読者です 読者をやめる 読者になる 読者になる

keima's caprice diary

気付いたことをメモのように綴ります。なるべく義務っぽくならないように気まぐれに記録します。

そろがりでプライベートVLANのお話を、と

 今日はなんでこんな時間に日記を書いているのかというとですね、

ヤスさんに「今日は書きますから!」って宣言しちゃったからだったりします。

最近また更新が不定期になってきて、真に不甲斐ない状況に陥っていることが分かりました。

書き記しておくべきネタはたーくさんあるのですが、

ついついネトゲに走ってしまい、おざなりになってしまう今日このごろであります。

そうそう、VLANの話。

いきなりネットワークの話でアレなんですけど。

分かる人だけ分かって欲しい内容です。

プライベートVLANの話です。

断っておきますが、この話、長くなります。

 それでは、コホン。

通常、ネットワークの流れってのは無制限に流れることができて、

あるホストから別のホストに流れたパケットは、Layer2スイッチングの性質から言って、

特定のあて先ホストにだけ到達します。

ただし、ブロードキャストされたパケットは別で、ブロードキャストって言うくらいなので、VLAN上の全てのホストがパケットを受信することになります。

ある1つのVLAN内の送信元とあて先の双方がローカルスイッチに接続されている場合、VLANアクセスリストというセキュリティ技術を使って、悪質なパケットをガードすることができます。

このとき、スイッチでパケットを破棄&ログに記録することができます。

複数のVLANと1台のルータを使わずに1つのVLAN内のトラフィックをセグメント化できるといろいろ便利な面があります。

あ、ちなみにセグメントというのは、この場合、1本のLANケーブルとか同軸ケーブルで物理的に接続されているような、ネットワークアドレス部分が同じになるような状況のことを言っています。

データグラムのセグメントではないです。あしからず。

例えば、SingleVLANサーバの環境では、全てのサーバがルータやゲートウェイと通信できないといけませんが、各サーバがお互いのブロードキャストを受信する必要性はないです。

もうひとつの例えだと、それぞれのサーバが別の組織に属している場合、各サーバはお互いに隔離する必要がありますが、それでも、ゲートウェイを介してローカルネットワーク外のクライアントを検索しないといけないこともあります。

3つ目の例えだと、サービスプロバイダネットワーク等は、1つのVLANを使って複数の顧客ネットワークに接続する必要があるかもしれません。

それぞれの顧客が、このVLAN上に存在するゲートウェイにアクセスできる必要があるからです。

そうしないとインターネットにアクセスすることができないからです。

ただこの場合、VLAN内部のそれぞれの顧客同士が互いにアクセスする必要がないのは明らかです。

だって、インターネットにアクセスしたいだけだからです。

そこでCatalystの「プライベートVLAN」の登場です。

これは、ざっくばらんに言うと、

通常の1つのVLAN(これをプライマリVLANと呼びます)を複数の特殊な一方通行のVLAN(セカンダリVLAN)に、論理的に関連付けます。マッピングします。関係を持たせます。いろいろ言い方はありますが、まぁそういうことです。

で、セカンダリVLANに関連付けられたホストは、プライマリVLAN上(例えばルータ)のポートとは通信可能ですが、別のセカンダリVLANとは通信できません。

こんな感じの一方通行的な性質を持った経路を保有したVLANを設定できるのがCatalystの誇る、

プライベートVLANという技術でした。ちゃんちゃん。

と、これで終わると思ったらまだまだです。そうは問屋が卸しません。

詳細な設定方法やプライベートVLANの奥深さについて小一時間ほど語りたい語りすとなので、

次回のブログで続きを書くつもりなのでよろしくお願いいたします~。

でわでわ。