実践！ VLAN設計ガイド 第1回|システム運用管理|トピックス|Computerworld

ブロードキャストドメインと IPネットワークアドレスとの関係

　VLAN（Virtual LAN）は、スイッチを利用して、物理的な接続とは独立した接続ノードの仮想的なグループを構成する技術である（図1）。一般的には、グループ化されたノードで「ブロードキャストドメイン」が構成される。ブロードキャストドメインとは、宛先MACアドレスに「MACブロードキャストアドレス（ff：ff：ff：ff：ff：ff）」をセットしたEthernetフレームが到達可能な範囲のことである。このブロードキャストドメインは、IPネットワークアドレスを付与する単位（＝サブネット）でもある。

図1●　スイッチでは、接続ノードをグルーピングしてVLANを構成することができる。VLANはブロードキャストドメインを構成し、IPネットワークアドレスを付与する単位（サブネット）となる

　Ethernet上でTCP/IP通信を行う場合は、まず通信相手のMACアドレスを調べるために、MACブロードキャストアドレスを宛先MACアドレスのフィールドにセットした「ARP（Address Resoution Protocol）要求」が送信される。ARP要求はそのネットワークに接続したすべてのホストに対して送信され、それを受け取った各ホストは、ARP要求の宛先IPアドレスのフィールドが自分のIPアドレスと一致するかどうかをチェックする。そして、一致しなければ受け取ったARP要求を破棄し、一致すれば自分のMACアドレスを書き込んだARP応答を返信して、実際の通信を開始する仕組みになっている（図2）。

図2●　宛先IPアドレスが同一ネットワークアドレス内の場合は、まず宛先IPアドレスをターゲットアドレスとしてARP要求を送信し、相手のMACアドレスを調査・キャッシュしてからIPデータを送信する

　その際、MACアドレスとIPアドレスの関連付け情報を蓄積した「ARPキャッシュ」は、ARP要求の送信元ホストだけでなく、ARP要求の宛先となったホストでも作成される。ARP要求はEthernetフレームで送信されるため、送信元MACアドレスにはARP要求を送信したホストのMACアドレスがセットされている。

　この仕組みによって互いのMACアドレスを把握し、Ethernetフレームを組み立てることができるわけだ。なおWindowsでは、コマンドプロンプトで「arp -a」を実行すれば、ARPキャッシュの内容が確認できる。

　送信元ホストと宛先ホストのブロードキャストドメインが異なれば、ARP要求を送信しても相手には届かない。つまり、直接通信できないのだ。異なるブロードキャストドメイン間の通信を実現するには、「ルータ」が必要になる。したがって各ホストは、宛先IPアドレスがほかのネットワークアドレス内の場合は、ルータのMACアドレス（デフォルトゲートウェイ）あてにパケットを送信すればよいことになる。そうすれば、あとはルータが転送してくれるからだ（図3）。

図3●　異なるネットワークアドレス間でのTCP/IP通信。宛先IPアドレスが異なるネットワークアドレスの場合、デフォルトゲートウェイのIPアドレスをターゲットアドレスとしてARP要求を送信し、ルータのMACアドレスを調査・キャッシュしてIPデータを送信する。ルータは宛先IPアドレスを確認してルーティング処理を行う

VLANを構成すると どんなメリットがあるのか？

　少々前置きが長くなったが、スイッチでVLANを設定して、複数のブロードキャストドメインを構成するのはなぜなのかを考えてみよう。

●ネットワークの利用効率が向上

　まず、ブロードキャストドメイン内のホスト数を少なくし、ネットワークの帯域を効率よく利用できるようにすることだ。

　前述のARPをはじめとして、ネットワーク情報の自動設定プロトコルである「DHCP（Dynamic Host Configuration Protocol）」や、動的ルーティングプロトコルの「RIP（Routing Information Protocol）」など、MACブロードキャストアドレスを使用するプロトコルは少なくない。

　また、前述したように、MACブロードキャストアドレスが宛先に指定されたEthernetフレームは、すべてのLANカードが無条件に受信しなくてはならない。つまり、自分あてであるか否かにかかわらず受信処理を行い、自分あてでなければ廃棄するという、ある意味ではむだとも思える処理を行わなければならないのだ。これは、クライアントにとってはさほど問題ではないが、大量の負荷がかかるサーバにとっては好ましいことではない。

　VLANによってブロードキャストドメインを分割し、ブロードキャストドメイン内のホスト数を抑えることで、MACブロードキャストの処理によるサーバのCPU負荷を抑えることができる。例えば、クライアントとサーバのブロードキャストドメインを分割すれば、サーバはクライアントが送信するMACブロードキャストフレームを処理する必要がなくなるため、サーバ本来の処理に専念できる（図4）。

図4●　クライアントとサーバのブロードキャストドメインを分割することによって、サーバはクライアントのMACブロードキャストフレームの処理から解放されるため、サーバ本来の処理に専念できる

　もちろん、クライアントからのアクセス要求を受けて、クライアント側ブロードキャストドメインとサーバ側ブロードキャストドメインの間に位置するルータからサーバに対してARP要求が送信されるが、ルータのARPキャッシュタイムアウト時間はクライアントの数分に比べて数時間と長いため、ARP要求の送出回数そのものも減少することになる。

●IPアドレスに基づいたアクセス制御が可能

　ブロードキャストドメインを分割することで、IPネットワークアドレスも別々のものを設定できるため、IPアドレスによるアクセス制御を行うことができるというメリットもある。組織やサーバの種別ごとにVLANを設定し、それぞれにIPネットワークアドレスを設定することで、ファイアウォールやルータによる詳細なアクセス制御を行い、適切なセキュリティレベルを設定することが可能となる（図5）。

図5●　組織やサーバ種別単位にブロードキャストドメインを構成し、それぞれにIPネットワークアドレスを設定することによって、ルータやファイアウォールなどでIPアドレスによるアクセス制御を実現できる