前回まで詳しく解説してきたように、VLANによってレイヤー2スイッチで仮想的にネットワークを分割することができる。どのようにネットワークを分割するかは自由に決められる。企業の社内LANであれば、一般的には、部署ごとやフロアごとにネットワークを分割することが多いだろう。そして、当然ながら、分割したネットワーク間でも通信を行いたいはずだ。他の部署の社員とメールのやり取りなどの通信ができないのでは業務にならない。
レイヤー2スイッチで分割したネットワーク、すなわちVLANは相互接続されていない。VLAN間での通信を実現するには、ルーターまたはレイヤー3スイッチでVLAN同士を相互接続しなければならない。今回は、レイヤー3スイッチでVLANを相互接続して通信を可能にするVLAN間ルーティングの仕組みとネットギアのスイッチでの設定について解説する。
レイヤー3スイッチとは
ルーターはネットワークを相互接続して、ネットワーク間のデータの転送を行うネットワーク機器だ。レイヤー2スイッチでVLANによって分割したネットワークは、ルーターによって相互接続することで、VLAN間の通信ができるようになる。ただし、ルーターを介したVLAN間の通信は、ルーターとレイヤー2スイッチ間のリンクがボトルネックになる可能性がある。また、ルーターを別途接続するとネットワーク構成も複雑になってしまう。
レイヤー3スイッチは、レイヤー2スイッチの内部にルーターの機能を組み込み、ルーターによるVLAN間ルーティングの問題点を解消するネットワーク機器だ。レイヤー3スイッチ単体でVLANを相互接続し、高速なVLAN間の通信が可能になる。
レイヤー3スイッチのデータの転送
まず、レイヤー3スイッチでのデータの転送について考える。レイヤー3スイッチはレイヤー2スイッチの機能も備えている。レイヤー2スイッチのように、同一ネットワーク(VLAN)内であれば、MACアドレスに基づいて適切なポートにデータを転送する。そして、ネットワーク(VLAN)間であれば、IPアドレスに基づいてデータを転送する。次の図は、レイヤー3スイッチによるデータの転送の概要を表しているものだ。
レイヤー3スイッチのIPアドレス設定
ルーターでネットワークを相互接続するには、ルーターのインタフェースにIPアドレスを設定する。レイヤー3スイッチでも同じだ。レイヤー3スイッチでネットワークを相互接続するためには、レイヤー3スイッチにIPアドレスを設定する。レイヤー3スイッチにどのようにIPアドレスを設定するかということは、レイヤー3スイッチの設定を行ううえで重要なポイントだ。レイヤー3スイッチ内に内部ルーターがあり、内部ルーターに対してIPアドレスを設定するようなイメージとなる。レイヤー3スイッチのIPアドレス設定には、次の2通りある。
・レイヤー3スイッチ内部の仮想インタフェース(VLANインタフェース)にIPアドレスを設定する
・レイヤー3スイッチの物理インタフェースにIPアドレスを設定する
まず、レイヤー3スイッチ内部の仮想インタフェースへのIPアドレス設定を解説する。レイヤー3スイッチでもレイヤー2スイッチと同じように内部にVLANを作成して、ポートの割り当てを行う。レイヤー3スイッチ内部には内部ルーターがあり、内部ルーターとVLANを接続することができる。この内部ルーターとVLANを接続するインタフェースがVLANインタフェースだ。VLANインタフェースに対して、VLANに対応したネットワークアドレス内のIPアドレスを設定することで内部ルーターとVLANを接続する。
次に、レイヤー3スイッチの物理インタフェースに対するIPアドレス設定についてだ。レイヤー3スイッチの物理インタフェースにIPアドレスを設定するには、内部ルーターとインタフェースを直結する。内部ルーターと直結しているので、ルーターと同じように物理インタフェースにIPアドレスを設定することができる。なお、内部ルーターと直結しているインタフェースはルーテッドポートと呼ばれる。
次の図は、レイヤー3スイッチのIPアドレス設定の様子を表している。
レイヤー3スイッチにVLAN10とVLAN20を作成している。VLAN10のポートとしてポート1、ポート2を割り当て、VLAN20のポートとしてポート3、ポート4を割り当てている。VLAN10とVLAN20間の通信を行うために、内部ルーターを介して2つのVLANを接続する。そのために、VLANインタフェースを作成する。VLAN10と内部ルーターを接続するためのVLAN10インタフェースを作成して、VLAN10に対応する192.168.10.1/24というIPアドレスを設定している。そして、VLAN20と内部ルーターをVLAN20インタフェースで接続して、VLAN20に対応するIPアドレス192.168.20.1/24を設定している。こうして設定した内部ルーターのIPアドレスは、クライアントPCにとってのデフォルトゲートウェイのIPアドレスとなる。そして、ポート5を内部ルーターと直結してIPアドレス192.168.30.1/24を設定することもできる。
ネットギアスイッチのVLAN間ルーティングの設定
第3回までで設定してきたネットワーク構成について、L3SWでVLAN10、VLAN20、VLAN100を相互接続して、それぞれのVLAN間のルーティングができるように設定していこう。VLAN間ルーティングの設定手順は以下のとおりだ。
1.ルーティングの有効化
2.IPアドレスの設定(VLANインタフェースまたはルーテッドポート)
3.ルーティングテーブルへルート情報の追加
まず、はじめにルーティングを有効にしなければいけない。[Routing]→[IP]→[Advanced Configuration]→[IP Configuration]からRouting ModeをEnableにすれば、ルーティングが有効化される。
続いて、L3SWでVLANを相互接続するためにVLANインタフェースを作成し、IPアドレスを設定する。設定する内容を以下の表にまとめている。
<表 1 L3SWのIPアドレス>
インタフェース | IPアドレス/サブネットマスク |
---|---|
VLAN10 | 192.168.10.1/24 |
VLAN20 | 192.168.20.1/24 |
VLAN100 | 192.168.100.1/24 |
VLANインタフェースにIPアドレスを設定するには、[Routing]→[VLAN]→[VLAN Routing]から行う。VLAN番号を選択して、IPアドレスとサブネットマスクを入力した腕[ADD]をクリックすると、VLANインタフェースが作成されて指定したIPアドレスが設定されることになる。
こうして設定したVLANインタフェースのIPアドレスは、それぞれのVLANに接続されるクライアントPCにとってのデフォルトゲートウェイになる。
そして、ルーティングテーブルを見ると、L3SWで3つのVLANが相互接続されていることがわかる。ルーティングテーブルは、[Routing]→[Routing Table]から見られる。
一連の連載で考えているネットワーク構成では、L3SWに直接接続されているネットワークだけを考えているので、ルーティングテーブルへルート情報の追加のための特別な設定は不要だ。1台のレイヤー3スイッチだけでなく、さらに他のレイヤー3スイッチやルーターが接続されている場合は、スタティックルートやルーティングプロトコルの設定によって、ルーティングテーブルにルート情報を追加する。
また、今回のネットワーク構成ではルーテッドポートの設定は行なっていない。ルーテッドポートの設定を行うときには、[Routing]→[IP]→[Advanced]→[IP Interface Configuration]からポートを選択して[Routing Mode]で[Enable]にする。これがルーテッドポートとして直接IPアドレスを設定するという意味だ。あとは、 [IP Address Configuration Method]に[Manual]を選択して、[IP Address]と[Subnet Mask]を入力する。
CLIでの設定
GUIで設定したL3SWの設定をCLIで行うには、次のようにコマンドを入力していく。
<L3SW VLAN間ルーティングの設定>
(M5300-28G3) #configure
(M5300-28G3) (Config)#ip routing
(M5300-28G3) (Config)#interface vlan 10
(M5300-28G3) (Interface vlan 10)#ip address 192.168.10.1 255.255.255.0
(M5300-28G3) (Interface vlan 10)#exit
(M5300-28G3) (Config)#interface vlan 20
(M5300-28G3) (Interface vlan 20)#ip address 192.168.20.1 255.255.255.0
(M5300-28G3) (Interface vlan 20)#exit
(M5300-28G3) (Config)#interface vlan 100
(M5300-28G3) (Interface vlan 100)#ip address 192.168.100.1 255.255.255.0
(M5300-28G3) (Interface vlan 100)#exit
(M5300-28G3) (Config)#
ここまでの設定によってL3SWの内部で次のように内部ルーターでVLANが接続されていることになる。
この図からさらにシンプルに論理構成としてまとめると、次のようにL3SWでVLANを3つ接続して、それぞれのVLANにクライアントPCやサーバが接続されている。
これで基本的なVLAN間の通信ができるまでの設定はすべて完了だ。クライアントPC、サーバ間の通信もできるようになっている。次回は、この状態からプライベートVLANによるVLAN内のアクセス制御の設定を行う予定だ。
まとめ
・レイヤー3スイッチはレイヤー2スイッチにルーターの機能を組み込んだネットワーク機器である
・同一ネットワーク(VLAN)内のデータはMACアドレスに基づいて転送する。
・異なるネットワーク(VLAN)間のデータはIPアドレスに基づいて転送する
・レイヤー3スイッチには、内部の仮想的なVLANインタフェースにIPアドレスを設定することでVLANを相互接続する
・レイヤー3スイッチの物理インタフェースにIPアドレスを設定することも可能
本稿で使用している製品
ギガビット50ポート L2+ フルマネージスイッチ「M4100-50G」。製品ページはこちら |
ギガビット24ポート L3 スタッカブル・フルマネージスイッチ(10G)「M5300-28GF3」。製品ページはこちら |
実際の運用では、ポート数を拡張するため、各VLANの配下にファンレス設計で高い静音性を実現するギガビット対応のアンマネージスイッチ(16ポートの「JGS516」や24ポート「JGS524」)を追加して運用するといいいだろう。