さらなるVLANの仕組みを理解するため、VLAN関連の技術の仕組みとネットギアのレイヤー2スイッチおよびレイヤー3スイッチの設定例を紹介していこう。
今回から紹介するVLAN関連の技術を利用すると、次の図のように単一のネットワークを複数に分割できる(ポートベースVLAN/タグVLAN)。そして、分割したネットワークを相互接続して、ネットワーク間の通信も可能だ(VLAN間ルーティング)。また、同一VLANのポート間のアクセス制御を行い、セキュリティを確保することもできる(プライベートVLAN)。今回扱うのは、「ポートベースVLAN」だ。
|
図1 VLAN関連の技術によるネットワーク構成の変更 |
ポートベースVLAN
VLANの仕組みをしっかりと理解するには、スイッチの内部のVLANとポートの対応を意識することが重要だ。特別な設定をしなければ、レイヤー2スイッチにはデフォルトでVLAN1があり、すべてのポートはVLAN1に割り当てられている。すべてのポートはVLAN1のポートなので、すべてのポート間でのイーサネットフレームの転送ができる。
必要に応じて、レイヤー2スイッチ内部にVLANを作成する。ただ、新しく作成したVLANにはポートが割り当てられていない状態だ。新しく作成したVLANにポートを割り当てるという設定作業を行う。
|
図2 VLANの作成とポートの割り当て |
VLANにポートを割り当てるための設定方法として、
・ポートベースVLAN(スタティックVLAN)
・ダイナミックVLAN
がある。
ポートベースVLANは、名前のとおり、レイヤー2スイッチのポートに基づいてVLANの割り当てを行う方法だ。ポート1はVLAN1、ポート2はVLAN2、ポート3はVLAN5、ポート4はVLAN10・・・というようにポートとVLANの対応を設定する。ポートとVLANの対応が固定されることになるので、ポートベースVLANはスタティックVLANとも呼ぶ。
|
図3 ポートベースVLAN |
ダイナミックVLANは、ポートの先に接続されるホストに応じて、自動的にポートに割り当てられるVLANを決定する。VLANを決定するための情報として、ホストのMACアドレスやIPアドレス、ホストを利用するユーザ名などがある。ダイナミックVLANであれば、ホストを接続するポートを変更しても、自動的に同じVLANに割り当てられるようになる。ただし、有線LANの配線は、そうそう頻繁に変更されるものではない。そのため、一般的なVLANにポートを割り当てる方法としては、ポートベースVLANを利用する。
ネットギアスイッチのポートベースVLANの設定
ネットギアのレイヤー2スイッチ、レイヤー3スイッチでポートベースVLANの設定を行っていこう。設定を行う前に、どのような構成にするかを考えなければいけない。冒頭の図のようにレイヤー2スイッチとレイヤー3スイッチでネットワークを構成していても、デフォルトでは1つのネットワークとなる。レイヤー3スイッチは特に設定しなければ、レイヤー2スイッチとして動作するからだ。
1つのネットワークからVLANによって、サーバネットワークとクライアントネットワーク1、クライアントネットワーク2の3つのネットワークに分割する。VLANはVLAN番号で識別し、さらにネットワークアドレスに対応づける。VLAN番号とネットワークアドレス、割り当てるポートを以下の表にまとめている。
表1 ポートベースVLANの設定内容
| ネットワーク | VLAN番号 | ネットワークアドレス | ポート |
|---|---|---|---|
| サーバネットワーク | 100 | 192.168.100.0/24 | L3SW ポート1、ポート2 |
| クライアントネットワーク1 | 10 | 192.168.10.0/24 | L2SW ポート1 |
| クライアントネットワーク2 | 20 | 192.168.20.0/24 | L2SW ポート2 |
ポートベースVLANの設定は、
1.VLANの作成
2.VLANにポートを割り当て
という手順で行う。
L2SW(M4100-50G)もL3SW(M5300-28G3)もWebブラウザをインタフェースとしてGUIで同じように設定できる。
L2SWのポートベースVLANの設定
まず、L2SWの設定を行っていこう。VLANの作成は、[Switching]→[VLAN]→[Advanced]→[VLAN Configuration]から行う。作成するVLAN番号と必要ならばVLAN名を入力して[ADD]をクリックすると、指定したVLAN番号のVLANを作成できる。
|
図4 VLANの作成(L2SW) |
そして、VLANにポートを割り当てるには、[Switching]→[VLAN]→[Advanced]→[VLAN Membership]から行う。ポートを割り当てるVLANをドロップボックスから選択して、割り当てるポートに対して[U]を指定する。[U]はUntagged Portを意味し、VLANタグを付けずにポートから割り当てたVLANのイーサネットフレームを転送できるようにする。
|
図5 VLANにポートの割り当て(L2SW) |
そして、さらにポートのPVIDの設定を行う。PVIDはタグがついていないフレームを扱うデフォルトのVLANを意味する。[Switching]→[VLAN]→[Advanced]→[Port PVID Configuration]からポートを選択してPVIDとして割り当てたVLAN番号を指定する。
|
図6 L2SW PVIDの設定 |
|
図7 L2SW ポートベースVLAN設定完了時のVLAN Status |
CLIでの設定
L2SWでのCLIの設定も紹介しておこう。L2SWでCLIによってVLANの作成とポートの割り当てを行うには、以下のようにコマンドを入力する。
<L2SW VLANの作成>
(M4100-50G) #vlan database
(M4100-50G) (Vlan)#vlan 10
(M4100-50G) (Vlan)#vlan name 10 Client1
(M4100-50G) (Vlan)#vlan 20
(M4100-50G) (Vlan)#vlan name 20 Client2
(M4100-50G) (Vlan)#exit
<L2SW VLANにポートの割り当て>
(M4100-50G) #configure
(M4100-50G) (Config)#interface 0/1
(M4100-50G) (Interface 0/1)#vlan participation include 10
(M4100-50G) (Interface 0/1)#vlan pvid 10
(M4100-50G) (Interface 0/1)#exit
(M4100-50G) (Config)#interface 0/2
(M4100-50G) (Interface 0/2)#vlan participation include 20
(M4100-50G) (Interface 0/1)#vlan pvid 20
(M4100-50G) (Interface 0/2)#exit
(M4100-50G) (Config)#
L3SWのポートベースVLANの設定
L3SWについては、VLAN100を作成し、ポート1、ポート2を割り当ててPVIDを設定する。設定の手順はL2SWと同じだ。設定したあとのVLAN Statusは以下のようになる。
|
図8 L3SWポートベースVLAN設定完了時のVLAN Status |
※M5300-28G3ではAuto VoIP用にデフォルトでVLAN2も存在する
CLIでの設定
L2SWでのCLIの設定も紹介しておこう。L2SWでCLIによってVLANの作成とポートの割り当てを行うには、以下のようにコマンドを入力する。
<L3SW VLANの作成>
(M5300-28G3) #vlan database
(M5300-28G3) (Vlan)#vlan 100
(M5300-28G3) (Vlan)#vlan name 100 Server
(M5300-28G3) (Vlan)#exit
<L3SW VLANにポートの割り当て>
(M5300-28G3) #configure
(M5300-28G3) (Config)#interface 0/1
(M5300-28G3) (Interface 0/1)#vlan participation include 100
(M5300-28G3) (Interface 0/1)#vlan pvid 100
(M5300-28G3) (Interface 0/1)#exit
(M5300-28G3) (Config)#interface 0/2
(M5300-28G3) (Interface 0/2)#vlan participation include 100
(M5300-28G3) (Interface 0/1)#vlan pvid 100
(M5300-28G3) (Interface 0/2)#exit
(M5300-28G3) (Config)#
次の図は、L2SW、L3SWでポートベースVLANの設定を行ったときのスイッチ内部でのVLANとポートの対応をまとめたものだ。
|
図9 ポートベースVLAN設定時のVLANとポートの対応 |
なお、VLANとネットワークアドレスの対応は、それぞれのVLANに接続されたホストやサーバのIPアドレスの設定によって行うことになる。たとえば、VLAN10に接続されているクライアントPCには、VLAN10に対応した192.168.10.0/24のネットワーク内のIPアドレスを設定する。
VLAN10、VLAN20、VLAN100はL3SW内部で相互接続することになる。そのために、L2SW-L3SW間でVLAN10、VLAN20のイーサネットフレームを転送できるようにしなければならない。1つのポートで複数のVLANのイーサネットフレームを転送するためには、タグVLANを利用する。
次回は、タグVLANの仕組みとネットギアスイッチでの設定を解説する予定だ。
まとめ
・レイヤー2スイッチにはデフォルトでVLAN1が存在しすべてのポートがVLAN1に割り当てられている
・新しくVLANを作成し、そのVLANにポートを割り当てることで仮想的にレイヤー2スイッチを分割して扱う。
・VLANにポートを割り当てる方法としてポートベースVLAN(スタティックVLAN)とダイナミックVLANがある。
・ポートベースVLANは、ポートの割り当て方法として一般的に利用されていて、ポートとVLANの対応を固定的に設定する
本稿で使用している製品
|
|
ギガビット50ポート L2+ フルマネージスイッチ「M4100-50G」。製品ページはこちら |
ギガビット24ポート L3 スタッカブル・フルマネージスイッチ(10G)「M5300-28GF3」。製品ページはこちら |
実際の運用では、ポート数を拡張するため、各VLANの配下にファンレス設計で高い静音性を実現するギガビット対応のアンマネージスイッチ(16ポートの「JGS516」や24ポート「JGS524」)を追加して運用するといいいだろう。
軍事とIT 第592回 実は歴史が長い、海底ケーブルを巡る暗闘
