[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

VLANの基本的な仕組みを攻略する特集:ネットワーク構築の基本はVLANから(1)

» 2005年06月04日 00時00分 公開
[渡邉利和@IT]

VLANの目的とは?

 VLANとは“Virtual LAN”の意味だが、実際には「仮想サブネット」といい換えた方がイメージしやすいかもしれない。一般にVLANという場合、スイッチの内部で複数のネットワークに分割する機能のことを指す。すでに定着した技術だが、無線LANの利用拡大やVoIPのような新しいネットワーク・アプリケーションの普及、セキュリティに対する関心の高まりなどの理由により、最近あらためて注目されている。ここでは、VLANの基本的な知識を再確認し、その実情を把握する一助としたい。

 VLANの使用目的は、「ネットワークを任意に分割する」ことである。「EthernetはCSMA/CD方式のネットワークなので、ノードが増えると急速にパフォーマンスが劣化する」というのは、技術的にはいまでも同じだが、利用の現実からするともう過去の話になったといっても過言ではないだろう。シェアードハブの利用が激減した結果、ユニキャストのパケットがネットワーク全体の混雑を引き起こすことはまずなくなった。とはいえ、ブロードキャストはスイッチングハブでも全ポートに転送されるため、ブロードキャスト・パケットが大量に使われるネットワークでは、混雑を避ける工夫が必要になる。

 ブロードキャストはネットワーク全体に送られるため、ブロードキャストの影響を避けるには、ネットワークを分割するのが有効だ。一般にサブネット分割と呼ばれる手法でブロードキャスト・パケットの到達範囲(ブロードキャスト・ドメイン)を区切ることで、あるネットワークがブロードキャストの影響で混雑し始めても、ほかのネットワークには影響が及ばないようにできる。

 サブネット分割の問題点は、ネットワークの物理的な接続、つまりケーブリングやスイッチ/ハブの配置に影響を与える点だ。

 一般的なスイッチ/ハブでは、全体が1つのネットワークとなる。このため、例えば従来64ポートのスイッチ1台で構成されていた部門内ネットワークを2つのサブネットに分割しようとすると、64ポートのスイッチを撤去して32ポートのスイッチ2台に置き換えることになる。ネットワークの分割作業が常に物理的な機器の入れ替えやトポロジを伴うとなると、運用管理の負担がばかにならず、柔軟な変更は難しくなる。VLANは、スイッチの分割をスイッチ内部で仮想的に実現することで、ネットワーク分割の作業と物理的な接続状況とを分離することで、ネットワーク構成に柔軟性をもたらすのである。

 ネットワーク分割のメリットは、単に混雑の回避にとどまらない。ネットワークの利用法やセキュリティ・レベルの違いなどに応じて、ネットワークの特定の部分にのみ特定の運用ポリシーを適用する、といった場合にも、ネットワークの分割が必要となる。この利用法は現在のVLANでは中心的な用途に成長しつつあるが、VLANの具体的な利用のパターンについては、回を改めて説明する予定だ。

VLANの実装技術

 VLANの本質が、スイッチ内部でのネットワーク分割であると考えるのであれば、最も単純な実装方法は、スイッチの内部に「仕切り」を入れてやることだろう。単純に、1台のスイッチを複数台のスイッチに分割するだけでも、ネットワーク分割の目的は達成できる。

図1 スイッチの内部に仕切りを入れてやるもっとも単純なネットワーク分割方式 図1 スイッチの内部に仕切りを入れてやるもっとも単純なネットワーク分割方式

 この場合、考え方としては個別に独立した複数のスイッチ、という考え方になるので、分割されたそれぞれの部分を個別にルータに接続して相互に連結しないと、通信を維持した分割ではなく、単なる分断になってしまう。しかし、ネットワーク管理の観点からは、実態としては大きな1台のスイッチを小さな複数のスイッチでリプレースしたのと同じことであり、分かりやすい方式だといえるだろう。実際のリプレースと比べると、機器を買い直す必要がないことや、分割の切れ目を任意に設定できる自由度が確保できるといった点がメリットとなる。

 次に、ポートVLANという方式がある。こちらは、スイッチのポートごとに「どのVLANに所属するか」を設定できるもので、構成の自由度が大幅に向上する。さらに、この方式は、IEEE 802.1Qで標準化されたVLANタグの技術と組み合わせることで、スイッチをまたぐような柔軟なVLAN設定にも対応させて使われる例が多い。現在のVLANの主流ともいえる方式だ。

図2 ポートごとにVLAN設定が行える 図2 ポートごとにVLAN設定が行える

 ポートごとにVLAN設定を行えることで、ケーブリングを一切変更せず、ネットワーク分割のやり方だけを変更する、といった使い方が実現できる。例えば、オフィス内の人事異動などでこれまでとは所属するグループが変わったという場合でも、ユーザーのPCが接続されているポートのVLAN設定を変更するだけで任意のグルーピングを実現できる。

 IEEE 802.1Qでは、VLANの実装を標準化し、複数のスイッチにまたがるVLANの実現を可能とするためのVLANタグの標準が決まった。VLANタグはEthernetフレームのヘッダに追加され、フレームがどのVLANに属するかを識別するためのID情報を含んでいる。このIDを手掛かりに、各スイッチはフレームを適当なポートに送ることができる。VLANがスイッチ内部で完結せず、複数のスイッチをまたぐ場合にも、複数のスイッチ間で共通のIDが使われていれば、どのVLANに属するフレームなのかという情報が伝達されることになるので、VLANはスイッチの境界を越えて任意に拡大できる。ベンダ各社はIEEE 802.1Qをサポートしているため、現在では異なるベンダ製のスイッチを混在させていても、相互にまたがるVLANを構築することができるようになっている。

図3 VLANタグにより複数のスイッチをまたぐVLANが構築できるようになった 図3 VLANタグにより複数のスイッチをまたぐVLANが構築できるようになった

 このほか、現在は廃れつつある技術だが、プロトコルVLANというものもある。やはりEthernetフレームのヘッダに注目する技術だ。Ethernetのフレームヘッダには、フレームタイプという16ビットのフィールドがあり、そのフレームに格納されている上位プロトコルが識別できるようになっている。例えば、IPとIPX、AppleTalkといった異なるネットワークプロトコルの通信をEthernetフレームのレベルで識別することができるのである。プロトコルVLANはこの情報を使い、ネットワークプロトコルごとに異なるVLANを定義できる。例えば、IPではスイッチ内部に2つのVLANを設定して分割を行うが、IPXプロトコルに関しては分割せずに全体を1つのネットワークとして扱う、といった設定ができるのである。複数のプロトコルを併用しているネットワークでは便利な機能だが、現在は事実上TCP/IP以外のネットワークプロトコルは使われなくなったといってもよい状況であるため、有用性は薄れている。

図3 IPとIPX、AppleTalkといった異なるネットワークプロトコルの通信をEthernetフレームのレベルで識別する 図3 IPとIPX、AppleTalkといった異なるネットワークプロトコルの通信をEthernetフレームのレベルで識別する

 最後に、認証VLANと呼ばれるやり方もある。これは、IEEE 802.1xなどの認証機構と組み合わせて利用するものだ。802.1xでは、クライアントがアクセスしてきた段階でまず認証を行い、認証に成功したら、ユーザーごとに設定されたポリシーを適用する、という動作が可能になる。これをVLANと組み合わせれば、ユーザー認証が成功した段階でユーザーがどのVLANに所属すべきかを決定できるので、この段階でユーザーがアクセスしてきたポートを特定のVLANに組み込むという、動的なVLAN構成が実現するわけだ。セキュリティを重視する用途向けに、ベンダ各社はこの方式のVLANの提供を強化しており、急速に広がりつつある方式である。VLANのセキュリティの関連については、回を改めて再度詳細に取り上げる予定だ。

VLANを活用する

 VLANは、機能としては「ネットワークを分割する」という比較的単純なものであり、技術的には特に難しいところはないといえる。分割されたVLANは、それぞれ適切なネットワークアドレスが設定されている限り、標準的なルーティング機構を用いて相互接続できるので、ネットワーク管理の観点からも特別な要素は増えるわけではないといえる。問題があるとすれば、ケーブルをたどる、という物理的に分かりやすい手掛かりを使ってネットワークトポロジを把握することができなくなるので、適切なドキュメント化がなされていないと現状把握すら困難になる可能性があることだろうか。

 とはいえ、VLANのネットワーク分割の機能は、VoIPサービスのためにネットワークにQoSに基づく優先度のレベル分けを導入するとか、セキュリティを向上させ、パケット盗聴の可能性を大幅に低減する、ユーザーが接続する場所を移動しても常に同じ環境にアクセスできるようにする、といった最近需要が高まりつつあるさまざまな用途を実現するための基礎技術として利用されつつある。単にVLAN実装の技術に注目するのではなく、用途と組み合わせた現実の応用形態が重要なのである。

 次回はVoIPとVLANにスポットを当て、最終回ではネットワーク・セキュリティとVLANをテーマに3回連載でVLANを深く見ていく。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。