本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


初級ネットワーク講座
第16回 L2スイッチのVLANでセキュリティを確保せよ

L2スイッチには様々な付加機能があるが、その代表的な機能の1つにVLANと呼ばれるものがある。VLANは、本来は1台のL2スイッチで複数のネットワークに対応できるように考案された機能だが、昨今ではセキュリティを確保するためにも必要な機能となっている。そこで今回は、ポートベースやタグVLAN(IEEE802.1Q)などの各種VLANおよび動的VLANについて説明していく。

1 VLANとその種類

1-1 そもそもVLANって何だろう?

VLANは、Virtual LANの略で日本語に直訳すると仮想LANである。ネットワークの教科書には概ね「物理的な接続形態とは別に仮想的なネットワークを構築することである」と書いてある。

VLANは、まずグループ分けをする。このグループ1つひとつが仮想的なネットワーク(=VLAN)である。VLAN機能を持つ製品は、グループを表すためにVLANテーブルを必ず持っている。そしてVLANの基本は、同一グループに所属しているもの同士であれば通信でき、異なるグループに所属しているもの同士であれば通信できない。


例えば、ここに40人いるとする。年齢別でも住所別でもいろいろなグループ分けの方法があるが、それと同様にVLANでもいろいろなグループ分けの方法がある。差込口(ポート)によるもの、MACアドレスによるもの、プロトコルによるもの、タグによるものなどだ。なお、どんな方法であっても、少なくともVLANのグループ分けは排他的であり、グループAとグループBの両方に属しているということがあってはならない。つまり、必ず1つのグループに属するか無所属であることが必要だ。また、VLAN機能を持つ製品であっても、すべてのグループ分けをサポートしているわけではない。それではいくつかのVLANを紹介しよう。

1-2 VLANの種類とその役割

ポートベースVLAN

ポートごとにグループ(VLAN)を分ける方法である。ポートといっても、トランスポート層のプロトコルであるTCP、UDPで用いられるポート番号のことではない。この場合、L2スイッチのLANケーブルの差込口のことである。

ここに8ポートのL2スイッチがあるとしよう。このうち1・2・3番ポートからは総務部、4・5・6番ポートからは経理部、7・8番ポートからは営業部のそれぞれのパソコンに接続されている。そこでVLANテーブルを以下のとおり設定する。

図1 ポートベースVLANの設定例
図1 ポートベースVLANの設定例

VLANの基本は、同一グループに所属しているもの同士であれば通信でき、異なるグループに所属しているもの同士であれば通信できない。よって、この設定の場合、1・2・3番の各ポート同士、4・5・6番の各ポート同士、7・8番の各ポート同士では通信可能である。しかし、例えば3番と4番ポート間での通信はグループが異なるので通信できない。よって、総務部内での通信、経理部内での通信、営業部内での通信は可能であるが、総務部と経理部、総務部と営業部、経理部と営業部間の通信はできなくなる。この場合、物理的には1台のL2スイッチが仮想的に3台のL2スイッチに分かれているといえる。これによって部ごとのセキュリティが保たれることになる。

ところで、このポートベースVLANによって何のメリットがあるのか。例えば、机の配置替えなどでこれまでの経理部の一部が営業部となったとしよう。現状のセキュリティを維持したまま変更となると、担当者は、ホコリをかぶったケーブルをスイッチまでたどり、物理的にLANケーブルを接続替えする必要がある。しかしポートベースVLANの場合、6番ポートの所属するVLANグループを「経理部」から「営業部」に設定変更するだけで、6番ポートは営業部のVLANグループに所属することになり、6・7・8番ポート間での通信が可能となる。その代わりにこれまでに通信ができていた4番と6番、5番と6番ポート間での通信ができなくなる。

コラム:複数グループをまたがるVLANの方法
  下図のとおり5ポートのスイッチがある。例えばポート1とポート3には、各部の業務サーバが接続され、ポート5には各サーバのデータバックアップ用のサーバが接続されている。ポート2とポート4には各部の利用者のパソコンが接続されている。
  そこで、次の通信を許可したい。
ポート1とポート2(A部の利用者のA部業務サーバの利用)
ポート3とポート4(B部の利用者のB部業務サーバの利用)
ポート1とポート5(A部業務サーバのデータのバックアップ)
ポート3とポート5(B部業務サーバのデータのバックアップ)

  VLANの基本は、必ず1つのグループに属するか無所属でなければならないため、ポートベースVLAN機能だけで設定することはできない。この場合の方法としては、L2スイッチが持つフィルタリング機能を用いると実現できる。フィルタリング機能を使うと、ポートごとの組み合わせで通信の可否を設定することができる。また、あて先MACアドレス・送信元MACアドレスの組み合わせにより通信可否を設定する機能もある。

  フィルタリングの例
  • ポート番号1とポート番号2との通信は許可
  • ポート番号1とポート番号5との通信は許可
  • ポート番号3とポート番号4との通信は許可
  • ポート番号3とポート番号5との通信は許可
  • 上記以外の通信は拒否
  ただし、ポート数や対象台数が増えれば増えるほど組み合わせが多くなり、設定が複雑になってしまう。VLANとルータまたはL3スイッチとの組み合わせが必要になってくる。
MACアドレスVLAN

LANのインターフェースであるLANカードやLANボードに割り当てられているMACアドレスごとにグループ(VLAN)を分ける方法である。スイッチのポート(差込口)には関係なく、グループ単位で通信可否の設定が可能となる。例えば表のような設定をして、下図のとおり接続したとしよう。

図2 MACアドレスVLANの設定例
図2 MACアドレスVLANの設定例

くどいようだが、VLANの基本は、同一グループに所属しているもの同士であれば通信でき、異なるグループに所属しているもの同士であれば通信できない。よって同じグループである【MACアドレスAとMACアドレスB】【MACアドレスCとMACアドレスD】【MACアドレスEとMACアドレスF】それぞれの装置同士の組み合わせは通信できる。しかし、それ以外の組み合わせ、例えば【MACアドレスBとMACアドレスC】【MACアドレスCとMACアドレスE】などの装置同士の組み合わせは通信できない。ここで、ポート4番に差しているケーブルをポート5番に差し替えたとしても、やはり通信可否の動作は同じである。

コラム:VLAN管理はリセットまでお願い
  ある企業の情報システム部に所属するA君。人事異動や机の配置替えなどで使われなくなったL2スイッチを発見。リンクランプも正常に点灯しているようで、特に問題はなさそうにみえた。そこで、再利用しようと別の部署にもちこんだところ、特定のパソコンだけ通信できないとクレームがきた。故障しているのかと思い、廃棄すべきかとA君は考えた。そのとき先輩社員から「設定が残っているのでは?」とひとこと助言が。そこで、L2スイッチの設定をすべて消去(Reset)したところ正常に使えるようになった。実はVLANの設定が残ったままだったようだ。このご時勢、資源は大切にしたいところだ。
タグVLAN

まずは、下図を見ていただこう。ある会社の敷地に本棟と研究棟がある。A部は本棟の3Fと研究棟の2Fに、B部は本棟の2Fと研究棟の1Fに、C部は本棟の1Fにある。本棟と研究棟にはそれぞれL2スイッチがあり、L2スイッチの各ポートから各フロアにLANケーブルで接続されている。本棟と研究棟の間は約50m離れていて1本のLANケーブルで接続されている。

図3 タグVLANにおける構成例
図3 タグVLANにおける構成例

通信形態として、研究棟にある装置での実験結果データを本棟にある同じ部のサーバに通信させたい。そのデータは別の部には見せたくないため、VLAN機能で制御できないものかと考えたとする。そこで、これまで説明してきたポートベースVLANやMACアドレスVLANを考えてみるが、実はこれらのVLANはスイッチ1台でのVLANで実現できる機能のため、上記通信形態は実現できない。こんな状況を解決することができるのが、実はタグVLANと呼ばれるものだ。タグVLANは、上図のとおり複数台のスイッチが連携しながらVLANを構築することができる。異なるメーカー、異なる機種のスイッチ同士でもタグVLANが実現できるよう国際規格IEEE802.1Qが定められている。タグVLANは、グループ(VLAN)ごとにVLAN ID(12ビット)を設定する。IEEE802.1Q対応のスイッチでVLAN IDを含むタグを挿入、削除する。

図4 Ethernetフレームフォーマット
図4 Ethernetフレームフォーマット

実際の例を見てみよう。まず部署(グループ)ごとにVLAN IDを定め、その内容を各スイッチ(IEEE802.1Q対応)に設定する。

図5 タグVLANの設定例
図5 タグVLANの設定例

実際の通信の動作を見てみよう。これから研究棟のA部のパソコンから本棟A部のサーバへ、それとほぼ同時に研究棟のB部のパソコンから本棟B部のサーバへフレームを転送する。


ルートとしては以下のとおりとなる
〔研究棟A部パソコン〕⇒〔L2-SW(B)〕⇒〔L2-SW(A)〕⇒〔本棟A部サーバ〕
〔研究棟B部パソコン〕⇒〔L2-SW(B)〕⇒〔L2-SW(A)〕⇒〔本棟B部サーバ〕

〔L2-SW(B)〕⇒〔L2-SW(A)〕は、物理的に1本のLANケーブルしかないのだが、そのケーブル内で本棟A部サーバあてと本棟B部サーバあてのフレームが同時に流れることになる。間違いなくA部、B部に振り分けるためにIEEE802.1Q対応のスイッチは、タグに含まれるVLAN IDを見てフレームを識別する。

〔研究棟A部パソコン〕および〔研究棟B部パソコン〕は、通常どおりEthernetフレーム1・2を送出する。

〔研究棟A部パソコン〕が送出したEthernetフレーム1が〔L2-SW(B)〕の2番ポートに入ってくる。
〔L2-SW(B)〕は、VLANテーブルを検索する。2番ポートのVLAN IDは'10'であることがわかる。
〔L2-SW(B)〕は、フレームにVLAN ID'10'を含むタグを挿入する。
〔L2-SW(B)〕は、タグが挿入されたフレーム3を1番ポートから送出する。

〔研究棟B部パソコン〕が送出したEthernetフレーム2が〔L2-SW(B)〕の3番ポートに入ってくる。
〔L2-SW(B)〕は、VLANテーブルを検索する。3番ポートのVLAN IDは'11'であることがわかる。
〔L2-SW(B)〕は、フレームにVLAN ID'11'を含むタグをフレームに挿入する。
〔L2-SW(B)〕は、タグが挿入されたフレーム4を1番ポートから送出する。

〔L2-SW(A)〕は、上記2つのフレーム3・4をほぼ同時に受信する。
〔L2-SW(A)〕は、フレーム3・4のタグに含まれるVLAN IDを確認する。

〔L2-SW(A)〕は、フレーム3のVLAN ID'10'をもとにVLANテーブルを検索する。1番ポートであることがわかる。
〔L2-SW(A)〕は、フレーム3からタグを削除し、Ethernetフレーム1を1番ポートから送出する。
〔本棟A部サーバ〕は、Ethernetフレーム1を受け取る。

〔L2-SW(A)〕は、フレーム4のVLAN ID'11'をもとにVLANテーブルを検索する。2番ポートであることがわかる。
〔L2-SW(A)〕は、フレーム4からタグを削除し、Ethernetフレーム2を2番ポートから送出する。
〔本棟B部サーバ〕は、Ethernetフレーム2を受け取る。

コラム:広域イーサネット
  WAN回線の代表格に広域イーサネットがある。広域イーサネット内は、L2スイッチの数珠つなぎ状態となっており、複数のユーザが1つの通信路を共同で利用している。例えばある広域イーサネット業者のアクセスポイントが東京と横浜にあり、それぞれA社B社の東京本社、A社B社の横浜支社から接続しているとしよう。この場合、A社東京本社が送出したフレームが間違ってB社横浜支社に行かないようにしなければならない。広域イーサネット内ではタグVLANでユーザを識別してセキュリティを確保している。
動的VLAN

これまでいくつかのVLANを説明してきたが、VLANテーブルは固定的であった。管理者が設定すると、次に管理者が手動で設定を変更しないかぎり変更されない。それに対して、VLANテーブルを自動的に変更する機能を持つものもある。それを動的VLANという。

VLANテーブルの変更は、所属しているグループ(VLAN)の変更である。本来はそう安易に変更するものではないが、どういった場合に動的VLANが使われているのだろう。最近では、検疫ネットワークで使われていることが多い。

図6 動的VLANの設定例
図6 動的VLANの設定例

まずは、上図のとおり、固定的なテーブルを作成する。デフォルトのグループ(VLAN)は「検疫ネットワーク」としておく。


新たにパソコンAからフレームが届いたとしよう。まず、パソコンAの情報を動的(可変)なテーブルに書き込む。


パソコンAは、デフォルトのグループ(VLAN)は「検疫ネットワーク」に属することになる。パソコンAは、検疫ネットワークに属する装置と通信可能であるが、業務ネットワークに属する装置とは通信不可である。


このあと、DHCPサーバからIPアドレスを割り当てられたり、ウイルスチェック、認証などを受けたりしたのち、業務ネットワークへの接続の許可が出た場合、表のとおり所属するグループ(VLAN)を「検疫ネットワーク」から「業務ネットワーク」へと切り替える。これによってパソコンAは、業務ネットワークに属する装置と通信可能となる。


パソコンAが業務ネットワークとの通信を完了させると、動的(可変)なテーブルからパソコンAの情報を消去する。情報を消去しないと、例えばパソコンAを外に持ち出してウイルス感染したのちに再接続した場合、業務ネットワークまでウイルス感染してしまう恐れがある。通信完了の判断としては、リンク(接続)状態の確認、無通信時間の測定、pingによる応答確認などがある。

1-3 VLANのメリット・デメリット

スイッチのVLAN設定だけでネットワーク構成が自由自在に切り替えられる。それがVLANのメリットでもあり、デメリットともなる。メリットとしては、以下があげられる。

ネットワーク機器の物理的な配置や配線によらずに論理構成を柔軟に決められる。

利用者ごとに閉域性が確保されることにより、セキュリティ効果が高まる

適切に設定すれば不要なブロードキャストパケットが遮断できる。

その反面、ネットワーク構成が目に見えるケーブル配線でなく目に見えない論理的な構成になってしまうこと、VLANを追加するごとに複雑になってしまうこと、例えばMACアドレスVLANの場合、新たにPCを導入するたびにVLANテーブルにそのMACアドレスを追加しないとそのPCは使えない。また、PCを異動させる際もそのMACアドレスを確認のうえ設定変更しなければならない。よって常にPCとMACアドレスの対応付けを管理しておかないといけない。いずれにしても、VLANは利用者側にはメリットが大きいが、運用管理者にとっては作業負荷が増大する。

取材協力 : 株式会社アイテック

掲載日:2009年4月15日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2009年2月10日掲載分

検索

このページの先頭へ