こんにちは、ネットワーク ワーカーの友人です
Vlanに関する知識は、ブロードキャストドメインとは何か、Vlanを実現する仕組み、Vlanアクセスリンク、アグリゲーションリンク、アグリゲーション方法、Vlan間ルーティング、LANの設計など、自分だけでは思いつかないほどたくさんあります。ないものは何もありません。
技術的な点が非常に多く、初心者のネットワーク ワーカーにとっては不親切です。どうすればよいでしょうか?
今日の記事では、20,000語+50枚の写真を使って、Vlanの基礎知識を一気に整理したいと思います。
理論を捨てて実践的な勉強をしてみませんか?このHCIAコースが関係しています。VLAN 間通信の実現方法など、より実践的なコースを学びましょう。
すべてのシラバスを読みたい友人は、楊氏に直接連絡してください。
本日の記事閲覧特典:「VLAN解説(要点・難所を詳しく解説)」
あなたのための学習ドキュメントを見つけました。このドキュメントには、古典的な VLAN 関連のケースと完全な設定コマンドが含まれており、いくつかの重要な点や難しい点が詳細に説明されています。
プライベート メッセージ me、メモ"VLAN"、および最初の 30 個のプライベート メッセージが学習ノートを送信します。
01 ネットワークエンジニアにVLANが必要なのはなぜですか?
01VLANとは何 ですか?
VLAN (Virtual LAN) は、中国語に訳すと「仮想ローカル エリア ネットワーク」です。LAN は、数台のホーム コンピュータからなるネットワークであっても、数百台のコンピュータからなる企業ネットワークであってもよい。VLAN で呼ばれる LAN は、ルーターによって分割されたネットワーク、つまりブロードキャスト ドメインを指します。
まずブロードキャスト ドメインの概念を確認してみましょう。
ブロードキャストドメインとは、ブロードキャストフレーム(対象MACアドレスがすべて1)を送信できる範囲、つまり直接通信が可能な範囲を指します。
厳密に言えば、ブロードキャスト フレームだけでなく、マルチキャスト フレーム (Multicast Frame) とターゲットの未知のユニキャスト フレーム (Unknown Unicast Frame) も、同じブロードキャスト ドメイン内で妨げられずに移動できます。
レイヤ 2 スイッチは本来単一のブロードキャスト ドメインしか構築できませんが、VLAN 機能を使用するとネットワークを複数のブロードキャスト ドメインに分割できます。
02 ブロードキャストドメインが分割されていない場合...
では、なぜブロードキャスト ドメインを分割する必要があるのでしょうか?
ブロードキャスト ドメインが 1 つしかない場合、ネットワーク全体の伝送パフォーマンスに影響を与える可能性があるためです。具体的な理由については、より深く理解するために添付の図面を参照してください。
図では、多数のクライアントが接続された 5 台のレイヤ 2 スイッチ (スイッチ 1 ~ 5) で構成されるネットワークです。
この時点で、コンピューター A がコンピューター B と通信する必要があるとします。Ethernetベースの通信では、正常に通信するためにデータフレームに対象のMACアドレスを指定する必要があるため、コンピュータAはまず「ARPリクエスト(ARP Request)情報」をブロードキャストしてコンピュータBのMACアドレスを取得しようとします。
スイッチ 1 はブロードキャスト フレーム (ARP 要求) を受信すると、フラッディング状態の受信ポートを除くすべてのポートに転送します。
次に、スイッチ 2 もブロードキャスト フレームを受信した後にフラッディングを行います。スイッチ 3、4、5 もフラッディングになります。最終的に、ARP リクエストは同じネットワーク上のすべてのクライアントに転送されます。
この ARP リクエストは元々、コンピューター B の MAC アドレスを取得するために送信されたものであることに注意してください。つまり、コンピュータ B がそれを受信できる限り、すべて問題ありません。
しかし実際には、データ フレームはネットワーク全体に分散され、すべてのコンピュータがそれを受信します。
このように、ブロードキャスト情報はネットワーク全体の帯域幅を消費する一方で、ブロードキャスト情報を受信するコンピュータもそれを処理するために CPU 時間の一部を消費します。これにより、ネットワーク帯域幅と CPU の計算能力が大量に不必要に消費されます。
03 ブロードキャストメッセージは頻繁に送信されますか?
これを読んだ後、「ブロードキャスト メッセージは本当に頻繁に表示されるのでしょうか?」と疑問に思うかもしれません。
答えは「はい」です。
実際、ブロードキャストフレームは非常に頻繁に出現し、TCP/IPプロトコルスタックを利用して通信を行う場合、上記で登場したARP以外にも、DHCPやRIPなど多くのブロードキャスト情報が存在する可能性があります。
ARP ブロードキャストは、他のホストとの通信が必要な場合に送信されます。クライアントが DHCP サーバーに IP アドレスの割り当てを要求するときは、DHCP ブロードキャストを発行する必要があります。RIP がルーティング プロトコルとして使用されている場合、ルーターは 30 秒ごとに他の隣接ルーターにルーティング情報をブロードキャストします。
RIP 以外のルーティング プロトコルは、マルチキャストを使用してルーティング情報を送信します。ルーティング情報はスイッチによっても転送されます (フラッディング)。TCP/IP に加えて、NetBEUI、IPX、Apple Talk などのプロトコルではブロードキャストを使用する必要があることがよくあります。
たとえば、Windows で「ネットワーク コンピュータ」をダブルクリックして開くと、ブロードキャスト (マルチキャスト) メッセージが送信されます。(Windows XP を除く...)
つまり、放送は私たちの周りにあふれています。一般的なブロードキャスト通信のいくつかを次に示します。
(1) ARP リクエスト: IP アドレスと MAC アドレスの間のマッピング関係を確立します。
(2)RIP:ルーティングプロトコルの一つ。
(3) DHCP:IPアドレスを自動設定するプロトコル。
(4) NetBEUI: Windows で使用されるネットワーク プロトコル。
(5) IPX: Novell Netware によって使用されるネットワーク プロトコル。
(6) Apple Talk: Apple の Macintosh コンピュータで使用されるネットワーク プロトコル。
ネットワーク全体にブロードキャスト ドメインが 1 つしかない場合、ブロードキャスト情報が送信されるとネットワーク全体に広がり、ネットワーク内のホストにさらなる負担がかかります。したがって、LAN を設計するときは、ブロードキャスト ドメインを効果的にセグメント化する方法に注意を払う必要があります。
04 ブロードキャストドメインの分割とVLANの必要性
ブロードキャスト ドメインを分割する場合、通常はルーターを使用する必要があります。ルーターを使用すると、ルーター上のネットワークインターフェース(LANインターフェース)単位でブロードキャストドメインを分割することができます。
ただし、通常の状況では、ルータ上のネットワーク インターフェイスの数はそれほど多くはなく、その数は多くても 1 ~ 4 程度です。
ブロードバンド接続の普及に伴い、ブロードバンドルーター(またはIPシェアラー)が一般的になりましたが、注意が必要なのは、LAN側に複数(通常4つ程度)のネットワークインターフェースが接続されているものの、実際にはスイッチが組み込まれているということです。ブロードキャスト ドメインを分割することはできません。
また、ルータを使用してブロードキャストドメインを分割する場合、分割できる数はルータのネットワークインターフェース数に依存してしまい、ユーザーが実際のニーズに応じてブロードキャストドメインを自由に分割することはできません。
ルーターと比較すると、レイヤー 2 スイッチには通常、複数のネットワーク インターフェイスがあります。したがって、放送領域の分割に利用できれば、利用の自由度が大幅に向上することは間違いない。
レイヤ 2 スイッチ上でブロードキャスト ドメインを分割するために使用されるテクノロジーは VLAN です。VLANを利用することでブロードキャストドメインの構成を自由に設計でき、ネットワーク設計の自由度が向上します。
02 VLANを実現する仕組み
01VLANを実現する仕組み
「なぜ VLAN が必要なのか」を理解した後、スイッチが VLAN を使用してブロードキャスト ドメインを分割する方法を見てみましょう。
まず、VLAN のないレイヤー 2 スイッチでは、ブロードキャスト フレームは受信ポートを除くすべてのポートに転送されます (フラッディング)。たとえば、コンピュータ A がブロードキャスト情報を送信すると、その情報はポート 2、3、4 に転送されます。
このとき、スイッチ上に赤と青の2つのVLANが生成されている場合は、同時にポート1と2を赤のVLANに、ポート3と4を青のVLANに属するように設定します。
ブロードキャスト フレームが A から送信された場合、スイッチはそれを同じ VLAN に属する他のポート、つまり赤色の VLAN にも属するポート 2 にのみ転送し、A に属するポートには転送しません。青いVLAN。
同様に、C がブロードキャスト情報を送信すると、青の VLAN に属する他のポートにのみ転送され、赤の VLAN に属するポートには転送されません。
このように、VLAN はブロードキャスト フレームの転送範囲を制限することでブロードキャスト ドメインを分割します。上図では説明のために VLAN を赤と青で区別していますが、実際には「VLAN ID」で区別されます。
02 VLANを直感的に説明する
VLAN をより直観的に説明したい場合は、スイッチを論理的に複数のスイッチに分割するものとして理解できます。
1 つのスイッチ上に赤と青の 2 つの VLAN を生成することは、1 つのスイッチを 2 つの仮想スイッチ (赤と青に 1 つずつ) に置き換えることとみなすこともできます。
赤と青の VLAN の外側に新しい VLAN が生成されると、新しいスイッチが追加されたと考えられます。
ただし、VLAN によって生成された論理スイッチどうしは接続されません。そのため、スイッチにVLANを設定した後、何も処理しないとVLAN間の通信ができなくなります。
明らかに同じスイッチに接続されていますが、通信できません。この事実は受け入れがたいかもしれません。しかし、これは VLAN の便利で使いやすい機能であると同時に、VLAN を非常に複雑にしている原因でもあります。
03VLAN 間通信が必要な場合はどうすればよいですか?
では、異なる VLAN 間で通信する必要がある場合はどうすればよいでしょうか?
もう一度思い出してください: VLAN はブロードキャスト ドメインです。通常、2 つのブロードキャスト ドメインはルーターによって接続され、ブロードキャスト ドメイン間のデータ パケットはルーターによって中継されます。
したがって、VLAN 間の通信には、ルーターが「VLAN 間ルーティング」と呼ばれる中継サービスを提供する必要もあります。
VLAN 間のルーティングには、一般的なルーターまたはレイヤー 3 スイッチを使用できます。具体的な内容については機会があればお話しましょう。
ここで、異なる VLAN 間で通信する場合にはルーティング機能を使用する必要があることを覚えておいてください。
03 VLANアクセスリンク(アクセスリンク)
01 スイッチポートタイプ
スイッチのポートは次の 2 種類に分類できます。
(1) リンクへのアクセス
(2) トランクリンク
次に、これら 2 つの異なるポートの特徴を順番に学習しましょう。この講義では、まず「アクセスリンク」について学びます。
02 リンクへのアクセス
アクセス リンクとは、「1 つの VLAN にのみ属し、この VLAN にのみデータ フレームを転送する」ポートを指します。ほとんどの場合、アクセス リンクはクライアント コンピュータに接続されます。
通常、VLAN を設定する順序は次のとおりです。
(1) VLANの生成
(2) アクセスリンクの設定(各ポートがどのVLANに属するかを決定)
アクセスリンクの設定方法は、予め固定的に設定されていてもよいし、接続されるコンピュータに応じて動的に変更されてもよい。前者は「スタティックVLAN」と呼ばれ、後者は当然「ダイナミックVLAN」となります。
1. 静的 VLAN - ポートに基づく
スタティック VLAN は、ポートベース VLAN(PortBased VLAN)とも呼ばれます。その名の通り、各ポートがどのVLANに属するかを明確に指定する設定方法です。
ポートを一つ一つ指定する必要があるため、ネットワーク内のコンピュータの数が一定数(数百台など)を超えると、設定作業が非常に煩雑になります。
また、クライアントコンピュータが接続ポートを変更するたびに、そのポートが属するVLANの設定も同時に変更する必要があり、トポロジ構造を頻繁に変更する必要があるネットワークには明らかに適していません。
2. ダイナミック VLAN
一方、ダイナミックVLANは、各ポートに接続されているコンピュータに応じて、そのポートが所属するVLANを随時変更するものです。
これにより、上記のような設定変更などの操作が不要になります。ダイナミック VLAN は、大きく次の 3 つのカテゴリに分類できます。
(1) MACアドレスに基づくVLAN(MAC Based VLAN)
(2) サブネットベースVLAN(サブネットベースVLAN)
(3) ユーザーベースVLAN(ユーザーベースVLAN)
両者の違いは主に、ポートが属する VLAN を OSI 参照モデルのどの層で決定するかという情報にあります。
3. MAC アドレスに基づく VLAN
MAC アドレスベースの VLAN は、ポートに接続されているコンピュータのネットワーク カードの MAC アドレスを照会して記録することによって、ポートの所有権を決定します。
スイッチによって VLAN 「10」に属するように設定された MAC アドレス「A」があるとすると、MAC アドレス「A」のコンピュータがどのポートに接続されても、そのポートは VLAN 10 に割り当てられます。
コンピュータがポート 1 に接続されている場合、ポート 1 は VLAN 10 に属し、コンピュータがポート 2 に接続されている場合、ポート 2 は VLAN 10 に属します。
VLAN は MAC アドレスに基づいて決定されるため、OSI の第 2 層でアクセスリンクを設定する方法であることがわかります。
ただし、MAC アドレスベースの VLAN を設定する場合は、接続されているすべてのコンピュータの MAC アドレスを確認して登録する必要があります。また、コンピュータのネットワーク カードを交換した場合でも、設定を変更する必要があります。
4. IPアドレスに基づくVLAN
サブネット VLAN に基づいて、ポートが属する VLAN は接続されたコンピュータの IP アドレスによって決まります。
MACアドレスによるVLANとは異なり、ネットワークカードの交換などでパソコンのMACアドレスが変わっても、IPアドレスが変わらなければ、最初に設定したVLANに参加できます。
そのため、MACアドレスベースのVLANに比べて、ネットワーク構成の変更が容易になります。
IPアドレスはOSI参照モデルの第3層の情報であるため、サブネットベースVLANはOSIの第3層にアクセスリンクを設定する方式であることがわかります。
ユーザーベースの VLAN は、スイッチの各ポートに接続されているコンピューター上で現在ログインしているユーザーに基づいて、ポートがどの VLAN に属するかを決定します。
ここで、ユーザ識別情報とは、一般にコンピュータのオペレーティングシステムにログインしているユーザであり、例えばWindowsドメインで使用されるユーザ名であってもよい。これらのユーザ名情報は、OSIの第4層以上の情報に属します。
一般に、ポートが属する VLAN を決定するための情報の OSI レベルが高いほど、柔軟で変更可能なネットワークの構築に適しています。
04 VLANアグリゲーションリンク(トランクリンク)
01 複数のスイッチにまたがるVLANを設定する必要がある場合...
これまでに学習したことは、単一のスイッチを使用して VLAN を設定する場合です。
では、複数のスイッチにまたがる VLAN を設定する必要がある場合はどうすればよいでしょうか?
エンタープライズレベルのネットワークを計画する場合、同じ部門に所属するユーザーが同じ建物内の異なるフロアに分散している可能性が高く、その際に複数のスイッチにまたがるVLANの設定を検討する必要がある場合があります。
下図のようなネットワークがあり、別フロアのA、C、B、Dを同じVLANに設定する必要があるとします。
この時、最も重要なのは「スイッチ1とスイッチ2をどう接続するか」です。
もちろん、最も簡単な方法は、スイッチ 1 とスイッチ 2 にそれぞれ赤と青の VLAN 専用インターフェイスを設定し、相互接続することです。
ただし、このアプローチは拡張性と管理効率の点で良くありません。たとえば、既存のネットワークに基づいて新しい VLAN を作成する場合、VLAN 同士が通信できるようにするには、スイッチ間に新しいネットワーク ケーブルを接続する必要があります。
建物のフロア間の垂直配線は面倒であり、一般に草の根の管理者が自由に行うことはできません。
また、VLANの数が増えると、フロア間(厳密にはスイッチ)間の相互接続に必要なポート数も増加し、スイッチポートの利用効率が低いため、リソースの無駄となり、ネットワークの拡張が制限されてしまいます。
この効率の悪い接続方法を回避するために、スイッチ間を相互接続するネットワークケーブルを1本に集約する方法が考えられ、この際にトランクリンク(Trunk Link)が使用されます。
02 アグリゲーションリンクとは何ですか?
トランク リンク (Trunk Link) は、複数の異なる VLAN の通信を転送できるポートを指します。
アグリゲーション リンク上を循環するデータ フレームには、すべて、どの VLAN に属しているかを識別するための特別な情報が付加されます。
ここで、ネットワークが先ほどアグリゲーション リンクを使用した場合に何が起こるかを考えてみましょう。
ユーザーは、スイッチ間の相互接続ポートを集約リンクとして設定するだけで済みます。
このとき、ネットワークケーブルは特別な配線ではなく、通常のUTPケーブルを使用します。
図ではスイッチ間の相互接続となっているため、接続にはクロスケーブルが必要です。
次に、スイッチ間の VLAN にわたってアグリゲーション リンクがどのように実装されるかを見てみましょう。
A が送信したデータ フレームがスイッチ 1 からアグリゲーション リンクを介してスイッチ 2 に到着すると、そのデータ フレームには赤の VLAN に属することを示すタグが付けられます。
スイッチ 2 がデータ フレームを受信すると、VLAN ID を確認した結果、データ フレームが赤色の VLAN に属していることが判明したため、マークを削除した後、復元されたデータ フレームは赤色 VLAN に属する他のポートにのみ転送されます。
このときの転送とは、対象のMACアドレスを確認し、MACアドレスリストと比較した上で、対象のMACアドレスに接続されているポートにのみ転送することを指します。
データ フレームがブロードキャスト フレーム、マルチキャスト フレーム、または宛先不明のフレームの場合のみ、赤色の VLAN に属するすべてのポートに転送されます。
青色の VLAN がデータ フレームを送信する場合も状況は同じです。
リンク集約時の追加VLAN識別情報により、標準プロトコル「IEEE 802.1Q」やシスコ製品独自の「ISL(Inter Switch Link)」に対応可能です。
スイッチがこれらの仕様をサポートしている場合、ユーザーは複数のスイッチにまたがる VLAN を効率的に構築できます。
また、アグリゲーションリンク上には複数のVLANのデータが流れるため、当然負荷が高くなります。そのため、アグリゲーションリンクを構築する際には、100Mbps以上の伝送速度に対応していることが前提となります。
さらに、デフォルトでは、アグリゲーション リンクはスイッチ上に存在するすべての VLAN のデータを転送します。
別の観点から見ると、アグリゲーション リンク (ポート) はスイッチ上のすべての VLAN に同時に属していると考えることができます。
実際のアプリケーションではすべての VLAN のデータを転送する必要はないため、スイッチの負荷を軽減し、帯域幅の無駄を減らすために、ユーザー設定によってアグリゲーション リンクを介して相互接続できる VLAN を制限できます。
IEEE 802.1QとISLの具体的な内容については次回の講義で触れます。
03 アクセスリンクまとめ
まとめると、アクセス リンクの設定にはスタティック VLAN とダイナミック VLAN の 2 つの方法があり、ダイナミック VLAN はさらにいくつかのサブカテゴリに分類できます。
このうち、サブネットベース VLAN とユーザーベース VLAN は、ネットワーク機器メーカーが独自のプロトコルを使用して実装している場合があり、異なるメーカーのデバイス間で互換性の問題が発生する可能性があります。
したがって、スイッチを選択する場合は、必ず事前の確認に注意してください。
05 VLAN アグリゲーション方式 IEEE802.1Q および ISL
01 収束法
スイッチのアグリゲーションリンク上では、データフレームにVLAN情報を付加することで、複数のスイッチにまたがるVLAN情報を構築できます。
VLAN 情報を付加する最も代表的な方法は次のとおりです。
(1)IEEE802.1Q
(2)ISL
ここで、これら 2 つのプロトコルがそれぞれどのように VLAN 情報をデータ フレームに付加するかを見てみましょう。
02 IEEE 802.1Q
一般に「Dot One Q」として知られる IEEE 802.1Q は、データ フレームに VLAN 識別情報を付加するための IEEE 認定プロトコルです。
ここで、イーサネット データ フレームの標準フォーマットを思い出してください。
IEEE 802.1Qで付加されるVLAN識別情報は、データフレーム内の「送信元MACアドレス」と「Typeフィールド」の間に位置します。具体的な内容は、TPID(Tag Protocol IDentifier)2バイトとTCI(Tag Control Information)2バイトの合計4バイトです。
データフレームに4バイトが追加されると、当然CRC値も変化します。このとき、データフレーム上のCRCは、TPIDとTCIを挿入した後、それらを含むデータフレーム全体を再計算した値となります。
データ フレームがアグリゲーション リンクから離れると、TPID と TCI が削除され、この時点で CRC の再計算が実行されます。
イーサネット パケットの TPID フィールドの位置は、VLAN タグのないパケットのプロトコル タイプ フィールドの位置と同じです。
TPID の値は、ネットワーク フレームで伝送される 802.1Q タイプを示す 0x8100 に固定されており、スイッチはこれを使用して、IEEE 802.1Q に基づく VLAN 情報がデータ フレームに付加されているかどうかを判断します。
実際の VLAN ID は TCI の 12 ビットです。合計 12 ビットなので、最大 4096 個の VLAN を識別できます。
IEEE 802.1Qに基づいて付与されるVLAN情報は、物品を配送する際に付与されるタグのようなものです。そのため「タグVLAN」とも呼ばれます。
03 ISL(インタースイッチリンク)
ISL は、シスコ製品でサポートされている IEEE 802.1Q に似たプロトコルで、VLAN 情報をアグリゲーション リンクに付加するために使用されます。
ISL を使用した後、各データ フレーム ヘッダーには 26 バイトの「ISL ヘッダー (ISL Header)」が追加され、ISL ヘッダーを含むデータ フレーム全体を計算した後に得られる 4 ワードがフレーム末尾のセクション CRC 値に追加されます。つまり、合計 30 バイトの情報が追加されたことになります。
ISL を使用する環境では、データ フレームがアグリゲーション リンクから離れるときに、ISL ヘッダーと新しい CRC を単に削除するだけで十分です。元のデータ フレームとその CRC は完全に保存されるため、CRC を再計算する必要はありません。
ISL は、元のデータ フレームを ISL ヘッダーと新しい CRC でラップするようなものであるため、「カプセル化 VLAN」とも呼ばれます。
IEEE802.1Q の「タグ付け VLAN」も、ISL の「カプセル化 VLAN」も、それほど厳密な用語ではないことに注意してください。書籍や参考書によっては、上記の単語が混在して使用されている場合がありますので、学習時には特に注意が必要です。
また、ISL はシスコ独自のプロトコルであるため、シスコ ネットワーク デバイス間の相互接続にのみ使用できます。
06 VLAN 間ルーティング
01 VLAN間ルーティングの必要性
これまでに学んだ知識によれば、2 台のコンピュータが同じスイッチに接続されていても、異なる VLAN に属している限り、直接通信できないことがわかっています。
次に学習するのは、異なる VLAN に属するホストが相互に通信できるように、異なる VLAN 間でルーティングする方法です。
まず、ルーティングなしでは異なる VLAN が通信できない理由を確認してみましょう。
LAN内で通信を行う場合、データフレームのヘッダーに通信先のMACアドレスを指定する必要があります。
MAC アドレスを取得するには、TCP/IP プロトコルの下で ARP が使用されます。ARP が MAC アドレスを解決する方法はブロードキャストです。
つまり、ブロードキャストメッセージが到着できない場合には、MACアドレスを解決することができず、直接通信を行うことができない。
コンピュータは異なる VLAN に属しており、これは異なるブロードキャスト ドメインに属していることを意味するため、当然のことながら、相互にブロードキャスト メッセージを受信することはできません。
したがって、異なる VLAN に属するコンピュータは相互に直接通信できません。
VLAN間で通信を行うためには、OSI参照モデルの上位層であるネットワーク層の情報(IPアドレス)をルーティングに使用する必要があります。ルーティングの具体的な内容については、後ほど詳しく説明します。
ルーティング機能は通常、主にルーターによって提供されます。しかし、今日の LAN では、ルーティング機能を備えたスイッチ、つまりレイヤー 3 スイッチ (Layer 3 Switch) を使用して実現することがよくあります。次に、VLAN 間のルーティングにルーターとレイヤー 3 スイッチを使用する場合の状況を見てみましょう。
02VLAN間ルーティングにルーターを使用する
VLAN 間のルーティングにルーターを使用する場合、複数のスイッチにまたがる VLAN を構築する場合と同様に、「ルーターとスイッチをどのように接続するか」という問題が発生します。
ルーターとスイッチの接続方法は大きく分けて2つあります。
(1) ルータをスイッチ上の各 VLAN に個別に接続します。
(2) VLANがいくつあっても、ルータとスイッチは1本のネットワークケーブルで接続されます。
一番考えやすいのは、やはり「ルーターとスイッチをVLAN単位でネットワークケーブルで接続する」ということです。
ルーターへの接続に使用するスイッチの各ポートをアクセスリンクとして設定し、ネットワークケーブルを使用してルーターの独立したポートに接続します。
次の図に示すように、スイッチには 2 つの VLAN があるため、ルーターとの相互接続用にスイッチ上の 2 つのポートを予約する必要があり、ルーターにも 2 つのポートが必要で、それらを 2 本のネットワーク ケーブルで接続します。
この方法を採用した場合、スケーラビリティに大きな問題があることは誰でも想像に難くありません。新しい VLAN が追加されるたびに、ルーターのポートとスイッチのアクセス リンクが消費され、ネットワーク ケーブルの配線を変更する必要があります。
一方、ルーターには通常、それほど多くの LAN インターフェイスがありません。新規にVLANを作成する場合、追加したVLANに必要なポートに対応させるために、ルータを複数のLANインターフェースを備えたハイエンド製品にアップグレードする必要があり、この部分のコストと再配線によるオーバーヘッドが発生します。この配線方法が人気のないアプローチになる可能性があります。
では、2 番目の「VLAN の数に関係なく、ルーターとスイッチを 1 本のネットワーク ケーブルで接続する」方法はどうでしょうか? VLAN 間ルーティングのためにルーターとスイッチをネットワーク ケーブルで接続する場合、アグリゲーション リンクが必要になります。 。
具体的な実装プロセスは次のとおりです。
まず、ルーターへの接続に使用するスイッチ ポートをトランク リンクとして設定します。ルーターのポートもトランク リンクをサポートしている必要があります。当然のことながら、リンクを集約するために双方が使用するプロトコルも同じである必要があります。
次に、ルータ上の各 VLAN に対応する「サブ インターフェイス」(Sub Interface)を定義します。
実際にスイッチに接続されている物理ポートは 1 つだけですが、理論的にはそれを複数の仮想ポートに分割できます。
VLAN はスイッチを論理的に複数のスイッチに分割するため、VLAN 間のルーティングに使用されるルーターにも各 VLAN に対応する仮想インターフェイスが必要です。
この方法を採用すると、後からスイッチに新しいVLANを作成する場合でも、スイッチとルータを接続するネットワークケーブルは1本だけで済みます。
ユーザーは、ルーター上の新しい VLAN に対応する新しいサブインターフェイスを設定するだけで済みます。従来の方式に比べて拡張性が大幅に向上し、LANインターフェースが不足したルーターの更新や再配線の心配がありません。
03 同一VLAN内的通信
次に、アグリゲーション リンクを使用してスイッチとルーターを接続する場合に、VLAN 間ルーティングがどのように実行されるかを学び続けます。下図のように、各コンピュータとルータのサブインターフェースのIPアドレスを設定します。
赤の VLAN (VLAN ID=1) のネットワーク アドレスは 192.168.1.0/24、青の VLAN (VLAN ID=2) のネットワーク アドレスは 192.168.2.0/24 です。
各コンピュータの MAC アドレスは A/B/C/D、ルータのアグリゲーションリンクポートの MAC アドレスは R です。
スイッチは、各ポートに接続されているコンピュータの MAC アドレスを学習して、次の MAC アドレスリストを生成します。
まず、コンピュータ A が同じ VLAN 内のコンピュータ B と通信する状況を考えてみましょう。
コンピュータ A は、ARP 要求メッセージを送信し、B の MAC アドレスの解決を要求します。スイッチはデータ フレームを受信すると、受信ポートと同じ VLAN に属する MAC アドレス リスト内のエントリを取得します。
コンピュータ B がポート 2 に接続されていることが判明したため、スイッチはデータ フレームをポート 2 に転送し、最終的にコンピュータ B がフレームを受信します。
送信側と受信側間の通信は同じ VLAN に属し、すべての処理がスイッチ内で完了します。
04 異なるVLAN間の通信
次は、この講義の核となる内容である、異なる VLAN 間の通信です。コンピュータ A がコンピュータ C と通信するときの状況を考えてみましょう。
コンピュータAは、通信先のIPアドレス(192.168.2.1)から、コンピュータCとこのコンピュータは同じネットワークセグメントに属さないと判断します。したがって、データフレームは設定されたデフォルトゲートウェイ(DefaultGateway、GW)に転送されます。
データ フレームを送信する前に、ARP を使用してルーターの MAC アドレスを取得する必要があります。
ルーターの MAC アドレス R を取得したら、次のステップは、図に示す手順に従ってデータ フレームを C に送信することです。
①のデータフレームでは、ターゲットMACアドレスはルータのアドレスRですが、含まれるターゲットIPアドレスは通信対象物Cのアドレスのままです。
この部分の内容はLAN内のルーターを経由して転送する際の通信手順になりますので、機会があれば詳しく説明させていただきます。
スイッチはポート 1 で①のデータフレームを受信すると、ポート 1 と同じ VLAN に属する MAC アドレスリストのエントリを取得します。
アグリゲーションリンクはすべての VLAN に属するものとみなされますので、このときスイッチのポート 6 も参照オブジェクトに属します。
このようにして、スイッチは、MAC アドレス R へのデータ フレームの送信はポート 6 経由で転送する必要があることを認識します。
ポート6からデータフレームを送信する場合、トランクリンクのためVLAN識別情報が付加されます。
データフレームは元々赤VLANから来たものなので、図の②のように赤VLANの識別情報が付加されてアグリゲーションリンクに入ります。
ルータは、②のデータフレームを受信後、VLAN識別情報を確認し、赤VLANのデータフレームに属するため、赤VLANを担当するサブインターフェースで受信します。
そして、ルーター内のルーティングテーブルを元に、どこに中継するかを決めます。
ターゲット ネットワーク 192.168.2.0/24 は青色 VLAN であり、ネットワークはサブインターフェイスを介してルーターに直接接続されているため、青色 VLAN を担当するサブインターフェイスから転送するだけで済みます。
このとき、データフレームの宛先MACアドレスはコンピュータCの宛先アドレスに書き換えられ、アグリゲーションリンク経由で転送する必要があるため、青色のVLANに属する識別情報が付加される。図の③のデータフレームです。
スイッチは③のデータフレームを受信すると、VLAN 識別情報に基づいて MAC アドレスリストから青色の VLAN に属するエントリを取得します。
通信対象のコンピュータ C はポート 3 に接続されており、ポート 3 は通常のアクセスリンクであるため、スイッチは VLAN 識別情報を削除したデータ フレーム (データ フレーム④) をポート 3 に転送し、最終的にコンピュータ C は正常に接続できます。このデータフレームを受信します。
VLAN 間で通信する場合、通信する双方が同じスイッチに接続している場合でも、「送信者 - スイッチ - ルータ - スイッチ - 受信者」というプロセスを経る必要があります。
07 レイヤ3スイッチ
01VLAN間ルーティングにルーターを使用する場合の問題
VLAN 間ルーティングが提供されている限り、異なる VLAN に属するコンピュータは相互に通信できることがわかりました。
ただし、VLAN 間のルーティングにルーターを使用すると、VLAN 間のトラフィックが増加し続けるため、ルーターがネットワーク全体のボトルネックになる可能性があります。
スイッチは、データフレームのスイッチング動作をASIC(Application Specified Integrated Circuit)と呼ばれる専用のハードウェアチップで処理しており、多くの機種でケーブル速度(Wired Speed)でのスイッチングを実現できます。
ルーターは基本的にソフトウェア処理に基づいています。
たとえケーブル速度でパケットを受信したとしても、無制限の速度で転送することはできないため、速度のボトルネックになります。
VLAN間ルーティングに関しては、ルータとスイッチを接続するアグリゲーションリンクにトラフィックが集中し、特にこの部分が速度のボトルネックとなりやすい。
また、ハードウェアの観点から見ると、ルーターとスイッチを別々に設置する必要があるため、スペースが狭い環境では、設置場所さえ問題になる場合があります。
02 レイヤ 3 スイッチ
上記の問題を解決するために、3 層スイッチが登場しました。レイヤ3スイッチとは、本質的には「ルーティング機能を備えた(レイヤ2)スイッチ」です。
ルーティングは、OSI参照モデルにおける第3層のネットワーク層の機能に属するため、第3層のルーティング機能を備えたスイッチを「3層スイッチ」と呼びます。
3 層スイッチの内部構造については、次の図を参照してください。
1 つの本体にスイッチ モジュールとルータ モジュールがそれぞれセットされており、内蔵ルーティング モジュールはスイッチ モジュールと同じで、ASIC ハードウェアを使用してルーティングを処理します。
そのため、従来のルータに比べて高速なルーティングが実現できます。また、ルーティングモジュールとスイッチングモジュールが集約・リンクされており、内部で接続されているため、かなりの帯域を確保できます。
1. VLAN 間ルーティング (VLAN 内通信) にレイヤー 3 スイッチを使用する
データはレイヤー 3 スイッチ内でどのように拡散するのでしょうか? 基本的には、トランクリンクを使用してルーターとスイッチを接続する場合と同じです。
次の図に示すように、レイヤ 3 スイッチで相互接続された 4 台のコンピュータがあると仮定します。ルータを利用して接続する場合、一般的にLANインターフェース上に各VLANに対応したサブインターフェースを設定する必要がありますが、レイヤー3スイッチは内部で「VLANインターフェース」(VLANインターフェース)を生成します。
VLANインターフェースは、各VLAN内でデータを送受信するためのインターフェースです。(注: Cisco の Catalyst シリーズ スイッチでは、VLAN インターフェイスは SVI (スイッチド仮想インターフェイス) と呼ばれます)
VLAN 間ルーティングにルーターを使用するのとは対照的に、コンピューター A がコンピューター B と通信する場合の状況も考えてみましょう。
まず、宛先アドレス B のデータ フレームがスイッチに送信され、同じ VLAN の MAC アドレス リストを取得すると、コンピュータ B がスイッチのポート 2 に接続されていることがわかり、データ フレームは次のアドレスに転送されます。ポート2。
2. VLAN 間ルーティング(VLAN 間通信)にレイヤ 3 スイッチを使用する
次に、コンピュータ A がコンピュータ C と通信するときの状況を想像してください。コンピュータAは、対象のIPアドレスから通信対象が同じネットワークに属さないと判断できるため、デフォルトゲートウェイにデータを送信します(フレーム1)。
MAC アドレス リストを取得した後、スイッチは内部アグリゲーション リンクを介してデータ フレームをルーティング モジュールに転送します。内部アグリゲーションリンクを通過する際、データフレームには赤色のVLANに属するVLAN識別情報が付加されます(フレーム2)。
ルーティングモジュールはデータフレームを受信すると、まずデータフレームに付加されているVLAN識別情報により赤VLANに属することを識別し、赤VLANインタフェースが受信およびルーティング処理を担当すると判断します。
ターゲット ネットワーク 192.168.2.0/24 はルータに直接接続されているネットワークであり、青の VLAN に対応しているため、青の VLAN インターフェイスから内部アグリゲーション リンクを通じてスイッチ モジュールに転送されます。アグリゲーションリンクを通過する際、今度はデータフレームに青色のVLANに属する識別情報が付加されます(フレーム3)。
スイッチはこのフレームを受信すると、青色の VLAN の MAC アドレスのリストを取得し、ポート 3 に転送する必要があることを確認します。
ポート 3 は共通アクセス リンクであるため、VLAN 識別情報は転送前に削除されます (フレーム 4)。最後に、コンピュータ C は、スイッチによって転送されたデータ フレームを正常に受信します。
全体的なプロセスは外部ルータを使用する場合の状況と非常に似ており、すべて「送信者→スイッチ モジュール→ルーティング モジュール→スイッチ モジュール→受信者」を経由する必要があります。
08 VLAN間の通信を高速化する手段
01 フロー(流れ)
これまでの研究によれば、VLAN 間ルーティングは外部ルータまたはレイヤ 3 スイッチの内蔵ルーティング モジュールを通過する必要があることがすでにわかっています。
ただし、すべてのデータがルーター (またはルーティング モジュール) を通過する必要がない場合があります。
たとえば、FTP(File Transfer Protocol)を使用して数MB以上の大きなファイルを転送する場合、MTUの制限により、IPプロトコルではデータを細かく分割して送信し、再組み立てします。それらは受信機にあります。
これらの分割データの「送り先」は全く同じです。送信宛先が同じであるということは、宛先 IP アドレスと宛先ポート番号が同じであることを意味します (注: これは TCP/UDP ポートを指すことを特に強調しておきます)。
当然、送信元 IP アドレスと送信元ポート番号も同じである必要があります。このような一連のデータの流れを「フロー(Flow)」と呼びます。
フローの最初のデータが正しくルーティングされている限り、後続のデータも同じ方法でルーティングされる必要があります。
したがって、後続のデータをルータでルーティングする必要がなく、繰り返しのルーティング操作を省略することで、VLAN 間のルーティング速度をさらに向上させることができます。
02 VLAN間ルーティングを高速化する仕組み
次に、レイヤ 3 スイッチを使用して VLAN 間ルーティングを高速に実現する方法を具体的に考えてみましょう。
まず、フロー全体の最初のデータが通常どおりスイッチによって転送される→ルーターによってルーティングされる→スイッチによってターゲットに接続されているポートに再び転送されます。
このとき、最初のデータルーティングの結果をキャッシュに記録して保存します。記録する必要がある情報は次のとおりです。
(1) ターゲットIPアドレス
(2) 送信元IPアドレス
(3) 対象のTCP/UDPポート番号
(4) 送信元TCP/UDPポート番号
(5) 受信ポート番号(スイッチ)
(6) 転送ポート番号(スイッチ)
(7) 転送先MACアドレス
等
同一フローの2ブロック目以降のデータがスイッチに到着した後、あらかじめキャッシュに格納されている情報を問い合わせることで「転送ポート番号」を知り、目的のポートに転送することができます。
この方法では、内部ルーティング モジュールを何度も中継する必要がなく、スイッチ内のバッファ情報だけで転送すべきポートを決定できます。
このときスイッチは、ルータから中継されるデータフレームに対して、MACアドレスやIPヘッダ内のTTLやチェックサムのチェックコード情報の書き換えなど、同様の処理を行います。
ルーティング結果をスイッチにキャッシュすることにより、送信側が送信したデータをケーブル速度 (有線速度) で受信し、データをフルスピードでルーティングして受信側に転送できます。
なお、VLAN間ルーティングを高速化する同様の手法は、各メーカーの独自技術により実現されているものが多く、この機能の名称もメーカーごとに異なります。
たとえば、Cisco の Catalyst シリーズ スイッチでは、この機能は「マルチ レイヤ スイッチング」と呼ばれます。さらに、レイヤ 3 スイッチの内部ルーティング モジュールに加えて、外部ルータの一部のモデルも同様の高速 VLAN 間ルーティング メカニズムをサポートしています。
09 従来型ルーターの重要性
01 ルーターの必要性
レイヤ 3 スイッチの価格は当初は非常に高価でしたが、現在では価格が大幅に下がっています。
現在、一部の安価な外国モデルの価格は人民元に換算すると1万元を超える程度で、依然として下落が続いている。
レイヤ 3 スイッチは従来のルータに比べて高速なルーティング処理が可能なため、ネットワーク内にルータを使用する必要はありますか?
答えは「はい」です。
ルーターを使用する必要性は、主に次のような側面で現れます。
1. WAN への接続に使用します
レイヤ 3 スイッチは結局のところ「スイッチ」です。つまり、ほとんどのモデルはLAN(イーサネット)インターフェースのみを搭載しています。
いくつかのハイエンド スイッチには、WAN に接続するためのシリアル インターフェイスまたは ATM インターフェイスもありますが、ほとんどの場合、WAN に接続するにはルーターが必要です。
2. ネットワークのセキュリティを確保する
レイヤ 3 スイッチでは、パケット フィルタリングによってある程度のネットワーク セキュリティも確保できます。しかし、ルータが提供するさまざまなネットワークセキュリティ機能を利用することで、より安全で信頼性の高いネットワークを構築することができます。
ルータが提供するネットワークセキュリティ機能としては、最も基本的なデータパケットフィルタリング機能に加え、IPSecによるVPN(仮想プライベートネットワーク)の構築や、ユーザー認証にRADIUSを利用することなどが可能です。
3. TCP/IP 以外の異種ネットワーク アーキテクチャをサポート
TCP/IP が現在のネットワーク プロトコル アーキテクチャの主流になっていますが、Novell Netware の IPX/SPX や Macintosh の AppleTalk などのネットワーク プロトコルを使用するネットワークは依然として多くあります。
3層スイッチのうち、一部の上位モデルを除き、基本的にはTCP/IPのみをサポートします。したがって、TCP/IP 以外のネットワーク プロトコルを使用する必要がある環境では、依然としてルーターが不可欠です。
注: 少数のハイエンド スイッチでは、上記のルーターの機能もサポートされています。たとえば、Cisco の Catalyst 6500 シリーズでは、WAN に接続されたインターフェイス モジュールを選択でき、IPSec に基づく VPN を実装するためのオプション モジュールもあり、TCP/IP 以外のネットワーク プロトコルもサポートできます。
02 ルーターとスイッチが連携してLANを構築する例
ルーターとスイッチを組み合わせてLANを構築する例を見てみましょう。
各フロアに構成されたレイヤー 2 スイッチを使用して VLAN を定義し、TCP/IP クライアント コンピューターを接続します。
フロア間のVLAN間通信は、3層スイッチの高速ルーティングを利用して実現します。
高い信頼性が求められるネットワーク環境の場合は、レイヤー3スイッチによる冗長構成も検討できます。
WAN への接続は、さまざまなネットワーク インターフェイスを備えたルーターを介して行われます。さらに、ルーターのデータパケットフィルタリングやVPNなどの機能により、ネットワークセキュリティを実現します。
さらに、ルータを使用すると、Novell Netware などの TCP/IP 以外のネットワークもサポートできます。
レイヤ 2 およびレイヤ 3 スイッチと従来のルーターを完全にマスターすることに基づいてのみ、両方の長所を実現し、高効率でコストパフォーマンスの高いネットワークを構築できます。
10 VLAN を使用したローカル エリア ネットワークの設計
01VLANを利用したLAN設計の特徴
VLANを利用してローカルエリアネットワークを構築することで、ユーザーは物理リンクに制限されることなく、ブロードキャストドメインを自由に分割することができます。
さらに、前述のルータとレイヤ 3 スイッチによる VLAN 間のルーティングにより、柔軟で変更可能なネットワーク構成に適応できます。
しかし、VLANを利用するとネットワーク構成が複雑になりやすいため、ネットワーク全体の構成を把握することが難しくなります。
VLANを利用する場合、「ネットワーク構成を柔軟に変更できる」というメリットの他に、「ネットワーク構成が複雑になる」というデメリットもあると言えます。
次に、具体例を見ていきましょう。
02VLANなしLANでのネットワーク構成変更
図に示すように、1 台のルーターと 2 台のスイッチで構成される「VLAN なしで構築された」ネットワークがあると仮定します。
写真のルーターには LAN インターフェイスが 2 つあります。左側のネットワークは 192.168.1.0/24、右側のネットワークは 192.168.2.0/24 です。
ここで、192.168.1.0/24 ネットワーク上のコンピュータ A を 192.168.2.0/24 に転送する場合は、物理接続を変更して、A を右側のスイッチに接続する必要があります。
また、アドレス 192.168.3.0/24 のネットワークを追加する必要がある場合は、ルータ上で別の LAN インターフェイスを占有し、スイッチを追加する必要があります。
また、このルーターには LAN インターフェイスが 2 つしかないため、新しいネットワークを追加するには、ルーターを 3 つ以上の LAN インターフェイスを持つ製品にアップグレードする必要があります。
03VLANを利用したLAN内のネットワーク構成の変更
次に、1 台のルーターと 2 台のスイッチで構成される「VLAN を使用した」ローカル エリア ネットワークがあると仮定します。
スイッチとスイッチ、スイッチとルーターはアグリゲーション リンクであり、192.168.1.0/24 が赤色の VLAN に対応し、192.168.2.0/24 が青色の VLAN に対応すると仮定します。
スイッチ 1 のネットワークセグメント 192.168.1.0/24 に接続されているコンピュータ A を 192.168.2.0/24 に転送する必要がある場合、物理的な配線を変更する必要はありません。
スイッチ上で青色の VLAN を生成し、コンピュータ A に接続されているポート 1 を青色の VLAN に追加してアクセス リンクにします。
次に、必要に応じてコンピュータ A の IP アドレス、デフォルト ゲートウェイなどの情報を設定します。
IP アドレスに関する設定を DHCP によって取得すると、クライアントは設定を変更することなく、異なるネットワーク セグメント間を移動できます。
VLAN を使用すると、物理的な配線を変更することなく、ネットワークのロジックを自由に設計できます。作業環境でネットワーク レイアウトを頻繁に変更する必要がある場合、VLAN を使用する利点は明らかです。
さらに、アドレス 192.168.3.0/24 のネットワーク セグメントを追加する必要がある場合、スイッチ上で 192.168.3.0/24 に対応する新しい VLAN を作成し、そのアクセス リンクに必要なポートを追加するだけで済みます。 .アップ。
ネットワーク環境で外部ルーターを使用する必要がある場合は、物理インターフェース (LAN インターフェース) をさらに消費することなく、ルーターの集約ポートに新しいサブインターフェース設定を追加することで、すべての操作を完了できます。
レイヤ 3 スイッチ内のルーティング モジュールを使用する場合は、新しい VLAN インターフェイスを設定するだけで済みます。
ネットワーク環境の成長は予測できないことが多く、既存のネットワークを分割したり、新しいネットワークを追加したりする必要が生じることがよくあります。VLANを活用すれば、これらの問題は簡単に解決できます。
04VLANの利用による複雑なネットワーク構成
VLANを利用すると柔軟なネットワークを構築できる反面、ネットワーク構造が複雑になるという問題もあります。
特にデータ ストリームが交差するため、一度障害が発生すると、正確に場所を特定してトラブルシューティングすることが困難になります。
データ フローの複雑さを理解するために、次の図に示すようなネットワークがあると仮定します。コンピューター A がコンピューター C にデータを送信する場合、データ フローの全体的な方向は次のとおりです。
コンピュータ A→スイッチ 1→ルーター→スイッチ 1→スイッチ 2→コンピュータ C
まず、コンピュータ A がスイッチ 1 (①) にデータを送信し、次にそのデータが VLAN 間ルーティングのためにルーター (②) に転送されます。
ルーティングされたデータは、アグリゲーションリンクからスイッチ 1 に戻ります (③)。
通信対象のコンピュータCはスイッチ1に直接接続されていないため、アグリゲーションリンクを介してスイッチ2にも転送する必要があります(④)。
スイッチ 2 では、最終的に C に接続されたポート 2 にデータが転送され、すべての処理が完了します (⑤)。
この例では、ネットワークは 2 台のスイッチのみで構成されており、データの流れが非常に複雑になっていますが、複数のスイッチにまたがる VLAN を構築すると、当然、各データの流れの方向を把握することが困難になります。
05 ネットワークの論理構造と物理構造
複雑化するデータの流れに対応するために、管理者は「論理構造」と「物理構造」の2つの側面からネットワークの現状を把握する必要があります。
物理構造とは、物理層やデータリンク層から見たネットワークの現状を指し、ネットワークの物理的な配線形態やVLANの設定などを示します。
論理構造とは、ネットワーク層より上位の層から見たネットワーク構造を指します。ルーターを中心としたIPネットワークの論理構造を解析してみましょう。
前の例と同様に、配線構成と VLAN 設定を表す「物理構造」を次の図に示します。
物理構造を解析し、ルーターを中心とした論理構造に変換すると、次のような論理構造図が得られます。
ルーティングやデータパケットのフィルタリングを設定する必要がある場合は、論理構造に基づいて行う必要があります。
これら 2 つのネットワーク構造図の違いを理解することは、特に VLAN とレイヤー 3 スイッチが普及している最新のエンタープライズ クラスのネットワークでは非常に重要です。
仕上げ: Lao Yang丨 10 年以上の上級ネットワーク エンジニア、乾物を改善するためにネットワーク ワーカーを増やす、公式アカウントに注目してください: ネットワーク エンジニア クラブ