Cisco Systems社認定資格であるCCNP(Cisco Certified Network Professional)出題範囲における技術について、定期的にご紹介します。
CCNP資格は【ROUTE】【SWITCH】【TSHOOT】の3つの試験に合格することで取得することができます。
今回は【SWITCH】出題範囲の 『プライベートVLAN』 機能についてご紹介します。
プライベートVLANとは?
通常、同じVLANに属するホスト同士は同一のブロードキャストドメインに属し、お互いに通信が可能です。
一方、プライベートVLANの設定を行うと、同じVLANに属しているホスト同士は互い異なるブロードキャストドメインに属することになり、通信ができなくなります。
では、どのような場面でこのプライベートVLANが使われているのか見ていきます。
プライベートVLANを使用しない場合
最近は各客室からインターネットができるホテルが多くなっています。セキュリティ上、各客室のホスト同士で通信ができないように、各客室のネットワークは完全に分離されていなければなりません。しかし、インターネットを使用しますので、各客室からはゲートウェイとなるルータにアクセス可能である必要があります。
上記の環境を通常のVLANで実現しようとすると、客室の数だけVLANを作成し、ルータ上でVLANの数に応じたサブインタフェースの作成、IPアドレスの設定が必要となります。客室の数が多ければ多いほど、この作業は大変になります。
プライベートVLANを使用する場合
プライベートVLANの設定をすると、同じVLANに所属するホスト同士でも通信させないようにすることができます。全ての部屋のVLANを1つにすることで、部屋の数が多くなってもゲートウェイアドレスが1つでよく、管理が楽になります。
個々のPCはインターネットへの接続を可能にするため、スイッチ上のルータにつながっているポートのみ通信ができるように設定します。このポートを、プロミスキャスポートと呼びます。
ホテル、マンションなどのネットワーク構築を行う際に、プライベートVLANがよく使用されています。
プライベートVLANの種類
個々のプライベートVLANは、プライマリVLAN と セカンダリVLAN で構成されます。セカンダリVLAN は、さらに隔離(独立)VLAN と コミュニティVLANの2つに分類されます。それぞれのVLANの特徴は以下の通りです。
■ プライマリVLAN
プライマリVLANはセカンダリVLANを格納するVLANです。
1つのプライベートVLANにつきプライマリVLANを1つだけ設定できます。
■ セカンダリVLAN
➢ 隔離(isolated)
隔離VLANに設定されたポートは、プライマリVLANのポートと通信できます。
同一の隔離VLANに設定されたポートや、他のセカンダリVLANとは通信できません。
➢ コミュニティ(community)
コミュニティVLANに設定されたポートは、プライマリVLANのポートと通信できます。
他のセカンダリVLANとの通信はできませんが、同一のコミュニティVLAN内のポートと相互に通信できます。
■ ポートのモード
➢ プロミスキャス(promiscuous)
プライマリVLAN上のポートで、他の全てのポートと通信できます。ルータ・ファイアウォール・ゲートウェイデバイスと接続する為に使用します。
➢ ホスト(host)
隔離VLANまたはコミュニティVLAN上のポートで、通常のホストを接続します。
プライベートVLANの設定例
先ほどの構成図をもとに以下の条件でプライベートVLANの設定を行います。
下記はCisco Catalyst 3750スイッチを使用した例です。
プライベートVLANは、1台のスイッチに対してローカルでのみ意味をもちますので、VTPドメインのモードをトランスペアレントに設定する必要があります。
次にプライベートVLANの作成を行います。
作成したプライベートVLANにポートを割り当てます。
プロミスキャスポートの設定を行います。
設定を確認します。
いかがでしたでしょうか。
プライベートVLANは、同じVLANのポート間であってもブロードキャストのデータ転送を行わなくなりますので、セキュリティの向上が期待できます。
独立して動作する2台のサーバ間で通信の必要が無い場合も、この技術を使うことができます。
ぜひ、試してみて下さい。