VLANとセグメント(サブネット)の違い、セカンダリアドレス

VLANとIPアドレス

前述した下図のようなNWデザインにおいて、L3スイッチでは複数のVLANを受け付けますが、同時にL3スイッチが各VLANの端末のデフォルトゲートウェイとして機能させるのが一般的です。

この場合、L3スイッチにVLANインタフェースを作成し、IPアドレスを付与します。通常はこのIPアドレスが端末のデフォルトゲートウェイになります。

VLANインタフェースとは

VLANインタフェース(SVI: Switch Virtual Interface)はL3スイッチの論理インタフェースとして機能し、通常はIPアドレスを付与します。(IPを付与しない場合はVLANインタフェースを作る意味がないです)

例えばL3スイッチに「VLAN 10」のVLANインタフェースを作成し、IPアドレスを付与する場合、Ciscoであれば以下コマンドを打ちます。

(config)# interface vlan 10
(config-if)# ip address 10.10.10.254 255.255.255.0

この場合、VLAN 10に所属する全ての端末は、このIPアドレスをデフォルトゲートウェイとして使うことができます。

スポンサーリンク

VLANとセグメント(サブネット/ネットワークアドレス)

VLAN(ブロードキャストドメイン)とセグメント(サブネットはたまたネットワークアドレス)は必ずしも1対1ではありません1つのVLANに複数のセグメントを使わせることもできます

例えばCiscoでは以下コマンドにより、セカンダリIPアドレスというものが設定できます。

(config)# interface vlan 10
(config-if)# ip address 10.10.10.254 255.255.255.0
(config-if)# ip address 192.168.20.254 255.255.255.0 secondary

これによりVLANインタフェースに複数NWアドレスを付与できます。

スポンサーリンク

セカンダリIPアドレスの使い分け、デメリット、注意点

プライマリアドレスとセカンダリアドレスの使い分けは特にありません。設定した機器上で互いにルーティングも可能です。

ただしプライマリアドレスとセカンダリアドレスの扱い上の違いとして、RIPやOSPF、はたまた確認のためのPing等のルータ自発パケットは、プライマリアドレスが使われますので注意が必要です。

また、セカンダリアドレスを使って複数NWアドレスを所属させる際の他の注意として、DHCPは1つのNWアドレスにしか使えません。他のNWアドレス帯に所属させたい端末は、固定IPの設定をする必要があります。

また、デメリットとして以下が挙げられます。

  • (IP通信はL3スイッチ経由じゃないとできませんが、)IPを含まないEthernet通信は直接できてしまうこと(実際にはほとんど無い)
  • ポートにスイッチを差してパケットキャプチャを行えば、どのNWアドレス帯が使えるかが分かり、営業部の人間であっても開発部のIPを設定してしまえば、開発部のファイルサーバを覗くなどができるようになる等、セキュリティレベルが最低であること
  • 無駄なブロードキャストが流れてくるため、通信効率が悪いこと

裏を返せば、これらの逆のことが、VLANのメリットなのです。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする