<<第28回:VLANを使うメリット【VLAN・タグVLAN・IEEE802.1Q・VLAN間ルーティング】
この記事のポイント
- レイヤ3スイッチによってルータよりも効率よくVLAN同士をつなげられる
- レイヤ3スイッチにIPアドレスを設定してVLANを接続する
- レイヤ3スイッチ内部の仮想インタフェースにIPアドレスを設定
- レイヤ3スイッチのポート自体にIPアドレスを設定
分割したネットワーク同士をつなぐ方法
VLAN間ルーティングとは
VLANはネットワークを分けるだけ
レイヤ2スイッチのVLANは「ネットワークを分割するだけ」です。VLAN間での通信を実現するためには、VLANを相互接続しなければいけません。VLANを相互接続してVLAN間の通信ができるようにすることをVLAN間ルーティングと呼びます。VLAN間ルーティングを実現するためには、ルータまたはレイヤ3スイッチが必要です。なお、ルータよりもレイヤ3スイッチを利用する方が効率よくVLAN間ルーティングができます。
IPアドレスを設定するとネットワーク(VLAN)をつなげる
そもそも、IPアドレスを設定することでネットワーク(VLAN)はつながります。そのため、レイヤ3スイッチでネットワーク(VLAN)を接続するためには、レイヤ3スイッチにIPアドレスを設定します。その手段は次の2通りです。
- レイヤ3スイッチ内部の仮想インタフェース(VLANインタフェース)にIPアドレスを設定する
- レイヤ3スイッチのポート自体にIPアドレスを設定する
レイヤ3スイッチ内部には仮想的なルータが含まれていて、そのルータに対してIPアドレスを設定するようなイメージです。
レイヤ3スイッチのIPアドレス設定の例
PCもルーティングテーブルを持っている
次の項目のポイント
- PCやサーバもルーティングテーブルを持ち、ルーティングテーブルに従ってIPパケットを転送する
- IPアドレスを設定することで、PCのルーティングテーブルに直接接続のルート情報が登録される
- デフォルトゲートウェイのIPアドレスを設定することで、PCのルーテイングテーブルにすべてのネットワークを集約したデフォルトルートが登録される
デフォルトゲートウェイとは
ルータやレイヤ3スイッチだけではない
ここまでルーティングについてルータまたはレイヤ3スイッチを中心に解説しています。ただ、ルーティングはルータやレイヤ3スイッチだけでなく普通のPCでも行っています。PCやサーバなどTCP/IPを利用するすべての機器はルーティングテーブルを持ち、ルーティングテーブルに従ってルーティングします。
知らないネットワークには送れない
PCでもルーティングの原則はルータと同じです。ルーティングテーブルに載っていないネットワーク宛てにはIPパケットを送信できません。PCのルーティングテーブルにIPパケットを転送したいすべてのネットワークを登録しておかないといけません。ですが、1つずつルート情報を登録することはとうていできません。また、その意味もありません。
デフォルトルートでまとめて登録
PCのルーティングテーブルには、あまり詳しくルート情報を登録することはありません。基本的に次の2つです。
- 直接接続のルート情報:IPアドレスの設定
- デフォルトルート: デフォルトゲートウェイのIPアドレスの設定
IPアドレスを設定することで、PCが直接接続されているネットワークのルート情報をルーティングテーブルに登録します。そして、PC自身がつながっているネットワーク以外のすべてを「0.0.0.0/0」のデフォルトルートとしてまとめて登録します。そのための設定がデフォルトゲートウェイのIPアドレスの設定です。
PCのルーティングテーブル
PCのルーティングテーブル
アクセスするユーザや機器を制限する3つの方法
次の項目のポイント
- 認証によってネットワークやシステムを利用するユーザまたは機器が正規のものであると確認する
- 主な認証の要素
- ユーザが知っているはずの情報
- ユーザが保持しているはずのモノ
- ユーザの身体的な特性(バイオメトリクス)
認証とは
誰がつながっているか?
ネットワークには誰でも無制限に接続させるわけにはいきません。制限するためには、ネットワークにつながっているユーザや機器をきちんと確認する必要があります。そのために認証を行います。
認証の概要
認証とは、ネットワークやシステムを利用するユーザまたは機器が正規のものであると確認することです。認証によって、正規のユーザ以外がネットワークやシステムにアクセスできないようにします。認証はセキュリティ対策において最も基本的かつ重要なことです。
認証の概要
何をもって正規のユーザであることを確認するかということを考えなければいけません。正規のユーザであることを確認する方法は、大きく分けて3つあります。
認証の要素
まず、ユーザが知っているはずの情報により認証する方法です。一般的なものは、パスワード認証です。「正規のユーザであれば自身のパスワードを知っているはず」という考えのもと行います。
また、ICカードなどのユーザが保持しているはずのモノによる認証があります。例えば、ICカードが組み込まれた社員証を配布しておきます。「正規のユーザであればICカードを持っているはず」という考えのもと、正規のユーザであることを確認できます。
そして、ユーザの身体的な特性による認証があります。指紋や網膜などユーザ個人の身体的な特性をあらかじめ登録しておきます。「正規のユーザならあらかじめ登録している身体的な特性と同じはず」という考えのもと、正規のユーザであることを確認します。こうした身体的な特性による認証はバイオメトリクス認証とも呼ばれます。