把握することが難しくなるのは明らかです。

ネットワークの論理的および物理的な構造

ますます複雑化するデータフローに対応するために、管理者は「論理構造」と「物理構造」の両方の側面からネットワークの現状を把握する必要があります。

物理構造とは、物理層とデータリンク層から見たネットワークの現状を指し、​​ネットワークの物理的な配線形態やVLAN設定などを示します。

論理構造とは、ネットワーク層より上のレベルから見たネットワーク構造を指します。次に、ルータを中心とした IP ネットワークの論理構造を分析してみます。

先ほどの例で配線構成とVLAN設定の「物理構造」は次の図のようになります。

この物理構造を分析し、ルーター中心の論理構造に変換すると、次の論理構造図が得られます。ルーティングやパケット フィルタリングを設定する必要がある場合は、論理構造に基づいて設定する必要があります。

特に、VLAN や 3 層スイッチが普及している現代のエンタープライズ レベルのネットワークでは、これら 2 つのネットワーク構造図の違いを理解することが非常に重要です。