ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 ネットワークパフォーマンスの管理 Oracle Solaris 11.1 Information Library (日本語) |
使用事例: リンクアグリゲーションと VLAN 構成を組み合わせる
8. Oracle Solaris におけるデータセンターブリッジング機能の操作
仮想ローカルエリアネットワーク (VLAN) は、ローカルエリアネットワークをプロトコルスタックのデータリンク層で分割したものです。スイッチテクノロジを使用するローカルエリアネットワークの VLAN を作成できます。ユーザーのグループを VLAN に割り当てることで、ローカルネットワーク全体のネットワーク管理とセキュリティーを改善できます。さらに、同じシステム上のインタフェースを異なる VLAN に割り当てることもできます。
次のセクションでは、VLAN の簡単な概要を示します。
次のことを行う必要がある場合は、ローカルネットワークを VLAN に分割することを検討してください:
作業グループの論理的な分割を作成する。
たとえば、ある建物の 1 つの階に置かれたすべてのホストが 1 つのスイッチベースのローカルネットワークに接続されているとします。この階の各作業グループ用に個別の VLAN を作成できます。
作業グループに異なるセキュリティーポリシーを適用する。
たとえば、財務部門と情報技術部門のセキュリティー要件はかなり異なります。両方の部門のシステムが同じローカルネットワークを共有している場合、各部門用の個別の VLAN を作成できます。そのあとで、適切なセキュリティーポリシーを VLAN ごとに適用できます。
作業グループを管理可能なブロードキャストドメインに分割する。
VLAN を使用すると、ブロードキャストドメインのサイズが小さくなり、ネットワークの効率が向上します。
VLAN では、汎用またはカスタマイズされた名前を使用することに明らかな利点があります。以前のリリースでは、VLAN は物理接続点 (PPA) で識別されていたため、ハードウェアベースのデータリンク名と VLAN ID を組み合わせる必要がありました。Oracle Solaris 11 では、VLAN の識別のためにより意味のある名前を選択できます。名前は、『Oracle Solaris 11 ネットワーキングの紹介』の「有効なリンク名のための規則」で説明されているデータリンクの命名規則に適合している必要があります。したがって、VLAN には sales0 や marketing1 などの名前を割り当てることができます。
VLAN 名は VLAN ID と連携します。ローカルエリアネットワーク内の各 VLAN は、VLAN タグとも呼ばれる VLAN ID によって識別されます。VLAN ID は VLAN の構成時に割り当てられます。VLAN をサポートするようにスイッチを構成する場合は、各ポートに VLAN ID を割り当てる必要があります。ポートの VLAN ID は、そのポートに接続するインタフェースに割り当てられた VLAN ID と同じでなければなりません。
カスタマイズされた名前と VLAN ID の使用については、次のセクションで説明します。
スイッチ LAN テクノロジを使用すると、ローカルネットワーク上のシステムを VLAN に編成できます。ローカルネットワークを VLAN に分割する前に、VLAN テクノロジをサポートするスイッチを入手する必要があります。VLAN トポロジの設計に応じて、スイッチ上のすべてのポートで単一の VLAN を処理するか、複数の VLAN を処理するように構成できます。スイッチのポートを構成する手順はスイッチの製造元によって異なります。
次の図は、3 つの VLAN に分割されているローカルエリアネットワークを示しています。
図 3-1 3 つの VLAN を含むローカルエリアネットワーク
図 3-1 で、LAN のサブネットアドレスは 192.168.84.0 です。この LAN は、3 つの作業グループに対応する 3 つの VLAN に分割されています。
acctg0 (VLAN ID 789) – 経理グループ。このグループはホスト D とホスト E を所有しています。
humres0 (VLAN ID 456) – 人事グループ。このグループはホスト B とホスト F を所有しています。
infotech0 (VLAN ID 123) – 情報技術グループ。このグループはホスト A とホスト C を所有しています。
図 3-1 の変形を図 3-2 に示します。ここではスイッチが 1 つだけ使用され、さまざまな VLAN に属している複数のホストがその単一のスイッチに接続します。
図 3-2 VLAN を使用するネットワークのスイッチの構成
図 3-2 で、ホスト A およびホスト C は、VLAN ID 123 を持つ情報技術 VLAN に属しています。したがって、ホスト A のインタフェースの 1 つに VLAN ID 123 が構成されています。このインタフェースはスイッチ 1 のポート 1 に接続しており、そのポートにも VLAN ID 123 が構成されています。ホスト B は、VLAN ID 456 を持つ人事 VLAN のメンバーです。ホスト B のインタフェースはスイッチ 1 のポート 5 に接続しており、そのポートには VLAN ID 456 が構成されています。最後に、ホスト C のインタフェースには VLAN ID 123 が構成されています。このインタフェースはスイッチ 1 のポート 9 に接続しています。ポート 9 にも VLAN ID 123 が構成されています。
図 3-2 は、1 つのホストが複数の VLAN に所属できることも示しています。たとえば、ホスト A には、そのインタフェース上に 2 つの VLAN が構成されています。2 番目の VLAN には VLAN ID 456 が構成されており、ポート 3 に接続されています。このポートにも VLAN ID 456 が構成されています。したがって、ホスト A は infotech0 VLAN と humres0 VLAN の両方のメンバーです。
VLAN と Oracle Solaris ゾーンを組み合わせることにより、スイッチなどの単一のネットワーク装置内に複数の仮想ネットワークを構成できます。次の図に示す、3 つの物理ネットワークカード net0、net1、および net2 を備えたシステムについて考えます。
図 3-3 複数の VLAN を含むシステム
VLAN を使用しない場合は、特定の機能を実行する異なるシステムを構成し、これらのシステムを個別のネットワークに接続することになります。たとえば、Web サーバーをある LAN に、認証サーバーを別の LAN に、さらにアプリケーションサーバーを 3 番目の LAN に接続します。VLAN とゾーンを使用した場合は、8 つのすべてのシステムを解体し、それらを 1 つのシステム内のゾーンとして構成することができます。次に、VLAN ID を使用して、同じ機能を実行する各ゾーンのセットに VLAN を割り当てます。この図で提供される情報は次のように表に表すことができます。
|
この図に示されている構成を作成するには、例 3-1 を参照してください。