VLANで大規模LANを分割する
Ethernetのネットワークには、規模が大きくなるとブロードキャストフレームが増えて、伝送効率が下がるという欠点がある。そこで、大規模なLANを構築する際には、ただつなげるだけではなく「ブロードキャストドメイン※4」を適正な規模に切り分ける作業が必須だ。また、最近の個人情報保護や内部統制対応では、顧客情報や会計情報をできるだけ狭い範囲に閉じ込めて漏えいを防止することも求められる。その上で、LANを小さく分割してファイアウォールを間に挟み、通信を制限するのだ。
※4:ブロードキャストドメイン Ethernetのブロードキャストフレームが届く範囲をブロードキャストドメインと呼ぶ。狭義のLANと同じ意味である。「VLAN(Virtual LAN)」は上記の目的で活用される機能で、LAN(=ブロードキャストドメイン)を分割するのが目的だ。VLAN対応スイッチは、内部を自由に区切って、いくつものLANを作成することができる。いい換えれば、物理的には1台のスイッチを、論理的には複数台のスイッチとして扱うことができるのだ。
VLAN対応のスイッチであれば、とりあえず事業所内の端末をすべて接続してから、スイッチ内部の設定変更だけで複数のVLANに分割したり、端末をあるVLANから別のVLANに移動する、といったことが可能になる。
VLANの種類
VLANの実現方法のうち重要なのは「ポートVLAN(ポートベースVLAN)」「タグVLAN」だろう(図4)。
図4 ポートVLANとタグVLAN
まず、基本のポートVLANでは、スイッチのポートをいくつかのグループに分割し、そのグループがVLANになるというものだ。ポートの先にある端末はすべて同じVLANに収容されるため、ポートにリピータハブやVLAN非対応のスイッチがつながっていても、物理的なケーブル配線と論理的なVLANが一致し、管理しやすい。
一方のタグVLANは、複数のスイッチにまたがる複数のVLANを構築する方法だ。これは、スイッチの間を流れるEthernetのフレームに「タグ(荷札)」というフィールドを付加し、その中に12ビットのVLAN IDを格納することで、最大4096のVLANを識別する。異なるスイッチ内に同じVLAN IDを持つVLANを作成し、それぞれのスイッチをタグVLANで接続すれば、スイッチ間のケーブルは1本で済む。
ケーブル内には複数のVLANのフレームが流れるが、受信したスイッチがそれぞれのフレームのタグに格納されたVLAN IDを見て、該当するVLANにだけ転送するからだ。
(次ページ、「LANの障害とスイッチの対策」に続く)
この連載の記事
-
最終回
ネットワーク
アクセスルータの機能を知っていますか? -
第4回
ネットワーク
レイヤ3スイッチのさまざまな機能 -
第3回
ネットワーク
ルーティングとレイヤ3スイッチの関係とは -
第1回
ネットワーク
ネットワーク機器の代表「スイッチ」の役割とは? -
ネットワーク
図で解剖!スイッチ&ルータ - この連載の一覧へ
