仮想ローカルエリアネットワークの管理
注 –
Solaris 3/05 より前のリリースを使用している場合は、「VLAN の構成 (Solaris 10 3/05 のみ)」を参照してください。
「仮想ローカルエリアネットワーク (VLAN)」は、ローカルエリアネットワークを TCP/IP プロトコルスタックのデータリンク層で分割したものです。スイッチテクノロジを使用するローカルエリアネットワークの VLAN を作成できます。ユーザーのグループを VLAN に割り当てることで、ローカルネットワーク全体のネットワーク管理とセキュリティーを改善できます。さらに、同じシステム上のインタフェースを異なる VLAN に割り当てることもできます。
次の作業を行う必要がある場合は、ローカルネットワークを VLAN に分割することを検討してください。
-
作業グループの論理的な分割を作成する。
たとえば、ある建物の 1 つの階に置かれたすべてのホストが 1 つのスイッチベースのローカルネットワークに接続されているとします。この階の各作業グループ用に個別の VLAN を作成できます。
-
作業グループに異なるセキュリティーポリシーを適用する。
たとえば、財務部門と情報技術部門のセキュリティーニーズはまったく異なります。両方の部門のシステムが同じローカルネットワークを共有している場合、各部門用の個別の VLAN を作成できます。そのあとで、適切なセキュリティーポリシーを VLAN ごとに適用できます。
-
作業グループを管理可能なブロードキャストドメインに分割する。
VLAN を使用すると、ブロードキャストドメインのサイズが小さくなり、ネットワークの効率が向上します。
VLAN トポロジの概要
スイッチ LAN テクノロジを使用すると、ローカルネットワーク上のシステムを VLAN に編成できます。ローカルネットワークを VLAN に分割する前に、VLAN テクノロジをサポートするスイッチを入手する必要があります。VLAN トポロジの設計に応じて、スイッチ上のすべてのポートで単一の VLAN を処理するか、複数の VLAN を処理するように構成できます。スイッチのポートを構成する手順はスイッチの製造元によって異なります。
次の図は、サブネットアドレス 192.168.84.0 を使用するローカルエリアネットワークを示しています。この LAN は、RED、YELLOW、および BLUE という 3 つの VLAN に分割されています。
図 6–1 3 つの VLAN を含むローカルエリアネットワーク
LAN 192.168.84.0 の接続は、スイッチ 1 とスイッチ 2 によって処理されます。財務作業グループのシステムは RED VLAN に含まれています。人事作業グループのシステムは YELLOW VLAN 上にあります。情報技術作業グループのシステムは BLUE VLAN に割り当てられています。
VLAN タグと物理接続点
ローカルエリアネットワーク内の各 VLAN は、VLAN タグ、つまり「VID (VLAN ID)」によって識別されます。VID は、VLAN の構成時に割り当てられます。VID は、1 から 4094 までの 12 ビットの識別子で、各 VLAN を一意に識別します。図 6–1 では、BLUE VLAN が VID 123、YELLOW VLAN が VID 456、RED VLAN が VID 789 をそれぞれ持ちます。
VLAN をサポートするスイッチを構成する場合は、各ポートに VID を割り当てる必要があります。次の図に示すように、ポートに割り当てる VID は、ポートに接続されるインタフェースに割り当てる VID と同じにする必要があります。
図 6–2 VLAN を使用するネットワークのスイッチの構成
図 6–2 は、異なる VLAN に接続された複数のホストを示しています。同じ VLAN に 2 つのホストが属しています。この図では、3 つのホストの一次ネットワークインタフェースがスイッチ 1 に接続されています。ホスト A は BLUE VLAN のメンバーです。そのため、ホスト A のインタフェースは VID 123 で構成されています。このインタフェースはスイッチ 1 のポート 1 に接続され、このポートは VID 123 で構成されています。ホストB は YELLOW VLAN のメンバーで、VID 456 で構成されています。ホストB のインタフェースはスイッチ 5 のポート 1 に接続され、このポートは VID 456 で構成されています。最後に、ホスト C のインタフェースはスイッチ 1 のポート 9 に接続されています。BLUE VLAN は VID 123 で構成されています。
また、この図で示されているとおり、1 つのホストが複数の VLAN に属すこともできます。たとえば、ホスト A にはホストのインタフェースを通じて 2 つの VLAN が構成されています。2 番目の VLAN は VID 456 で構成され、ポート 3 に接続されています。このポートも VID 456 で構成されています。したがって、ホスト A は Blue VLAN と Yellow VLAN の両方のメンバーになっています。
VLAN の構成時に、VLAN の「物理接続点 (PPA、physical point of attachment)」を指定する必要があります。PPA 値を取得するには、次の数式を使用します。
driver-name + VID * 1000 + device-instance |
device-instance の数値は 1000 未満である必要があります。
たとえば、次のような VLAN 456 の一部として構成される ce1 インタフェースの PPA を作成します。
ce + 456 * 1000 + 1= ce456001 |
ネットワーク上の VLAN の計画
ネットワーク上の VLAN を計画するには、次の手順に従います。
VLAN 構成を計画する方法
-
ローカル ネットワークのトポロジを調べて、VLAN への分割が適切かどうかを判断します。
このようなトポロジの基本的な例については、図 6–1 を参照してください。
-
VID の番号指定スキーマを作成し、各 VLAN に VID を割り当てます。
注 –VLAN の番号指定スキーマは、ネットワーク上にすでに存在している場合があります。その場合は、既存の VLAN 番号指定スキーマに従って VID を作成する必要があります。
-
各システム上で、特定の VLAN のメンバーにするインタフェースを決定します。
-
システム上で構成されているインタフェースを調べます。
# dladm show-link
-
システム上の各データリンクに関連付ける VID を判別します。
-
VLAN で構成する各インタフェースの PPA を作成します。
システムのすべてのインタフェースを同じ VLAN 上で構成する必要はありません。
-
-
インタフェースとネットワークのスイッチの接続を確認します。
各インタフェースと各インタフェースが接続されているスイッチポートの VID を書き留めます。
-
スイッチの各ポートの VID をポートが接続されるインタフェースと同じ VID に構成します。
構成手順については、スイッチの製造元のマニュアルを参照してください。
VLAN の構成
注 –
以前の Solaris 10 3/05 リリースを使用している場合は、「VLAN の構成 (Solaris 10 3/05 のみ)」を参照してください。
Oracle Solaris は現在、次のタイプのインタフェース上で VLAN をサポートします。
-
ce
-
bge
-
xge
-
e1000g
旧式インタフェースタイプのうち、ce インタフェースのみが VLAN のメンバーになることができます。同じ VLAN 内に異なるタイプのインタフェースを構成できます。
注 –
1 つの IPMP グループ内に複数の VLAN を構成できます。IPMP グループについての詳細は、「IPMP インタフェースの構成」を参照してください。
VLAN を構成する方法
Solaris 10 3/05 リリースを使用している場合は、「静的 VLAN を構成する方法 (Solaris 10 3/05 のみ)」に記載されている手順を使用してください。
-
Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
-
システムでどのようなタイプのインタフェースが使用されているか判別します。
# dladm show-link
使用可能なインタフェースのタイプが出力されます。
ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2
-
# ifconfig interface-PPA plumb IP-address up
たとえば次のコマンドを使用して、新しい IP アドレス 10.0.0.2 のインタフェース ce1 を、VID 123 の VLAN 内に構成します。
# ifconfig ce123001 plumb 10.0.0.2 up
注 –ほかのインタフェースの場合と同様に、VLAN には IPv4 アドレスと IPv6 アドレスを割り当てることができます。
-
(省略可能) VLAN の設定がリブート後も保持されるようにするには、VLAN の一部として構成される各インタフェース用に hostname.interface-PPA ファイルを作成します。
# cat hostname.interface-PPA IPv4-address
-
スイッチで、VLAN のタグ付けと VLAN ポートを、システムに設定した VLAN と一致するように設定します。
例 6–3 VLAN の構成
この例は、デバイス bge1 と bge2 を VID 123 で VLAN 内に構成する方法を示しています。
# dladm show-link
ce0 type: legacy mtu: 1500 device: ce0
ce1 type: legacy mtu: 1500 device: ce1
bge0 type: non-vlan mtu: 1500 device: bge0
bge1 type: non-vlan mtu: 1500 device: bge1
bge2 type: non-vlan mtu: 1500 device: bge2
# ifconfig bge123001 plumb 10.0.0.1 up
# ifconfig bge123002 plumb 10.0.0.2 up
# cat hostname.bge123001 10.0.0.1
# cat hostname.bge123002 10.0.0.2
# ifconfig -a
lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
bge123001: flags=201000803<UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 2
inet 10.0.0.1 netmask ff000000 broadcast 10.255.255.255
ether 0:3:ba:7:84:5e
bge123002:flags=201000803 <UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 3
inet 10.0.0.2 netmask ff000000 broadcast 10.255.255.255
ether 0:3:ba:7:84:5e
ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 4
inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255
ether 0:3:ba:7:84:5e
# dladm show-link
ce0 type: legacy mtu: 1500 device: ce0
ce1 type: legacy mtu: 1500 device: ce1
bge0 type: non-vlan mtu: 1500 device: bge0
bge1 type: non-vlan mtu: 1500 device: bge1
bge2 type: non-vlan mtu: 1500 device: bge2
bge123001 type: vlan 123 mtu: 1500 device: bge1
bge123002 type: vlan 123 mtu: 1500 device: bge2
|
- © 2010, Oracle Corporation and/or its affiliates