VLAN博士になろう
NETWORK MAGAZINE 2005.9「VLAN博士になろう」P.60~P.67
最近、仕事でスイッチを使ったVLANネットワークに関する案件に取り組んでいたせいか、ネットワークマガジンを眺めていると「VLAN博士になろう~ポートベースVLANから検疫ネットワークまで~」という記事が目にとまったので、今回取り上げることにしました。
記事の冒頭で「ネットワーク技術者ならVLANはすでに知っていなければならない技術」と紹介されていますが、確かに今はEthernet全盛のためVLANに関する知識は必須かもしれません。
最近、仕事でスイッチを使ったVLANネットワークに関する案件に取り組んでいたせいか、ネットワークマガジンを眺めていると「VLAN博士になろう~ポートベースVLANから検疫ネットワークまで~」という記事が目にとまったので、今回取り上げることにしました。
記事の冒頭で「ネットワーク技術者ならVLANはすでに知っていなければならない技術」と紹介されていますが、確かに今はEthernet全盛のためVLANに関する知識は必須かもしれません。
はじめにVLANの必要性について紹介されていて、セキュリティ面やトラフィック面からLANを分ける場合、もっとも単純な方法はLAN毎にスイッチを用意してネットワークを分ける事ですが、コストや柔軟性を考慮すると問題があります。
そこで、VLANの概念が出てくるのですが、VLANを使えばスイッチ一台でも物理配線はそのままで設定次第でLANを分けることが出来るためコストや柔軟性についてもメリットがあります。
参考までに、ここでいう「LANを分ける」こととは言い方を変えれば、
LANを分ける=「ブロードキャストドメイン」を分ける
ということになります。
ブロードキャストドメインはご存知のようにARP要求などL2レベルのブロードキャストが届く範囲のことです。普通の電器屋さんで売っているスイッチは「コリジョンドメイン」を分割するだけですが、VLAN対応のL2スイッチはさらに「ブロードキャストドメイン」も分割できるということになります。
この二つの違いは超基本的なことですが、CCNPを持っているような人でもごっちゃになっていたりしますので、そこは押さえておきましょう。
ここまでの記事で少し気になるところがあったのですが、「Ethernetの最大長200メートル・・・」と記述されていたり、図にしても通常のLAN (VLANを使わずスイッチでLANを分けた場合)を説明する部分で「総務部VLAN」と記載していたり、VLANじゃなくてLANのほうが適切じゃないかなぁ。。といった、「ん?」と思う部分があったのでNマガさんには改善を期待したいところです。(私の解釈違いだったら申し訳ありません。。。)
次に「VLANの基本技術」として、
・ ポートベースVLAN
・ タグVLAN
について紹介されています。
VLANとは論理的に分割されたLANであるということはわかったけど、具体的にどうやって分けるの?という問いに対する解説になります。
ポートベース VLANは一番オーソドックスなVLANで、スイッチの物理ポート毎にVLAN IDを定義すると、同じVLAN ID同士のポートが同じブロードキャストドメインに所属するようになります。
ちなみに、別VLAN同士で通信したい場合は、スイッチのそれぞれのVLAN ポートとルータをケーブルで接続して別VLAN同士をルーティングできるようにすればO.K.です。強引な言い方かもしれませんが、これを一体型にしたものがL3スイッチになります。
また、離れた場所にあるスイッチ同士の同じVLAN同士を繋ぐ場合のもっとも単純なやり方は、同じVLAN毎にケーブルで接続するやり方です。しかし、これではVLANの数だけポートとケーブルが必要になりますので効率的ではありません。
そこで一つのポートとケーブルで複数のVLANのデータをやり取りするための技術としてタグVLANがあります。これは、Etherフレームのヘッダ部分に4バイトのタグと呼ばれるVLAN識別子を追加して一つのポートとケーブルでもそれぞれのスイッチでVLANタグを見ることによって、どのVLANのデータかがわかるようになります。このポートをトランクリンクといいます。
このタグVLANを応用したWANサービスとして広域Etherサービスについても紹介しています。いろいろなキャリアが広域Etherサービスを提供していますが、当然のことながらキャリアの網内回線は収容するユーザごとに用意しているわけではありません。
実際には一つの回線に複数のユーザが“あいのり”しているため、ユーザデータを識別する必要がありますが、そこでもこのVLANタグが使われています。ユーザのネットワークを一つのVLANとみなし、ユーザフレームのヘッダに固有のVLAN IDを追加することによってユーザが識別され、広域Etherサービスが提供されています。
そこで、気になるのがキャリアが網内でユーザフレームにVLANタグを付けてしまったら、ユーザ自身はVLANタグを付けれないの?ということですが、 NTT東日本の広域Etherサービスであるメトロイーサやフラットイーサなどの技術資料を見ればわかりますが、許容する最大フレーム長は 1,522byteであると記載されています。
これは通常のEtherの最大フレーム長1,518byteにユーザのVLANタグ4byteを足したフレーム長を許容するということです。これはいわゆる多重タグVLANと呼ばれる技術になります。
今回のこの記事では、以上のようなVLANの基本的な技術の紹介に加えて、ユーザを認証してユーザごとに適切なVLANに接続する「認証VLAN」や、安全性が保障されたホストだけをVLANに接続する「検疫ネットワーク」についても簡単に触れられていますが、あまり詳しく解説されておらず個人的には少し物足りませんでした。
もちろんVLANの基礎的な部分について学習したい方には十分な内容ですが、記事のタイトルが「VLAN博士になろう」なので応用技術についても、もう少し誌面を割いていただいて、VLAN基礎編と応用編の二部構成くらいにしたほうがよりタイトルに合った内容となり、より良い記事になったのではないかと思いました。
これからも、わかりやすいネットワーク技術のご提供を期待してます。
そこで、VLANの概念が出てくるのですが、VLANを使えばスイッチ一台でも物理配線はそのままで設定次第でLANを分けることが出来るためコストや柔軟性についてもメリットがあります。
参考までに、ここでいう「LANを分ける」こととは言い方を変えれば、
LANを分ける=「ブロードキャストドメイン」を分ける
ということになります。
ブロードキャストドメインはご存知のようにARP要求などL2レベルのブロードキャストが届く範囲のことです。普通の電器屋さんで売っているスイッチは「コリジョンドメイン」を分割するだけですが、VLAN対応のL2スイッチはさらに「ブロードキャストドメイン」も分割できるということになります。
この二つの違いは超基本的なことですが、CCNPを持っているような人でもごっちゃになっていたりしますので、そこは押さえておきましょう。
ここまでの記事で少し気になるところがあったのですが、「Ethernetの最大長200メートル・・・」と記述されていたり、図にしても通常のLAN (VLANを使わずスイッチでLANを分けた場合)を説明する部分で「総務部VLAN」と記載していたり、VLANじゃなくてLANのほうが適切じゃないかなぁ。。といった、「ん?」と思う部分があったのでNマガさんには改善を期待したいところです。(私の解釈違いだったら申し訳ありません。。。)
次に「VLANの基本技術」として、
・ ポートベースVLAN
・ タグVLAN
について紹介されています。
VLANとは論理的に分割されたLANであるということはわかったけど、具体的にどうやって分けるの?という問いに対する解説になります。
ポートベース VLANは一番オーソドックスなVLANで、スイッチの物理ポート毎にVLAN IDを定義すると、同じVLAN ID同士のポートが同じブロードキャストドメインに所属するようになります。
ちなみに、別VLAN同士で通信したい場合は、スイッチのそれぞれのVLAN ポートとルータをケーブルで接続して別VLAN同士をルーティングできるようにすればO.K.です。強引な言い方かもしれませんが、これを一体型にしたものがL3スイッチになります。
また、離れた場所にあるスイッチ同士の同じVLAN同士を繋ぐ場合のもっとも単純なやり方は、同じVLAN毎にケーブルで接続するやり方です。しかし、これではVLANの数だけポートとケーブルが必要になりますので効率的ではありません。
そこで一つのポートとケーブルで複数のVLANのデータをやり取りするための技術としてタグVLANがあります。これは、Etherフレームのヘッダ部分に4バイトのタグと呼ばれるVLAN識別子を追加して一つのポートとケーブルでもそれぞれのスイッチでVLANタグを見ることによって、どのVLANのデータかがわかるようになります。このポートをトランクリンクといいます。
このタグVLANを応用したWANサービスとして広域Etherサービスについても紹介しています。いろいろなキャリアが広域Etherサービスを提供していますが、当然のことながらキャリアの網内回線は収容するユーザごとに用意しているわけではありません。
実際には一つの回線に複数のユーザが“あいのり”しているため、ユーザデータを識別する必要がありますが、そこでもこのVLANタグが使われています。ユーザのネットワークを一つのVLANとみなし、ユーザフレームのヘッダに固有のVLAN IDを追加することによってユーザが識別され、広域Etherサービスが提供されています。
そこで、気になるのがキャリアが網内でユーザフレームにVLANタグを付けてしまったら、ユーザ自身はVLANタグを付けれないの?ということですが、 NTT東日本の広域Etherサービスであるメトロイーサやフラットイーサなどの技術資料を見ればわかりますが、許容する最大フレーム長は 1,522byteであると記載されています。
これは通常のEtherの最大フレーム長1,518byteにユーザのVLANタグ4byteを足したフレーム長を許容するということです。これはいわゆる多重タグVLANと呼ばれる技術になります。
今回のこの記事では、以上のようなVLANの基本的な技術の紹介に加えて、ユーザを認証してユーザごとに適切なVLANに接続する「認証VLAN」や、安全性が保障されたホストだけをVLANに接続する「検疫ネットワーク」についても簡単に触れられていますが、あまり詳しく解説されておらず個人的には少し物足りませんでした。
もちろんVLANの基礎的な部分について学習したい方には十分な内容ですが、記事のタイトルが「VLAN博士になろう」なので応用技術についても、もう少し誌面を割いていただいて、VLAN基礎編と応用編の二部構成くらいにしたほうがよりタイトルに合った内容となり、より良い記事になったのではないかと思いました。
これからも、わかりやすいネットワーク技術のご提供を期待してます。
スポンサーサイト
この記事のトラックバックURL
http://cassi.blog34.fc2.com/tb.php/9-9a20684c
コメント
- VLANの記事
- Cassiさん、はじめまして。
network_imetと申します。
このようにネットワーク雑誌の記事に対するわかりやすいコメントをつけていただくととても勉強になります。
geneさんの技術雑誌レビューも書いているとのこと、「ネットワークのおべんきょしませんか?」のメルマガ読者としては、これからも期待しています。
それでは、また。