VLANを識別するタグ技術（前編）
――LAN構築のテクニック

複数のLANスイッチでVLANを作る

那須野洋一・坂本誠

2004.02.26

　前回はLANスイッチのVLAN機能を使って，部署ごとにネッワークを分割した。VLANの分け方はLANスイッチの物理ポートを基準にするほかに，MACアドレス，IPアドレス，プロトコルなど複数あった。VLANを設定してネットワークを分割することは，IPネットワークをサブネットに分割することとは直接的には関係しない。

　前回は一つのLANスイッチのみでネットワークを分割したが，今回は複数のLANスイッチを使ったVLANを見ていく。複数のスイッチを使えば，「それぞれのネットワークでVLANを設定し，かつ離れた場所にある別々のVLANを一つのVLANとしてまとめる」ことができるからだ。その際に重要となるが，スイッチ間をつなぐトランク技術とタグVLAN技術である。タグVLAN技術では，LANフレームにどのVLANから送られたかという情報を格納したタグを付加する。異なるVLANで一台のサーバーを共有するといった構成も可能になる。

Step1:複数スイッチ間での通信

図1●フロアをまたがるVLANの問題点
スイッチ間を1本のトランクでつなぐと，1階と2階それぞれのスイッチでVLANを設定しているのにもかかわらず，1階から送信した2階のVLAN Aあてフレームが2階のVLAN Bにも届いてしまう。

　ある社内ネットワークにおいて，通信したいグループが別々のフロアにいる場合を考えてみる。例えば，1階と2階にそれぞれ営業部と経理部があり，1階は営業部10人と経理部10人，2階も両部署に同じ人数が配置されているとする。両フロアをあわせるとユーザーは合計40人だ。ポートが48個あるLANスイッチを利用すれば，物理ポートVLANで両部署を分割しつつ40人全員を収容できる。そのような構成では1階と2階を結ぶ配線数は20本になる。ただ，一般にビルのフロア間を結ぶ配線（垂直配線）は工事費が大変高価であるため，このような方法は避けたい。

　このようなときに威力を発揮するのがスイッチ間トランクだ。トランクとはLANスイッチ間を結ぶ高速回線のことである。上記の例では1階と2階にLANスイッチを設置して，それらをトランクで結ぶ。こうすれば20本のフロア間配線を1本に集約できる。スイッチの台数は増えるが，垂直配線の工事費よりは安く済む。

　LANスイッチの各ポートにはパソコンやサーバーがつながっているが，トランクはLANスイッチ同士のみをつなぐ。ユーザーはLANスイッチのどの物理ポートでもトランクに指定できる。

　トランクを使う時には以下の三つの点に注意しなければならない。まず，多数の回線を集約することになるので帯域に注意すること。どれだけ帯域が必要かは場合により異なるが，集約前の帯域の総和に対して10分の1くらいが目安だ。1階と2階を結ぶ線が20本ほどだとすると，各パソコンが100Mビット/秒のファースト・イーサネットで接続されていると仮定して

100Mビット/秒 x 20 /10
= 200Mビット/秒

の帯域が必要になる。こうなるとトランクはファースト・イーサネットよりも，1Gビット/秒で通信できるギガビット・イーサネットの方が安心だ。

　二つ目は，スイッチ間の距離が延びる場合を考えて長距離に対応できるようにすること。100mを越える場合は信号が減衰しにくい光ファイバーを使う。

　三つ目は，信頼性を高めること。信頼性を高める最も有効な方法は，トランクに冗長性を持たせることだ。具体的には，現用のトランクが機能しなくなった場合に代わりに働くトランクをもう一つ作ることである。

　それでは，トランクを使って1階と2階に混在した二つのグループAとBをVLAN分割してみる。二つのLANスイッチには物理ポートVLANを設定した。トランクポートには両グループのVLANを設定して，各階の同じグループ同士が通信できるようにする。

　ところが，このままの設定ではVLANは適切に分割されない。2階のLANスイッチは1階から送ったフレームが，どのVLANから来たのかが分からないため，別のVLANにもデータが届いてしまうことが起こり得る。

　LANスイッチ内で何が起こっているかを知るために，フレームの動きを追ってみる（図1[拡大表示]）。スイッチ1のポート1から送信されたフレームは1階のVLAN A にだけ送出される。スイッチ1ではどの物理ポートからやってきたものか認識できているからだ。

　問題はフレームがトランクに送出されることで生じる。フレームはトランクに転送されると，スイッチ2に送られる。スイッチ2はフレームがVLAN A とVLAN Bのどちらから来たのか判別できない。そのためスイッチ2はフレームをすべてのポートに転送してしまう。

　ここで紹介した問題は，LANスイッチにつながっているパソコンやサーバーがARP（Address Resolution Protocol，アドレス解決プロトコル）フレームを送出するたびに起こる。ARPは，IP通信に先立って相手先パソコンのMACアドレスを知るための手続きだ。ARPフレームはLAN上にブロードキャスト（同報）される。このフレームはLANにつながっているすべてのマシンが受け取る。ARPフレームには相手先IPアドレスが書かれているので，それを見ると返信すべきマシンが誰か分かる。該当するマシンは，自分のMACアドレスを格納したARP応答フレームを作り，送信元に返信する。

　ちなみに，ブロードキャスト・フレームが届く範囲をブロードキャスト・ドメインという。VLANで定めるネットワークの範囲は，実質的に，このブロードキャスト・ドメインそのものとなる。このため，きちんと分割できていないと，本来送るべきでないネットワークにもフレームが届いてしまう。