大規模ネットワークのサブネット分割
Ethernet上で動作する通信プロトコルは、端末同士の通信を開始するにあたり、例外なくブロードキャストパケットを送受信する。ブロードキャストは、ネットワーク内のすべての端末が受信し、処理を要求されるパケットだ。
しかし、このブロードキャストパケットが大量に送信されると、ブロードキャストパケットが到達する範囲(=ブロードキャストドメイン)の端末の処理能力を浪費することになる。また、スイッチ導入以前のCSMA/CD方式のEthernetではコリジョンが大量に発生して、LANの効率が著しく下がる。経験的には、秒あたり100程度のブロードキャストパケットが送信されると、コリジョンの多発やパソコンの処理能力の低下により、LAN全体の性能が著しく低下する「ブロードキャストストーム」に陥ることがある。
これを防止するには、ブロードキャストドメイン内の端末台数を減らすのが最善の方法だ。一般に、1つのブロードキャストドメインに設置できるコンピュータの数は100台程度で、それを超える規模では、レイヤ3スイッチを用いてネットワークを小口に分割すべきだ。分割後の小規模ネットワークをサブネットワーク(略してサブネット)と呼び、ネットワークを小口に分割する手法をサブネットワーク化(サブネット化)とも呼ぶ(図1)。
図1 レイヤ3スイッチでネットワークを分割
サブネット分割はセキュリティ優先で
企業内ネットワークのサブネット化は、拠点やビルのフロア/区画といった物理的な配置に沿って分割する方法と、事業部や部、課、係といった組織や部署の単位で分割する方法とがある。物理的な配置に沿って分割すると、組織変更があった場合にレイヤ3スイッチの設定変更をしなくて済むが、移設するPCのIPアドレスなどの再設定が必要だ。一方、組織や部署に沿って分割すると、組織変更の際にレイヤ3スイッチの設定や配線の変更が必要になるものの、移設するPCの再設定は必要ない。かつては、ネットワーク管理者の手間=ネットワーク機器の設定工数と考えられていたため、物理的な配置に沿って分割することが多かった。しかし、最近では風向きが変わってきた。
個人情報保護や内部統制への対応などの観点から、社内であっても他部門への機密情報の流出・漏えいを防ぐことが必要になってきた。この面から、部門や組織単位で管理ポリシーが設定できること、部門間でアクセス制限をかけられること、が必須とされる。このため、ネットワークを組織や部署に沿ってサブネット分割したうえで、ある組織のサブネットと別の組織のサブネットを分離する位置にあるレイヤ3スイッチのフィルタリング機能を使って実現するケースが増えている。つまり、情報セキュリティの重要性が増した現在では、ネットワークは組織ごとに分割すべきだろう(図2)。
図2 物理的なサブネット分割。近年はVLANを使って部署単位でサブネット分けを行なうケースも多い
サブネットの適正規模
現在、一般的な企業では、ファイアウォールを使って社内ネットワークをインターネットから隔離するのが当たり前になっている。このため、企業内のIPネットワークはプライベートアドレスで構築されることが多い。このプライベートアドレスには、クラスA相当が1種類、クラスB相当が16種類、クラスC相当が256種類ある(表1)。前述の通り、EthernetのLANではブロードキャストストームの問題があるため、クラスAやクラスBのネットワークをそのまま使うことはありえない。現実には、クラスCに相当する大きさ、すなわちホスト数が最大でも254台に収まるようにネットワークを分割するのが一般的だろう。
表1 RFC1597で定められたプライベートアドレス空間
1つのネットワーク内のホスト数が254個というクラスCの規定は、実際に運用可能なネットワークの規模にほぼ一致している。そこで、クラスC相当(255.255.255.0、24ビット長)のサブネットマスクでサブネット分割を行ない、1つのサブネットに設置する機器の台数は100台を上限の目安とする、というルールがお勧めだ。
(次ページ、「アドレッシングとルーティング」に続く)
この連載の記事
- 第6回 ほかの拠点やインターネットとは、どうやって接続するの?
- 第5回 ダウンは禁物!スイッチやネットワークの障害対策とは?
- 第3回 サーバルームとバックボーンネットワークとは?
- 第2回 実績がモノをいう!Ethernetとスイッチの仕組み
- 第1回 昔と今では大違い!ネットワーク構築の要件を学ぶ
- この連載の一覧へ
