VLANで論理的に独立したネットワークを作成するCCENT/CCNA 試験対策 2015年版(12)(1/2 ページ)

新米ネットワークエンジニアと共にシスコの認定資格「CCENT/CCNA」のポイントを学ぶシリーズ。今回のテーマは「VLANで論理的に独立したネットワークを作成する方法、およびそれらのVLAN間でのルーティングの必要性」です。

» 2015年04月09日 05時00分 公開
CCENT/CCNA 試験対策 2015年版

連載目次

 新米ネットワークエンジニアのS君がCCENT/CCNAを受験するために勉強した内容をリポートに書き、S君の先輩 齋藤さんが添削する形式で進める本連載。今回の学習テーマは、シスコシステムズが発表しているCCENT試験内容の2.5「VLANによって論理的に独立したネットワークを作成する方法、およびそれらのVLAN間でのルーティングの必要性についての説明」についてです。


S君のリポート

 今回は「VLANで論理的に独立したネットワークを作成する方法、およびそれらのVLAN間でのルーティングの必要性」をリポートします。

VLAN

 VLANは「Virtual LAN」の略で、日本語訳は「仮想LAN」です。日本語訳の通り、仮想的なLANを作成できます。簡単に言うと、物理スイッチの中に作られたグループのことをVLANと呼びます。VLANは、1台の物理スイッチの中に仮想スイッチを作るイメージです。この仮想スイッチは原則、他の仮想スイッチとは通信できません。

図1 VLANイメージ(クリックすると、大きなサイズの画像を表示します。以降の画像も全て、クリックで拡大します)

 VLAN技術は主にスイッチで用いられます。VLANのメリットは大きく3つあります。これらの説明をしつつ、VLANを解説をしていきます。

  1. ブロードキャストドメインの分割
  2. ネットワークの柔軟な論理設計が可能
  3. ネットワークセキュリティの向上

VLAN-ID

 「VLAN-ID(VLAN番号とも呼ばれる)」は、1台の物理スイッチの中で作成されたVLAN(仮想スイッチ)を区別するために使う番号です。

 同一VLANに属しているポート同士は通信できます。反対に、異なるVLAN-IDのポート同士は原則として通信できません。

1 ブロードキャストドメインの分割

 VLANは、ブロードキャストドメイン(参考第10回「コリジョンドメインとブロードキャストドメイン」)を分割できる技術です。

図2 VLANによるブロードキャストドメイン分割

 スイッチは、各ポートによってブロードキャストドメインを分割できません(図2の左部分)。しかしVLANを作成すると、ブロードキャストドメインを分割できます。設計次第で、図2の右部分のように、2つにも3つにも分割できます。

 VLANを作成できるスイッチのほとんどは24ポート以上あり、ルーターと比べてポート数が多いので、ブロードキャストドメインを増やしたい場合は、ルーターを新規に購入することなくスイッチの設定のみで対応できます。

 VLANを作成するとネットワークを分割することができ、ブロードキャストドメインも同じように分割できます。

2 ネットワークの柔軟な論理設計が可能

 VLANを用いると、物理的に配線を変えたり機器を追加したりすることなく、スイッチの設定次第でブロードキャストドメインを増やしたネットワークを構成できます。

図3 スイッチ2台でのVLAN構成例1

 図3は、2つのスイッチ間でVLANを使用した場合です。

 両スイッチの1&2番ポートをVLAN10に、3&4番ポートをVLAN20に、5&6番ポートをVLAN30に設定します。同じVLANであれば、複数のスイッチをまたいだ通信でも可能です。異なるVLAN間では同一の物理スイッチ内でも通信は不可です。

図4 スイッチ2台でのVLAN構成例2

 図4はVLAN10とVLAN20を「192.168.10.0/24」に設定した例です。同じVLANでは通信可能、異なるVLANでは通信不可です。

※通常はこのようには設計しません。

VLAN設定コマンド

 次回以降で、ネットワーク機器の設定方法を説明しますので、今回は簡単に「スイッチでのVLAN設定コマンド」を説明します。

 上記の例でスイッチに設定したコマンドは以下の通りです。

SW> enable   特権モードへ移行

SW# conf t   グローバルコンフィギュレーションモードへ移行

SW(config)# vlan 10   VLAN10の作成

SW(config-vlan)# exit

SW(config)# vlan 20   VLAN20の作成

SW(config-vlan)# exit

SW(config)# vlan 30   VLAN30の作成

SW(config-vlan)# exit



SW(config)# interface fastEthernet 0/1   インターフェースコンフィギュレーションモードへ移行

SW(config-if)# switchport mode access   アクセスモードを指定

SW(config-if)# switchport access vlan 10   VLAN10の指定

SW(config-if)# exit

SW(config)# interface fastEthernet 0/2

SW(config-if)# switchport mode access

SW(config-if)# switchport access vlan 10

SW(config-if)# exit

SW(config)# interface fastEthernet 0/3

SW(config-if)# switchport mode access

SW(config-if)# switchport access vlan 20

SW(config-if)# exit

SW(config)# interface fastEthernet 0/4

SW(config-if)# switchport mode access

SW(config-if)# switchport access vlan 20

SW(config-if)# exit

SW(config)# interface fastEthernet 0/5

SW(config-if)# switchport mode access

SW(config-if)# switchport access vlan 30

SW(config-if)# exit

SW(config)# interface fastEthernet 0/6

SW(config-if)# switchport mode access

SW(config-if)# switchport access vlan 30

SW(config-if)# exit


 スイッチやルーターには「動作モード」が存在します(動作モードについても、次回以降リポートします)。

 設定を行う動作モードで「vlan 10」というコマンドを入力すると、VLAN10を作成します。同様に、VLAN20と30を作成します。

 次に作成したVLANを各ポートに割り当てます。Fe0/1ポートを例に挙げると、単一のVLANに所属させるという宣言(switchport mode access)と、所属するVLAN-IDの指定(switchport access vlan 10)を行っています。この2行の設定はペアで行います。

 switchport mode accessコマンドで設定しているアクセスモードとは、スイッチのポートをVLANに所属させるモードです。アクセスモードの他に「トランクモード」があります

図5 VLANの運用例

 実際の運用例で説明します。

 VLANを用いて、技術部と営業部のネットワークセグメントを分割し、複数の階にまたがって存在するネットワークセグメントを同じにしています。

 スイッチの設定で、技術部PCが接続されているポートにはVLAN10を割り当て、営業部PCが接続されているポートにはVLAN20を割り当てます。設定すると、技術部と営業部のネットワークセグメントを分割でき、階層が違ってもネットワークセグメントを同じにできます。

3 ネットワークセキュリティの向上

 会社は部署ごとにネットワークセグメントを分けることがあります。ネットワークセグメントを分けると、「技術部だけが特定のファイルにアクセスできる」などの設定が可能です。技術部と営業部で別々のネットワークセグメントを使用するときにVLANも異なるように設定をすることは、ネットワーク設計では一般的な設計方針です。

 また、マルウエアなどはブロードキャスト通信を用いて拡散される場合があります。VLANによってネットワークセグメントを分けるとセキュリティの向上にもつながります。

図6 VLAN-IDとネットワークアドレス

 VLAN-IDとネットワークアドレスの第3オクテット(図6右側の赤字)を同じ番号に割り当てて管理すると、使用しているVLANの情報も一目で把握できます。

用語解説

用語 意味
アクセスモード 指定したポートが直接ホストにつながっている場合に用いる。他にはトランクモードがあり、VLANを束ねて接続できる
ルーティング 宛先までの最適経路を算出する機能。計算方法にはいくつか種類がある。※今後のリポートで詳しく説明載します
マルウエア 悪質なプログラムやウイルスのこと

 次回は、出題範囲の2.5〜2.7の範囲で、スイッチに対する設定コマンドを中心に、アクセスポート、トランクポート、トランク接続、VLAN間ルーティング、DTPなどをリポートします。

リポート作成:新米S


齋藤さんの添削

 VLANを作成したときのメリット/デメリット、VLANを使用している具体例などが足りないです。例えば「データセンターでお客さまの回線を収容するスイッチではVLANをどのように使用しているか」などの記述がほしいです。※次回の宿題とします。

 今回の評価は「もう一歩」です。レイヤー2の技術の中でも重要なものなので、さらに勉強してください。添削のお礼は「それなりに豪華なお寿司 厳選10貫ランチ(サラダ・お椀付き)」でお願いします。

 齋藤

今回の宿題

  • データセンターでお客さまの回線を収容するスイッチでは、VLANをどのように使用していますか?
  • VLANを作成するメリット、デメリットを追加で調べましょう
  • 1台のスイッチで管理できるVLANの数はいくつでしょうか?
  • ルーターでVLANを識別できますか?
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

@IT自分戦略研究所

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。