VLAN とは何ですか?
VLAN は、「VPN」(仮想プライベート ネットワーク)ではなく、仮想ローカル エリア ネットワークです。 VLAN は、LAN デバイスを (物理的ではなく) 論理的にセグメントに分割して、仮想ワークグループを実現する新しいデータ交換テクノロジです。 この新しいテクノロジーは主にスイッチとルーターで使用されますが、主流のアプリケーションはまだスイッチにあります。 ただし、すべてのスイッチがこの機能を備えているわけではなく、レイヤ 3 より上の VLAN プロトコルを使用するスイッチのみがこの機能を備えているため、対応するスイッチのマニュアルを確認することで確認できます。
IEEE は、802.1 年に 1999Q プロトコル標準のドラフトを発行して、VLAN 実装スキームを標準化しました。 VLAN テクノロジーの出現により、管理者は実際のアプリケーション要件に従って、同じ物理 LAN 内のさまざまなユーザーをさまざまなブロードキャスト ドメインに論理的に分割できます。 各 VLAN には、同じ要件を持つコンピューター ワークステーションのグループが含まれ、物理的に形成された LAN と同じ属性を持ちます。 物理的にではなく、論理的に分割されているためです。 したがって、同じ VLAN 内の個々のワークステーションは、同じ物理範囲に制限されません。つまり、これらのワークステーションは、異なる物理 LAN セグメントに配置できます。 VLAN の特性から、VLAN 内のブロードキャスト トラフィックとユニキャスト トラフィックの両方が他の VLAN に転送されないことは明らかです。したがって、トラフィックの制御、機器への投資の削減、ネットワーク管理の簡素化、およびネットワーク セキュリティの向上に役立ちます。
スイッチング テクノロジーの発展により、新しいスイッチング テクノロジー (VLAN) の採用も加速しています。 企業ネットワークを仮想ネットワーク VLAN セグメントに分割することで、ネットワーク管理とネットワーク セキュリティを強化し、不要なデータ ブロードキャストを制御できます。
共有ネットワークでは、物理ネットワーク セグメントはブロードキャスト ドメインです。 スイッチド ネットワークでは、ブロードキャスト ドメインは、選択されたレイヤ 2 ネットワーク アドレス(MAC アドレス)の任意のセットを持つ仮想セグメントにすることができます。 このようにして、ネットワーク内のワークグループの分割は、共有ネットワーク内の地理的な制約を打ち破り、代わりに完全に管理機能に基づくことができます。 このワークフロー ベースのグループ化モデルにより、ネットワークの計画と再編成の管理機能が大幅に向上します。
同じ VLAN 内のワークステーションは、実際に接続されているスイッチに関係なく、別のスイッチにあるかのように相互に通信します。 同じ VLAN 内のブロードキャストは、VLAN のメンバーだけが聞くことができ、他の VLAN には送信されないため、不要なブロードキャスト ストームの生成を適切に制御できます。 同時に、ルーティングがなければ、異なる VLAN が相互に通信できないため、企業ネットワーク内の異なる部門間のセキュリティが強化されます。
ネットワーク管理者は、VLAN 間のルートを構成して、企業内の異なる管理ユニット間の情報アクセスを完全に管理できます。 スイッチは、ユーザーのワークステーションの MAC アドレスに基づいて VLAN に分割されます。 したがって、ユーザーは自由に移動できます。 offエンタープライズ ネットワークに接続し、スイッチング ネットワークのどこにアクセスしても、VLAN 内の他のユーザーと自由に通信できます。
VLAN ネットワークは、10M イーサネット、100M イーサネット、トークン ネットワーク、FDDI、CDDI などのネットワーク タイプが混在するデバイスで構成でき、ワークステーション、サーバー、ハブ、ネットワーク アップリンク バックボーンなどにすることができます。
ネットワークを複数のブロードキャスト ドメインに分割して、ブロードキャスト ストームの発生を効果的に制御し、ネットワークのトポロジを非常に柔軟にするという利点に加えて、VLAN を使用して、ネットワーク内の異なる部門やサイト間のアクセスを制御することもできます。
VLAN は、ブロードキャストの問題とイーサネットのセキュリティを解決するために提案されたプロトコルです。 イーサネット フレームに VLAN ヘッダーを追加し、ユーザーを VLAN ID を持つ小さなワークグループに分割し、ユーザーが異なるワークグループ間で相互にアクセスすることを制限します。各ワークグループは仮想 LAN です。 仮想 LAN の利点は、ブロードキャスト範囲を制限できることと、仮想ワークグループを形成してネットワークを動的に管理できることです。
VLAN分割方法
スイッチでの VLAN の実装方法は、次の XNUMX つのカテゴリに分けることができます。
1.除算 ポートに基づく VLAN
これは、最も一般的に使用される VLAN 分割方法であり、最も広く使用され、効果的であり、ほとんどの VLAN プロトコル スイッチがこの VLAN 構成方法を提供しています。
この VLAN 分割方法は、イーサネット スイッチのスイッチング ポートに基づいています。 VLANスイッチ上の物理ポートとVLANスイッチ内のPVC(Permanent Virtual Circuit)ポートをいくつかのグループに分割し、各グループが独立したVLANスイッチと同等の仮想ネットワークを構成します。
異なる部門が相互にアクセスする必要がある場合は、MAC アドレス ベースのポート フィルタリングを備えたルーター経由で転送できます。 通過可能な MAC アドレスのセットは、サイトのアクセス パス上でサイトに最も近いスイッチ、ルーティング スイッチ、またはルーターの対応するポートに設定されます。 これにより、不正な侵入者が内部から IP アドレスを盗み、他のアクセス ポイントから侵入する可能性を防ぎます。
この分割方法自体からわかるように、この方法の利点は、すべてのポートが対応する VLAN グループとして定義されている限り、VLAN メンバーシップを非常に簡単に定義できることです。 あらゆる規模のネットワークに適しています。 その欠点は、ユーザーが元のポートを離れて新しいスイッチのポートに移動した場合、再定義する必要があることです。
2. MAC アドレスに基づいて VLAN を分割する
VLAN を分割するこの方法は、各ホストの MAC アドレスに基づいています。つまり、MAC アドレスを持つ各ホストは、所属するグループで構成されます。 これが実装するメカニズムは、各 NIC が一意の MAC アドレスに対応し、VLAN スイッチが VLAN MAC に属するアドレスを追跡することです。 VLAN に対するこのアプローチにより、ネットワーク ユーザーは、ある物理的な場所から別の場所に移動するときに、所属する VLAN のメンバーシップを自動的に保持できます。
この分割の仕組みからわかるように、このVLAN分割方式の最大の利点は、ユーザーが物理的な場所を移動する場合、つまりスイッチから別のスイッチに切り替える場合に、VLANを再構成する必要がないことです。 これは、スイッチのポートではなく、ユーザーに基づいているためです。 この方法の欠点は、初期化中にすべてのユーザーを構成する必要があることです。 数百人または数千人のユーザーがいると、構成プロセスに時間がかかることがあるため、通常、このパーティション分割方法は小規模な LAN に適しています。
さらに、このパーティショニング方法では、スイッチ実行の効率も低下します。これは、各スイッチ ポートに VLAN グループの多くのメンバーが存在し、多くのユーザーの MAC アドレスが格納されている可能性があり、クエリが容易ではないためです。
さらに、ラップトップ ユーザーの場合、ネットワーク カードは頻繁に変更される可能性があるため、VLAN を頻繁に構成する必要があります。
3.分割eネットワーク層プロトコルに基づく VLAN
VLAN はネットワーク層プロトコルによって分割され、IP、IPX、DECnet、AppleTalk、Banyan などの VLAN ネットワークに分類できます。ネットワーク層プロトコルで構成されるこのような VLAN により、ブロードキャスト ドメインは複数の VLAN スイッチにまたがることができます。 これは、特定のアプリケーションやサービスのためにユーザーを編成したいネットワーク管理者にとって非常に魅力的です。 さらに、ユーザーはネットワーク内を自由に移動できますが、VLAN メンバーシップはそのまま残ります。
この方法の利点は、ユーザーが属する VLAN を再構成せずにユーザーの物理的な場所を変更できることと、VLAN をプロトコル タイプに従って分類できることです。これは、ネットワーク管理者にとって重要です。 また、この方法では、VLAN を識別するためのフレーム タグを追加する必要がないため、ネットワーク上のトラフィック量を削減できます。 この方法の欠点は、各パケットのネットワーク層アドレスのチェックに時間がかかるため (前の XNUMX つの方法と比較して)、効率が悪いことです。 通常、スイッチ チップはネットワーク上のパケットのイーサネット フレーム ヘッダーを自動的にチェックできますが、チップが IP フレーム ヘッダーをチェックできるようにするには、より高度なスキルが必要であり、時間もかかります。 もちろん、これは各ベンダーの実装方法に関係しています。
4. IP マルチキャストに基づいて VLAN を分割する
IP マルチキャストは、実際には VLAN の定義です。つまり、IP マルチキャスト グループは VLAN です。 この分割方式は、VLAN を WAN に拡張するため、柔軟性が高く、ルーター経由での拡張が容易です。 これは主に、同じ地理的範囲にない LAN ユーザーが VLAN を形成するのに適しています。 効率が悪いため、LAN には適していません。
5. ポリシーごとに VLAN を分割する
ポリシーベースの VLAN は、VLAN スイッチ ポート、MAC アドレス、IP アドレス、ネットワーク層プロトコルなど、さまざまな方法で割り当てることができます。 ネットワーク管理者は、独自の管理モードとユニット要件に基づいて VLAN タイプを決定できます。
6.分割eユーザー定義の非ユーザー許可による VLAN
ユーザー定義と非ユーザー許可に基づく VLAN 割り当てとは、VLAN がネットワーク ユーザーの特別な要件に従って定義および設計され、特別な VLAN ネットワークを満たすことを意味します。 さらに、VLAN 以外のユーザーは、ユーザー パスワードを提供することによって VLAN 管理によって認証された後にのみ、VLAN にアクセスできます。
TVLAN の利点
新しいテクノロジーが広くサポートされ、適用されるためには、いくつかの重要な利点が必要であり、VLAN テクノロジーもそうです。その利点は主に次の側面に反映されます。
- ネットワーク接続の自由度が向上
VLAN テクノロジは、さまざまな場所、ネットワーク、およびユーザーを組み合わせて仮想ネットワーク環境を形成します。これは、ローカル LAN を使用するのと同じくらい便利で、柔軟で、効率的です。 VLAN を使用すると、ワークステーションの場所を移動または変更する際のオーバーヘッドを削減できます。これは、ビジネス状況が頻繁に変化する企業にとって特に重要です。
- ネットワーク上のブロードキャストを制御する
VLAN は、スイッチング ネットワークでの過剰なブロードキャストを防止するためのファイアウォール メカニズムを提供します。 VLAN を使用すると、スイッチ ポートまたはユーザーを特定の VLAN グループに割り当てることができます。これは、スイッチ ネットワーク内または複数のスイッチにまたがる可能性があり、VLAN 内のブロードキャストは VLAN の外部には送信されません。 同様に、隣接ポートは、他の VLAN によって生成されたブロードキャストを受信しません。 これにより、ブロードキャスト トラフィックが減少し、ユーザー アプリケーションの帯域幅が解放され、ブロードキャスト生成が減少します。
- ネットワークセキュリティを向上させる
VLAN は別個のブロードキャスト ドメインであるためです。 VLAN は互いに分離されているため、ネットワークの使用率が向上し、ネットワークのセキュリティと機密性が確保されます。 機密データや重要なデータを LAN 上で送信することはよくあります。 機密データは、アクセス制御などのセキュリティ手段で提供する必要があります。 効果的で実装が簡単な方法は、ネットワークをいくつかの異なるブロードキャスト グループに分割することです。この場合、ネットワーク管理者は VLAN 内のユーザー数を制限し、VLAN 内のアプリケーションへの許可のないアクセスを禁止します。 スイッチング ポートは、アプリケーションの種類とアクセス権限に基づいてグループ化でき、制限されたアプリケーションとリソースは通常、セキュリティ VLAN に配置されます。
VLAN 構成のケース スタディ
ある企業には約 100 台のコンピュータがあり、主にネットワークを使用する主な部門は、製造部門 (20)、財務部門 (15)、人事部門 (8)、および情報センター (12) の XNUMX つです。
ネットワーク全体では、1900 つの Catalyst 1 マネージド スイッチ (それぞれ、Switch2、Switch3、および Switch2514 という名前が付けられています。各スイッチは、主に管理書類や一時的なユーザーなどの非 VLAN ユーザー用に、必要に応じていくつかのハブに接続されています) と 2514 つのCisco XNUMX ルータはネットワークの中央部と後部にあり、ネットワーク全体がルータを介してインターネットに接続されています。Cisco XNUMX は外部のインターネットに接続されています。
接続ユーザーは主に、生産部門、財務部門、情報センター、人事部門の XNUMX つの部分に分散しています。 これら XNUMX つの部分は主に個別の VLAN に分割され、対応する部門のネットワーク リソースが盗まれたり破損したりしないようにします。
特に財務や人事などの機密部門のネットワーク リソースのセキュリティを確保するために、ネットワーク上の情報に多くの人がアクセスすることは許可されていません。 そこで同社では、上記の問題を解決するためにVLAN方式を採用。
VLAN は、生産部門、財務部門、人事部門、および情報センターに分けることができます。 対応する VLAN グループは、Prod、Fina、Huma、および Info です。 表 1 に、各 VLAN グループのネットワーク セグメントを示します。
注: スイッチの VLAN ID が「2」から始まる理由は、スイッチに接続されているすべてのユーザーを含むデフォルトの VLAN、つまり VLAN「1」がスイッチにあるためです。
VLAN 構成プロセス
VLAN の構成プロセスは、実際には非常に単純で、必要な手順は XNUMX つだけです。
(1) 各 VLAN グループに名前を付けます。
(2) 対応する VLAN を対応するスイッチポートに対応付けます。
以下は、具体的な構成プロセスです。
ステップ 1: ハイパーターミナルをセットアップし、1900 スイッチに接続して、ハイパーターミナルを介してスイッチの VLAN を構成します。 以下に示すように、接続が成功すると、メインの構成インターフェイスが表示されます (基本情報は以前にスイッチで構成されています)。
注: HyperTerminal は、Windows に付属の Hypertrm プログラムを使用して実装されます。 詳しくは関連資料をご覧ください。
ステップ 2: [K] をクリックし、メイン メニューから [[K] Command Line] を選択して、次のコマンド ライン構成インターフェイスに入ります。
この時点で、ルーターと同様に、スイッチの通常のユーザー モードに入ります。このモードでは、現在の構成を表示することしかできず、構成を変更することはできず、使用できるコマンドは非常に限られています。 したがって、「特権モード」に入る必要があります。
ステップ 3: 前の手順の「>」プロンプトでコマンド「enable」を入力して、特権モードに入ります。 コマンド形式は「>enable」で、スイッチが表示されます。
ステップ 4: セキュリティと利便性のために、3 つの Catalyst 1900 スイッチのそれぞれに名前を付け、特権モードのログイン パスワードを設定します。 以下は、Switch1 の例です。 構成コードは次のとおりです。
注: 特権モードのパスワードには 4 ~ 8 文字を含める必要があります。 入力したパスワードは平文で表示されるので、秘密にしておきましょう。 スイッチはレベルを使用して、パスワードのアクセス許可を決定します。 レベル 1 は、コマンド ライン インターフェイスにアクセスするためのパスワードです。 レベル 1 のパスワードを設定した後、次にスイッチに接続して K を入力すると、パスワードの入力を求められます。これは、レベル 1 に設定されたパスワードです。レベル 15 は、特権モードのパスワードです。 「enable」コマンドを入力した後、入力するように求められます。
ステップ 5: VLAN名を設定します。 1 つの VLAN は異なるスイッチに属しているため、VLAN 命名コマンドは「VLAN、VLAN 番号、名前、VLAN 名. Switch2、Switch3、および Switch2 で、VLAN 3、4、5、および XNUMX のコードを次のように構成します。
注: 上記の構成は、表 1 の規則に従って実行されます。
ステップ 6: 前の手順で、各スイッチの VLAN グループを構成しました。 次に、これらの VLAN を、表 1 で指定されたスイッチ ポート番号に一致させる必要があります。ポート番号に対応するコマンドは、vlan-membership static/dynamic VLAN number です。 このコマンドでは、「静的」または「動的」のいずれかを選択する必要がありますが、通常は「静的」を選択します。
VLAN ポート番号のアプリケーションは、次のように構成されます。
(1) 「Switch1」という名前のスイッチの VLAN ポート番号は、次のように設定されます。
注: 「int」は「interface」コマンドの略です。 e0/3 は「ethernet 0/2」の略で、スイッチのモジュール 2 のポート 0 を表します。
(2) 「Switch2」という名前のスイッチの VLAN ポート番号は、次のように設定されます。
(3) 「Switch3」という名前のスイッチの VLAN ポート番号は次のように構成されます (4 つの VLAN グループの構成が含まれます)。最初に VLAN XNUMX (Huma) の構成コードを参照してください。
以下は、VLAN 5 (情報) の構成コードです。
これで、表 1 のように、スイッチの対応するポートに VLAN を定義しました。設定を確認するには、特権モードで「show vlan」コマンドを使用して、作成したばかりの設定を表示し、それが正しいかどうかを確認します。 .
上記は Cisco Catalyst 1900 スイッチの VLAN 構成の紹介です。他のスイッチの VLAN 構成は基本的に同様です。関連するスイッチのマニュアルを参照してください。