レイヤ3スイッチの仕組み - VLANとVLAN間ルーティング(前)

企業の社内LANは、主にレイヤ3スイッチとレイヤ2スイッチで構成されている。社内LANを効率よく設計、構築、運用管理をするためには社内LANを構成する機器、とりわけレイヤ3スイッチの仕組みをしっかりと理解しておくことが重要だ。

ここでは、2回構成でレイヤ3スイッチの仕組みと実際の設定を解説する予定だ。まず、前編はレイヤ3スイッチの仕組みとしてVLANとVLAN間ルーティングについて解説する。

レイヤ3スイッチの概要

まずは、レイヤ3スイッチとはどんなネットワーク機器であるかという概要を見ていこう。企業のLANの構成はケースバイケースだが、複数のネットワークから構成される。たとえば、営業部、人事部などの部署ごとにネットワークを分割する。レイヤ2スイッチでネットワークを分割するための機能が、このあと解説するVLANだ。VLANによって、LANの中を部署ごとなどの自由な構成単位でネットワークを分割することができる。

気をつけなければいけないのは、VLANによって分割したネットワーク間は通信できなくなる。部署間の通信ができなくなってしまっては業務にならない。そこで、VLANで分割したネットワーク同士を相互に接続してVLAN間の通信ができるようにしなければならない。そのためのネットワーク機器がレイヤ3スイッチだ。レイヤ3スイッチとは、VLAN同士を接続してVLAN間の通信を行うためのネットワーク機器である。以降で、詳しくレイヤ3スイッチの仕組みを解説していこう。

VLAN(Virtual LAN)

レイヤ3スイッチの仕組みを理解する上で、VLANは非常に重要だ。VLANはレイヤ2スイッチで仮想的にネットワークを分割する技術だ。もっと直感的にわかりやすく言うと、VLANとは1台のレイヤ2スイッチを仮想的に複数に分割する。以下の図にVLANの仕組みを簡単にまとめている。

図2では、1台のレイヤ2スイッチにPC1～PC4が接続されている。レイヤ2スイッチでVLAN10とVLAN20の2つのVLANを作成すると、レイヤ2スイッチは2台に分割されることになる。そして、VLANごとにポートの割り当てを行う。図では例としてVLAN10のポートとしてポート1とポート2を割り当て、VLAN20のポートとしてポート3とポート4を割り当てている。

こうしてレイヤ2スイッチでVLANを作成しポートを割り当てると、同じVLANのポート間のみが通信できる。つまり、VLAN10のPC1とPC2間は通信可能だ。同様にVLAN20のPC3とPC4間は通信可能だ。しかし、異なるVLAN間の通信はできなくなる。すなわち、PC1またはPC2からPC3またはPC4への通信はできない。

以上のように、VLANを作成するとレイヤ2スイッチを仮想的に分割して、直接通信できる範囲を限定する。つまり、ネットワークを分割する。いくつVLANを作成するか、どのポートをどのVLANに割り当てるかは自由に設定できる。VLANによって、物理的な配線を変えずとも、自由に直接通信できるポートのグループを決めることができるので、ネットワーク構成を柔軟に決められる。

トランクポート

VLANは1台のスイッチだけではなく複数のスイッチをまたがって構成することできる。複数のスイッチをまたがってVLANを構成する際には、スイッチ間をトランクポートで接続する。トランクポートとは、VLANごとに分割して利用できるポートだ。

図3では、2台のレイヤ2スイッチL2SW1とL2SW2にまたがってVLAN10とVLAN20を構成している例だ。L2SW1のポート1に接続されているPC1とL2SW2のポート2に接続されているPC2が同じVLAN10に所属する。そして、L2SW1のポート3に接続されているPC3とL2SW2のポート4に接続されているPC4が同じVLAN20に所属する。L2SW1とL2SW2はそれぞれのポート5で接続している。そして、ポート5はトランクポートとしている。

VLANを作成することはスイッチを分割することなので、L2SW1、L2SW2はそれぞれ2台に分割される 。

L2SW1→L2SW1(VLAN10)、L2SW1(VLAN20)
L2SW2→L2SW2(VLAN10)、L2SW2(VLAN20)

そして、トランクポートとしているポート5は、VLANごと分割した複数のスイッチそれぞれのポートとなる。L2SW1のポート5は、L2SW1(VLAN10)のポートであり、L2SW1(VLAN20)のポートだ。つまり、ポート5はVLANごとに分割される。L2SW2のポート5も同様だ。

トランクポートであるポート5はVLAN10のデータもVLAN20のデータも転送されることになる。VLAN10とVLAN20を区別しなければいけないので、トランクポート上で転送されるデータにはどのVLANのデータであるかを表すVLANタグが付加されることになる。VLANタグを付加することからトランクポートのことをタグVLANと呼ぶ場合もある。

VLAN間ルーティング

さて、VLANによってネットワークを分割する様子を見てきたが、VLAN間の通信はできなくなってしまう。社内LANでは、営業部、人事部といった部署ごとにネットワークを分割しているケースが多いだろう。部署ごとにVLANでネットワークを分割することができるが、部署間で通信ができなくなってしまってもよいだろうか? 当然、よくない。部署間の通信も必要になるはずだ。

部署間、つまり、VLAN間で通信するためにはVLANを相互に接続する必要がある。レイヤ3スイッチが開発される以前は、VLANを相互に接続するためにはルータを利用している。ルータは異なるネットワークを相互接続するネットワーク機器であるからだ。なお、VLANを相互接続して、VLAN間の通信ができるようにすることをVLAN間ルーティングと呼ぶ。

ルータによるVLAN間ルーティングは、レイヤ2スイッチとルータをトランクポートで接続する。ルータは基本的に1つのポートで1つのネットワークを接続する。複数のVLANがある場合は、ルータに複数のポートが必要になるが、トランクポートで接続することで1つのポートを複数に分割して利用することができる。次の図は、レイヤ2スイッチのVLAN10とVLAN20をルータで相互接続する様子を表している。

ルータ側では分割したポートが対応するVLANとIPアドレスの設定を行う。ルータのポートにIPアドレスを設定することで、ルータはネットワークを接続する。ポート1をVLAN10用のポート1.1に分割し192.168.10.1/24というIPアドレスを設定している。そして、VLAN20用にポート1.2に分割し192.168.20.1/24というIPアドレスを設定している。設定するIPアドレスは管理者が自由に決めればよい。そして、各PCにはIPアドレスとデフォルトゲートウェイとして同じVLAN上のルータのIPアドレスを設定する。

このようにしてルータによってVLANを相互接続した場合、VLAN間の通信のデータはルータとスイッチ間を往復することになってしまう。ルータとスイッチ間のリンクに負荷がかかり、ボトルネックとなってしまう可能性がある。ルータを利用するVLAN間ルーティングのボトルネックを解消するためにレイヤ3スイッチが開発されるようになった。

レイヤ3スイッチ

ようやく本題のレイヤ3スイッチだ。レイヤ3スイッチはVLAN間ルーティングのルータとレイヤ2スイッチを1つのハードウェアとしてまとめたものだ。レイヤ3スイッチの見た目は、レイヤ2スイッチと同じだ。たくさんのイーサネットポートを持っている。レイヤ2スイッチの機能としてVLANを作成しネットワークを分割できる。そして、ルータの機能としてVLAN同士をレイヤ3スイッチの内部で相互に接続してVLAN間ルーティングを行うことができる。こうしたルータの機能はハードウェアとして実装されているので、高速なVLAN間ルーティングできる。外部のルータを利用するときのようなボトルネックの心配をする必要がない。

レイヤ3スイッチを設定する上でのポイントは、IPアドレスをどこに設定するかということだ。VLAN、つまりネットワークを接続するとは、IPアドレスを設定することだ。レイヤ3スイッチでは、内部にVLANインタフェースを作成してIPアドレスを設定する。次の図は、レイヤ3スイッチにおけるIPアドレスの設定について表している。

この図は、図3のルータとレイヤ2スイッチを1台のレイヤ3スイッチに置き換えたものだ。PC1とPC2が接続されるポート1、ポート2がVLAN10のポートで、PC3とPC4が接続されるポート3、ポート4がVLAN20のポートである。VLAN10とVLAN20をレイヤ3スイッチの内部ルータで相互に接続している。そのために、内部ルータにはVLAN10とVLAN20のVLANインタフェースを作成して、それぞれIPアドレスの設定を行っている。また、レイヤ3スイッチのポートそのものにIPアドレスを設定することも可能だ。

まとめ

レイヤ3スイッチの仕組みを理解する上でVLANについて振り返り、レイヤ3スイッチによってVLANを相互に接続する様子を解説したが、いかがだろうか。前述のようにレイヤ3スイッチのどこにIPアドレスを設定するかが重要なポイントとなる。

次回の後編では、ネットギアのレイヤ3スイッチ使って、VLAN間ルーティングの設定を実際に行っていく。ネットギアのレイヤ3スイッチの設定だけではなくCisco Catalystスイッチとの相互接続の検証も行う予定だ。