ネットワークの基礎的なお話
こんにちは、技術部ネットワークチームの安藤です。
ネットワーク業務に携わって約2年半が経ちましたが、現在はチームに後輩がおらず、ネットワーク技術を人に説明する機会がほとんどありません。
そこで本ブログでは、説明の練習も兼ねて、ネットワークの基礎的な内容を解説していきたいと思います。
ネットワークに関してはまだまだ若輩者ですので、万が一間違いがございましたら、温かいご指摘をお願いいたします。
今回は私がネットワークを学びはじめて、最初に躓いたvlanについて説明したいと思います。
まず、vlanを一言で説明するとブロードキャストドメインを分割する技術のことです。
具体例を用いて、ブロードキャストドメインを分割することの利点を説明します。
下図はL2SWのすべてのportでvlanを100で設定し、10.1.0.0/24と10.2.0.0/24のセグメントの混在させた環境です。
当然ですが、同じセグメントの機器同士(10.1.0.1<->10.1.0.2や10.2.0.1<->10.2.0.2)はL3的疎通(pingが届く)があります。
また、異なるセグメントの機器(例:10.1.0.1<->10.2.0.1)にはL3的疎通はありません。
一見、L3的疎通の部分だけを見れば、同じvlanに異なるセグメントを混在しても問題がないように見えます。
しかし、L2のブロードキャストは同じvlan内のすべての機器に対して、パケットを送るため、10.1.0.1の機器が送ったパケットが10.1.0.2の機器にも届いてしまいます。
よって、L3的疎通がなくても、パケットを解析するアプリケーションを使用すれば、届いたブロードキャストの中身を覗くことができ、セキュリティ上の問題が発生します。
このようなことを防ぐために、下図のようにL2SWをvlan100に所属させるポートとvlan200に所属させるポートにわけ、IPのセグメントごとにvlanを割り当てます。
これにより、l2のブロードキャストが同じvlan内の機器にのみ届くので、同じセグメントの機器にのみパケットが送られるようになります。
これがブロードキャストドメインを分けることの利点です。
以上で説明は終わりです。
皆様のVLANに対するご理解の助けになれば幸いです。
