VLANとセグメント(サブネット)の違い、セカンダリアドレス

VLAN と IP アドレス

前述した下図のような NW デザインにおいて、L3 スイッチでは複数の VLAN を受け付けますが、同時に L3 スイッチが各 VLAN の端末のデフォルトゲートウェイとして機能させるのが一般的です。

この場合、L3 スイッチに VLAN インタフェースを作成し、IP アドレスを付与します。通常はこの IP アドレスが端末のデフォルトゲートウェイになります。

VLAN インタフェースとは

VLAN インタフェース(SVI: Switch Virtual Interface)は L3 スイッチの論理インタフェースとして機能し、通常は IP アドレスを付与します。( IP を付与しない場合は VLAN インタフェースを作る意味がないです)

例えば L3 スイッチに「VLAN 10」の VLAN インタフェースを作成し、IP アドレスを付与する場合、Cisco であれば以下コマンドを打ちます。

(config)# interface vlan 10
(config-if)# ip address 10.10.10.254 255.255.255.0

この場合、VLAN 10 に所属する全ての端末は、この IP アドレスをデフォルトゲートウェイとして使うことができます。

VLANとセグメント(サブネット/ネットワークアドレス)

VLAN (ブロードキャストドメイン)とセグメント(サブネットはたまたネットワークアドレス)は必ずしも 1対1 ではありません1 つの VLAN に複数のセグメントを使わせることもできます

例えば Cisco では以下コマンドにより、セカンダリ IP アドレスというものが設定できます。

(config)# interface vlan 10
(config-if)# ip address 10.10.10.254 255.255.255.0
(config-if)# ip address 192.168.20.254 255.255.255.0 secondary

これにより VLAN インタフェースに複数 NW アドレスを付与できます。

セカンダリ IP アドレスの使い分け、デメリット、注意点

プライマリアドレスとセカンダリアドレスの使い分けは特にありません。設定した機器上で互いにルーティングも可能です。

ただしプライマリアドレスとセカンダリアドレスの扱い上の違いとして、RIP や OSPF、はたまた確認のための Ping 等のルータ自発パケットは、プライマリアドレスが使われますので注意が必要です。

また、セカンダリアドレスを使って複数 NW アドレスを所属させる際の他の注意として、DHCP は 1 つの NW アドレスにしか使えません。他の NW アドレス帯に所属させたい端末は、固定 IP の設定をする必要があります。

また、デメリットとして以下が挙げられます。

  • ( IP 通信は L3 スイッチ経由じゃないとできませんが、) IP を含まない Ethernet 通信は直接できてしまうこと (実際にはほとんど無い)
  • ポートにスイッチを差してパケットキャプチャを行えば、どの NW アドレス帯が使えるかが分かり、営業部の人間であっても開発部の IP を設定してしまえば、開発部のファイルサーバを覗くなどができるようになる等、セキュリティレベルが最低であること
  • 無駄なブロードキャストが流れてくるため、通信効率が悪いこと

裏を返せば、これらの逆のことが、VLAN のメリットなのです。

フォローする