【VLANの機能について】


このHPはVLANの機能についてまとめたもので す。


1-1 VLANとは

VLANとは、スイッチ上でブロードキャストドメイン を分割する技術。スイッチは本来、 データーリンク層の機器。従って、 コリジョンドメインの分割はするが 、ブロードキャストドメインの分割は行わない。

通常、ブロードキャストド メインを分割するには、「ルーター」か「ルーティング機能を備 えたL3スイッチ」、もしくはブロードキャストドメインと同数 のスイッチが必要。



しかし、VLANを使うことによって、ルーターやL3スイッチを使 わなくても、同じスイッチに接続されているホストを 複数のブロードキャストドメインに分割できる。





1-2 VLANの仕組み

通常、何も設定がされてい ないスイッチの場合、1つのポートから受信したフレームは、 他の全てのポートへ転送が可能。下の図の場合、 A のポートから受信したフレームはB、C、D、どのポートにも転 送できる。



ここで、ポートA・BをVLAN 1に、ポートC・DをVLAN2に設定する。すると、ブロー ドキャストドメインが分割され て、Aのポートから受信したブロードキャストは、Bのポー トのみ転送可能になり、ポートC・Dへは転送できなくなる。




また、

●VLAN設定前のスイッチでは、全ポ ートがVLAN1(管理VLAN)に属する。

●VLAN1(管理VLAN)は削除できな い。

【VLANのメリット】
VLANのメリットとしては、次の様な点が上げられる。

●ネットワークを分割することによる、セキュリティの向上

●柔軟なネットワーク構成

●ブロードキャストによる帯域幅の消費を抑制する


1-3 アクセスリンク・トランクリンク

【スイッチ同士のVLANの接続】

異なるスイッチのポートを同じVLANに所属させることで、物理的に離れたPCを同一のVLANに所属させることが出来る。 しかし、その場合、それぞれのスイッチに作成 した VLAN同士を接続する必要がある。

例えば、下記の図でスイッチAとスイッチBにVLAN1・2を作成した場合、 それぞれのスイッチのVLAN1に所属するポート同士、VLAN2に所属するポート同士を接 続する。 従って接続するVLANの数だけポートを使う。



スイッチポートのリンクの種類には、以下の2種類がある

●アクセスリンク

●トランクリンク

【アクセスリンク】

アクセスリンクとは、ただ1つのVLANに所属し、そのVLANのフレームを転送するポートのことを 指す。アクセスリンクには、クライアントコンピューターが接続されることが多くなる。

VLAN設定の手順は、
●VLANの作成
●アクセスリンクの設定(ポートが所属するVLANの決定) となる。

アクセスリンクを設定するには、インターフェイスコンフィグモードで 、【switchport mode access】コマンドを実行する。

【アクセスリンクの有効化】

(config-if)#switchport mode access

■≪スタティックVLANとダイナミックVLAN≫

アクセスリンクの設定として、あらかじめ固定的に決めておく設定とスイッチに接続されるコンピューターによって動 的に設定される方法がある。 固定的に設定する方法を「スタティックVLAN( ポートベースVLAN)」、動的に変更させる方法を「ダイナミックVLAN」と呼ぶ。

スタティックVLANは、各ポートが所属するVLANを明示的に指定する方法。スタティックVLANはポ ートを1つずつ設定する必要がある。

ダイナミックVLANは、スイッチのポートに接続されるクライアントコンピューターによって、動的にポートが 所属するVLANが変更される。ダイナミックVLANは以下の3種類に分類される。

●MACベースVLAN

●サブネットベースVLAN

●ユーザーベースVLAN

【MACベースVLAN】

MACベースVLANは、スイッチに接続されるコンピューターのMACアドレスによってそのポートが 所属するVLANを決定する。

【サブネットベースVLAN】

サブネットベースVLANはスイッチに接続されるコンピューターのIPアドレスによって、ポートが所 属するVLANを決定する。コンピューターのMACアドレスが変わったとしてもIPアドレスが同じであればそのコ ンピューターは同じVLANに参加できる。 IPアドレスはレイヤ3の情報なので、サブネットVLANはレイヤ3のレベルでアクセスリンクを決めていく。

【ユーザーベースVLAN】

ユーザーベースVLANは、スイッチに接続されるコンピューターを利用するユーザーによって、ポー トがどのVLANに所属するのかを決定する。利用するユーザーの識別は、例えばWindowsドメインのユーザー名 等によって行う。 この様なユーザー名の情報は レイヤ4以上の情報になり、VLAN を決定する情報の階層が上がれば上がるほど、より柔軟なネットワークを構成することが可能になる。


複数のスイッチをまたがって、VLANを作成した場合、アクセスリンクで は、同一のVLANのフレームしか伝播しないため 、各VLANごとにポートを1つ使ってケーブルで接続する必要がある。この方法は無駄が多く、拡 張性がないため、VLANが多くスイッチが多い場合には現実的ではない。

【トランクリンク】

トランクとは、VLANを多重化してひとつのポートで複数のVLANを接続する技術。トランク は、スイッチ同士でVLANを接続する際に、VLANの数だけポートを消費する問題を解決できる。また、トラン クの設定が行われているポートをトランクリン クという。



Catalystスイッチでは、イーサネットトランクとして次の2つのプロトコルをサポートしている。

●ISL
●IEEE802.1Q


★ISL

Cisco ISLは、シスコ社独自のプロトコル。標準のイーサネットフレームの先頭にISLヘッダ(26バイト)と最後尾にCRC(4バイト )を追加してフレームをカプセル化した状態でトランク接続を通過する。ISLヘッダの中にVLAN IDフィールドがあって、ここにVLAN番号が格納されている。


★IEEE802.1Q

IEEE802.1Qは、IEEEによって開発された方法。標準イーサネットのフレ ームの内部に4バイトのVLANを識別するための情報(タグ)をフレームに挿入する。これ をタグ付け(タギング)という。IEEE802.1qによって追加されるデータサイ ズは4バイトのみで、フィールドサイズには変更はない。ただし、CRCの再計算が必要になる。


トランクリンクを設定するには、インターフェイスコンフィグモードで 、【switchport mode trunk】コマンドを実行する。

【トランクリンクの有効化】

(config-if)#switchport mode trunk

また、トランクリンクの確認には、特権モードで、【show interface trunk】コマンドを実行する。

【トランクリンクの確認】

#show interface trunk





●VLANトラフィックの指定

トランクリンクはデフォルトでは、スイッチに存在する全てのVLANが許可される。
以下のコマンドでトランクリンク上で、どのVLANをトランクするかを定義する設定が出来る。

【トランクポートのVLANを設定】
(config-if)#switchport trunk allowed vlan【vlan-id】

 


●設定済みリストからVLAN を削除

VLANトラフィックで、指定した設定済みリストからVLAN を削除することにより、指定したVLAN からのトラフィックがトランク上を流れないようにすることができる。

トランクが伝送するトラフィックを制限するには、以下のコマンドを使用して、設定済みのリストから特定の VLAN を削除する。※但しVLAN1、VLAN1002〜1005はトランクから除去不可。

【指定したVLANリストから指定したVLANの削除設定】
(config-if)#switchport trunk allowed vlan remove【vlan-id】




■DTP

DTPとは,Catalystスイッチ同士を接続した場合に,トランクポートになるかアクセスポートになるのかを動的に決 定するために、Ciscoが独自で開発したプロトコル。 これにより、スイッチポートの役 割(アクセスポート、トランクポート)と使用するトランキングプロトコル(ISL、IEEE802.1Q)を動的に決 定することができる。

DTPを使用するには、インターフェイスコンフィグモードで以下のコマンドを実行する。

【DTPの設定】

(config-if)♯switchport mode【access | trunk | dynamic desirable |dynamic auto】

またDTPには、以下の様なモードがある。




スイッチのリンクがアクセスリンクになるかトランクリンクになるかは 互いのスイッチの設定(組み合わせ)に影響す る。以下にその表を示す。





■DTPネゴシエーションの停止

DTPネゴシエーション機能を停止させたい場合 は、インターフェイスコンフィグモードで以下のコマンド実行する。

【DTP機能の停止】

(config-if)♯switchport nonegotiate

このコマンドにより、DTPネゴシートフレームがポートから送信されなくなり、ポート動作は指定したモード パラメータ(accessまたはtrunk)に応じて決定される。





1-4 デフォルトのVLAN1(ネイティブVLAN)

スイッチで、特にVLANを設定していない場合でもVLANは存在する。これ がデフォルトのVLAN1。デフォルトでスイッチを使用している場合は、 VLANが1つしか存在しないため、特にVLANを識別する必要はない。しかし、スイッチに複数のVLANが存在 する場合は、VLANを識別するためにトランクリンクが必要になる。

トランクリンクがISLの場合、デフォルトのVLAN1もタグ付けを行い、他のVLANと識別 する。
トランクリンクがIEEE802.1Q場合、デフォルトのVLAN1はタグ付けを行わずに使用される。このこと から「ネイティブVLAN」とも呼ばれる。




●ネイティブVLANの変更

IEEE 802.1Q トランクポートを使用する場合、すべてのフレームにタグが付けられるが、ネイティブ VLAN (デフォルトではVLAN 1)は常にタグなしで送信され、通常はタグなしで受信される。ネイティブVLANを変更するには、以下のコマンドを使用する。

 

【ネイティブVLANの設定】

(config-if)# switchport trunk native vlan【vlan-id】




1-5 VLANデータベース

Catalyst2950/2960スイッチのVLANの設定情報はrunning-configやstartup- configとは別にVLANデータベースとして保持している。VLANデータベースは機種によ って、格納される場所やファイル名が異なる。Catalyst2950/2960シリーズや Catalyst3550シリーズではフラッシュメモリ内のvlan.datというファイルがVLANデータベース。
VLANデータベースを変更するには、次のいずれかの操作で設定する。

●VLANデータベースモードを利用してのVLAN作成

直接VLANデータベースの設定や変更ができるモード。特権モードから 【vlan database】コマンドを入力する。プロンプトが、特権モードの♯か らVLANデータベースモードの 「(vlan)♯」に変わる。また、VLANデータベースモードでは、VLANを作成した段階では、 まだ設定が反映されない。applyまたはexitコ マンドを入力した時点で設定は反映される。

【VLANデータベースを利用したVLAN作成】

♯vlan database

(vlan)♯vlan【VLAN番号】【name vlan名】

(vlan)♯applyまたはexit


●VLANコンフィグレーションモードを利用してのVLAN作成

通常のIOSから設定する方法。グローバルコンフィグレーションモードで 【VLAN】コマンドを入力する。プロンプトがグローバルコンフィグレーシ ョンモードの(config)♯からVLANコンフィグレーションモードの(config-vlan)♯に変わる。

【VLANコンフィグレーションモードでのVLAN作成】

(config)#vlan 【VLANID(VLAN番号)】


1-6 VLANデータベースでのVLAN作成する

VLANデータベースでのVLAN作成するには、上記の上記のvlan databaseコマンドを使って、VLANコンフィグレーションモード で行う。新規に作成したVLANには、デフォルト のVLAN名が付けられている。例えばVLANIDを5として新規にVLANを作成した場合、デフォルトのVLAN名はVLAN0005となる。

VLAN名を変更するには、VLANコンフィグレーションモードで、【name】コマンドを入力し、引数に【VLAN名】を指定する。VLANの追加や移 動、変更の情報はフラッシュメモリ内の vlan.datファイルに記録される。



●VLANの削除

VLANの削除は、VLANコンフィグレーションモードで、【no vlan】コマンドを実行し、引数に【VLANID(VLAN番号)】を指定する。ただし 、VLAN1は削除できない。

【VLANの削除】

(vlan)#no vlan【VLANID(VLAN番号)】



●VLANデータベースからのVLAN情報の確認

VLANデータベースからVLAN情報を確認するには、【show current】コマンドを実行する。指定したVLANのデーターベースだけを表示 する時は、引数にVLANID( VLAN番号)を指定する。

【VLANデータベースからのVLANの確認】

(vlan)#show current【VLANID(VLAN番号)】