スポンサーリンク

L2スイッチでLAN内の通信制御を行ったので、この機会にL2スイッチについて簡単にまとめてみた。導入の参考にしていただければと思う。

L2スイッチとは

OSI参照モデルにおいて、レイヤ2のデータリンク層に分類される情報を見て、データの通信先を振り分けてくれるスイッチのこと。L2の情報で動作するスイッチ。データリンク層に分類されるMACアドレスの情報をもとに通信を行う。接続先の機器のMACアドレスと接続されたL2スイッチの差込口を関連付けて記憶する。
L2スイッチには様々な付加機能がある。その代表的な機能の1つにVLANと呼ばれるものがある。VLANは本来、1台のL2スイッチで複数のネットワークに対応できるように考案された機能だが、セキュリティを確保するためにも必要な機能となっている。

その他のおすすめ製品はこちら

VLAN機能を使っての通信制御

VLAN機能を使うと様々な通信制御を行うことができる。制御の例を挙げよう。

ポートベースVLAN

L2スイッチのポート(差込口)ごとにVLAN(所属グループ)を設定

下図のようなネットワークをVLAN機能を使って構築している。VLAN間の通信は許可していない。
画像:VLAN例1
ポート10に接続されている人が、席もPCも変わらずに所属がグループDからグループAに変わった場合、ポート10のVLAN設定を変更するだけで済む。
画像:VLAN例2

ポートベースVLAN+フィルタリング

VLAN機能とフィルタリング機能を用いた通信制御

下図は先ほどと同じ構成のネットワークである。
画像:VLAN例1
今度はポート10に接続されている人が、グループBとグループDを兼任することになったとしよう。現状ではポート10からはグループBと通信することは出来ない。通信可能にするにはいくつかの方法があるが、今回はもっとも簡単な方法を紹介する。
まず、VLAN機能を使いポート10をグループEとする。そしてフィルタリング機能で通信の許可設定を行う。
グループBはグループEとの通信を許可する。
グループDはグループEとの通信を許可する。
グループEはグループBとグループDとの通信を許可する。
上記以外の通信は拒否する。
画像:VLAN例3
これでグループBとグループDの通信を許可しないまま、兼任者が所属するグループEのみ特定のグループ間の通信が可能となる。

その他のVLAN

MACアドレスVLAN

MACアドレスごとにグループ(VLAN)を分ける方法。ポート(差込口)には関係なく、グループ単位で通信可否の設定が可能となる。差込口を変えても通信できるグループは変わらない。

タグVLAN

複数台のL2スイッチが連携しながらVLANを構築することができる。異なるメーカー、異なる機種のL2スイッチ同士でもタグVLANが実現できるよう国際規格IEEE802.1Qが定められている。

動的VLAN

ここまで説明してきたVLANは固定的なVLANテーブルであった。しかし動的VLANはVLANテーブルを自動的に変更する機能を持つ。最近では検疫ネットワークで使われることが多い。

スポンサーリンク