本連載は,企業ネットワークを構築・運用する際に求められるLAN構築のテクニックについて解説する。
現状のオフィス・ネットワークは,TCP/IPを使うイントラネットの基盤として構築されるケースが多い。このため,一般にはIPパケットを中継するルーターがオフィス・ネットワークの中核機器であるかのように思われている。しかし,これは必ずしも正しくない。オフィスにおけるネットワーク機能の大半は,ルーターではなくLANスイッチで実現されている。部門あるいはフロア単位にLANを作り,それをルーターで束ねるというスタイルが一般化しているからだ。
第1回目は,社内に複数の業務グループがあり,それぞれの業務グループごとにサーバーを設置するという基本的なLAN構築の事例を取り上げ,LANスイッチの基本的な機能である「バーチャルLAN」(VLAN:Virtual Local Area Network)の仕組みと,VLANとIPネットワークとの関係を見ていく。
|
Part1:VLANを設定するメリット |
| ||
|
業務グループ別のサーバーをLAN上に設置すると,そのLANに参加しているユーザーはどのサーバーにもアクセスできることになる。この場合,業務グループによっては,自分たちの業務サーバーに対して他の業務グループからは参照されたくないというニーズが出てくる。
このようなニーズに対する技術的な解決方法は大きく二つある。一つはサーバーの認証機能を活用し,あらかじめ登録したユーザーだけにサーバーのアクセス権限を与える方法。もう一つは,LANを業務グループごとに論理的に分ける方法である。
前者の方法は,サーバーを立てるときの一般的な運用である。サーバーごとにユーザーを登録し,アクセスする段階でID/パスワードで登録済みユーザーかどうかをチェックする(図1-a[拡大表示])。他部署のサーバーがLAN上にあることは分かるが,そのサーバーにはアクセスできない。
これに対して後者の方法は,他の部署のサーバーを見えなくするというもの。部署ごとにLANが閉じた格好になるので,他部署のマシンはサーバーもクライアントも見えなくなる(図1-b[拡大表示])。この論理的に分割されたLANを「VLAN」と呼ぶ。
VLANは大半のLANスイッチが備える基本的な機能である。異なるVLANに属するマシン同士は,そのままでは通信できない。どうしても通信させたいときは,それぞれのVLANをルーターにつなぎ,ルーター経由で通信できるように設定する。
ここで,サーバーの認証機能と,LANスイッチでVLANを設定するのとではどちらがよいのかという疑問が浮かぶかもしれない。現実には管理者がどちらを得意としているかが決め手となることが多い。ただ,純粋に技術的にみると次のようにいえる。
VLANを設定するメリットは,単純なポリシーを簡単にかつ完全に実施できることである。
ここで言うポリシーとは,アクセスできるユーザーが誰かという条件のことだ。例えば,「経理部のメンバー全員は経理部サーバーを無制限に参照できるが,営業部のメンバー全員は経理部サーバーを一切参照できない」という簡単なポリシーがあるとしよう。サーバーで認証しようとした場合,経理部が多人数だとパスワード・ファイルを設定するのは大変だ。それに対してVLANの場合は,LANスイッチに「経理部はVLAN1,営業部はVLAN2」という情報を設定するだけで済む。ユーザーのマシンやサーバーには何も設定しなくてよい。
さらに言えば,パスワードによる方法はネットワーク内での“盗み聞き”に対して脆弱であるという欠点がある。一つのLAN内では,自分あてのLANフレームだけでなく,他人同士のやり取りがのぞけることもある。VLANで部署ごとにVLANを作っておけば,自分の部署内に閉じる通信は他の部署に届くことはない。
ところが,前述の基本ポリシーに加えて「営業部の特定のメンバーは経理部サーバーの一部を利用できる」というようなポリシーが追加されると話は別だ。一般的なLANスイッチのVLAN機能では,そのような複雑なポリシーを実現できない。その場合は,VLAN同士をルーターでつないだ上で,サーバーの認証機能を使って他部署のサーバーにアクセス出来るようにするのが定石である。
|
Part2:VLANの分け方 |
先ほど,LANスイッチに「経理部はVLAN1,営業部はVLAN2」と設定すると説明したが,現実に「経理部」とか「営業部」という名称を設定することは不可能だ。実際には,経理部に所属するマシンが何であるかをLANスイッチが分かる形式で指定し,それをVLAN1と設定することになる。
このVLANの分け方はさまざまある。ここでは代表的な方法を4種類紹介しよう。ポートVLAN,MACアドレスVLAN,IPアドレスVLAN,そしてプロトコルVLANである。
最も基本的な方法は,LANスイッチの物理ポートごとにVLANを設定していくというもの。この方式のVLANは,ポート単位で設定することから「ポートVLAN」と呼ばれる。
例えば8個の物理ポート(ポート1~8)を備えるLANスイッチがあったとする。このLANスイッチのポートVLAN機能を使うと,1~4番ポートに接続しているパソコンをあるVLANに所属させ,5番~8番に接続しているパソコンは別のVLANに割り当てるといったことが出来る(図2-a[拡大表示])。
ここでポート1~4に接続されるパソコンをグループA, ポート5~8につなぐパソコンをグループBと呼ぼう。今まで一つのLANだったのが二つに分かれたことで,グループAから送信されるフレームはグループBには一切転送されなくなる。
MACアドレスVLANとIPアドレスVLANは,どちらもパソコンやサーバーのアドレスを指定して,どのVLANに所属させるかを設定する方式である(図2-b,c[拡大表示])。送信元および相手先のMACアドレス/IPアドレスは,それぞれLANフレーム/IPパケットの先頭部分(ヘッダー部分)に格納されている。LANスイッチはLANフレームを中継する際にこれを読みとって,適切なVLANにだけデータを届ける。
ただしIPアドレスVLANは,「ネットワーク番号+ホスト番号」で構成されるIPアドレス全体を指定するのではなく,ネットワーク番号部分だけを指定する。ネットワーク番号は,ルーターで分割された部分的なIPネットワーク(サブネットと呼ぶ)を識別するためのアドレスである。ちなみにホスト番号は,サブネットの中にあるマシンを識別するために使われる。
最後のプロトコルVLANは,LAN上でやり取りされるプロトコル別にVLANを作るというもの。オフィスで使われているプロトコルとしては,IPのほか,Macintosh向けに米Apple Computer社が開発した「AppletTalk」,NetWare向けに米Novell社が開発した「IPX」,Windowsネットワークで多用されている「NetBEUI」などがある。これらのプロトコルを指定すると,そのプロトコルで通信できる機器だけで自動的にVLANが構成される。
LANフレームのヘッダーには,そのフレームがどのプロトコルのデータを運んでいるのかを示す識別情報が入っているので,LANスイッチはその情報とあて先/送信元MACアドレスを組み合わせることで,どのマシンがどのプロトコルで通信できるのかが分かるようになっている。
