VLAN と VLAN インタフェース(SVI) の違い
VLAN は L2 技術であるため、ルーティング (L3 技術) ができません。パケットはスイッチング (つまり MAC アドレステーブル) のみに従って転送されます。
ですが VLAN インタフェース (SVI: Switched Virtual Interface) を使うことで、ルーティングを行う RP (ルートプロセッサ。メーカによっては RE:ルーティングエンジンとも呼ばれる) と接続でき、VLAN に入ってきたパケットをルーティングさせることができます。
例えば L3 スイッチ [L3SW-A] に "VLAN 10" を定義したとします。この場合、L3 スイッチとしてはルーティングの機能がありますが、VLAN 10 に VLAN インタフェースが無いため、ルーティングができません。
VLAN 10 に VLAN インタフェースを定義し、さらに IP アドレス 10.1.10.254/24 を設定します。すると、VLAN 10 上 (10.1.10.0/24 上) の PC は、デフォルトゲートウェイ = 10.1.10.254 と設定すれば、この L3 スイッチ上でルーティングが為されます。
同様に VLAN 30 を作れば、VLAN 10 と VLAN 30 間での VLAN 間ルーティングが可能になります。
このとき、ルートプロセッサに接続されている全てのインタフェース (例えばルーテッドポート) が互いにルーティング可能となります。
イメージを図で示すと以下のようになります。
つまり VLAN と VLAN インタフェースの大きな違いは、VLAN には IP アドレスの設定はできませんが、VLAN インタフェースには IP アドレスの設定ができることと、その結果、VLAN インタフェースではルーティングができることです。
ただし、VLAN を定義していないと、VLAN インタフェースを作成できなかったり、作成できても有効に機能しません。(そのあたりは機器の仕様に依ります)
VLANインタフェースを定義しない方がよい例
L3 スイッチ に VLAN を定義する場合、多くの場合は VLAN インタフェースも定義します。ですが、VLAN インタフェースを定義しない方が良い場合もあります。
例えば [L3SW-A] にサーバ [SV-A] とファイアウォール [FW-A] が直収されていたとします。[SV-A] が所属する "VLAN 100" を必ず [FW-A] 経由にしたい場合、敢えて [L3SW-A] に VLAN インタフェース 100 を定義しないことで、このような構成を作れます。定義してしまうと FW-A を経由しないショートカットが出来てしまうためです。
VLANインタフェース(SVI) とルーテッドポートの違い
L3 スイッチとルーターで考え方が若干異なります。
L3 スイッチの場合、機能に違いはありません。
VLAN インタフェースのほうが融通が利く構成になるので、基本はこちらを使えばよいでしょう。
ルーテッドポートを選択した場合は、そのセグメントを他のポートで一切使えなくなります。そのほうが間違いが無く良いという考えもできますので、あとは設計の問題です。
また、設定の手間でいうと、ルーテッドポートはそのインタフェースでの L3 のみの設定のみをすればよいので 1 段階で済むのに対し、VLAN インタフェースの場合はまずは VLAN の L2 設定があり、それに加えて VLAN インタフェースの L3 設定があるため、設定が 2 段階に分かれるため、やや手間が掛かります。
また、ルータの場合、そもそも VLAN インタフェースを使えません。
ルーテッドポートにサブインタフェースを作成し、VLAN タグを設定することで、VLAN インタフェース相当のことができます。
例えば Cisco でサブインタフェースを作成する場合は以下のように設定します。
(config)# interface gi 0/0 (config-if)# no shut (config-if)# exit (config)# interface gi 0/0.10 (config-subif)# encapsulation dot1q 10 (config-subif)# ip address 10.1.10.1 255.255.255.0
IT/インフラエンジニアの地位とスキル向上のために
あなたが成長の日々を歩めますように。
コメント