|
Part3:LANスイッチへの設定例 |
|
では典型的なVLANであるポートVLANを使って「経理部のメンバー全員は経理部サーバーを無制限に参照できるが,営業部のメンバー全員は経理部サーバーを一切参照できない」というポリシーを実現してみる。
経理部と営業部が一つのLANスイッチに接続され次のような構成になっているとする。ここでIPアドレスは,N:ネットワーク番号,H:ホスト番号と示すことにする。
[経理部]
| コンピュータ名 | ポート | IPアドレス |
|---|---|---|
| サーバー1 | 1 | N(1)-H(1) | パソコン1 | 2 | N(1)-H(2) |
| パソコン2 | 3 | N(1)-H(3) |
[営業部]
| コンピュータ名 | ポート | IPアドレス |
|---|---|---|
| サーバー2 | 5 | N(1)-H(5) | パソコン3 | 6 | N(1)-H(6) | パソコン4 | 7 | N(1)-H(7) |
ネットワーク番号はどれもN(1)なので,一つのサブネットワークに8台のマシンが所属していることになる。このとき,これら8台のコンピュータはすべて相互にフレームを交換できる。つまり一つのLANを構成する状態にある。
この状態から業務グループを分割するために,LANスイッチに対して次の設定を行う。
| ポート番号1~4 | VLAN1 |
| ポート番号5~8 | VLAN2 |
これにより経理部のコンピュータはすべて相互にフレームを交換できるが,営業部のコンピュータとは一切フレームを交換できないようになる。営業部からは,経理部のサーバーとパソコンの存在も,交換している情報も一切シャットアウトされる(図3[拡大表示])。
今回のポートVLAN設定のポイントは,IPアドレスの設定をそのままにしておいたことにある。
IPアドレスは本来,サブネット単位にネットワーク番号を割り振る必要がある。ところが今回は,ネットワーク番号N(1)というサブネットを二つのVLANに分割したにもかかわらず,分割した後もそれぞれのVLAN上でN(1)というネットワーク番号をそのまま使っている。一見,N(1)サブネットが二つできたように見える。
しかし,このようなVLAN構成を採用したとしても,ルーターに“N(1)サブネットが二つのVLANで構成されているように”設定すれば,分割前とほとんど同じように通信できる。唯一の違いは,VLAN間(経理部と営業部間)で通信できなくなることだ。
この「特定のマシン間で通信させないためにVLANを作る」という手法が使われている場面は,主に二つある。一つは広域イーサネット・サービスにおいて,契約ユーザーごとのセキュリティを守る場面。もう一つは,複数のテナントが入居するビルなどで,テナントごとのセキュリティを保った上で,インターネット接続サービスを一括提供するような場面である。
これに対して企業内ネットワークでは,一つのサブネットを論理的に作るためにVLANを使うことが多い。最初から,ルーターで結びつけることを前提にサブネットを作っている。わざわざVLANでサブネットを作るのは,一般に部門ごとにサブネットを作った方が運用管理が楽になるためだ。
図3の構成でいえば,例えば営業部のIPアドレスを見直し,ネットワーク番号がN(2)となる新しいIPアドレスを割り当てる。その上で,ルーターあるいはレイヤー3スイッチ(IPルーティングができるLANスイッチ)を用意し,それにポート4とポート8をつなぐ。こうすれば,経理部と営業部のマシン間で再びデータ通信出来るようになる。
繰り返しになるが,VLANとサブネットは本来,独立した関係にある。VLANを設定することによってサブネット(IPアドレス)を見直さなければならないのは,分割したVLAN間で通信したいニーズがあるときだけである。
