スイッチとVLAN: オフィスは複雑すぎるので、学校に戻りたい

前回は寮内でローカルLANを構築し、楽しくゲームができるようにしました。これは、スイッチが 1 つとコンピューターの数が少ないため、非常に単純なシナリオです。今日は、もう少し複雑なシナリオであるオフィスに切り替えてみましょう。

トポロジーはどのように形成されるのでしょうか?

よく見かけるオフィスは、机が何列も並んでいて、それぞれの机にネットワーク ポートが備わっています。 12 席以上の列には 12 個以上のネットワーク ポートがあり、1 フロアには数十または数百のネットワーク ポートがあります。すべての階を考慮すると、当然ながら、状況は寮よりもはるかに複雑になります。何がそんなに複雑なのでしょうか?詳しく説明しましょう。

[[250929]]

まず、現時点ではスイッチ 1 つだけでは絶対に足りません。複数のスイッチが必要です。スイッチを接続すると、少し複雑なトポロジが形成されます。

まず、スイッチが 2 つの場合を見てみましょう。 2 つのスイッチが 3 つの LAN を接続し、各 LAN には複数のマシンがあります。マシン 1 がマシン 4 の IP アドレスしか知らない場合、マシン 4 にアクセスしてパケットを送信するには、マシン 4 の MAC アドレスを知っている必要があります。

したがって、マシン 1 はブロードキャストを開始し、マシン 2 はブロードキャストを受信しますが、マシン 2 はブロードキャスト用ではないため、何の関係もありません。スイッチ A は、最初はトポロジ情報をまったく知りません。ブロードキャストを受信すると、ブロードキャスト パケットの送信元方向に加えて、他のすべてのネットワーク ポートにブロードキャスト パケットを転送する戦略を採用します。したがって、マシン 3 もブロードキャスト情報を受信しましたが、それとは何の関係もありません。

もちろん、スイッチ B もブロードキャスト情報を受信できますが、この時点ではトポロジ情報を知らないため、ブロードキャスト戦略を採用してパケットを LAN 3 に転送します。この時点で、マシン 4 とマシン 5 の両方がブロードキャスト情報を受信しました。マシン 4 は積極的に応答し、「これは私のものです。これは私の MAC アドレスです」と言います。したがって、ARP 要求は正常に完了します。

上記のプロセスでは、スイッチ A とスイッチ B の両方が、マシン 1 が左側のネットワーク ポートにあるという情報を知ることができます。このトポロジ情報がわかれば、状況は良くなります。

マシン 2 がマシン 1 にアクセスする場合、マシン 2 はマシン 1 の MAC アドレスを知らないため、マシン 2 は ARP 要求を開始します。

このブロードキャスト メッセージはマシン 1 に到達し、スイッチ A にも到達します。この時点で、スイッチ A はマシン 1 が適切なネットワーク ポート上に存在できないことをすでに認識しているため、このブロードキャスト情報は LAN 2 および LAN 3 にブロードキャストされません。

マシン 3 がマシン 1 にアクセスする場合、ブロードキャスト ARP 要求も開始する必要があります。

この時点で、スイッチ A とスイッチ B の両方がブロードキャスト要求を受信できます。もちろん、スイッチ A はホスト A が左側のネットワーク ポートにあることを認識しているので、ブロードキャスト メッセージを LAN 1 に転送します。

同時に、スイッチ B はブロードキャスト メッセージを受信した後、マシン 1 が適切なネットワーク ポート上にないことを認識し、メッセージを LAN 3 にブロードキャストしません。

一般的なループの問題を解決するにはどうすればよいですか?

両方のスイッチは完全に正常に動作しているようです。オフィスが大きくなるにつれて、スイッチの数も確実に増加します。多数のネットワーク ケーブルが絡み合ってトポロジ全体が複雑になると、予期しない状況が発生することは避けられません。最も一般的な問題の 1 つはループ問題です。

たとえば、この図では、2 つのスイッチが同時に 2 つの LAN に接続しています。これは実際に高い可用性を提供すると思われるかもしれません。しかし残念なことにループが発生しました。ループが発生するとどうなりますか?

マシン 1 がマシン 2 にアクセスするプロセスを想像してみましょう。最初、マシン 1 はマシン 2 の MAC アドレスを知らないため、ARP ブロードキャストを開始する必要があります。ブロードキャストはマシン 2 に到達し、マシン 2 は MAC アドレスを返します。 2 つのスイッチ間では何も起こっていないようです。

しかし、問題は、両方のスイッチが依然としてブロードキャスト パケットを受信できることです。

スイッチ A は、最初はどの LAN マシン 2 がオンになっているかわからないため、ブロードキャスト メッセージを LAN 2 に送信します。LAN 2 がブロードキャストすると、スイッチ B の右側にあるネットワーク ポートもブロードキャスト メッセージを受信できます。

スイッチ B はこのブロードキャスト情報を LAN 1 に送信します。LAN 1 のブロードキャスト メッセージは、スイッチ A の左側のインターフェイスに到達します。

この時点では、スイッチ A はまだどの LAN マシン 2 がオンになっているかがわからないため、ブロードキャスト パケットを LAN 2 に転送します。左に曲がって、左に曲がって、左に曲がって、ぐるぐる回っているように見えます。

両方のスイッチが徐々にトポロジーを学習できるようになれば、すべてうまくいくだろうと言う人もいるかもしれません。

考えてもみなければ、まったく学べません。マシン 1 のブロードキャスト パケットがスイッチ A とスイッチ B に到達すると、両方のスイッチはマシン 1 が LAN 1 にあることを認識します。ただし、スイッチ A がパケットを LAN 2 にブロードキャストした後、スイッチ B の適切なネットワーク ポートはスイッチ A からのブロードキャスト パケットを受信します。

学習メカニズムによると、これによりスイッチ B の 3 つのビューが完全に破損しました。マシン 1 は左側のネットワーク ポートにあったのに、なぜ右側のネットワーク ポートに表示されたのでしょうか。ああ、マシン 1 の位置が変わったために誤解が生じ、スイッチ B はマシン 1 が正しいネットワーク ポートから来たことを学習し、学習したポートをクリアしたに違いありません。同様に、スイッチ A の右側のネットワーク ポートも、スイッチ B によって転送されたブロードキャスト パケットを受信できます。また、マシン 1 が左側のネットワーク ポートではなく右側のネットワーク ポートから来ていると誤解して学習します。

ただし、ブロードキャスト パケットが左側の LAN からブロードキャストされると、2 つのスイッチはビューを再度更新しました。マシン1は左側にあることが判明しました。しばらくして、彼らはそれが間違っていたことに気づきました。それは右側にありました。しばらくして、彼らはそれがまた間違っていることに気づきました。それは左側にありました。

これはまだ行き来しているパケットです。各マシンはブロードキャスト パケットを送信し、スイッチも転送時にブロードキャスト パケットをコピーします。ブロードキャスト パケットが増えると、前のセクションで説明した道路共有アルゴリズムに従って、道路はますます混雑し、最終的には誰も通行できなくなります。したがって、ループ問題を解決する方法が必ずあるはずです。ループを破るにはどうすればいいですか?

STPプロトコルの概念を理解するのは難しい

データ構造には、最小全域木と呼ばれる手法があります。グラフとは、サイクルを持つグラフです。グラフ内のループを切断すると、ツリーが生成されます。コンピュータ ネットワークでは、スパニング ツリー アルゴリズムは STP (Spanning Tree Protocol) と呼ばれます。

STP プロトコルは比較的複雑で、最初は理解するのが難しいですが、実際には華山での血みどろの武術競技、または剣の戦いであり、最終的に五山のリーダーを決定します。

STP プロトコルには多くの概念があり、翻訳は非常に困難ですが、一度例え話をすると簡単に理解できます。

• ルート ブリッジ (ルート スイッチとも呼ばれます)。これは比較的理解しやすく、木のボス、マスター、最大の兄弟である「マスター」スイッチに例えることができます。
• 指定ブリッジ。指定スイッチと翻訳されることもあります。これは少し理解しにくいですが、木の枝である木の「弟」として想像することができます。いわゆる「指定」とは、誰を兄として選んだとしても、他のスイッチはこのスイッチを介してルートスイッチに到達することを意味し、それは彼を兄として崇拝することと同等です。ここでは葉ではなく枝であることに注意してください。なぜなら、葉が宿主となることが多いからです。
• ブリッジ プロトコル データ ユニット (BPDU)、ブリッジ プロトコル データ ユニット。それは「互いの強みを比較する」という合意にたとえることができます。武術の世界で活躍する上で重要なのは、武術のスキルと強さです。 2 つのスイッチが出会うとき、つまり接続されるとき、それらの内部強度を相互に比較する必要があります。 BPDU を送信できるのはリーダーのみであり、リーダーに属するスイッチはリーダーの指示を伝えることしかできません。
• 優先ベクトル、優先ベクトル。強さに例えることができます（値が小さいほど良い）。強さとは何でしょうか？これは、[ルート ブリッジ ID、ルート パス コスト、ブリッジ ID、ポート ID] の ID 番号のセットです。なぜこのように設計されているのでしょうか?強さをどのように比較するかによって変わるからです。

まずルートブリッジ ID を確認します。ボスのIDを取り出して確認し、それが宗派の長と同じであれば、私たちは兄弟です。次に、ルート パス コスト、つまり私と上司との距離を比較し、つまり宗派の長との関係を比較して、同じ宗派内で誰が上司とより親密な関係にあるかを確認します。最後に、ブリッジ ID を比較し、自分の ID を比較し、自分の能力を比較します。

STP はどのように機能しますか?

次に、STP の動作プロセスを見てみましょう。

当初、武術界には争いと混乱がありました。誰もが自分がリーダーだと思っており、誰も他人に従う気はありません。その結果、すべてのスイッチは自身をボスとみなし、各ブリッジに ID が割り当てられます。この ID には、管理者によって割り当てられた優先度が含まれます。もちろん、ネットワーク管理者はどのスイッチが高価でどのスイッチが優れているかを知っているので、それらに高い優先順位を割り当てます。この種のスイッチは、喬峰のように、高い武術スキルから生まれます。

彼らは全員リーダーであり、ネットワーク ケーブルで互いに接続されているため、BPDU を互いに送信してカンフーで競争することができます。比較してみると、あるものは岳不群であり、あるものは馮不平であることがわかります。勝者はリーダーとなり、負けた者は弟となる。リーダーは BPDU を送信し続けますが、敗者にはチャンスがありません。ノードは、リーダーから送信された BPDU を受信したときにのみそれを転送し、命令に従っていることを示します。

数字は優先順位を示します。この図のように、5と6が出会うと、6は優先順位が低いので、弟のような役割を果たします。こうして、5 をリーダー、6 を弟とする小さな宗派が形成されました。他にも1-7、2-8、3-4などの小宗派も誕生しました。その結果、武術界には多くの小流派が生まれ、その後小流派は合併していきました。

マージ処理の結果、次の 4 つの状況が発生する可能性があります。これらを 1 つずつ紹介します。

シナリオ1: リーダーがリーダーと出会う

5 が 1 に出会うと、リーダーはリーダーに会い、1 は自分がリーダーだと思い、5 は他の人との PK を終えてリーダーになります。二人の名人が腕を競い合い、最終的に勝者が出た。そして、負けたリーダー 5 は、すべてのフォロワーを降伏に導きます。その結果、私は偉大なリーダーになります。

シナリオ2: 同じ学校の友達との出会い

弟子同士の出会いは、指導者と弟たちとの出会いでもあり、「サークル」の存在を示しています。この弟は他のチャンネルを通じてあなたの弟子になったのですが、あなたは彼のことを知らないので、彼とPKを始めます。その結果、リーダーは、この弟は優れたカンフーを持っており、そのような低いランクであるべきではないと判断し、彼を弟子として採用し、直接指導しました。これは、この弟にとって昇進に相当しました。

もう一度見てみましょう。1と6が出会うかどうかです。 6はもともと1の弟子でしたが、6の上司は5で、5の上司は1でした。1は、6が私からわずか2離れており、5から来た5（=4+1）よりもはるかに近いことを発見したので、6は私に直接報告するべきです。したがって、5 と 6 はそれぞれ 1 に報告します。

同級生との出会いは、弟との出会いにもなり得ます。このとき、誰がリーダーとより近い関係にあるかを比較する必要がありますが、当然、より近いのは長男になります。たった今、5と6が同時に1に報告しました。その後、5 と 6 が自分たちの努力を比較したところ、5 が 1 に直接報告する場合、距離は 4 であることがわかりました。5 が 6 に報告し、6 が 1 に報告する場合、距離は 2+1=3 のみでした。つまり、5 は単純に 6 を自分の上司として崇拝したのです。

シナリオ3: リーダーが他のギャングのメンバーと会う

私は自分のギャングのリーダーとこのリーダーを比べて私が勝ったので、このリーダーは私の弟子になりました。負けた場合は、彼らが新しいリーダーとなり、徐々に彼らと繋がっている兄弟たちを味方につけ、一緒に闇から光へと変わっていくでしょう。

たとえば、7 が弟で 2 がリーダーであるにもかかわらず、2 と 7 が出会います。個人の武術では2の方が7より強いが、7のリーダーは2より強い1である。そのため、2は7の宗派に加わり、弟たちも引き入れるしかない。

シナリオ4: 異なる弟子たちが出会う

彼らはそれぞれの宗派の指導者と自分を比較し、敗者は勝者の宗派に加わり、徐々につながりのある兄弟たちを光に引き渡しました。

たとえば、5 と 4 が出会います。 4 の武術は 5 より優れていますが、5 のリーダーは 4 よりも強力な 1 であるため、4 は 5 の宗派に参加します。その後、3と4が出会ったとき、3は4が自分を裏切っていたことを知りました。 4 人は言いました。「今は私がボスで、1 人はあなたよりも優れています。あなたも来ませんか?」それで3も1の弟子になった。

やがて一本の木が生まれ、武術界は統一され、世界は平和になりました。しかし、世界の一般的な傾向としては、長い分裂の期間の後には統一が起こり、長い統一の期間の後には分裂が起こります。世界が長い間統一されれば、それに応じた問題も生じるでしょう。

放送とセキュリティの問題をどのように解決するのでしょうか?

結局、機械やスイッチが増えたのです。スイッチがハブよりもスマートであっても、ブロードキャストの問題は残ります。マシン数が多く、関連部門と無関係部門が多いと、ブロードキャストが多くなり、パフォーマンスが低下します。

会社と同じように、事業を始めるときには、会議室に10～20人が集まって話し合うので、とても便利です。しかし、会議室に 50 人が集まって議論を交わすと、混乱が生じます。

あなたの会社にはさまざまな部署があり、その中には昇進や昇給などの事柄を必ず話し合うことになる人事部など、機密性を保つ必要がある部署もあります。

これらは同じブロードキャスト ドメイン内にあるため、多くのパケットがローカル エリア ネットワーク内を巡回することになります。パケットをキャプチャする方法を知っているプログラマーがいれば、これらのパケットをキャプチャできます。暗号化されていない場合は、機密情報を見ることができます。

もう一度上記の例を見てみましょう。会議室では 50 人が会話をしており、そのうち 2 人は人事担当者です。彼らが議論している問題は、他の人にも聞かれたに違いない。

何をするか？部門や会議室に分けます。それでは、どのように分割するかを見てみましょう。

分割方法は 2 つあり、1 つは物理的な分離です。各部門には個別の会議室があります。ネットワーク面では、各部門に個別のスイッチと個別のサブネットがあるため、部門間の通信にはルーターが必要です。ルーターについてはまだ話していませんが、後で話します。

問題は、一部の部門にはより多くの人材がいて、一部の部門にはより少ない人材がいることです。人員の少ない部署では徐々に人員が増え、人員の多い部署でも人員がどんどん減っていく可能性があります。各部門に個別のスイッチがある場合、ポートが多すぎると無駄になりますが、少なすぎると不十分になります。

もう 1 つの方法は仮想分離です。これは、VLAN (仮想ローカル エリア ネットワーク) と呼ばれることもあります。 VLAN を使用すると、複数の LAN に属するマシンが 1 つのスイッチに接続されます。スイッチはどのマシンがどの LAN に属しているかをどのように区別するのでしょうか?

合計 12 ビットの VLAN ID を含む元のレイヤー 2 ヘッダーに TAG を追加するだけで済みます。なぜ 12 ビットなのでしょうか? 12 ビットを 4096 個の VLAN に分割できるためです。これで十分ではないですか?現状では、クラウド コンピューティング ベンダーのユーザーは確実に 4096 社を超えていることがわかります。もちろん、各ユーザーには VLAN が必要です。何をするか？これについては次の章で説明します。

購入したスイッチが VLAN をサポートしている場合、スイッチがレイヤー 2 ヘッダーを削除すると、VLAN ID を識別できるようになります。この方法では、同じ VLAN のパケットのみが相互に転送され、異なる VLAN のパケットは表示されません。このようにして、放送とセキュリティの両方の問題を解決できます。

スイッチの各ポートが属する VLAN を設定できます。

プログラマーが特定のポートに座っている場合、そのプログラマーは VLAN 10 に属します。人事担当者が特定のポートに座っている場合、その担当者は VLAN 20 に属します。財務担当者が特定のポートに座っている場合、その担当者は VLAN 30 に属します。

この方法では、スイッチは財務部門から送信されたパケットのみを VLAN 30 のポートに転送します。プログラマーは、VLAN 10 を監視するだけです。コード以外は何もありません。

さらに、スイッチの場合、各 VLAN ポートをリセットできます。財務担当者が退職すると、その担当者が作業していたポートは VLAN 30 から削除されます。その後、プログラマーが来て財務担当者の役職を引き継ぎ、ポートを VLAN 10 に設定します。これは非常に柔軟性の高い機能です。

スイッチをどのように接続するのかと疑問に思う人もいるかもしれません。 2 つのスイッチを接続するポートにはどのような VLAN を設定すればよいですか? VLAN をサポートするスイッチには、トランク ポートと呼ばれるポートがあります。任意の VLAN に属するポートを転送できます。このポートを介してスイッチを相互に接続できます。

さて、多数のスイッチを接続する問題が解決されたので、オフィスの問題も解決されたようです。ただし、これは一般的に複雑なシナリオにすぎません。デスクトップであれ、ラップトップが接続されているネットワークであれ、アクセスできるネットワークには帯域幅や高可用性などに対する高い要件がないためです。何か問題が発生してしばらくインターネットにアクセスできなくなっても、大きな問題にはなりません。

私たちは寮や学校、オフィスにいるときに、決して「ダウン」しないようなウェブサイトを頻繁に訪れます。なぜなら、これらの Web サイトはすべてデータ センターと呼ばれる場所にあり、オンラインの世界はさらに複雑になっているからです。次の章で詳しく説明します。

まとめ

さて、このセクションはこれで終わりです。ここで要約してみましょう:

• スイッチの数が増えるとループ問題が発生し、ネットワーク パケットが失われる原因になります。これには STP プロトコルの使用が必要です。華山剣勝負の方法により、ループのあるグラフをループのないツリーに変換することができ、ループの問題を解決できます。
• スイッチの数が多いと分離の問題が発生します。 VLAN を使用すると、仮想 LAN を形成して、ブロードキャストとセキュリティの問題を解決できます。