| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Oracle Solaris 管理: ネットワークインタフェースとネットワーク仮想化 Oracle Solaris 11 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Oracle Solaris 管理: ネットワークインタフェースとネットワーク仮想化 Oracle Solaris 11 Information Library (日本語) |
この Oracle Solaris リリースでのネットワーク構成
7. プロファイルでのデータリンクおよびインタフェース構成コマンドの使用
10. Oracle Solaris 上での無線インタフェース通信の構成
「仮想ローカルエリアネットワーク (VLAN)」は、ローカルエリアネットワークを TCP/IP プロトコルスタックのデータリンク層で分割したものです。スイッチテクノロジを使用するローカルエリアネットワークの VLAN を作成できます。ユーザーのグループを VLAN に割り当てることで、ローカルネットワーク全体のネットワーク管理とセキュリティーを改善できます。さらに、同じシステム上のインタフェースを異なる VLAN に割り当てることもできます。
次の作業を行う必要がある場合は、ローカルネットワークを VLAN に分割することを検討してください。
作業グループの論理的な分割を作成する。
たとえば、ある建物の 1 つの階に置かれたすべてのホストが 1 つのスイッチベースのローカルネットワークに接続されているとします。この階の各作業グループ用に個別の VLAN を作成できます。
作業グループに異なるセキュリティーポリシーを適用する。
たとえば、財務部門と情報技術部門のセキュリティーニーズはまったく異なります。両方の部門のシステムが同じローカルネットワークを共有している場合、各部門用の個別の VLAN を作成できます。そのあとで、適切なセキュリティーポリシーを VLAN ごとに適用できます。
作業グループを管理可能なブロードキャストドメインに分割する。
VLAN を使用すると、ブロードキャストドメインのサイズが小さくなり、ネットワークの効率が向上します。
スイッチ LAN テクノロジを使用すると、ローカルネットワーク上のシステムを VLAN に編成できます。ローカルネットワークを VLAN に分割する前に、VLAN テクノロジをサポートするスイッチを入手する必要があります。VLAN トポロジの設計に応じて、スイッチ上のすべてのポートで単一の VLAN を処理するか、複数の VLAN を処理するように構成できます。スイッチのポートを構成する手順はスイッチの製造元によって異なります。
次の図は、サブネットアドレス 192.168.84.0 を使用するローカルエリアネットワークを示しています。この LAN は、RED、YELLOW、および BLUE という 3 つの VLAN に分割されています。
図 13-1 3 つの VLAN を含むローカルエリアネットワーク
LAN 192.168.84.0 の接続は、スイッチ 1 とスイッチ 2 によって処理されます。財務作業グループのシステムは RED VLAN に含まれています。人事作業グループのシステムは YELLOW VLAN 上にあります。情報技術作業グループのシステムは BLUE VLAN に割り当てられています。
ゾーン上の VLAN を使用すると、スイッチなどの 1 つのネットワーク単位内に複数の仮想ネットワークを構成できます。3 枚の物理 NIC を備えたシステムの次の図について考えてみます。
図 13-2 複数の VLAN を含むシステム
VLAN を使用しない場合は、特定の機能を実行する異なるシステムを構成し、これらのシステムを個別のネットワークに接続することになります。たとえば、Web サーバーをある LAN に、認証サーバーを別の LAN に、さらにアプリケーションサーバーを 3 番目のネットワークに接続します。VLAN とゾーンを使用した場合は、8 つのすべてのシステムを解体し、それらを 1 つのシステム内のゾーンとして構成することができます。次に、VLAN タグまたは VLAN ID (VID) を使用して、同じ機能を実行する各ゾーンのセットに VLAN を割り当てます。この図で提供される情報を次の表に表すことができます。
|
この図に示されている構成を作成するには、例 13-1 を参照してください。
Oracle Solaris では、VLAN インタフェースにわかりやすい名前を割り当てることができます。VLAN 名は、リンク名と VLAN ID 番号 (VID) で構成されます (sales0など)。VLAN を作成する場合は、カスタマイズされた名前を割り当てるようにしてください。カスタマイズされた名前についての詳細は、「ネットワークデバイスとデータリンク名」を参照してください。有効なカスタマイズされた名前についての詳細は、「有効なリンク名の規則」を参照してください。
次の表は、VLAN を管理するための各種のタスクへのリンクを示しています。
|
ネットワーク上の VLAN を計画するには、次の手順に従います。
このようなトポロジの基本的な例については、図 13-1 を参照してください。
注 - VLAN の番号指定スキーマは、ネットワーク上にすでに存在している場合があります。その場合は、既存の VLAN 番号指定スキーマに従って VID を作成する必要があります。
# dladm show-link
各インタフェースと各インタフェースが接続されているスイッチポートの VID を書き留めます。
構成手順については、スイッチの製造元のマニュアルを参照してください。
次の手順は、VLAN を作成および構成する方法を示しています。Oracle Solaris では、すべての Ethernet デバイスが VLAN をサポートできます。ただし、一部のデバイスではいくつかの制限が存在します。これらの例外については、「レガシーデバイス上の VLAN」を参照してください。
始める前に
VLAN を作成するには、データリンクがシステム上にすでに構成されている必要があります。「IP インタフェースを構成する方法」を参照してください。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。
# dladm show-link
# dladm create-vlan -l link -v VID vlan-link
VLAN インタフェースの作成に使用するリンクを指定します。
VLAN ID 番号を示します。
VLAN の名前を指定します。管理用に選択された名前を指定することもできます。
# dladm show-vlan
# ipadm create-ip interface
ここで、interface は VLAN 名を使用します。
# ipadm create-addr -T static -a IP-address addrobj
ここで、addrobj は interface/user-defined-string の命名規則を使用します。
例 13-1 VLAN の構成
この例では、図 13-2 に示されている VLAN 構成を作成します。この例では、システム内に異なるゾーンがすでに構成されていることを前提にしています。ゾーンの構成についての詳細は、『Oracle Solaris のシステム管理 (Oracle Solaris ゾーン、Oracle Solaris 10 ゾーン、およびリソース管理)』のパート II「Oracle Solaris ゾーン」を参照してください。
global# dladm show-link LINK CLASS MTU STATE BRIDGE OVER e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- e1000g2 phys 1500 up -- -- global# dladm create-vlan -l e1000g0 -v 111 web1 global# dladm create-vlan -l e1000g0 -v 112 auth1 global# dladm create-vlan -l e1000g0 -v 113 app1 global# dladm create-vlan -l e1000g1 -v 111 web2 global# dladm create-vlan -l e1000g1 -v 112 auth2 global# dladm create-vlan -l e1000g1 -v 113 app2 global# dladm create-vlan -l e1000g2 -v 111 web3 global# dladm create-vlan -l e1000g2 -v 112 auth3 global# dladm show-vlan LINK VID OVER FLAGS web1 111 e1000g0 ---- auth1 112 e1000g0 ---- app1 113 e1000g0 ---- web2 111 e1000g1 ---- auth2 112 e1000g1 ---- app2 113 e1000g1 ---- web3 111 e1000g2 ---- auth3 113 e1000g2 ----
リンク情報を表示すると、これらの VLAN がリストに含まれています。
global# dladm show-link LINK CLASS MTU STATE BRIDGE OVER e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- e1000g2 phys 1500 up -- -- web1 vlan 1500 up -- e1000g0 auth1 vlan 1500 up -- e1000g0 app1 vlan 1500 up -- e1000g0 web2 vlan 1500 up -- e1000g1 auth2 vlan 1500 up -- e1000g1 app2 vlan 1500 up -- e1000g1 web3 vlan 1500 up -- e1000g2 auth3 vlan 1500 up -- e1000g2
これらの VLAN をそれぞれ対応するゾーンに割り当てます。たとえば、個々のゾーンに関するネットワーク情報を確認すると、ゾーンごとに次のようなデータが表示されます。
global# zonecfg -z webzone1 info net
net:
address not specified
physical: web1
global# zonecfg -z authzone1 info net
net:
address not specified
physical: auth1
global# zonecfg -z appzone2 info net
net:
address not specified
physical: app2
プロパティー physical の値は、特定のゾーンのために設定されている VLAN を示します。
各非大域ゾーンにログインして、VLAN に IP アドレスを構成します。
webzone1 では:
webzone1# ipadm create-ip web1 webzone1# ipadm create-addr -T static -a 10.1.111.0/24 web1/v4
webzone2 では:
webzone2# ipadm create-ip web2 webzone2# ipadm create-addr -T static -a 10.1.111.0/24 web2/v4
webzone3 では:
webzone3# ipadm create-ip web3 webzone3# ipadm create-addr -T static -a 10.1.111.0/24 web3/v4
authzone1 では:
authzone1# ipadm create-ip auth1 authzone1# ipadm create-addr -T static -a 10.1.112.0/24 auth1/v4
authzone2 では:
authzone2# ipadm create-ip auth2 autzone2# ipadm create-addr -T static -a 10.1.112.0/24 auth2/v4
authzone3 では:
authzone3# ipadm create-ip auth3 authzone3# ipadm create-addr -T static -a 10.1.112.0/24 auth3/v4
appzone1 では:
appzone1# ipadm create-ip app1 appzone1# ipadm create-addr -T static -a 10.1.113.0/24 app1/v4
appzone2 では:
appzone2# ipadm create-ip app2 appzone2# ipadm create-addr -T static -a 10.1.113.0/24 app2/v4
インタフェース上に VLAN を構成する場合と同じ方法で、リンク集約上に VLAN を作成することもできます。リンク集約については、第 12 章リンク集約の管理で説明されています。ここでは、VLAN とリンク集約の構成について説明します。
始める前に
最初にリンク集約を作成し、次にそのリンク集約に有効な IP アドレスを構成します。リンク集約を作成する場合は、「リンク集約を作成する方法」を参照してください。
# dladm show-link
# dladm create-vlan -l link -v VID vlan-link
各情報の意味は次のとおりです。
VLAN インタフェースの作成に使用するリンクを指定します。この特定のケースでは、リンクはリンク集約を示します。
VLAN ID 番号を示します。
VLAN の名前を指定します。管理用に選択された名前を指定することもできます。
# ipadm create-ip interface
ここで、interface は VLAN 名を使用します。
# ipadm create-addr -T static -a IP-address addrobj
ここで、addrobj は vlan-int/user-defined-string の命名規則に従う必要があります。
例 13-2 リンク集約上に複数の VLAN を構成する
この例では、リンク集約上に 2 つの VLAN を構成します。VLAN には VID 193 と 194 がそれぞれ割り当てられます。
# dladm show-link LINK CLASS MTU STATE BRIDGE OVER subvideo0 phys 1500 up -- ---- subvideo1 phys 1500 up -- ---- video0 aggr 1500 up -- subvideo0, subvideo1 # dladm create-vlan -l video0 -v 193 salesregion1 # dladm create-vlan -l video0 -v 194 salesregion2 # ipadm create-ip salesregion1 # ipadm create-ip salesregion2 # ipadm create-addr -T static -a 192.168.10.5/24 salesregion1/v4static # ipadm create-addr -T static -a 192.168.10.25/24 salesregion2/v4static
特定のレガシーデバイスは、最大フレームサイズが 1514 バイトのパケットのみを処理します。フレームサイズがこの上限を超えるパケットは破棄されます。このような場合は、「VLAN を構成する方法」に示されているのと同じ手順に従います。ただし、VLAN を作成するときは、VLAN を強制的に作成するために -f オプションを使用します。
実行する一般的な手順は次のとおりです。
-f オプションを使用して VLAN を作成します。
# dladm create-vlan -f -l link -v VID [vlan-link]
最大転送単位 (MTU) に小さめのサイズ (1496 バイトなど) を設定します。
# dladm set-linkprop -p default_mtu=1496 vlan-link
MTU 値を小さくすることによって、リンク層で転送前に VLAN ヘッダーを挿入するための領域が確保されます。
VLAN 内の各ノードの MTU のサイズに同じ小さめの値を設定するために同じ手順を実行します。
リンクプロパティー値の変更についての詳細は、「データリンクの構成 (タスク)」を参照してください。
この節では、新しい dladm サブコマンドのその他の VLAN タスクでの使用法について説明します。また、これらの dladm コマンドはリンク名でも動作します。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。
# dladm show-vlan [vlan-link]
VLAN リンクを指定しない場合は、構成されているすべての VLAN に関する情報が表示されます。
例 13-3 VLAN 情報の表示
次の例は、図 13-2 で示されている複数の VLAN を含むシステムに基づいており、システム内の使用可能な VLAN を示しています。
# dladm show-vlan LINK VID OVER FLAGS web1 111 e1000g0 ---- auth1 112 e1000g0 ---- app1 113 e1000g0 ---- web2 111 e1000g1 ---- auth2 112 e1000g1 ---- app2 113 e1000g1 ---- web3 111 e1000g2 ---- auth3 113 e1000g2 ----
構成されている VLAN はまた、dladm show-link コマンドを発行した場合にも表示されます。このコマンド出力で、VLAN は CLASS 列で適切に識別されています。
# dladm show-link LINK CLASS MTU STATE BRIDGE OVER e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- e1000g2 phys 1500 up -- -- web1 vlan 1500 up -- e1000g0 auth1 vlan 1500 up -- e1000g0 app1 vlan 1500 up -- e1000g0 web2 vlan 1500 up -- e1000g1 auth2 vlan 1500 up -- e1000g1 app2 vlan 1500 up -- e1000g1 web3 vlan 1500 up -- e1000g2 auth3 vlan 1500 up -- e1000g2
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。
# dladm show-vlan
# ipadm delete-ip vlan-interface
ここで、vlan-interface は VLAN 上に構成されている IP インタフェースです。
注 - 現在使用されている VLAN を削除することはできません。
VLAN を一時的に削除するには、次のように -t オプションを使用します。
# dladm delete-vlan -t vlan
削除を永続的なものにするには、次を実行します。
VLAN を削除します。
# dladm delete-vlan vlan
例 13-4 VLAN の削除
# dladm show-vlan LINK VID OVER FLAGS web1 111 e1000g0 ---- auth1 112 e1000g0 ---- app1 113 e1000g0 ---- web2 111 e1000g1 ---- auth2 112 e1000g1 ---- app2 113 e1000g1 ---- web3 111 e1000g2 ---- auth3 113 e1000g2 ---- # ipadm delete-ip web1 # dladm delete-vlan web1
この節では、カスタマイズされた名前を使用しているときのリンク、リンク集約、および VLAN の構成に関する、前の章のすべての手順を組み合わせた例について説明します。カスタマイズされた名前を使用するほかのネットワーキングのシナリオについては、http://www.oracle.com/us/sun/index.htm にある記事を参照してください。
例 13-5 リンク、VLAN、およびリンク集約の構成
この例では、4 枚の NIC を使用するシステムを、8 つの個別のサブネットのルーターとして構成する必要があります。この目的を達成するために、サブネットごとに 1 つずつ、8 つのリンクが構成されます。最初に、4 枚のすべての NIC 上でリンク集約が作成されます。このタグなしリンクが、デフォルトルートが指すネットワークのデフォルトのタグなしサブネットになります。
次に、ほかのサブネットのために、リンク集約上で VLAN インタフェースが構成されます。これらのサブネットは、色分けされたスキームに基づいて名前が付けられます。それに応じて、VLAN 名も同様に、それぞれ対応するサブネットに従って名前が付けられます。最終的な構成は、8 つのサブネットに対する 8 つのリンク、つまり 1 つのタグなしリンクと 7 つのタグ付き VLAN リンクで構成されています。
これらの構成をリブートのあとも永続されるようにするために、以前の Oracle Solaris リリースの場合と同じ手順が適用されます。たとえば、IP アドレスを /etc/inet/ndpd.conf などの構成ファイルに追加する必要があります。または、インタフェースの振り分け規則を規則ファイルに含める必要があります。この例には、これらの最終的な手順は含まれていません。これらの手順については、『Oracle Solaris の管理: IP サービス』の該当する章、特に「TCP/IP の管理」および「DHCP」を参照してください。
# dladm show-link LINK CLASS MTU STATE BRIDGE OVER nge0 phys 1500 up -- -- nge1 phys 1500 up -- -- e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- # dladm show-phys LINK MEDIA STATE SPEED DUPLEX DEVICE nge0 Ethernet up 1000Mb full nge0 nge1 Ethernet up 1000Mb full nge1 e1000g0 Ethernet up 1000Mb full e1000g0 e1000g1 Ethernet up 1000Mb full e1000g1 # ipadm delete-ip nge0 # ipadm delete-ip nge1 # ipadm delete-ip e1000g0 # ipadm delete-ip e1000g1 # dladm rename-link nge0 net0 # dladm rename-link nge1 net1 # dladm rename-link e1000g0 net2 # dladm rename-link e1000g1 net3 # dladm show-link LINK CLASS MTU STATE BRIDGE OVER net0 phys 1500 up -- -- net1 phys 1500 up -- -- net2 phys 1500 up -- -- net3 phys 1500 up -- -- # dladm show-phys LINK MEDIA STATE SPEED DUPLEX DEVICE net0 Ethernet up 1000Mb full nge0 net1 Ethernet up 1000Mb full nge1 net2 Ethernet up 1000Mb full e1000g0 net3 Ethernet up 1000Mb full e1000g1 # dladm create-aggr -P L2,L3 -l net0 -l net1 -l net2 -l net3 default0 # dladm show-link LINK CLASS MTU STATE BRIDGE OVER net0 phys 1500 up -- -- net1 phys 1500 up -- -- net2 phys 1500 up -- -- net3 phys 1500 up -- -- default0 aggr 1500 up -- net0 net1 net2 net3 # dladm create-vlan -v 2 -l default0 orange0 # dladm create-vlan -v 3 -l default0 green0 # dladm create-vlan -v 4 -l default0 blue0 # dladm create-vlan -v 5 -l default0 white0 # dladm create-vlan -v 6 -l default0 yellow0 # dladm create-vlan -v 7 -l default0 red0 # dladm create-vlan -v 8 -l default0 cyan0 # dladm show-link LINK CLASS MTU STATE BRIDGE OVER net0 phys 1500 up -- -- net1 phys 1500 up -- -- net2 phys 1500 up -- -- net3 phys 1500 up -- -- default0 aggr 1500 up -- net0 net1 net2 net3 orange0 vlan 1500 up -- default0 green0 vlan 1500 up -- default0 blue0 vlan 1500 up -- default0 white0 vlan 1500 up -- default0 yellow0 vlan 1500 up -- default0 red0 vlan 1500 up -- default0 cyan0 vlan 1500 up -- default0 # dladm show-vlan LINK VID OVER FLAGS orange0 2 default0 ----- green0 3 default0 ----- blue0 4 default0 ----- white0 5 default0 ----- yellow0 6 default0 ----- red0 7 default0 ----- cyan0 8 default0 ----- # ipadm create-ip orange0 # ipadm create-ip green0 # ipadm create-ip blue0 # ipadm create-ip white0 # ipadm create-ip yellow0 # ipadm create-ip red0 # ipadm create-ip cyan0 # ipadm create-addr -T static -a IP-address orange0/v4 # ipadm create-addr -T static -a IP-address green0/v4 # ipadm create-addr -T static -a IP-address blue0/v4 # ipadm create-addr -T static -a IP-address white0/v4 # ipadm create-addr -T static -a IP-address yellow0/v4 # ipadm create-addr -T static -a IP-address red0/v4 # ipadm create-addr -T static -a IP-address cyan0/v4
|