どのようなネットワークを VLAN に分割する必要がありますか?

[[256100]]

1. VLANの定義: VLANの詳細かつ包括的な理解

VLAN は、Virtual Local Area Network (仮想ローカル エリア ネットワーク) の略称で、仮想 LAN とも呼ばれます。これは、LAN 内のデバイスを物理的にではなく論理的にセグメントに分割することで、仮想ワークグループを実現する新しいテクノロジーです。 VLAN を分割するには、VLAN 機能をサポートするネットワーク機器を購入する必要があります。

2. VLAN分割の役割：VLANネットワークの分割

VLAN は、イーサネットのブロードキャスト問題とセキュリティを解決するために提案されています。 VLAN 内のブロードキャスト トラフィックとユニキャスト トラフィックは他の VLAN に転送されません。 2 台のコンピュータが同じネットワーク セグメント内にある場合でも、同じ VLAN 内にない場合、それぞれのブロードキャスト ストリームは相互に転送されません。 VLAN 分割は、トラフィックの制御、機器投資の削減、ネットワーク管理の簡素化、ネットワーク セキュリティの向上に役立ちます。 VLAN はブロードキャスト ストームを分離し、異なる VLAN 間の通信も分離するため、異なる VLAN 間の通信はルーターまたはレイヤー 3 スイッチに依存する必要があります。

3. VLAN分割方法：

VLAN を分割する方法は 4 つあり、それぞれに長所と短所があります。ネットワークをVLANに分割する場合は、ネットワークの実際の状況に応じて適切な分割方法を選択する必要があります。

1. ポートに基づく VLAN 分割: 多くのネットワーク ベンダーは、スイッチ ポートを使用して VLAN メンバーを分割します。名前が示すように、ポートベースの VLAN 分割は、スイッチの特定のポートを VLAN として定義することを意味します。第 1 世代の VLAN テクノロジーは、同じスイッチの複数のポートでの VLAN 分割のみをサポートします。第 2 世代の VLAN テクノロジーにより、複数のスイッチの複数の異なるポートにわたる VLAN 分割が可能になります。異なるスイッチ上の複数のポートが同じ VLAN を形成できます。図2

ポートごとにVLANを分割する

ポートごとにVLANを分割するメリットは、シンプルで明確であり、管理も非常に便利であることです。欠点は、メンテナンスが比較的面倒なことです。ただし、ポートに基づいて VLAN を分割することが、最も一般的に使用される VLAN 分割方法です。

2. MAC アドレスに基づいて VLAN を分割する: 各ネットワーク カードには、世界で一意の物理アドレス、つまり MAC アドレスがあります。ネットワーク カードの MAC アドレスに基づいて、複数のコンピューターを同じ VLAN に分割できます。この方法の最大の利点は、ユーザーが物理的に移動する場合、つまり、あるスイッチから別のスイッチに変更する場合に、VLAN を再設定する必要がないことです。欠点は、VLAN を初期化するときにすべてのユーザーを設定する必要があり、ネットワーク管理に大きな負担がかかることです。

3. ネットワーク層に基づいて VLAN を分割する: この VLAN 分割方法は、ルーティングではなく、各ホストのネットワーク層アドレスまたはプロトコル タイプ (複数のプロトコルがサポートされている場合) に基づいています。注意: この VLAN 分割方法は、ワイド エリア ネットワークには適していますが、ローカル エリア ネットワークには適していません。

4. IP マルチキャストに基づいて VLAN を分割する: IP マルチキャストは実際には VLAN の定義であり、つまり、1 つのマルチキャスト グループが 1 つの VLAN と見なされます。この分割方法は、VLAN を広域ネットワークに拡張するものであり、企業ネットワークの規模がまだそれほど大規模には達していないため、ローカル エリア ネットワークには適していません。

明らかに、すべての VLAN テクノロジーがエンタープライズ ネットワークでの使用に完全に適しているわけではありません。ネットワーク管理者は、VLAN を総合的に理解することで、ネットワーク環境に応じて VLAN 分割が必要かどうかを正確に判断できるようになります。

4. どのようなネットワークを VLAN に分割する必要がありますか?

確かに、VLAN 分割によってブロードキャスト ストームの発生が軽減され、ネットワーク通信の効率が向上しますが、ネットワーク管理者は、無理な VLAN もネットワークの伝送パフォーマンスに影響を与えることを認識する必要があります。したがって、VLAN 分割ネットワーク変換計画を策定する前に、ネットワーク管理者はネットワーク内で VLAN を分割する必要があるかどうかを明確に理解する必要があります。ネットワークを VLAN に分割する必要があるかどうかは、ネットワーク動作のいくつかのパラメータに基づいて決定する必要があります。 VLAN 分割の参照値となるネットワーク パラメータは次のとおりです。

1. ネットワーク トラフィック: 通常、VLAN に分割する必要があるネットワークには大量のネットワーク トラフィックがあります。したがって、ネットワーク トラフィックは、VLAN を分割するかどうかを決定する重要なネットワーク パラメータになります。企業ネットワークの伝送パフォーマンスが非常に悪い場合は、Sniffer などのソフトウェアを使用して、ネットワーク トラフィック、特にブロードキャスト トラフィックを表示できます。ネットワーク トラフィックが非常に大きい場合は、ネットワークを VLAN に分割する必要があります。それ以外の場合は、VLAN 分割は必要ありません。図3

ネットワークトラフィックテーブル

また、ネットワークトラフィックを確認する際には、ウイルスなどの非客観的な要因の影響も考慮するようにしてください。ネットワーク内のクライアントがワームウイルスに感染すると、ネットワークトラフィックも増加します。

2. ネットワーク規模: ネットワーク規模はネットワークトラフィックに比例します。ネットワーク クライアントの数が増えると、ネットワーク トラフィックも増加します。ネットワーク規模も、VLAN 分割が必要かどうかを判断するネットワーク パラメータになります。経験豊富なネットワーク管理者は、企業のネットワークの規模に基づいてネットワーク トラフィックを見積もることができます。企業のインターネット アプリケーションは、電子メールや Web ブラウジングなどのビジネス アプリケーションにすぎません。正常に動作しているときの各マシンのトラフィックはわずか 300Kbps 程度であり、これを使用してネットワーク全体のトラフィックを推定できます。経験上、クライアント数が 100 未満の企業ネットワークでは、ネットワーク トラフィック全体がそれほど大きくならず、VLAN を分割してもネットワークの伝送効率が低下するだけなので、VLAN を分割する必要はありません。

3. セキュリティ要件: VLAN 分割により企業ネットワークのセキュリティが向上し、セキュリティ要件も VLAN 分割の基準条件となります。多くの企業では、マーケティング部門や財務部門の機密情報が一般従業員に公開されることを望まないため、ネットワーク セキュリティに対して高い要件を設けています。この場合、企業は社内の各部門のデータを強化するために VLAN を分割する必要があります。

ネットワークの 3 つのパラメータを定量化することで、インターネット カフェを VLAN に分割する必要があるかどうかを判断できます。 VLAN を分割する際にも、特定のスキルが必要です。適切な VLAN 分割モードを使用すると、ネットワークの伝送品質が向上します。

5.適切なVLAN分割モードを選択する

多くのネットワーク管理者は、VLAN 分割によってネットワーク伝送パフォーマンスが向上することだけは知っていますが、不合理な VLAN 分割モードによってネットワーク伝送パフォーマンスが低下することは知りません。企業ごとにネットワーク環境が異なるため、最適なVLAN分割方法も異なります。次に、企業ネットワークにとってどの VLAN 分割モードがより適切であるかを例を使って詳しく説明します。

エンタープライズ ネットワーク環境: ネットワークには 43 台のクライアントがあり、そのうち 35 台はデスクトップ、8 台はラップトップです。ネットワークトラフィックはそれほど大きくありません。財務部門には一般従業員に見られたくない機密データがあるため、ネットワーク管理者はネットワークを VLAN に分割して、一般従業員と財務部門従業員の PC 間の通信を遮断することを決定しました。図4

エンタープライズ ネットワーク トポロジ図

エンタープライズ アプリケーションの要件: 上記の説明から、企業が VLAN を分割するのはセキュリティを向上させるためであり、ネットワーク伝送パフォーマンスの向上が主な目的ではないことがわかります。同社には顧客数が少なく、ラップトップのモバイル性が高いため、管理者は通常、モバイル オフィスのニーズを満たすために、日常のオフィス業務中にラップトップを会議室に移動する必要があります。この場合、ポートに基づいて VLAN を分割するモードは企業には適していません。 VLAN を分割する最も適切な方法は、MAC アドレスに基づいて分割することです。

企業にとって最も適した VLAN 分割モードは、ポートに基づいて VLAN を分割することと、MAC アドレスに基づいて VLAN を分割することです。クライアント数が少なく、モバイル オフィスでの作業が頻繁に行われるエンタープライズ ネットワークの場合、MAC アドレスに基づいて VLAN を分割するのが最適な分割モードです。クライアント数が多く、モバイル オフィスを必要としないエンタープライズ ネットワークの場合、VLAN をポートごとに分割できます。つまり、ネットワーク要件に基づいて適切な VLAN 分割モードを選択します。

結論: VLAN 分割はありふれた話題のように思えますが、実際のアプリケーションでは、管理方法として VLAN 分割をうまく活用できる人はほとんどいません。さらに重要なのは、一部の企業のネットワークは VLAN に分割する必要がないにもかかわらず、ネットワーク管理者が VLAN に分割しているため、ネットワーク通信の効率が低下していることです。実際、ネットワークの伝送効率を向上させることができるのは適切な VLAN 分割のみであり、VLAN 分割はネットワーク速度の低下に対する万能薬とは見なされません。