fbpx

VLANのベストプラクティス

なぜVLANを使うのか?

ネットワーク管理者が1つまたは複数のデバイスの論理的なグループを作成したいと思う理由はいくつかあります。ほとんどの場合、これらの理由はブロードキャスト制御、セキュリティ、レイヤ3アドレス管理、ネットワーキングリソースの統合です。

放送制御

ブロードキャストドメイン内のデバイス数が増加すると、そのブロードキャストドメイン内のブロードキャストレートも増加します。各デバイスは各ブロードキャストを処理して、ブロードキャストの内容をプロトコルスタックにプッシュすべきかどうかを判断しなければならないため、ブロードキャストレートは重要な意味を持ちます。

受信した各ブロードキャストについて、受信デバイスは、ブロードキャストフレームの内容を評価するためにCPUに割り込みを入れなければなりません。これらの割り込みは、CPU上で実行されている他のタスクから処理時間を奪い、それらのタスクが完了するまでにかかる時間を増加させる可能性があります。

VLANの重要な点は、あるVLANで送信されたブロードキャストが他のVLANに伝搬しないことです。各VLAN内のデバイス数を制限することで、そのVLAN内のブロードキャストレートも制限することができます。平均的なブロードキャスト数は、1 秒間に 30 ブロードキャスト以下とします。標準化されたドキュメントでは公式に規定されていませんが、フィールドパフォーマンスのモニタリングでは、1 秒間に 30 回程度のブロードキャストを超えないようにすることが推奨されています。

セキュリティ

組織では、ローカルエリアネットワーク上の特定のデバイスまたはデバイスへのアクセスを制限する必要がある場合があります。その組織内のすべてのデバイスが同じブロードキャストドメイン内にある場合、このアクセスを制限することは非常に困難になります。異なるブロードキャストドメインにデバイスを配置することで、アドレスフィルタやアクセスリストを使用してアクセスを制限することができます。

トラフィックがある VLAN から別のVLANに移動するには、トラフィックがレイヤ3ルーティングデバイスを通過する必要があります。これらのルーティングデバイスでは、どのデバイスが他のデバイスにアクセスできるかを指定することができます。このアクセス制御機能を使用することで、機密性の高いデバイスへのアクセスを制御および監視することができます。

レイヤ3アドレス管理

デバイスタイプに基づいてIPサブネットを作成することは、ローカルエリアネットワークでは一般的な設計です。プリンタは1つのIPサブネットに割り当てられ、会計グループに属するワークステーションやサーバは別のサブネットに割り当てられます。論理的には理にかなっていますが、このアーキテクチャを大規模なローカルエリアネットワークに展開するには、VLANを使用しないと現実的ではないことがわかります。

資源の集約

例えば、ある場所にあるすべてのプリンタに単一のサブネットを使用する場合を考えてみましょう。各プリンタは、他のすべてのプリンタと同じブロードキャストドメイン内になければなりません。そのためには、各階にプリンタだけのための個別のスイッチが必要になります。これらのスイッチは、銅線またはファイバーの別のペアを使用して相互接続する必要があり、このプリンタネットワークは、独自のルータインターフェイスに接続する必要があります。

VLANを使用することで、ネットワーク上の他のデバイスと同じスイッチにプリンタを接続し、同じ相互接続の銅線またはファイバーを共有し、同じルーターインターフェースを共有することができます。

VLANの課題

ローカルエリアネットワーク内でVLANを使用する際の最大の課題の1つは、ドキュメントの作成です。デバイスをスイッチに接続する際に、ポートにどのVLANが割り当てられているか、ポートがVLANトランクに設定されているかどうかを簡単に知る方法はありません。ほとんどの場合、スイッチポートのVLAN設定を確認する唯一の方法は、スイッチにTelnetして、問題のスイッチポートの設定を表示することです。このプロセスには、適切なログインパスワードと、特定のスイッチとメーカーのコンフィギュレーションコマンドの知識が必要です。

ネットワーク内で追加、移動、変更が発生すると、この課題はさらに大きくなります。スイッチが最初に導入されたときは、各スロットの最初の12ポートをVLAN23に割り当てるというポリシーだったかもしれません。しかし、時間が経つにつれて、ネットワーク管理者は、利用可能なポートが不足していたり、会社の標準を理解していなかったりしたために、これらの割り当てを変更した可能性があります。いずれにしても、新しいデバイスをスイッチに接続する際に、最初の12ポートがVLAN23に属することを保証するものではありません。

VLANのメリットの一つに、ポートをVLANから別のVLANに簡単に移動できることがあります。同時に、これはVLAN環境でネットワークのドキュメントを維持する上での最大の問題の1つです。ポートの再設定があまりにも簡単なため、変更が追跡されることはほとんどなく、結果的に接続性の問題が発生してしまいます。そのままのVLAN構成を文書化するシンプルで使いやすい方法が必要とされています。

VLANのベストプラクティス

健全なVLANは、単に発生するものではありません。最適なパフォーマンスを目指して慎重に設計され、維持されています。VLAN の設計に注意を払わなければ、結果として生じるネットワークは過度に複雑になり、保守やトラブルシューティングが困難になります。

VLANを使用する理由を見極める

本書の冒頭では、VLAN を使用する理由として、ブロードキャスト制御、セキュリティ、レイヤ 3 アドレス管理、ネットワークリソースの統合の 4 つを挙げました。VLAN ネットワークを設計する際には、これらの理由を慎重に検討する必要があります。例えば、環境内のすべてのユーザーがすべてのサーバーやネットワーク機器にアクセスする必要がある場合、セキュリティはVLANを導入する理由にはなりません。

しかし、Voice Over Internet Protocol (VoIP)ソリューションを実装している場合は、音声トラフィックをある VLAN に、データフレームを別の VLAN に配置することが VLAN を実装する理由になるかもしれません。この2種類のトラフィックを分離することで、音声トラフィックにサービス品質を適用してジッターやパケットロスを低減することができます。

VLANを使用してルータのホップ数を減らす

あるVLANから別のVLANにフレームを転送するためには、レイヤ3デバイスがフレームをルーティングする必要があります。このデバイスには、従来のルータやレイヤ3スイッチなどがあります。各ルータホップは、送信者から受信者へのフレーム取得にかかる時間に追加のレイテンシを追加し、ボトルネックとして機能することができます。

VLANネットワークを設計する際の目標は、デバイスが必要とするリソースの多くをデバイスと同じVLAN上に置くことです。VLANを使用することでハードウェアを物理的に集中させることができ、同時にVLANを使用することでサーバをクライアントに論理的に近づけることができます。これにより、クライアントデバイスはルータを経由することなく、スイッチドネットワークを介して直接リソースにアクセスすることができます。1つのVLANがキャンパス内の複数のスイッチに表示されるため、データセンター内のサーバが数棟離れたクライアントと同じVLAN上にある場合もあります。多くのネットワークで一般的な設計は、同じVLAN上のすべてのサーバーを置くことです。残念ながら、これではすべてのクライアントがサーバーにアクセスするために、少なくとも1つのルーターを経由しなければなりません。IP アドレスの管理が容易になる一方で、追加のレイテンシや潜在的なボトルネックが発生します。

VLANの数を最小限に抑える

必要以上に多くのVLANを作成する傾向があります。スイッチ自体は数千のVLANをサポートすることができますが、各VLANを追加することで、ルータや他のネットワーク機器のオーバーヘッドが追加されてしまうことがあります。

その例として、42階建てのビルのネットワークがありました。各階ごとにVLANを作成し、スイッチ管理用のVLANとサーバーバックボーン用のVLANを追加しました。このネットワークでは、IPとIPXの両方のプロトコルが実行されていました。プリンタ、ディスク、タイムサービスを含むローカルエリアネットワーク全体で、合計で2,000以上のIPXサービスが存在していました。

ルータは60秒ごとに、VLANのそれぞれにSAP(Service Advertising Protocol)パケットを送信していました。これらのパケットにはそれぞれ7つのサービスが含まれていました。これにより、各ブロードキャストドメインで60秒ごとに286個のSAPパケットが送信されました。合計46のVLANがあるので、ルーターは毎分13,000以上のSAPパケットを送信しなければなりませんでした。ルータが2,000フレーム以上のフレームを送信しなければならない場合、CPUの問題が発生することがわかりました。スイッチは46のVLANに対応していますが、ルータはそれだけの数には対応できないことがわかりました。

VLANの種類

デバイスをVLANに割り当てるには、3つの一般的な方法があります。

  1. ポートベースのVLAN
  2. プロトコルベースのVLAN
  3. MACベースVLAN

ポートベースのVLAN

ポートベースのVLANの場合、スイッチポートは特定のVLANのメンバーになるように手動で設定されます。このポートに接続されたデバイスは、同じVLAN番号で構成された他のすべてのポートと同じブロードキャストドメインに属します。

ポートベースのVLANの課題は、どのポートが各VLANに属しているかを文書化することになります。VLANメンバーシップ情報は、スイッチの前面には表示されません。そのため、スイッチの物理的なポートを見ただけでは、VLANの所属を判断することができません。コンフィグレーション情報を見て初めてメンバーシップを判断することができます。

プロトコルベースのVLAN

プロトコルベースのVLANでは、フレームが伝送するレイヤ3プロトコルを使用してVLANのメンバーシップを決定します。これはマルチプロトコル環境では機能するかもしれませんが、IPベースのネットワークではこの方法は実用的ではありません。

MACベースVLAN

ポートベースのVLANの問題点としては、元のデバイスがポートから取り外されて別のデバイスが接続された場合、新しいデバイスは元のデバイスと同じVLANになってしまうことです。先ほどのプリンタVLANの例では、スイッチポートからプリンタが取り外され、空いているポートにアカウンティングデバイスが接続されたとします。すると、アカウンティングデバイスはプリンタVLANになってしまいます。これにより、アカウンティングデバイスがネットワーク上のリソースへのアクセスが制限される可能性があります。

MACベースのVLANはこの問題を解決することを目的としています。MACベースのVLANでは、VLANメンバーシップは物理的なスイッチポートではなく、デバイスのMACアドレスに基づいています。デバイスがあるスイッチポートから別のスイッチポートに移動した場合、VLANメンバーシップはデバイスに追従します。

残念ながら、MACアドレスとVLANの相関関係は非常に時間のかかるプロセスであり、このタイプのVLANはほとんど使用されていません。

VLANタギング

VLAN タグは、ネットワークを通過するフレーム内の VLAN メンバーシップを示すために使用されます。これらのタグは、フレームがVLANに属するスイッチポートに入るとフレームに取り付けられ、フレームがVLANに属するポートから出るとタグは取り除かれます。VLAN内のポートの種類によって、VLANタグがフレームから取り除かれるか、フレームに取り付けられたままになるかが決まります。VLAN環境内の2つのポートタイプは、アクセスポートとトランクポートとして知られています。

アクセスポート

アクセスポートは、フレームが VLAN に入出庫する場所として使用します。アクセスポートでフレームを受信した場合、フレームにはVLANタグは含まれていません。アクセスポートに入ったフレームには VLAN タグが取り付けられています。

フレームがスイッチ内にある間は、アクセスポートから入ったときに付けられていた VLAN タグを保持します。宛先のアクセスポートを経由してフレームがスイッチから出ると VLAN タグは取り除かれます。送信側装置と受信側装置はVLANタグが付いていることを意識しません。

トランクポート

複数のスイッチを含むネットワークでは、あるスイッチから別のスイッチにVLANタグ付きのフレームを送信できるようにする必要があります。トランクポートとアクセスポートの違いは、トランクポートはフレームを送信する前にVLANタグを剥がさないことです。VLANタグが保持されていると、受信側のスイッチは送信されたフレームのメンバーシップを知ることができます。このフレームは、受信スイッチの適切なポートに送信することができます。

VLANタグ付け技術

各 VLAN タグ付きフレームには、その VLAN メンバーシップを示すフィールドが含まれています。VLAN タグには、Inter-Switch Link (ISL) フォーマットと標準化された 802.1Q フォーマットの 2 つの主要なフォーマットがあります。

シスコアイエスエル

Inter-Switch Link 形式は、Cisco独自のVLANタグ形式です。このVLANタグを使用すると、各フレームのフロントに26バイトの情報を追加し、フレームの最後に4バイトのCRCを追加します。このタグのフォーマットは次のとおりです。

802.1Q規格に基づくタグ

ISLがシスコ独自のフォーマットであるのに対し、802.1QはIEEE標準化されたフォーマットです。802.1Q フォーマットは、複数のベンダのスイッチ間で VLAN タグ付きフレームが通過できるように設計されています。802.1Q タグは、ISL タグよりも少ないフィールドを含み、フレームの先頭に置かれるのではなく、フレームの中に挿入されます。

VLANの管理

VLANを採用したネットワークにおける最大の課題の1つは、複数のスイッチにまたがるVLAN設定のメンテナンスです。VLAN情報の設定と管理を一元化する手段がないため、ネットワーク管理者は各スイッチで個別にVLANを設定しなければなりません。

VTP – VLAN トランクプロトコル

VLAN Trunk Protocol (VTP) を使用すると、単一のデバイスである VTP サーバで VLAN を構成し、この構成情報をスイッチドネットワークを介して伝搬させることができます。これにより、VLANの管理に必要な時間が短縮されます。

VTP環境では、スイッチは3つの異なる役割のいずれかを果たすことができます。スイッチはVTPサーバー、VTPクライアント、またはトランスペアレントモードで動作します。この役割によって、スイッチでのVLANの設定方法が決まります。

VLANトランクプロトコルは、複数のVTPドメインをサポートする機能を持っています。各 VTP ドメインのクライアント スイッチは、そのドメインの VTP サーバーから構成情報を受信します。同じローカルエリアネットワーク内に複数のVTPドメインを持つことができます。

VTPサーバー

VTP サーバーは各 VTPドメインのルートです。サーバーは、VTPドメイン内で VLAN の追加、削除、名前の変更を行うことができるドメイン内の唯一のスイッチです。

VTP サーバーは定期的に VTP ドメイン名、VLAN 構成をアドバタイズし、最新の構成リビジョン番号を提供します。このリビジョン番号は、VTP ドメインの一部であるすべてのスイッチが最新の正確な VLAN 構成情報を持っていることを確認するために使用されます。

VTP サーバーで VLANが作成されると、他のすべての VLAN構成情報とともにサーバーの NVRAM に保存されます。スイッチがリセットされると、この構成情報は保持されます。

VTPクライアント

VTP クライアントスイッチは、VTP サーバースイッチからすべての VLAN 設定情報を受け取ります。クライアントスイッチはVLANの追加、削除、名前の変更はできません。クライアント スイッチに新しい VLAN を追加するには、VTP サーバーに VLAN を追加する必要があります。この新しいVLANは、すべてのクライアントスイッチに伝搬されます。新しいVLANが追加されると、クライアントスイッチ上のポートは新しいVLANに関連付けられます。

クライアントスイッチはVTPサーバと同様に、VLAN設定をNVRAMに保存します。ただし、VTP サーバーとは異なり、クライアントスイッチがリセットされると、この構成情報はすべて失われます。スイッチがリセットされると、スイッチはVTPサーバにVTP情報リクエストを送信して現在のVLANコンフィギュレーションを取得します。

VTPトランスペアレント

VTP トランスペアレント スイッチは、VTP クライアント スイッチとは異なり、VLAN を手動で設定できる点で異なります。VTP ドメインの一部として設定されている場合、VTP サーバーから VLAN 設定情報を受信することができます。ただし、ローカルに構成されたVLANをVTPドメインに通知することはありません。

VTP トランスペアレントモードで動作するように構成されたスイッチは、VTP 設定フレームを受信し、これらのフレームをすべてのトランク付きポートに渡します。これにより、VTPクライアントスイッチをVTPトランスペアレントスイッチに接続することができます。クライアントスイッチは、トランスペアレントスイッチを介してVTPサーバーとVLAN構成情報を交換することができます。

VTPデータフレーム

VTP ドメインを構成し、維持するために使用されるデータフレームは、802.1q または ISL フレームフォーマットのいずれかでカプセル化することができます。VTP は、すべてのデータフレームの宛先として予約されたマルチキャストアドレスを使用します。このマルチキャストアドレスは、0x01-00-00-0C-CC-CC-CC であり、SNAP(Sub Network Access Protocol)の論理リンク制御コードとSNAP ヘッダーのタイプコードは 2003 です。各データフレームには、VTPヘッダとVTPメッセージタイプが含まれています。(以下の説明では、フレーム・フォーマットは VTP メッセージのみを示し、イーサネット・フレーム全体ではないことに注意してください)。

VTPメッセージには3種類あります。

  1. 概要
  2. サブセット
  3. リクエスト

サマリーフレーム

サマリーフレームは、VTPサーバーとVTP クライアントの両方から 5 分ごとに、そしてVTP ドメインへの変更のたびに直後に送信されます。このサマリー広告には、VTPドメインと構成リビジョンに関する基本情報が含まれています。サマリーフレームの後には、サブセットと呼ばれる多数の詳細フレームが続くことがあります。

サブセットフレーム

サブセットフレームは、VTP ドメイン内の各 VLAN の詳細情報を提供するために使用されます。これらのフレームは、構成変更の一部として、または VTP 要求フレームに応答して送信されます。

リクエストフレーム

VTP クライアントは、要求フレームを VTP サーバーに送信します。これらのフレームは、次のいずれかの条件が発生したときに送信されます。

  • VTPドメイン名を変更します。
  • VTP クライアントは、自分の構成リビジョン番号よりも高い構成リビジョン番号を持つサマリー広告を受信します。
  • サブセットフレームが欠落している
  • スイッチがリセットされる

VTP サーバは、リクエストフレームに対して、サマリーフレームと、リクエストを満たすのに必要な数だけのサブセットフレームで応答します。

結論

仮想LAN技術の使用が一般的になるにつれ、ネットワークの設計と保守はVLANの存在を考慮しなければなりません。そこで、VLANを設定し、健全な状態を維持するためのベストプラクティスとツールの出番です。ネットワーク エンジニアやマネージャーは、まず VLAN がネットワーク内でどのように機能するのかを理解し、問題を効果的にトラブルシューティングして VLANのパフォーマンスを最適化するために、優れたドキュメントを作成する必要があります。VLAN固有の情報を収集して表示するように設計されたツールを活用することで、機器コストとトラブルシューティングの時間を大幅に削減することができます。

 

SNSでもご購読できます。

コメントを残す

*