- - PR -
広域イーサネットでのタグVLAN使用について
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2005-04-12 10:31
広域イーサネットでのタグVLAN使用について悩んでおります。
もしお分かりになる方がいらっしゃいましたらお助け下さい。 タグVLAN対応のL3スイッチ(またはルータ)を使って、広域イーサネットで 繋がれた2拠点を接続しようとしています。 拠点と部署名を仮に下記としたとき、 A拠点: 総務部、営業部 B拠点: 総務部、営業部 A-B拠点の総務部同士は通信可能、営業部同士は通信可能、総務部と営業部 は通信しないようにしたいと思っています。 広域イーサネットはタグVLAN(IEEE802.1Q)を透過するとの事なので、L3 スイッチのLANの設定で総務部をVLANグループ1、営業部をVLANグループ2 と設定して、拠点間をレイヤー2で通信すれば実現できると思いますが、 広域イーサネットの中をブロードキャストが流れることになり、効率が悪く なります。 そこで、A拠点を1セグメント、広域イーサネット(WAN側)を1セグメント、 B拠点を1セグメントとして、レイヤー3で通信しながらも、タグVLANを活用 したい。このような運用は可能でしょうか? | ||||
|
投稿日時: 2005-04-12 18:57
記載されている構成では、それなりの設定をしないと
ルーティングできないような気がします。 拠点間でIPアドレス帯域が同じということは、ルータはどのIPアドレスが どちらの拠点にあるのか知らない、ということになりますよね? どのIPアドレスがどちらの拠点にあるのかを明示的に設定する、とか どのインタフェースから入ってきたパケットはどちらに流す、とか 機器によってはできなくはないですが、あまり現実的ではないかと。 混乱を避けるためにセグメントとVLANの範囲を一致させるのが 一般的だと(私は)思います。 というわけで、私が設計するとすると、 ・A拠点の総務部を1セグメント ・A拠点の営業部を1セグメント ・B拠点の総務部を1セグメント ・B拠点の営業部を1セグメント ・WANを1セグメント と分けて、A拠点とB拠点の同じ部同士のみの通信を許可するよう ルータなりL3スイッチなりでフィルタリングし、 配下のL2スイッチは共用できるようセグメントごとにVLANを分ける、ということを考えます。 けっこう素直な設計かなという気がするのですが、問題ありそうでしょうか。 [ メッセージ編集済み 編集者: komey 編集日時 2005-04-12 18:59 ] | ||||
|
投稿日時: 2005-04-13 12:46
こんにちわ。
[QUOTE/]そこで、A拠点を1セグメント、広域イーサネット(WAN側)を1セグメント、 B拠点を1セグメントとして、レイヤー3で通信しながらも、タグVLANを活用 したい。このような運用は可能でしょうか? [/QUOTE] 無理でしょう。 タグVLANを通すインターフェイスにはIPアドレスは設定出来ません。 単なる土管みたいなものです。 komeyさんの言われる通りの構成が普通だと思います。 どうしてもこの構成で組む場合は、ルータでネットワークのサブネットマスクの調整 とProxy-arpの処理及びACLを組み合わせれば出来るかもしれません。 実施する際は、しっかりとした検証を行う必要があります。 | ||||
|
投稿日時: 2005-04-13 14:50
いろいろ教えていただき有難うございます。
もやもやしていた部分がすっきりしました。
やはりそうですか。 つまり同一セグメント上でのみタグVLANは有効に働くということですね。 komeyさんの言われる通り、それぞれセグメント分割して、IPフィルタ リングでアクセス制御したいと思います。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。