こんにちは、ネットワーク ワーカーの友人です。
Vlanについては、ブロードキャストドメイン、Vlan の実装の仕組み、Vlan のアクセスリンク、アグリゲーションリンク、アグリゲーション方法、Vlan 間のルーティング、LAN の設計など、非常に多くの知識が存在します。
これらはすべて必要なスキルです。
ところどころでVlanのスキルについて話しましたが、実際には体系的に話したわけではありません。
今日それをあなたのものにしてください。
この4D乾物を読めば、Vlanを完全に理解できること間違いなしです。(読み終えることができない場合は、最初にコーディングしてください)
今日の記事を読むメリット:「高度なネットワーク技術」
プライベートメッセージを送って、パスワード「Advanced Technology」を送信してください。ファーウェイの最新教科書のエッセンスが直接あなたに送信されます。
01 ブロードキャスト ドメインの概念の確認
まず、ブロードキャスト ドメインの概念を確認します。
ブロードキャストドメインとは、ブロードキャストフレーム(対象のMACアドレスがすべて1)を送信できる範囲、つまり直接通信できる範囲を指します。
厳密に言えば、ブロードキャスト フレームだけでなく、宛先が不明なマルチキャスト フレームやユニキャスト フレームも、同じブロードキャスト ドメイン内で妨げられることなく伝送できます。
レイヤ 2 スイッチは本来単一のブロードキャスト ドメインしか構築できませんが、VLAN 機能を使用するとネットワークを複数のブロードキャスト ドメインに分割できます。
01 ブロードキャストドメインが分割されていない場合はどうなりますか?
では、なぜブロードキャスト ドメインを分割する必要があるのでしょうか? ブロードキャスト ドメインが 1 つしかない場合、ネットワーク全体の伝送パフォーマンスに影響を与える可能性があるためです。
具体的な理由については、より深く理解するために添付の図面を参照してください。
図では、多数のクライアントが接続された 5 台のレイヤ 2 スイッチ (スイッチ 1 ~ 5) で構成されるネットワークです。
この時点で、コンピューター A がコンピューター B と通信する必要があるとします。
Ethernetベースの通信では、正常に通信するためにデータフレームに対象のMACアドレスを指定する必要があるため、コンピュータAはまず「ARPリクエスト(ARPリクエスト)情報」をブロードキャストしてコンピュータBのMACアドレスを取得しようとします。
スイッチ 1 はブロードキャスト フレーム (ARP 要求) を受信すると、フラッディング状態の受信ポートを除くすべてのポートに転送します。
次に、スイッチ 2 もブロードキャスト フレームを受信した後にフラッディングを行います。
スイッチ 3、4、5 もフラッディングになります。最終的に、ARP リクエストは同じネットワーク上のすべてのクライアントに転送されます。
この ARP リクエストは元々、コンピューター B の MAC アドレスを取得するために送信されたものであることに注意してください。
つまり、コンピュータ B がそれを受信できる限り、すべて問題ありません。
しかし実際には、データ フレームはネットワーク全体に分散され、すべてのコンピュータがそれを受信します。
このように、ブロードキャスト情報はネットワーク全体の帯域幅を消費する一方で、ブロードキャスト情報を受信するコンピュータもそれを処理するために CPU 時間の一部を消費します。これにより、ネットワーク帯域幅と CPU の計算能力が大量に不必要に消費されます。
02 ブロードキャストメッセージは頻繁に送信されますか?
これを読んだ後、「ブロードキャスト メッセージは本当に頻繁に表示されるのでしょうか?」と疑問に思うかもしれません。
答えは次のとおりです。
はい!実際、ブロードキャスト フレームは非常に頻繁に表示されます。
TCP/IP プロトコル スタックを使用して通信する場合、先ほどの ARP 以外にも、DHCP や RIP など、さまざまな種類のブロードキャスト情報を送信する必要がある場合があります。
ARP ブロードキャストは、他のホストとの通信が必要な場合に送信されます。
クライアントが DHCP サーバーに IP アドレスの割り当てを要求するときは、DHCP ブロードキャストを発行する必要があります。
RIP がルーティング プロトコルとして使用されている場合、ルーターは 30 秒ごとに他の隣接ルーターにルーティング情報をブロードキャストします。
RIP 以外のルーティング プロトコルは、マルチキャストを使用してルーティング情報を送信します。ルーティング情報はスイッチによっても転送されます (フラッディング)。
TCP/IP に加えて、NetBEUI、IPX、Apple Talk などのプロトコルではブロードキャストを使用する必要があることがよくあります。
たとえば、Windows で「ネットワーク コンピュータ」をダブルクリックして開くと、ブロードキャスト (マルチキャスト) メッセージが送信されます。(Windows XP を除く...)
つまり、放送は私たちの周りにあふれています。
一般的なブロードキャスト通信のいくつかを次に示します。
- ARP リクエスト: IP アドレスと MAC アドレス間のマッピング関係を確立します。
- RIP:ルーティングプロトコルの一つ。
- DHCP:IPアドレスを自動設定するプロトコル。
- NetBEUI: Windows で使用されるネットワーク プロトコル。
- IPX: Novell Netware によって使用されるネットワーク プロトコル。
- Apple Talk: Apple Inc. の Macintosh コンピュータで使用されるネットワーク プロトコル。
ネットワーク全体にブロードキャスト ドメインが 1 つしかない場合、ブロードキャスト情報が送信されるとネットワーク全体に広がり、ネットワーク内のホストにさらなる負担がかかります。
したがって、LAN を設計するときは、ブロードキャスト ドメインを効果的にセグメント化する方法に注意を払う必要があります。
03 ブロードキャストドメインの分割とVLANの必要性
ブロードキャスト ドメインを分割する場合、通常はルーターを使用する必要があります。
ルーターを使用すると、ルーター上のネットワークインターフェース(LANインターフェース)単位でブロードキャストドメインを分割することができます。
ただし、通常の状況では、ルータ上のネットワーク インターフェイスの数はそれほど多くはなく、その数は多くても 1 ~ 4 程度です。
ブロードバンド接続の普及に伴い、ブロードバンド ルーター (または IP シェアラー) がより一般的になりました。
ただし、LAN側に複数(通常4つ程度)のネットワークインターフェースが接続されていますが、実際にはルータに内蔵されたスイッチであり、ブロードキャストドメインを分割することはできませんので注意が必要です。
また、ルータを使用してブロードキャストドメインを分割する場合、分割できる数はルータのネットワークインターフェース数に依存してしまい、ユーザーが実際のニーズに応じてブロードキャストドメインを自由に分割することはできません。
ルーターと比較して、レイヤー 2 スイッチには通常、複数のネットワーク インターフェイスがあります。
したがって、放送領域の分割に利用できれば、利用の自由度が大幅に向上することは間違いない。
レイヤ 2 スイッチ上でブロードキャスト ドメインを分割するために使用されるテクノロジーは VLAN です。
VLANを利用することでブロードキャストドメインの構成を自由に設計でき、ネットワーク設計の自由度が向上します。
02 VLANを実現する仕組み
01VLANを実現する仕組み
「なぜ VLAN が必要なのか」を理解した後、スイッチが VLAN を使用してブロードキャスト ドメインを分割する方法を理解しましょう。
まず、VLAN のないレイヤー 2 スイッチでは、ブロードキャスト フレームは受信ポートを除くすべてのポートに転送されます (フラッディング)。
たとえば、コンピュータ A がブロードキャスト情報を送信すると、その情報はポート 2、3、4 に転送されます。
このとき、スイッチ上に赤と青の2つのVLANが生成されている場合は、同時にポート1と2を赤のVLANに、ポート3と4を青のVLANに属するように設定します。
ブロードキャスト フレームが A から送信された場合、スイッチはそれを同じ VLAN に属する他のポート、つまり赤色の VLAN にも属するポート 2 にのみ転送し、A に属するポートには転送しません。青いVLAN。
同様に、C がブロードキャスト情報を送信すると、青の VLAN に属する他のポートにのみ転送され、赤の VLAN に属するポートには転送されません。
このように、VLAN はブロードキャスト フレームの転送範囲を制限することでブロードキャスト ドメインを分割します。
上図では説明のために VLAN を赤と青で区別していますが、実際には「VLAN ID」で区別されます。
02 VLANを直感的に説明する
VLAN をより直観的に説明したい場合は、スイッチを複数のスイッチに論理的に分割するものとして理解できます。
1 つのスイッチ上に赤と青の 2 つの VLAN を生成することは、1 つのスイッチを 2 つの仮想スイッチ (赤と青に 1 つずつ) に置き換えることとみなすこともできます。
赤と青の VLAN に加えて新しい VLAN が生成されると、新しいスイッチが追加されたと考えられます。
ただし、VLAN によって生成された論理スイッチどうしは接続されません。
そのため、スイッチにVLANを設定した後、何も処理しないとVLAN間の通信ができなくなります。
明らかに同じスイッチに接続されていますが、通信できません。この事実は受け入れがたいかもしれません。
しかし、これは VLAN の便利で使いやすい機能であると同時に、VLAN を非常に複雑にしている原因でもあります。
03VLAN 間通信が必要な場合はどうすればよいですか?
では、異なる VLAN 間で通信する必要がある場合はどうすればよいでしょうか?
もう一度思い出してください。
VLAN はブロードキャスト ドメインです。通常、2 つのブロードキャスト ドメインはルーターによって接続され、ブロードキャスト ドメイン間のデータ パケットはルーターによって中継されます。
したがって、VLAN 間の通信には、ルーターが「VLAN 間ルーティング」と呼ばれる中継サービスを提供する必要もあります。
VLAN 間のルーティングには、一般的なルーターまたはレイヤー 3 スイッチを使用できます。
具体的な内容については機会があればお話しましょう。
ここで、異なる VLAN が相互に通信する場合にはルーティング機能を使用する必要があることを覚えておいてください。
03 VLANアクセスリンク
01 スイッチポート
スイッチのポートは次の 2 種類に分類できます。
- アクセスリンク
- アグリゲーションリンク(トランクリンク)
次に、この 2 つの異なるポートの特徴について説明します。
02 リンクへのアクセス
アクセス リンクとは、「1 つの VLAN にのみ属し、この VLAN にのみデータ フレームを転送する」ポートを指します。
ほとんどの場合、アクセス リンクはクライアント コンピュータに接続されます。
通常、VLAN を設定する順序は次のとおりです。
- VLANの生成
- アクセスリンクの設定(各ポートがどのVLANに属するかを決定)
アクセスリンクの設定方法は、予め固定的に設定されていてもよいし、接続されるコンピュータに応じて動的に変更されてもよい。
前者は「スタティックVLAN」と呼ばれ、後者は当然「ダイナミックVLAN」となります。
03 静的 VLAN
スタティック VLAN は、ポートベース VLAN(Port Based VLAN)とも呼ばれます。
その名の通り、各ポートがどのVLANに属するかを明確に指定する設定方法です。
一つ一つ指定する必要があるため、ネットワーク内のコンピュータの数が一定数(数百台など)を超えると設定作業が非常に煩雑になります。
さらに、クライアント コンピュータが接続ポートを変更するたびに、そのポートが属する VLAN の設定も同時に変更する必要があります。この明らかに静的な VLAN は、トポロジ構造を頻繁に変更する必要があるネットワークには適していません。
04ダイナミック VLAN
一方、ダイナミックVLANは、各ポートに接続されているコンピュータに応じて、そのポートが所属するVLANを随時変更するものです。
これにより、上記のような設定変更などの操作が不要になります。ダイナミック VLAN は、大きく次の 3 つのカテゴリに分類できます。
- MACアドレスに基づくVLAN(MAC Based VLAN)
- サブネットベースVLAN(サブネットベースVLAN)
- ユーザーベースVLAN(ユーザーベースVLAN)
両者の違いは主に、ポートが属する VLAN を OSI 参照モデルのどの層で決定するかという情報にあります。
最初のケース。
VLAN が MAC アドレスに基づいている場合、ポートの所有者は、ポートに接続されているコンピュータのネットワーク カードの MAC アドレスを照会して記録することによって決定されます。
スイッチによって VLAN 「10」に属するように設定された MAC アドレス「A」があるとすると、MAC アドレス「A」のコンピュータがどのポートに接続されても、そのポートは VLAN 10 に割り当てられます。
コンピュータがポート 1 に接続されている場合、ポート 1 は VLAN10 に属し、コンピュータがポート 2 に接続されている場合、ポート 2 は VLAN10 に属します。
2番目のケース。
サブネット VLAN に基づいて、ポートが属する VLAN は接続されたコンピュータの IP アドレスによって決まります。
MACアドレスによるVLANとは異なり、ネットワークカードの交換などでパソコンのMACアドレスが変わっても、IPアドレスが変わらなければ、最初に設定したVLANに参加できます。
そのため、MACアドレスベースのVLANに比べて、ネットワーク構成の変更が容易になります。
IPアドレスはOSI参照モデルの第3層の情報であるため、サブネットベースVLANはOSIの第3層にアクセスリンクを設定する方式であることがわかります。
3番目のケース。
ユーザーベースの VLAN は、スイッチの各ポートに接続されているコンピューター上で現在ログインしているユーザーに基づいて、ポートがどの VLAN に属するかを決定します。
ここで、ユーザ識別情報とは、一般にコンピュータのオペレーティングシステムにログインしているユーザであり、例えばWindowsドメインで使用されるユーザ名であってもよい。
これらのユーザ名情報は、OSIの第4層以上の情報に属します。
一般に、ポートが属する VLAN を決定するための情報の OSI レベルが高いほど、柔軟で変更可能なネットワークの構築に適しています。
05 アクセスリンクまとめ
まとめると、アクセス リンクの設定にはスタティック VLAN とダイナミック VLAN の 2 つの方法があり、ダイナミック VLAN はさらにいくつかのサブカテゴリに分類できます。
このうち、サブネットベース VLAN とユーザーベース VLAN は、ネットワーク機器メーカーが独自のプロトコルを使用して実装している場合があり、異なるメーカーのデバイス間で互換性の問題が発生する可能性があります。
したがって、スイッチを選択する場合は、必ず事前の確認に注意してください。
次の表は、スタティック VLAN とダイナミック VLAN に関する情報をまとめたものです。
04 VLAN アグリゲーション リンク
01 複数のスイッチにまたがる VLAN を設定する
ここまでは、単一のスイッチを使用した VLAN の設定について学習しました。
では、複数のスイッチにまたがる VLAN を設定する必要がある場合はどうすればよいでしょうか?
エンタープライズレベルのネットワークを計画する場合、同じ部門に所属するユーザーが同じ建物内の異なるフロアに分散している可能性が高く、その際に複数のスイッチにまたがるVLANの設定を検討する必要がある場合があります。
下図のようなネットワークがあり、別フロアのA、C、B、Dを同じVLANに設定する必要があるとします。
この時、最も重要なのは「スイッチ1とスイッチ2をどう接続するか」です。
もちろん、最も簡単な方法は、スイッチ 1 とスイッチ 2 にそれぞれ赤と青の VLAN 専用インターフェイスを設定し、相互接続することです。
ただし、このアプローチは拡張性と管理効率の点で良くありません。
たとえば、既存のネットワークに基づいて新しい VLAN を作成する場合、VLAN 同士が通信できるようにするには、スイッチ間に新しいネットワーク ケーブルを接続する必要があります。
建物のフロア間の垂直配線は面倒であり、一般に草の根の管理者が自由に行うことはできません。
また、VLANの数が増えると、フロア間(厳密にはスイッチ間)の相互接続に多くのポートが必要となり、スイッチポートの利用効率が低くなり、リソースの無駄となりネットワークの拡張が制限されてしまいます。
この効率の悪い接続方法を回避するために、スイッチ間を相互接続するネットワークケーブルを1本に集約する方法が考えられ、この際にトランクリンクが使用されます。
02 アグリゲーションリンクとは何ですか?
トランク リンクは、複数の異なる VLAN の通信を転送できるポートを指します。
アグリゲーション リンク上を循環するデータ フレームには、すべて、どの VLAN に属しているかを識別するための特別な情報が付加されます。
ここで、ネットワークが先ほどアグリゲーション リンクを使用した場合に何が起こるか考えてみましょう。
ユーザーは、スイッチ間の相互接続ポートをアグリゲーションリンクとして設定するだけで済みます。
このとき、ネットワークケーブルは特別な配線ではなく、通常のUTPケーブルを使用します。
図ではスイッチ間の相互接続となっているため、接続にはクロスケーブルが必要です。
次に、スイッチ間の VLAN にわたってアグリゲーション リンクがどのように実装されるかを見てみましょう。
1. A が送信したデータ フレームがスイッチ 1 からアグリゲーション リンクを介してスイッチ 2 に到着すると、そのデータ フレームには赤の VLAN に属することを示すタグが付けられます。
2. データ フレームを受信したスイッチ 2 は、VLAN ID を確認し、データ フレームが赤色の VLAN に属していることを確認します。
3. したがって、タグが削除された後、復元されたデータ フレームは、必要に応じて赤い VLAN に属する他のポートにのみ転送されます。
このときの転送とは、対象のMACアドレスを確認し、MACアドレスリストと比較した上で、対象のMACアドレスに接続されているポートにのみ転送することを指します。
データ フレームがブロードキャスト フレーム、マルチキャスト フレーム、または宛先不明のフレームの場合のみ、赤色の VLAN に属するすべてのポートに転送されます。
同様に、青色の VLAN がデータ フレームを送信する場合も同様です。
リンク集約時の追加VLAN識別情報により、標準プロトコル「IEEE 802.1Q」やシスコ製品独自の「ISL(Inter Switch Link)」に対応可能です。
スイッチがこれらの仕様をサポートしている場合、ユーザーは複数のスイッチにまたがる VLAN を効率的に構築できます。
また、アグリゲーションリンク上には複数のVLANのデータが流れるため、当然負荷が高くなります。
そのため、アグリゲーションリンクを構築する際には、100Mbps以上の伝送速度に対応していることが前提となります。
さらに、デフォルトでは、アグリゲーション リンクはスイッチ上に存在するすべての VLAN のデータを転送します。
別の観点から見ると、アグリゲーション リンク (ポート) はスイッチ上のすべての VLAN に同時に属していると考えることができます。
実際のアプリケーションでは、スイッチの負荷を軽減し、帯域幅の無駄を減らすために、すべての VLAN のデータを転送する必要はないと考えられます。
ユーザー設定により、トランク リンク経由で相互接続できる VLAN を制限できます。
IEEE802.1QとISLの具体的な内容については次回の講義で触れます。
05 VLANアグリゲーション方式(IEEE802.1QおよびISL)
スイッチのアグリゲーションリンク上では、データフレームにVLAN情報を付加することで、複数のスイッチにまたがるVLAN情報を構築できます。
VLAN 情報を付加する最も代表的な方法は次のとおりです。
- IEEE802.1Q
- ISL
これら 2 つのプロトコルはどのように VLAN 情報をデータ フレームに付加するのでしょうか?
それから下を見てください。
01 IEEE802.1Q
IEEE802.1Q (通称「ドットワン Q」) は、データ フレームに VLAN 識別情報を付加するための IEEE 認定プロトコルです。
ここで、イーサネット データ フレームの標準フォーマットを思い出してください。
IEEE802.1Qで付加されるVLAN識別情報は、データフレーム内の「送信元MACアドレス」と「タイプフィールド」の間に位置します。
具体的な内容は、TPID 2 バイトと TCI 2 バイトの合計 4 バイトです。
データフレームに4バイトが追加されると、当然CRC値も変化します。
このとき、データフレーム上のCRCは、TPIDとTCIを挿入した後、それらを含むデータフレーム全体を再計算した値となります。
データ フレームがアグリゲーション リンクから離れると、TPID と TCI が削除され、この時点で CRC の再計算が実行されます。
TPIDの値は0x8100で固定です。スイッチは、TPID を使用して、データ フレームに IEEE802.1Q に基づく VLAN 情報が付加されていることを判断します。
実際の VLAN ID は TCI の 12 ビットです。合計 12 ビットなので、最大 4096 個の VLAN を識別できます。
IEEE802.1Qに基づいて付加されたVLAN情報は、配送時に付けられるタグのようなものです。
そのため、「タギングVLAN(タギングVLAN)」とも呼ばれます。
02 ISL(スイッチ間リンク)
ISL は、シスコ製品でサポートされている IEEE802.1Q に似たプロトコルで、VLAN 情報をアグリゲーション リンクに付加するために使用されます。
ISL使用後は、各データフレームヘッダーに26バイトの「ISLヘッダー(ISLヘッダー)」が付加され、ISLヘッダーを含むデータフレーム全体を計算して得られる4ワードがフレーム末尾のセクションCRC値に付加されます。
つまり、合計 30 バイトの情報が追加されたことになります。
ISL を使用する環境では、データ フレームがアグリゲーション リンクから離れるときに、ISL ヘッダーと新しい CRC を単に削除するだけで十分です。
元のデータ フレームとその CRC は完全に保存されるため、CRC を再計算する必要はありません。
ISLは、元のデータフレームをISLヘッダーと新しいCRCでラップしたようなものであるため、「カプセル化VLAN(Encapsulated VLAN)」とも呼ばれます。
IEEE802.1Q の「タグ付け VLAN」も、ISL の「カプセル化 VLAN」も、それほど厳密な用語ではないことに注意してください。
書籍や参考書によっては上記の単語が混在している場合がありますので、学習時には特に注意が必要です。
また、ISL はシスコ独自のプロトコルであるため、シスコ ネットワーク デバイス間の相互接続にのみ使用できます。
06 VLAN 間ルーティング
01 VLAN間ルーティングの必要性
2 台のコンピュータが同じスイッチに接続されている場合でも、異なる VLAN に属している限り、直接通信できないことはすでにご存知でしょう。
次に、異なる VLAN に属するホストが相互に通信できるように、異なる VLAN 間でルーティングする方法について説明します。
まず、ルーティングなしでは異なる VLAN が通信できない理由を確認してみましょう。
LAN内で通信を行う場合、データフレームのヘッダーに通信先のMACアドレスを指定する必要があります。
MAC アドレスを取得するには、TCP/IP プロトコルの下で ARP が使用されます。
ARP が MAC アドレスを解決する方法はブロードキャストです。
つまり、ブロードキャストメッセージが到着できない場合には、MACアドレスを解決することができず、直接通信を行うことができない。
コンピュータは異なる VLAN に属しており、これは異なるブロードキャスト ドメインに属していることを意味するため、当然のことながら、相互にブロードキャスト メッセージを受信することはできません。
したがって、異なる VLAN に属するコンピュータは相互に直接通信できません。
VLAN間で通信を行うためには、OSI参照モデルの上位層であるネットワーク層の情報(IPアドレス)をルーティングに使用する必要があります。
ルーティングの具体的な内容については、後ほど詳しく説明します。
ルーティング機能は通常、主にルーターによって提供されます。しかし、今日の LAN では、ルーティング機能を備えたスイッチ、つまりレイヤ 3 スイッチ (Layer 3 Switch) を使用して実現することがよくあります。
次に、VLAN 間のルーティングにルーターとレイヤ 3 スイッチが使用される場合を見てみましょう。
02VLAN間ルーティングにルーターを使用する
VLAN 間のルーティングにルーターを使用する場合、複数のスイッチにまたがる VLAN を構築する場合と同様に、「ルーターとスイッチをどのように接続するか」という問題が発生します。
ルーターとスイッチの接続方法は大きく分けて2つあります。
- ルーターをスイッチ上の各 VLAN に個別に接続します
- VLAN の数に関係なく、ルーターとスイッチは 1 本のネットワーク ケーブルだけで接続されます
1. 一番考えやすいのは、やはり「ルーターとスイッチをVLAN単位でネットワークケーブルで接続する」ということです。
ルーターへの接続に使用するスイッチの各ポートをアクセスリンクとして設定し、ネットワークケーブルを使用してルーターの独立したポートに接続します。
次の図に示すように、スイッチには 2 つの VLAN があるため、ルーターとの相互接続用にスイッチの 2 つのポートを予約する必要があり、ルーターにも 2 つのポートが必要で、それらを 2 本のネットワーク ケーブルで接続します。
この方法を採用した場合、スケーラビリティに大きな問題があることは想像に難くありません。
新しい VLAN が追加されるたびに、ルーターのポートとスイッチのアクセス リンクが消費され、ネットワーク ケーブルの配線を変更する必要があります。
一方、ルーターには通常、それほど多くの LAN インターフェイスがありません。
新規にVLANを作成する場合、追加したVLANに必要なポートに対応させるために、ルータを複数のLANインターフェースを備えたハイエンド製品にアップグレードする必要があり、この部分のコストと再配線によるオーバーヘッドが発生します。この配線方法が人気のないアプローチになる可能性があります。
2. では、2 番目の方法「VLAN の数に関係なく、ルータとスイッチを接続するネットワーク ケーブルは 1 本だけにする」場合はどうでしょうか。
VLAN 間ルーティングのためにネットワーク ケーブルを使用してルーターとスイッチを接続する場合、アグリゲーション リンクが必要です。
具体的な実装プロセスは次のとおりです。
まず、ルーターへの接続に使用するスイッチのポートをアグリゲーション リンクとして設定します。ルーターのポートもアグリゲーション リンクをサポートしている必要があります。
当然のことながら、リンクを集約するために双方が使用するプロトコルも同じである必要があります。
次に、ルータ上の各VLANに対応する「サブインターフェース(Sub Interface)」を定義します。
実際にスイッチに接続されている物理ポートは 1 つだけですが、理論的にはそれを複数の仮想ポートに分割できます。
VLAN はスイッチを論理的に複数のスイッチに分割するため、VLAN 間のルーティングに使用されるルーターにも各 VLAN に対応する仮想インターフェイスが必要です。
この方法を採用すると、後からスイッチに新しいVLANを作成する場合でも、スイッチとルータを接続するネットワークケーブルは1本だけで済みます。
ユーザーは、ルーター上の新しい VLAN に対応する新しいサブインターフェイスを設定するだけで済みます。
この方法は以前の方法に比べて拡張性が高く、LAN インターフェイスが不足しているルーターのアップグレードや再配線を心配する必要がありません。
03 同一VLAN内通信時のデータの流れ
次に、スイッチがアグリゲーションリンクを使用してルーターに接続されている場合に、VLAN 間のルーティングがどのように実行されるかを説明します。
下図のように、各コンピュータとルータのサブインターフェースのIPアドレスを設定します。
赤の VLAN (VLAN ID=1) のネットワーク アドレスは 192.168.1.0/24、青の VLAN (VLAN ID=2) のネットワーク アドレスは 192.168.2.0/24 です。
各コンピュータの MAC アドレスは A/B/C/D、ルータのアグリゲーションリンクポートの MAC アドレスは R です。
スイッチは、各ポートに接続されているコンピュータの MAC アドレスを学習して、次の MAC アドレスリストを生成します。
まず、コンピュータ A が同じ VLAN 内のコンピュータ B と通信する状況を考えてみましょう。
1. コンピュータ A は、ARP 要求メッセージを送信し、B の MAC アドレスの解決を要求します。
2. スイッチはデータ フレームを受信すると、受信ポートと同じ VLAN に属する MAC アドレス リスト内のエントリを取得します。
3. コンピュータ B がポート 2 に接続されていることが判明したため、スイッチはデータ フレームをポート 2 に転送し、最終的にコンピュータ B がフレームを受信します。
送信側と受信側間の通信は同じ VLAN に属し、すべての処理がスイッチ内で完了します。
04 異なるVLAN間通信時のデータの流れ
次は、この講義の核となる内容である、異なる VLAN 間の通信です。
コンピュータ A がコンピュータ C と通信するときの状況を考えてみましょう。
1. コンピュータ A は、通信先の IP アドレス(192.168.2.1)から、コンピュータ C とこのコンピュータは同じネットワークセグメントに属していないと判断します。
したがって、データフレームは設定されたデフォルトゲートウェイ(デフォルトゲートウェイ、GW)に転送されます。
データ フレームを送信する前に、ARP を使用してルーターの MAC アドレスを取得する必要があります。
2. ルーターの MAC アドレス R を取得したら、次のステップは、図に示す手順に従ってデータ フレームを C に送信することです。
①のデータフレームでは、ターゲットMACアドレスはルータのアドレスRですが、含まれるターゲットIPアドレスは通信対象物Cのアドレスのままです。
この部分の内容は、LAN 内のルータを経由して転送する場合の通信手順であり、後で詳しく説明します。
3. スイッチはポート 1 で①のデータフレームを受信後、ポート 1 と同じ VLAN に属する MAC アドレスリストのエントリを取得します。
アグリゲーションリンクはすべての VLAN に属するものとみなされますので、このときスイッチのポート 6 も参照オブジェクトに属します。
このようにして、スイッチは、MAC アドレス R へのデータ フレームの送信はポート 6 経由で転送する必要があることを認識します。
ポート6からデータフレームを送信する場合、トランクリンクのためVLAN識別情報が付加されます。
データフレームは元々赤VLANから来たものなので、図の②のように赤VLANの識別情報が付加されてアグリゲーションリンクに入ります。
4. ルータは、②のデータフレームを受信後、VLAN 識別情報を確認しますが、赤 VLAN に属するデータフレームであるため、赤 VLAN を担当するサブインターフェースで受信されます。
そして、ルーター内のルーティングテーブルを元に、どこに中継するかを決めます。
ターゲット ネットワーク 192.168.2.0/24 は青色 VLAN であり、ネットワークはサブインターフェイスを介してルーターに直接接続されているため、青色 VLAN を担当するサブインターフェイスから転送するだけで済みます。
このとき、データフレームの宛先MACアドレスはコンピュータCの宛先アドレスに書き換えられ、アグリゲーションリンク経由で転送する必要があるため、青色のVLANに属する識別情報が付加される。
図の③のデータフレームです。
5. スイッチは、③のデータフレームを受信後、VLAN 識別情報に基づいて、MAC アドレスリストから青色の VLAN に属するエントリを取得します。
通信対象のコンピュータ C はポート 3 に接続されており、ポート 3 は通常のアクセスリンクであるため、スイッチは VLAN 識別情報を削除したデータ フレーム (データ フレーム④) をポート 3 に転送し、最終的にコンピュータ C は正常に接続できます。このデータフレームを受信します。
VLAN 間で通信する場合、両方の通信当事者が同じスイッチに接続している場合でも、次のことを通過する必要があります。
「送信者 - スイッチ - ルータ - スイッチ - 受信者」というようなプロセスです。
07 レイヤ3スイッチ
01VLAN間ルーティングにルーターを使用する場合の問題
これで、異なる VLAN に属するコンピュータは、VLAN 間ルーティングを提供する限り相互に通信できることがわかりました。
ただし、VLAN 間のルーティングにルーターを使用すると、VLAN 間のトラフィックが増加し続けるため、ルーターがネットワーク全体のボトルネックになる可能性があります。
スイッチは、ASIC と呼ばれる特殊なハードウェア チップを使用してデータ フレームのスイッチングを処理し、多くのモデルではケーブル速度でスイッチングできます。
ルーターは基本的にソフトウェア処理に基づいています。
ケーブル速度で受信したデータ パケットは速度制限なしでは転送できないため、速度のボトルネックになります。
VLAN間ルーティングに関しては、ルータとスイッチを接続するアグリゲーションリンクにトラフィックが集中し、特にこの部分が速度のボトルネックとなりやすい。
また、ハードウェアの観点から見ると、ルーターとスイッチを別々に設置する必要があるため、スペースが狭い環境では、設置場所さえ問題になる場合があります。
02 レイヤ3スイッチ
上記の問題を解決するために、3 層スイッチが登場しました。
レイヤ3スイッチとは、本質的には「ルーティング機能を備えた(レイヤ2)スイッチ」です。
ルーティングは、OSI参照モデルにおける第3層のネットワーク層の機能に属するため、第3層のルーティング機能を備えたスイッチを「3層スイッチ」と呼びます。
3 層スイッチの内部構造については、次の図を参照してください。
スイッチ モジュールとルータ モジュールがそれぞれ 1 つの本体にセットされており、内蔵ルーティング モジュールはスイッチ モジュールと同じで、ASIC ハードウェアを使用してルーティングを処理します。
そのため、従来のルータに比べて高速なルーティングが実現できます。
また、ルーティングモジュールとスイッチングモジュールが集約・リンクされており、内部で接続されているため、かなりの帯域を確保できます。
03VLAN間ルーティング(VLAN内通信)にレイヤー3スイッチを使用する
データはレイヤー 3 スイッチ内でどのように拡散するのでしょうか?
基本的には、トランクリンクを使用してルーターとスイッチを接続する場合と同じです。
次の図に示すように、レイヤ 3 スイッチで相互接続された 4 台のコンピュータがあると仮定します。
ルータを利用して接続する場合、一般的にLANインターフェース上に各VLANに対応したサブインターフェースを設定する必要がありますが、レイヤー3スイッチは内部で「VLANインターフェース(VLANインターフェース)」を生成します。
VLANインターフェースは、各VLAN内でデータを送受信するためのインターフェースです。
注: Cisco の Catalyst シリーズ スイッチでは、VLAN インターフェイスは SVI (スイッチド仮想インターフェイス) と呼ばれます。
これを見て、VLAN 間ルーティングにルーターを使用する場合と比較して、コンピューター A とコンピューター B の間の通信を考えてみましょう。
まず、宛先アドレス B のデータ フレームがスイッチに送信され、同じ VLAN の MAC アドレス リストを取得すると、コンピュータ B がスイッチのポート 2 に接続されていることがわかり、データ フレームは次のアドレスに転送されます。ポート2。
04 レイヤー3スイッチを使用したVLAN間ルーティング(VLAN間通信)
次に、コンピュータ A がコンピュータ C と通信するときの状況を想像してください。
コンピュータAは、対象のIPアドレスから通信対象が同じネットワークに属さないと判断できるため、デフォルトゲートウェイにデータを送信します(フレーム1)。
MAC アドレス リストを取得した後、スイッチは内部アグリゲーション リンクを介してデータ フレームをルーティング モジュールに転送します。
データフレームは、内部アグリゲーションリンクを通過する際に、赤色のVLANに属するVLAN識別情報(フレーム2)が付加されます。
ルーティングモジュールはデータフレームを受信すると、まずデータフレームに付加されているVLAN識別情報により赤VLANに属することを識別し、赤VLANインタフェースが受信およびルーティング処理を担当すると判断します。
対象ネットワーク 192.168.2.0/24 はルータに直接接続されているネットワークであり、青の VLAN に該当するため、
したがって、内部アグリゲーション リンクを介して、青色の VLAN インターフェイスからスイッチ モジュールに転送されます。
アグリゲーションリンクを通過する際、今度はデータフレームに青色のVLANに属する識別情報が付加されます(フレーム3)。
スイッチはこのフレームを受信すると、青色の VLAN の MAC アドレスのリストを取得し、ポート 3 に転送する必要があることを確認します。
ポート 3 は共通アクセス リンクであるため、VLAN 識別情報は転送前に削除されます (フレーム 4)。
最後に、コンピュータ C は、スイッチによって転送されたデータ フレームを正常に受信します。
このプロセスは、外部ルーターを使用する場合と非常に似ています。
すべて「送信機→スイッチモジュール→ルーティングモジュール→スイッチモジュール→受信機」というプロセスを経る必要があります。
08 VLAN間の通信を高速化する手段
01 フロー(流れ)
ここまでの説明では、VLAN 間ルーティングは外部ルーターまたはレイヤ 3 スイッチの内蔵ルーティング モジュールを経由する必要があることをすでに知っています。
ただし、すべてのデータがルーター (またはルーティング モジュール) を通過する必要がない場合があります。
たとえば、FTP(File Transfer Protocol)を使用して数MB以上の大きなファイルを転送する場合、MTUの制限により、IPプロトコルではデータを細かく分割して送信し、再組み立てします。それらは受信機にあります。
これらの分割データの「送り先」は全く同じです。
送信先が同じ、つまり宛先IPアドレス、宛先ポート番号が同じです。
(注: これが TCP/UDP ポートを指すことを特に強調しておきます)。当然、送信元 IP アドレスと送信元ポート番号も同じである必要があります。このような一連のデータの流れを「フロー(Flow)」と呼びます。
フローの最初のデータが正しくルーティングされた後、後続のデータも同じ方法でルーティングされる必要があります。
したがって、後続のデータをルータでルーティングする必要がなく、繰り返しのルーティング操作を省略することで、VLAN 間のルーティング速度をさらに向上させることができます。
02 VLAN間ルーティングを高速化する仕組み
次に、高速 VLAN 間ルーティングにレイヤー 3 スイッチを使用する方法を具体的に検討します。
まず、フロー全体の最初のデータが通常どおりスイッチによって転送される→ルーターによってルーティングされる→スイッチによってターゲットに接続されているポートに再び転送されます。
このとき、最初のデータルーティングの結果をキャッシュに記録して保存します。
記録する必要がある情報は次のとおりです。
- ターゲットIPアドレス
- 送信元IPアドレス
- 宛先TCP/UDPポート番号
- 送信元TCP/UDPポート番号
- 受信ポート番号(スイッチ)
- 転送ポート番号(スイッチ)
- 転送先MACアドレス
……
同一フローの2ブロック目以降のデータがスイッチに到着した後、あらかじめキャッシュに格納されている情報を問い合わせることで「転送ポート番号」を知り、目的のポートに転送することができます。
この方法では、内部ルーティング モジュールを何度も中継する必要がなく、スイッチ内のバッファ情報だけで転送すべきポートを決定できます。
このときスイッチは、ルータから中継されるデータフレームに対して、MACアドレスやIPヘッダ内のTTLやチェックサムのチェックコード情報の書き換えなど、同様の処理を行います。
ルーティング結果はスイッチ上にキャッシュされるため、送信側から送信されたデータをワイヤースピード(Wired Speed)で受信することができ、フルスピードで受信側にルーティングして転送することができます。
なお、VLAN間ルーティングを高速化する同様の手法は、各メーカーの独自技術により実現されているものが多く、この機能の名称もメーカーごとに異なります。
たとえば、CiscoのCatalystシリーズスイッチでは、この機能は「マルチレイヤスイッチング(Multi Layer Switching)」と呼ばれます。
さらに、レイヤ 3 スイッチの内部ルーティング モジュールに加えて、外部ルータの一部のモデルも同様の高速 VLAN 間ルーティング メカニズムをサポートしています。
09 従来型ルーターの重要性
01 ルーターの必要性
レイヤ 3 スイッチの価格は当初は非常に高価でしたが、現在では価格が大幅に下がっています。
現在、一部の安価な外国モデルの価格は人民元換算で1万元を超えるのみで、依然として下落が続いている。
レイヤ3スイッチは従来のルータに比べて高速なルーティング処理が可能なため、ネットワーク内にルータを使用する必要はありますか?
答えは「はい」です。
ルーターを使用する必要性は、主に次のような側面で現れます。
- WAN接続用
レイヤ 3 スイッチは結局のところ「スイッチ」です。とはいえ、ほとんどのモデルには LAN (イーサネット) ポートしかありません。
いくつかのハイエンド スイッチには、WAN に接続するためのシリアル インターフェイスまたは ATM インターフェイスもありますが、ほとんどの場合、WAN に接続するにはルーターが必要です。
- ネットワークのセキュリティを確保する
レイヤ 3 スイッチでは、パケット フィルタリングによってある程度のネットワーク セキュリティも確保できます。
しかし、ルータが提供するさまざまなネットワークセキュリティ機能を利用することで、より安全で信頼性の高いネットワークを構築することができます。
ルータが提供するネットワークセキュリティ機能としては、最も基本的なデータパケットフィルタリング機能に加え、IPSecによる×××(仮想プライベートネットワーク)の構築や、ユーザー認証にRADIUSを利用することが可能です。
- TCP/IP以外のネットワークアーキテクチャをサポート
TCP/IP が現在のネットワーク プロトコル アーキテクチャの主流になっていますが、Novell Netware の IPX/SPX や Macintosh の Appletalk などのネットワーク プロトコルを使用するネットワークはまだ多くあります。
3層スイッチのうち、一部の上位モデルを除き、基本的にはTCP/IPのみをサポートします。
したがって、TCP/IP 以外のネットワーク プロトコルを使用する必要がある環境では、依然としてルーターが不可欠です。
注: 少数のハイエンド スイッチでは、上記のルーターの機能もサポートされています。
例えば、CiscoのCatalyst6500シリーズでは、WANに接続するインターフェースモジュールを選択でき、IPSecベースの×××を実現するオプションモジュールもあり、TCP/IP以外のネットワークプロトコルもサポートできます。
02 ルーターとスイッチが連携してLANを構築する例
ルーターとスイッチでLANを構築する例を紹介します。
各フロアに構成されたレイヤー 2 スイッチを使用して VLAN を定義し、TCP/IP クライアント コンピューターを接続します。
フロア間のVLAN間通信は、3層スイッチの高速ルーティングを利用して実現します。高い信頼性が求められるネットワーク環境の場合は、レイヤー3スイッチによる冗長構成も検討できます。
WAN への接続は、さまざまなネットワーク インターフェイスを備えたルーターを介して行われます。
また、ルーターのデータパケットフィルタリングや×××などの機能により、ネットワークセキュリティを実現します。
さらに、ルータを使用すると、Novell Netware などの TCP/IP 以外のネットワークもサポートできます。
レイヤ 2 およびレイヤ 3 スイッチと従来のルーターを完全にマスターすることに基づいてのみ、両方の長所を実現し、高効率でコストパフォーマンスの高いネットワークを構築できます。
10 VLAN を使用したローカル エリア ネットワークの設計
01VLANを利用したLAN設計の特徴
VLANを利用してローカルエリアネットワークを構築することで、ユーザーは物理リンクに制限されることなく、ブロードキャストドメインを自由に分割することができます。
さらに、前述のルータとレイヤ 3 スイッチによる VLAN 間のルーティングにより、柔軟で変更可能なネットワーク構成に適応できます。
しかし、VLANを利用するとネットワーク構成が複雑になりやすいため、ネットワーク全体の構成を把握することが難しくなります。
VLAN を使用する場合、さらに次のことが言えます。
ネットワーク構成を柔軟に変更できるというメリットがある一方で、ネットワーク構成が複雑になるというデメリットもあります。
具体的な例を見てみましょう。
02VLANなしLANでのネットワーク構成変更
図に示すように、1 台のルーターと 2 台のスイッチで構成される「VLAN なしで構築された」ネットワークがあると仮定します。
写真のルーターには LAN インターフェイスが 2 つあります。左側のネットワークは 192.168.1.0/24、右側のネットワークは 192.168.2.0/24 です。
ここで、192.168.1.0/24 ネットワーク上のコンピュータ A を 192.168.2.0/24 に転送する場合は、物理接続を変更して、A を右側のスイッチに接続する必要があります。
また、アドレス 192.168.3.0/24 のネットワークを追加する必要がある場合は、ルータ上で別の LAN インターフェイスを占有し、スイッチを追加する必要があります。
また、このルーターには LAN インターフェイスが 2 つしかないため、新しいネットワークを追加するには、ルーターを 3 つ以上の LAN インターフェイスを持つ製品にアップグレードする必要があります。
03VLANを利用したLAN内のネットワーク構成の変更
次に、1 台のルーターと 2 台のスイッチで構成される「VLAN を使用した」ローカル エリア ネットワークがあると仮定します。
スイッチとスイッチ、スイッチとルーターはアグリゲーション リンクであり、192.168.1.0/24 が赤色の VLAN に対応し、192.168.2.0/24 が青色の VLAN に対応すると仮定します。
スイッチ 1 のネットワークセグメント 192.168.1.0/24 に接続されているコンピュータ A を 192.168.2.0/24 に移行する場合、物理的な配線を変更する必要はありません。
スイッチ上で青色の VLAN を生成し、コンピュータ A に接続されているポート 1 を青色の VLAN に追加してアクセス リンクにします。
次に、必要に応じてコンピュータ A の IP アドレス、デフォルト ゲートウェイなどの情報を設定します。
IP アドレスに関する設定を DHCP によって取得すると、クライアントは設定を変更することなく、異なるネットワーク セグメント間を移動できます。
VLAN を使用すると、物理的な配線を変更することなく、ネットワークのロジックを自由に設計できます。
作業環境でネットワーク レイアウトを頻繁に変更する必要がある場合、VLAN を使用する利点は明らかです。
さらに、アドレス 192.168.3.0/24 のネットワーク セグメントを追加する必要がある場合、スイッチ上で 192.168.3.0/24 に対応する新しい VLAN を作成し、そのアクセス リンクに必要なポートを追加するだけで済みます。 .アップ。
ネットワーク環境で外部ルーターを使用する必要がある場合は、物理インターフェース (LAN インターフェース) をさらに消費することなく、ルーターの集約ポートに新しいサブインターフェース設定を追加することで、すべての操作を完了できます。
レイヤ 3 スイッチ内のルーティング モジュールを使用する場合は、新しい VLAN インターフェイスを設定するだけで済みます。
ネットワーク環境の成長は予測できないことが多く、既存のネットワークを分割したり、新しいネットワークを追加したりする必要が生じることがよくあります。
VLANを活用すれば、これらの問題は簡単に解決できます。
04VLANの利用による複雑な ネットワーク構成
VLANを利用すると柔軟なネットワークを構築できる反面、ネットワーク構造が複雑になるという問題もあります。
特にデータ ストリームが交差するため、一度障害が発生すると、正確に場所を特定してトラブルシューティングすることが困難になります。
データ フローの複雑さを理解するために、次の図に示すようなネットワークがあると仮定します。
コンピューター A がコンピューター C にデータを送信する場合、データ フローの全体的な方向は次のとおりです。
コンピュータ A→スイッチ 1→ルーター→スイッチ 1→スイッチ 2→コンピュータ C
1. まず、コンピュータ A がスイッチ 1 にデータを送信します (①)
2. データは VLAN 間ルーティングのためにルーター (②) に転送されます。
3. ルーティングされたデータはアグリゲーションリンクからスイッチ 1 に返されます (③)。
4. 通信対象のコンピュータ C はスイッチ 1 に直接接続されていないため、アグリゲーションリンクを介してスイッチ 2 に転送する必要があります (④)。
5. スイッチ 2 では、最終的に C に接続されたポート 2 にデータが転送され、すべての処理が完了します (⑤)。
この例では、ネットワークは 2 台のスイッチのみで構成されており、データの流れが非常に複雑になっていますが、複数のスイッチにまたがる VLAN を構築すると、当然、各データの流れの方向を把握することが困難になります。
05 ネットワークの論理構造と物理構造
複雑化するデータの流れに対応するために、管理者は「論理構造」と「物理構造」の2つの側面からネットワークの現状を把握する必要があります。
物理構造とは、物理層やデータリンク層から見たネットワークの現状を指し、ネットワークの物理的な配線形態やVLANの設定などを示します。
論理構造とは、ネットワーク層より上位の層から見たネットワーク構造を指します。
次に、ルータを中心とした IP ネットワークの論理構造を解析してみます。
前の例と同様に、配線構成と VLAN 設定を表す「物理構造」を次の図に示します。
物理構造を解析し、ルータ中心の論理構造に変換すると、次のような論理構造図が得られます。
ルーティングまたはデータ パケット フィルタリングを構成する必要がある場合は、論理構造に基づいて行う必要があります。
これら 2 つのネットワーク構造図の違いを理解することは、特に VLAN とレイヤー 3 スイッチが普及している最新のエンタープライズ クラスのネットワークでは非常に重要です。
仕上げ: Lao Yang丨 10 年以上の上級ネットワーク エンジニア、乾物を改善するためにネットワーク ワーカーを増やす、公式アカウントに注目してください: ネットワーク エンジニア クラブ