Zenn
🍄

8. VLAN_ハンズオン2/2

に公開
network
CCNA
roas
tech

皆さん、これまでの演習でVLANを作成し、同じVLANに所属するPC同士が通信できることを確認しました。例えば、VLAN10(Sales)のPC1とPC3は問題なく通信できました。しかし、VLAN10(Sales)のPC1から、VLAN20(HR)のPC2へ通信しようとすると、どうなるでしょうか?

おそらく、通信できないはずです。

VLAN間ルーティングが必要な理由

1. VLANは独立したネットワークであるため

VLANを作成するということは、1台のスイッチの中に、複数の独立したネットワーク(ブロードキャストドメイン)を作り出すことです。

原則として、異なるVLANに所属するデバイス同士は、レイヤー2スイッチの機能だけでは直接通信することができません。これは、異なる部屋にいる人が壁越しには直接会話できないのと同じイメージです。

2. セキュリティの確保のため

部門ごとや用途ごとにVLANを分ける主な目的の一つは、セキュリティの向上です。例えば、営業部門(Sales)のネットワークと人事部門(HR)のネットワークを分離することで、人事部門の機密情報に営業部門から簡単にアクセスできないようにします。

しかし、業務上、どうしても異なる部門間で一部の通信が必要になる場合があります。例えば、営業部門の担当者が人事部門の共有サーバーにある申請書類にアクセスしたい、といったケースです。このような場合に、無制限なアクセスを許可するのではなく、必要な通信だけを選択的に許可する仕組みが必要になります。

では、どうすれば異なるVLAN間で通信できるのか?

そこで登場するのが「ルータ」の役割です。ルータは、異なるネットワーク間を接続し、パケットを適切な宛先に転送する(ルーティングする)機能を持っています。

VLAN間ルーティングとは、このルータの機能を利用して、論理的に分割されたVLAN(=異なるネットワーク)間で通信を中継させる技術です。

  • レイヤー3スイッチ を使用する方法もあります。これは、レイヤー2スイッチの機能に加えて、ルータと同様のルーティング機能を持つスイッチです。
  • 今回の演習では、ルータ(またはルータ機能を持つ機器)を使って、各VLANに対応するインターフェース(またはサブインターフェース)を設定します。そして、ルータが各VLAN間の通信を仲介することで、異なるVLANに所属するPC同士でも、あたかも同じネットワークにいるかのように通信できるようになります。

ネットワーク研修ハンズオン:VLAN間ルーティング (Router on a Stick)

演習の目的

  • 「Router on a Stick」構成を用いて、異なるVLAN間のルーティングを実現する。
  • ルータのサブインターフェースの役割と設定方法を理解する。
  • スイッチのトランクポート設定がVLAN間ルーティングにおいて重要であることを理解する。
  • PCのデフォルトゲートウェイ設定の重要性を理解する。

前提条件

  • 前回のVLAN設定演習(スイッチ2台、PC8台、VLAN4つ構成)が完了し、各VLAN内のPC同士で通信が可能な状態であること。
  • 各VLAN(VLAN10: Sales, VLAN20: HR, VLAN30: Dev, VLAN40: Support)がスイッチに設定済みであること。

ネットワーク構成

  • 既存機器:
    • L2スイッチ x2 (SW1, SW2)
    • PC x8 (PC1~PC8)
  • 追加機器:
    • ルータ x1 (R1)
  • 物理接続:
    • SW1の9番ポート(または空いている他のポート)とルータR1のGigabitEthernet0/0(または同等のポート)をLANケーブルで接続します。
    • このSW1とR1間の接続は、複数のVLANトラフィックを伝送するためのトランクリンクとなります。

IPアドレス計画

ルータ (R1) サブインターフェースIPアドレス (各VLANのデフォルトゲートウェイ)

VLAN ID VLAN名 サブインターフェース IPアドレス
VLAN10 Sales GigabitEthernet0/0.10 192.168.10.254/24
VLAN20 HR GigabitEthernet0/0.20 192.168.20.254/24
VLAN30 Dev GigabitEthernet0/0.30 192.168.30.254/24
VLAN40 Support GigabitEthernet0/0.40 192.168.40.254/24

PC デフォルトゲートウェイ設定変更

各PCのデフォルトゲートウェイを、所属するVLANに対応する上記のルータサブインターフェースのIPアドレスに変更します。

デバイス 所属VLAN 新しいデフォルトゲートウェイ
PC1, PC3 VLAN10 192.168.10.254
PC2, PC5 VLAN20 192.168.20.254
PC4, PC6 VLAN30 192.168.30.254
PC7, PC8 VLAN40 192.168.40.254

設定手順

1. ルータ (R1) の設定

ルータの物理インターフェースを有効化し、各VLANに対応するサブインターフェースを作成してIPアドレスとカプセル化タイプを設定します。

R1> enable
R1# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

R1(config)# interface GigabitEthernet0/0  // 物理インターフェース名を環境に合わせてください
R1(config-if)# no shutdown
R1(config-if)# exit

R1(config)# interface GigabitEthernet0/0.10  // VLAN10用サブインターフェース
R1(config-subif)# encapsulation dot1Q 10    // 802.1Qカプセル化とVLAN ID 10 を指定
R1(config-subif)# ip address 192.168.10.254 255.255.255.0
R1(config-subif)# exit

R1(config)# interface GigabitEthernet0/0.20  // VLAN20用サブインターフェース
R1(config-subif)# encapsulation dot1Q 20
R1(config-subif)# ip address 192.168.20.254 255.255.255.0
R1(config-subif)# exit

R1(config)# interface GigabitEthernet0/0.30  // VLAN30用サブインターフェース
R1(config-subif)# encapsulation dot1Q 30
R1(config-subif)# ip address 192.168.30.254 255.255.255.0
R1(config-subif)# exit

R1(config)# interface GigabitEthernet0/0.40  // VLAN40用サブインターフェース
R1(config-subif)# encapsulation dot1Q 40
R1(config-subif)# ip address 192.168.40.254 255.255.255.0
R1(config-subif)# exit

R1(config)# end
R1# write memory  // 設定の保存 (任意)

2. スイッチ (SW1) の設定 (ルータ接続ポート)

SW1のルータR1と接続するポート(例: 9番ポート)をトランクポートとして設定し、全てのVLANトラフィックを許可します。

SW1# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

SW1(config)# interface FastEthernet0/9  // ルータと接続するポート名を環境に合わせてください
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk encapsulation dot1q // 機種により不要な場合あり
SW1(config-if)# exit

SW1(config)# end
SW1# write memory // 設定の保存 (任意)

3. PCのデフォルトゲートウェイ設定変更

各PCのネットワーク設定を開き、デフォルトゲートウェイ(またはルータ)のIPアドレスを、「IPアドレス計画」セクションの「PC デフォルトゲートウェイ設定変更」の表に従って変更してください。
(具体的なOSごとの設定方法は省略します)

設定の確認と疎通確認

  1. ルータ (R1) での設定確認
    サブインターフェースの状態とIPアドレス確認:
R1# show ip interface brief

各サブインターフェースが "up" "up" になっていること、IPアドレスが正しく設定されていることを確認します。

ルーティングテーブルの確認:

R1# show ip route

各VLANのネットワーク(192.168.10.0/24, 192.168.20.0/24 など)が Directly Connected として表示されていることを確認します。

  1. スイッチ (SW1) での設定確認
    トランクポートの状態確認:
SW1# show interfaces trunk

ルータと接続しているポート (FastEthernet0/9など) が mode: on, encapsulation: 802.1q, status: trunking になっていること、Vlans allowed and active in management domain にVLAN10,20,30,40が含まれていることを確認します。
3. VLAN間ルーティングの疎通確認 (Ping)
各PCから、異なるVLANに所属するPC および 各VLANのデフォルトゲートウェイ(ルータのサブインターフェースIP) にPingを実行します。

例: PC1 (192.168.10.1) から
PC2 (192.168.20.1) へ Ping
PC4 (192.168.30.1) へ Ping
PC8 (192.168.40.2) へ Ping
R1のVLAN10 GW (192.168.10.254) へ Ping
R1のVLAN20 GW (192.168.20.254) へ Ping
全ての異なるVLAN間のPC同士、および各PCから所属VLANのデフォルトゲートウェイ、さらには他のVLANのデフォルトゲートウェイへのPingが成功することを確認してください。

ハンズオンのポイント

Router on a Stick: 1本の物理リンク(トランクリンク)を使って、ルータが複数のVLAN間のルーティングを行う構成です。
サブインターフェース: ルータの物理インターフェースを論理的に分割し、それぞれにVLAN IDとIPアドレスを割り当てることで、各VLANのゲートウェイとして機能します。
カプセル化 (802.1Q): トランクリンク上でVLANを識別するためのタグ付けプロトコルです。ルータのサブインターフェースとスイッチのトランクポートで整合性が取れている必要があります。
デフォルトゲートウェイ: PCが異なるネットワークと通信する際の出口となるルータのIPアドレスです。VLAN間通信には、この設定が不可欠です。

まとめ

VLAN間ルーティングにより、論理的に分割されたネットワーク間で、ルータを介した通信が可能になりました。
ルータとスイッチの連携設定(トランク、サブインターフェース)が正しく行われることが重要です。
PCのデフォルトゲートウェイ設定が、VLAN間通信の成否を左右します。

Discussion