ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Solaris のシステム管理 (IP サービス) Oracle Solaris 10 8/11 Information Library (日本語) |
1. Oracle Solaris TCP/IP プロトコル群 (概要)
5. TCP/IP ネットワークサービスと IPv4 アドレス指定の構成 (作業)
SPARC: インタフェースの MAC アドレスが一意であることを確認する方法
10. TCP/IP と IPv4 の詳細 (リファレンス)
18. DHCP コマンドと DHCP ファイル (リファレンス)
21. IP セキュリティーアーキテクチャー (リファレンス)
25. Oracle Solaris の IP フィルタ (概要)
29. モバイル IP のファイルおよびコマンド (リファレンス)
「仮想ローカルエリアネットワーク (VLAN)」は、ローカルエリアネットワークを TCP/IP プロトコルスタックのデータリンク層で分割したものです。スイッチテクノロジを使用するローカルエリアネットワークの VLAN を作成できます。ユーザーのグループを VLAN に割り当てることで、ローカルネットワーク全体のネットワーク管理とセキュリティーを改善できます。さらに、同じシステム上のインタフェースを異なる VLAN に割り当てることもできます。
次の作業を行う必要がある場合は、ローカルネットワークを VLAN に分割することを検討してください。
作業グループの論理的な分割を作成する。
たとえば、ある建物の 1 つの階に置かれたすべてのホストが 1 つのスイッチベースのローカルネットワークに接続されているとします。この階の各作業グループ用に個別の VLAN を作成できます。
作業グループに異なるセキュリティーポリシーを適用する。
たとえば、財務部門と情報技術部門のセキュリティーニーズはまったく異なります。両方の部門のシステムが同じローカルネットワークを共有している場合、各部門用の個別の VLAN を作成できます。そのあとで、適切なセキュリティーポリシーを VLAN ごとに適用できます。
作業グループを管理可能なブロードキャストドメインに分割する。
VLAN を使用すると、ブロードキャストドメインのサイズが小さくなり、ネットワークの効率が向上します。
スイッチ LAN テクノロジを使用すると、ローカルネットワーク上のシステムを VLAN に編成できます。ローカルネットワークを VLAN に分割する前に、VLAN テクノロジをサポートするスイッチを入手する必要があります。VLAN トポロジの設計に応じて、スイッチ上のすべてのポートで単一の VLAN を処理するか、複数の VLAN を処理するように構成できます。スイッチのポートを構成する手順はスイッチの製造元によって異なります。
次の図は、サブネットアドレス 192.168.84.0 を使用するローカルエリアネットワークを示しています。この LAN は、RED、YELLOW、および BLUE という 3 つの VLAN に分割されています。
図 6-1 3 つの VLAN を含むローカルエリアネットワーク
LAN 192.168.84.0 の接続は、スイッチ 1 とスイッチ 2 によって処理されます。財務作業グループのシステムは RED VLAN に含まれています。人事作業グループのシステムは YELLOW VLAN 上にあります。情報技術作業グループのシステムは BLUE VLAN に割り当てられています。
ローカルエリアネットワーク内の各 VLAN は、VLAN タグ、つまり「VID (VLAN ID)」によって識別されます。VID は、VLAN の構成時に割り当てられます。VID は、1 から 4094 までの 12 ビットの識別子で、各 VLAN を一意に識別します。図 6-1 では、BLUE VLAN が VID 123、YELLOW VLAN が VID 456、RED VLAN が VID 789 をそれぞれ持ちます。
VLAN をサポートするスイッチを構成する場合は、各ポートに VID を割り当てる必要があります。次の図に示すように、ポートに割り当てる VID は、ポートに接続されるインタフェースに割り当てる VID と同じにする必要があります。
図 6-2 VLAN を使用するネットワークのスイッチの構成
図 6-2 は、異なる VLAN に接続された複数のホストを示しています。同じ VLAN に 2 つのホストが属しています。この図では、3 つのホストの一次ネットワークインタフェースがスイッチ 1 に接続されています。ホスト A は BLUE VLAN のメンバーです。そのため、ホスト A のインタフェースは VID 123 で構成されています。このインタフェースはスイッチ 1 のポート 1 に接続され、このポートは VID 123 で構成されています。ホストB は YELLOW VLAN のメンバーで、VID 456 で構成されています。ホストB のインタフェースはスイッチ 5 のポート 1 に接続され、このポートは VID 456 で構成されています。最後に、ホスト C のインタフェースはスイッチ 1 のポート 9 に接続されています。BLUE VLAN は VID 123 で構成されています。
また、この図で示されているとおり、1 つのホストが複数の VLAN に属すこともできます。たとえば、ホスト A にはホストのインタフェースを通じて 2 つの VLAN が構成されています。2 番目の VLAN は VID 456 で構成され、ポート 3 に接続されています。このポートも VID 456 で構成されています。したがって、ホスト A は Blue VLAN と Yellow VLAN の両方のメンバーになっています。
VLAN の構成時に、VLAN の「物理接続点 (PPA、physical point of attachment)」を指定する必要があります。PPA 値を取得するには、次の数式を使用します。
driver-name + VID * 1000 + device-instance
device-instance の数値は 1000 未満である必要があります。
たとえば、次のような VLAN 456 の一部として構成される ce1 インタフェースの PPA を作成します。
ce + 456 * 1000 + 1= ce456001
ネットワーク上の VLAN を計画するには、次の手順に従います。
このようなトポロジの基本的な例については、図 6-1 を参照してください。
注 - VLAN の番号指定スキーマは、ネットワーク上にすでに存在している場合があります。その場合は、既存の VLAN 番号指定スキーマに従って VID を作成する必要があります。
# dladm show-link
システムのすべてのインタフェースを同じ VLAN 上で構成する必要はありません。
各インタフェースと各インタフェースが接続されているスイッチポートの VID を書き留めます。
構成手順については、スイッチの製造元のマニュアルを参照してください。
Oracle Solaris は現在、次のタイプのインタフェース上で VLAN をサポートします。
ce
bge
xge
e1000g
旧式インタフェースタイプのうち、ce インタフェースのみが VLAN のメンバーになることができます。同じ VLAN 内に異なるタイプのインタフェースを構成できます。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
# dladm show-link
使用可能なインタフェースのタイプが出力されます。
ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2
# ifconfig interface-PPA plumb IP-address up
たとえば次のコマンドを使用して、新しい IP アドレス 10.0.0.2 のインタフェース ce1 を、VID 123 の VLAN 内に構成します。
# ifconfig ce123001 plumb 10.0.0.2 up
注 - ほかのインタフェースの場合と同様に、VLAN には IPv4 アドレスと IPv6 アドレスを割り当てることができます。
# cat hostname.interface-PPA IPv4-address
例 6-3 VLAN の構成
この例は、デバイス bge1 と bge2 を VID 123 で VLAN 内に構成する方法を示しています。
# dladm show-link ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2 # ifconfig bge123001 plumb 10.0.0.1 up # ifconfig bge123002 plumb 10.0.0.2 up # cat hostname.bge123001 10.0.0.1 # cat hostname.bge123002 10.0.0.2 # ifconfig -a lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 bge123001: flags=201000803<UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 2 inet 10.0.0.1 netmask ff000000 broadcast 10.255.255.255 ether 0:3:ba:7:84:5e bge123002:flags=201000803 <UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 3 inet 10.0.0.2 netmask ff000000 broadcast 10.255.255.255 ether 0:3:ba:7:84:5e ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 4 inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255 ether 0:3:ba:7:84:5e # dladm show-link ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2 bge123001 type: vlan 123 mtu: 1500 device: bge1 bge123002 type: vlan 123 mtu: 1500 device: bge2