3.1. VLAN
VLAN(仮想LAN)はスイッチ内部でネットワークを仮想的に分割する技術を指す。
VLANを使用すると1台の物理的なスイッチで仮想的に複数のネットワークを作成できる。つまるところ1台の物理的スイッチにそれぞれ分割したネットワークの数だけ仮想的なスイッチが構成されるイメージとなる。
VLANのメリットは以下の通り。
- 端末の物理的配置に依存しないネットワークの構成が可能
- ブロードキャストドメインの分割が可能
- セキュリティ対策となる
3.1.1. VLANのポート
VLANのポートはどのVLANに属するかによってアクセスポートとトランクポートに分かれる。
アクセスポート
アクセスポートは1つのVLANに属しているポートを指す。 またアクセスポートは通常PCやサーバといった機器が接続されるポートとなる。(デフォルトはVLAN1)
またアクセスポートに接続されたリンクはアクセスリンクと呼ばれる。
スイッチのポートにVLANを割り当てるには2つの方法があり、1つが手動で割り当てるポートベースVLAN(スタティックVLAN)、もう1つが自動で割り当てるダイナミックVLANという。
トランクポート
トランクポートは複数のVLANに属しているポートとなる。
トランクポートにつながっていて複数のVLANが通過するリンクはトランクリンクと呼ばれる。 またトランクポートに接続されるポートは通常、複数のVLANの通信が通過するスイッチ間ポートやルータと接続されているポートとなる。
3.1.2. トランキングプロトコル
トランクポートでは複数のVLANの通信が通過するため、通信を識別する必要はある。そのためトランクリンクではフレームにVLANを識別するための情報としてタグが付加される。方法にはCISCO社独自手法のISLとIEEE802.1Qの2つのプロトコルがある。
ISL
ISLはCISCO社独自定義のプロトコル。 イーサネットフレームの前にISLヘッダを付加し、新しくFCSを再計算し末尾に負荷する構成となる。
ISLでは通常のイーサネットフレームの最大長の1518ByteにISLヘッダとISL FCSを合わせた30Byteを足して1548Byteの大きさとなる。
ISLでは通信対象の機器もCISCO製品である必要がある。
IEEE802.1Q
IEEE802.1Qはイーサネットフレームの送信元MACアドレスとタイプ間にVLANタグを挿入する、タギングプロトコル、と呼ばれる。 IEEE802.1Qでは通常のイーサネットフレームの最大長に4Byteを足した1522Byteとなる。
IEEE802.1QにはNativeVLAN(ネイティブLAN)と呼ばれる機能がある。 これはトランクポートに1つずつ選択でき、ネイティブVLANには指定したVLANからの通信にはタグをつけずに送信し、受信した際にネイティブVLANからの通信と判断する構造となっている。 つまり両スイッチそれぞれでトランクリンクのNativeVLANを合わせておく必要がある。
またIEEE802.1Qのようにフレームにタグフィールドを付加することによって、対向の機器がフレームのVLAN番号を識別できるようにする技術はVLANタギングと呼ばれる。
3.1.3. ベビージャイアントフレームとポートのネゴシエーション
ベビージャイアントフレーム
ISLでは最大サイズが1548Byte、IEEE802.1Qでは最大サイズが1522Byteとなるが、このように通常のイーサネットフレームの最大長より少し大きなフレームサイズはヘビージャイアントフレームと呼ばれる。
1600Byteまでのフレームサイズがこう呼ばれ、それ以上大きいものはジャンボフレームと呼ばれる。
ポートのネゴシエーション
VLANのポートを自動でアクセスポートかトランクポートを決定するネゴシエーションを行うプロトコルにはCISCO独自定義のDTP(Dynamic Trunking Protocol)がある。
DTP有効下ではデフォルトで30秒ごとにマルチキャストアドレス宛てにDTPフレームを送信し、カプセル化/トランクポートにするかどうかネゴシエーションをします。
ポートの動作モードは以下の通り。
| モード | 動作 |
|---|---|
| trunk | トランクポートとして動作 |
| access | アクセスポートとして動作。DTPフレームは自身から送信しない |
| dynamic desirable | DTPフレームを送信しネゴシエーションを行う。対向機器が了承した場合自身もトランクポートとして動作 |
| dynamic auto | 自身からDTPフレームを送信しない。対向機器からネゴシエーションが行われたときにトランクポートとして動作 |
DTPによるネゴシエーションはVLANの情報を同期させるためのプロトコルのVTPのVTPドメイン名が一致しているときに利用可能。
3.1.4. 音声VLAN
VLANはIPテレフォニー(音声データをデジタル変換してIPパケットに格納しIPネットワークで音声通信を可能にする技術)でも使用されている。
IP電話の通信フレームと通常IPデータ通信のフレームを識別するためにVLANが使用される。 データ用のVLANと音声データ用のVLANを用意し通信を分ける機能は音声VLANと呼ばれる。 なおタグ中にはVLAN番号を以外を示す部分にCoSというフレーム優先度を表す値が格納できるようになっている。
パケットに優先順位をつけて通信品質と速度を保証する技術はQoSと呼ばれ、そのためにVLANは使用される技術である。
| トラフィック | 使用するVLAN |
|---|---|
| データトラフィック | Native VLANを使用して伝送 |
| ボイストラフィック | Voice VLANを使用して伝送 |
3.1.5. VTP
VTP(VLAN Trunking Protocol)はCISCO社独自定義のプロトコルでVLANが複数のスイッチにまたがった環境でVLANの管理を簡素化できるというもの。
VTPのバージョンは1,2,3あり、VTPの使用にはバージョンを合わせる必要がある。
VLAN情報の同期
VTPを使用すると、あるL2スイッチでVLANの作成/設定を行うとVLANの情報がトランクリンクを通じマルチキャストで他のL2スイッチに伝搬する。その際にVLANの情報はL2スイッチのデータベースに保存される。
しかしスイッチのデータベースに保存されるのは標準範囲(VLAN 1~1005)までなため、CISCO社製のスイッチではvlan.datというファイル上でフラッシュメモリ上に保存される。
なお情報の同期はスイッチが自動で行うが、その際の最新更新情報の判断にはリビジョン番号が使用される。 これはデータベースに付けられる番号で、VLANの作成/更新/削除を行うと可算されていく。 これにより同期後の変更回数を確認できるためこれを基準に、もっとも大きいリビジョン番号を持つスイッチがを基準に他スイッチが同期をとる。
VTPドメイン
VTPではドメイン単位でスイッチを管理しVLAN間の情報は同じドメインに所属するスイッチ間でしか行わない。 これはVTPドメイン名で判断が可能。 つまり情報の同期を行いたいスイッチでは同じVTPドメインを指定する必要がある。
VTPの動作モード
リビジョン番号、VTPドメインのほかにVLAN情報の同期の設定を行うものとしては動作モードがある。
| モード | 説明 |
|---|---|
| サーバモード | VLANの作成/更新/削除が可能なデフォルトのモード。自身のVLAN情報を他スイッチにアドバタイズする。また他のスイッチに送る情報はVTPアドバタイズメントと呼ばれる。 |
| クライアントモード | VLANの作成/変更/削除を行えない。サーバモードから送られたVLAN情報を同期し他のルータにそれを送る。 |
| トランスペアレントモード | VLANの作成/更新/削除が可能だが他のスイッチにVLAN情報をアドバタイズしない。また他ルータから情報を受け取っても同期せず他のスイッチにそれを転送する。このモードでは常にリビジョン番号が0となり、VLAN情報はvlan.dat以外にrunning-configにも保存される。拡張範囲LAN(1006~4095)を利用する場合必ずこのモードを使用する必要がある。 |
また動作モードの挙動は以下の表のようになる。
| モード | VLANの作成/更新/削除 | VLAN情報同期 | アドバタイズメント |
|---|---|---|---|
| サーバ | できる | 同期する | 送信する/転送する |
| クライアント | できない | 同期する | 送信しない/転送する |
| トランスペアレント | できる | 同期しない | 送信しない/転送する |
VTPプルーニング
VTPプルーニング(VTP Pruning)はブロードキャストの宛先VLANが存在しない(使われていない)スイッチへはフレームを送らないようにする技術のことを指す。
VTPプルーニングを有効にすることで、不要なトラフィックを減らす事が出来る。
3.1.6. VLAN間ルーティング
VLAN間ルーティングは異なるVLAN間での通信を許可する仕組みをいう。 VLAN間ルーティングはL2スイッチのみではできない、そのためルータ/L3スイッチが必要となる。
VLAN間ルーティング構成
下記の構成はルータオンスタティックと呼ばれる。
この構成ではルータ-スイッチ間の物理インターフェイスを仮想的に複数に分ける必要がある。 その方法としてサブインターフェイスを作成する。
サブインターフェイスの作成
サブインターフェイスの作成順序は以下の通り。
- サブインターフェイスのカプセル化をISLかIEE802.1Qのどれかに指定する
- サブインターフェイスとして扱う物理インターフェイスを2つに分割する
なおルータとL2スイッチ間はトランクリンクにする必要がある。
VLAN間ルーティングのルータ側の設定
ルータオンスティックによるVLAN間ルーティング用のルータに必要な設定は以下の通り。
- VLANごとのサブインターフェースを作成
- VLANカプセル化方式の指定とVLAN IDの指定
- サブインターフェースにIPアドレスを設定
L3スイッチを使用したVLAN間ルーティング
L3スイッチを使用してVLAN間ルーティングを行うには以下3つの設定が必要となる。
- ルーティングの有効化
- SVIの作成
- 物理インターフェースへのVLAN割り当て
またL3スイッチ-L2スイッチ間でVLANルーティングではIPアドレスを設定する必要がある。 L3スイッチにはSVIとルーテッドポートの2つのIPアドレスを設定可能なポートがある。
| ポート | 説明 |
|---|---|
| SVI | スイッチ内部の仮想インターフェイス |
| ルーテッドポート | VLAN可能なスイッチポートの設定変更を行いL3インターフェイスにしたもの。VLANの割り当ては行えない。 |
3.1.7. VLANの作成
新しいVLANを導入する際の手順は以下の通り。
- VLANを作成する
- VLANに名前を設定する
- VLANをポートに割り当てる