🍄

9. サブネッティング_ハンズオン

に公開
network
サブネッティング
tech

はじめに

この研修は、サブネッティングの理論を理解し、実機を用いて小規模ネットワークの設計・構築・トラブルシューティングの基本を体験することを目指します。講義はハンズオンをスムーズに進めるために必要最低限とし、「なぜそうするのか」を理解しながら、実践的なスキルに触れる第一歩となることを目標とします。

研修の目的

  • サブネッティングの基本的な概念と、なぜそれが必要なのかを理解する。
  • 必要なIPアドレスの数やホストの数から、適切なサブネットマスクを計算する初歩を学ぶ。
  • FLSM(固定長サブネットマスク)とVLSM(可変長サブネットマスク)という考え方があることを知る。
  • ルーターやL2スイッチの基本的な設定コマンドに触れる。
  • サブネット、VLAN、そして基本的なルーティング(スタティックルーティング)を組み合わせたネットワーク構築を体験する。
  • ネットワーク設定におけるIPアドレス設定やルーティングに関する簡単なトラブルシューティングに挑戦する。

対象者

  • ネットワークの基礎知識について学習を始めたばかりの方。
  • サブネッティングの実践的な設計や設定経験がほとんどない方。

使用機材

  • ルーター:4台
  • スイッチ:4台
  • PC:4台
  • 各種ネットワークケーブル(LANケーブル、コンソールケーブルなど)

全体の流れ

時間帯 所要時間 セクション 内容 形式
xx:xx - xx:xx 10分 Introduction 研修目的、概要、進め方の説明。 講義
xx:xx - xx:xx 30分 Lecture1 サブネッティングの基礎と計算。サブネッティングの目的、IPアドレス/サブネットマスク/ネットワークアドレス/ブロードキャストアドレス/デフォルトゲートウェイ。簡単なマスク計算練習。 講義/演習
xx:xx - xx:xx 15分 Lecture2 CIDRとVLSMの概要、基本CLI操作。CIDR表記、VLSMの概念紹介。基本的なshowコマンド、設定コマンド。 講義
xx:xx - xx:xx 60分 設計 複数サブネットの設計とスタティックルーティング。IP設計(サブネッティング計算)、ルーターへの複数インターフェース設定、スタティックルート設定。異なるサブネット間の疎通確認。 ハンズオン
xx:xx - xx:xx 90分 構築 実践ネットワーク構築とトラブルシューティング。VLSM適用、OSPF(シングルエリア)導入を想定したネットワーク構築。意図的な設定ミスに対するトラブルシューティング演習。 ハンズオン
xx:xx - xx:xx 10分 Summary ハンズオン成果の確認。研修内容の振り返り 演習/講義

Lecture1

1:サブネッティングの基礎と計算 (30分)

  • サブネッティングの目的と重要性
    • なぜネットワークを分割するの? (セキュリティ向上、管理しやすくするため、ブロードキャストの影響範囲を小さくする、IPアドレスを効率よく使うため)
    • 例:部署ごとにネットワークを分ける、など。
ブロードキャストの影響範囲を小さくすると??

ネットワークパフォーマンスの向上
端末(PCやサーバーなど)の負荷軽減: ブロードキャストパケットを受信したネットワーク上のすべての端末は、そのパケットを処理する必要があります。自分宛ではない通信であっても、少なくともその内容を確認する処理がCPUで行われます。ブロードキャストドメインが大きいと、それだけ多くの端末が同時にこの処理を行うことになり、結果として各端末のCPUに余計な負荷がかかります。影響範囲を小さくすれば、関係のない端末がブロードキャストを受信する機会が減り、CPUリソースを本来の処理に集中させることができます。
ネットワーク帯域の有効活用: ブロードキャスト通信は、そのドメイン内のすべての機器に送信されるため、ネットワークの帯域を消費します。ドメインが大きいほど、1回のブロードキャストで消費される帯域も大きくなる傾向があります。影響範囲を限定することで、不要なブロードキャストトラフィックを削減し、ネットワーク帯域をより重要なデータ通信のために有効活用できます。これにより、ネットワーク全体のレスポンス速度の低下を防ぎます。
ブロードキャストストームの影響範囲の限定: 何らかの理由(例えば、ネットワーク機器の故障や設定ミス)でブロードキャストパケットが大量に発生し続ける「ブロードキャストストーム」という状態が発生することがあります。こうなると、ネットワーク帯域がブロードキャストで埋め尽くされ、CPU負荷も高騰し、ネットワーク全体が通信不能に陥ることもあります。ブロードキャストドメインを小さく分割しておけば、万が一ブロードキャストストームが発生しても、その影響を特定のセグメントに限定でき、ネットワーク全体がダウンするような最悪の事態を防ぐことができます。

セキュリティの向上
意図しない情報漏洩リスクの低減: ブロードキャストで送信される情報の中には、例えばARP要求のように、IPアドレスとMACアドレスの対応関係を問い合わせるものがあります。大きなブロードキャストドメインでは、悪意のある第三者がこれらの情報を傍受しやすくなります。ドメインを分割することで、情報が届く範囲を限定し、傍受されるリスクを低減できます。
特定の攻撃の影響範囲の限定: ブロードキャストを利用したネットワーク攻撃も存在します。例えば、ARPスプーフィング(ARPの応答を偽装して通信を乗っ取る攻撃)のような攻撃は、同じブロードキャストドメイン内で行われます。ドメインを小さくすることで、こうした攻撃の影響範囲を限定し、被害を最小限に食い止めることができます。
このように、ブロードキャストの影響範囲を小さくすることは、ネットワークを効率的かつ安全に運用するために非常に重要な考え方です。ルーターやL3スイッチを使ってネットワークを分割したり、VLANを設定したりするのは、まさにこのメリットを実現するための具体的な手段と言えます。

  • IPアドレス関連用語の整理
    ネットワークの基本となる、IPアドレス、サブネットマスク、ネットワークアドレス、ブロードキャストアドレス、そしてデフォルトゲートウェイについて、それぞれの役割を解説します。
1. IPアドレス (Internet Protocol Address)
  • 役割: ネットワークに接続されたコンピューターやスマートフォン、ルーターなどの機器を識別するための、インターネット上の「住所」のようなものです。データを送受信する際に、相手を指定するために使用します。原則として、同じネットワーク内で重複しないように設定されます。
  • : 192.168.1.10
2. サブネットマスク (Subnet Mask)
  • 役割: IPアドレスを「ネットワーク部(どのネットワークかを示す部分)」と「ホスト部(そのネットワーク内のどの機器かを示す部分)」に区別するための情報です。これにより、通信相手が自分と同じネットワークにいるか、別のネットワークにいるかを判断できます。
  • : 255.255.255.0 または /24 (CIDR表記)
    • 例: IPアドレス 192.168.1.10 とサブネットマスク 255.255.255.0 の場合、「192.168.1」がネットワーク部、「.10」がホスト部です。
3. ネットワークアドレス (Network Address)
  • 役割: 特定のネットワーク全体を指し示すための特別なIPアドレスです。そのネットワークの「代表アドレス」や「グループ名」のようなものです。
  • 特徴: IPアドレスのホスト部のビットがすべて0になるアドレスです。(例: 192.168.1.0/24 のネットワークアドレスは 192.168.1.0
  • 【重要】: このネットワークアドレスは、個々のPCやサーバーといったホスト機器のIPアドレスとして設定することはできません。 ルーティングテーブルなどでネットワークを識別するために使用されます。
4. ブロードキャストアドレス (Broadcast Address)
  • 役割: 特定のネットワークに接続されている「すべての」機器に対して、一度に同じデータを送信(ブロードキャスト通信)するために使用される特別なIPアドレスです。
  • 特徴: IPアドレスのホスト部のビットがすべて1になるアドレスです。(例: 192.168.1.0/24 のブロードキャストアドレスは 192.168.1.255
  • 【重要】: このブロードキャストアドレスも、ネットワークアドレスと同様に、個々のPCやサーバーといったホスト機器のIPアドレスとして設定することはできません。
5. デフォルトゲートウェイ (Default Gateway)
  • 役割: PCなどの端末が、自分が所属しているネットワークとは「別のネットワーク」(例: インターネット)と通信したい場合の「出入り口」となる機器(通常はルーターやL3スイッチ)のIPアドレスです。
  • 設定: PCやサーバーなどのホスト機器に設定します。この設定がないと、自分の所属するネットワークの外とは通信できません。
  • : 自宅のPCからインターネットに接続する際のブロードバンドルーターのLAN側IPアドレス(例: 192.168.1.1)。

まとめ

用語 役割 PC等への設定
IPアドレス 機器の住所 可能
サブネットマスク IPアドレスのネットワーク部とホスト部の区切り 可能
ネットワークアドレス ネットワーク全体の代表アドレス 不可
ブロードキャストアドレス ネットワーク内の全機器宛の特別なアドレス 不可
デフォルトゲートウェイ 別のネットワークへの出入り口となるルーター等のIPアドレス 可能

これらの役割をしっかり理解することが、ネットワークの学習や実務において非常に重要です。特に、ネットワークアドレスとブロードキャストアドレスはPCなどの端末には設定できないという点を覚えておきましょう。

  • サブネット計算の初歩
    • 必要なホスト数から、簡単なサブネットマスクを決定する方法を説明。
    • 例題で練習します。

2:CIDRとVLSMの概要、基本CLI操作 (30分)

  • CIDR表記
    • サブネットマスクを /24/27 のように書く方法。
  • VLSM(可変長サブネットマスク)とは
    • ネットワークの場所ごとに、必要なIPアドレスの数に合わせて異なるサイズのサブネットマスクを使う考え方。
    • IPアドレスをより無駄なく使える。

サブネッティングについてもう少し詳しく

サブネッティングとは、大きなネットワークを複数の小さなネットワークに分割することです。 これにより、セキュリティの向上、管理のしやすさ、ネットワーク負荷の軽減、IPアドレスの効率的な利用といったメリットがあります。

サブネットマスクとは?

IPアドレスは、「どこにあるネットワークか(ネットワーク部)」と「そのネットワーク内のどのコンピュータか(ホスト部)」を示す情報でできています。サブネットマスクは、IPアドレスのどこまでがネットワーク部で、どこからがホスト部かを示すものです。

サブネットマスクは 255.255.255.0 のようにも書きますし、/24 のようにネットワーク部のビット数を書く方法(CIDR表記)もあります。
例えば、/24 なら256個のIPアドレスが使えますが、/27 だと32個になります。
ただし、各サブネットにはネットワーク全体を示す「ネットワークアドレス」と、全員宛の通信に使われる「ブロードキャストアドレス」があり、これらはPCなどには設定できません。

FLSMとVLSM

  • FLSM (固定長サブネットマスク - Fixed Length Subnet Mask): すべてのサブネットで同じ大きさのサブネットマスクを使う方法。
  • VLSM (可変長サブネットマスク - Variable Length Subnet Mask): サブネットごとに、必要なIPアドレスの数に合わせて異なる大きさのサブネットマスクを使う方法。これによりIPアドレスをより効率的に使えます。例えば、PCが多い部署には大きなサブネット(例:/26)、ルーター同士を繋ぐような場所には小さなサブネット(例:/30)を割り当てます。

ハンズオン

ハンズオン1:複数サブネットの設計(40分)

  • 目的: 要件に合わせてIPアドレス空間をサブネッティングで分割し、異なるサブネット間の通信をルーターで設定できるようにする。

構成概要

  • 物理構成:
    • ルーター (R1) 1台
    • ルーター (R2) 1台
    • スイッチ (SW1) 1台
    • (オプション) 各VLANに接続するクライアントPC役のデバイスまたはシミュレーション上のノード
  • 論理構成:
    • 3つのユーザーVLAN (sales, tech, dev) と1つのルーター間接続用VLAN
    • 親ネットワーク 172.16.0.0/22 をVLSMで分割して使用
    • RoAS構成でVLAN間ルーティングを実現

2. IPアドレス設計 (演習課題)

皆さん自身で、以下の条件に従ってIPアドレスを設計してください。

2.1. 親ネットワーク

  • 使用する親ネットワーク: 172.16.0.0/22
    • このネットワークの利用可能IPアドレス範囲: 172.16.0.1172.16.3.254
    • 合計利用可能ホスト数: 1022

2.2. VLAN要件

以下のVLANを作成し、それぞれに必要なホスト数を考慮してIPアドレス空間を割り当てます。

  • VLAN 10: sales ネットワーク
    • 想定ホスト数: 30台
  • VLAN 20: tech ネットワーク
    • 想定ホスト数: 60台
  • VLAN 30: dev ネットワーク
    • 想定ホスト数: 15台
  • VLAN 99: ルーター間接続用ネットワーク
    • R1とR2を接続するために使用します。
    • 必要なIPアドレス数: 2つ (R1側インターフェース用とR2側インターフェース用)

2.3. IPアドレス割り当てルール

  • VLSM (可変長サブネットマスク): 親ネットワーク 172.16.0.0/22 を、上記のVLAN要件に合わせて無駄なく分割してください。サブネットは大きい順(ホスト数が多い順)に割り当てると効率的です。
  • ゲートウェイIPアドレス: 各VLAN (VLAN 10, 20, 30) のデフォルトゲートウェイとなるルーターのサブインターフェースIPアドレスは、そのVLAN(サブネット)で利用可能な最大のIPアドレスを使用してください。
    • 例: あるサブネットの利用可能IP範囲が X.X.X.1X.X.X.62 の場合、ゲートウェイIPは X.X.X.62 となります。
  • ルーターのVLAN担当:
    • R1 が VLAN 10 (sales) と VLAN 30 (dev) のゲートウェイを担当します。
    • R2 が VLAN 20 (tech) のゲートウェイを担当します。
    • VLAN 99 (ルーター間接続用) はR1とR2の両方に設定します。

2.4. 設計結果記入表

設計したIPアドレス情報を「IPアドレス情報一覧」にまとめてください。

設計のヒント:

  • ホスト数が多いVLANから順に、親ネットワークからサブネットを切り出していくと、アドレス空間を効率的に使えます。
  • 各サブネットのネットワークアドレス、利用可能IPアドレス範囲、ブロードキャストアドレスを正確に計算しましょう。

ハンズオン2:実践ネットワーク構築とトラブルシューティング (60分)

3. スイッチ (SW1) の設定

IPアドレス設計が完了したら、次にスイッチの設定を行います。

3.1. VLANの作成

設計したVLANをスイッチに作成します。

SW1(config)# vlan 10
SW1(config-vlan)# name sales
SW1(config-vlan)# exit

3.2. ルーター接続ポートのトランク設定

R1とR2が接続されるポートをトランクポートとして設定します。ここでは、R1を GigabitEthernet0/1 に、R2を GigabitEthernet0/2 に接続すると仮定します。

R1接続ポート (例: GigabitEthernet0/1):
SW1(config)# interface GigabitEthernet0/1
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk allowed vlan 10,30,99  // R1がGWとなるVLANとルーター間VLANを許可
SW1(config-if)# exit

3.3. クライアントPC用アクセスポートの設定

各VLANにクライアントPCを接続するためのアクセスポートを設定します。ここでは例として GigabitEthernet0/3~0/5 を使用します。

VLAN 10 (sales) 用 (例: GigabitEthernet0/3):

SW1(config)# interface GigabitEthernet0/3
SW1(config-if)# switchport mode access
SW1(config-if)# switchport access vlan 10
SW1(config-if)# exit

3.4. スイッチ設定の確認

SW1# show vlan brief
SW1# show interfaces trunk

4. ルーター1 (R1) の設定

次に、R1の設定を行います。R1はVLAN 10 (sales) と VLAN 30 (dev) のゲートウェイ、およびVLAN 99 (ルーター間接続) の一端を担います。

4.1. 物理インターフェースの有効化

R1(config)# interface GigabitEthernet0/0  // SW1のGigabitEthernet0/1に接続されているIF

4.2. サブインターフェースの設定

IPアドレス設計表に基づいて、各VLANに対応するサブインターフェースを作成し、IPアドレスを設定します。
VLAN 10 (sales) 用サブインターフェース:

R1(config)# interface GigabitEthernet0/0.10
R1(config-subif)# description Gateway for VLAN10_sales
R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# ip address [VLAN10のゲートウェイIP] [VLAN10のサブネットマスク] // 設計した値を入力
R1(config-subif)# no shutdown
R1(config-subif)# exit

4.3. R1設定の確認

R1# show ip interface brief
R1# show interfaces description
R1# show running-config interface GigabitEthernet0/0 // サブインターフェースも表示される

サブインターフェースが正しく作成され、IPアドレスが設定されているか確認しましょう。

6. ルーティング設定

各ルーターが自身の担当するVLAN以外のネットワークと通信できるように、ルーティングを設定します。ルーティングプロトコルはOSPFを選択して設定してください。

6.1. OSPFによる設定

R1(config)# router ospf 1  // OSPFプロセスID (ルーター内でユニークであれば任意)
R1(config-router)# router-id 1.1.1.1 // ルーターID (任意だがユニークに)
R1(config-router)# network [VLAN10のネットワークアドレス] [VLAN10のワイルドカードマスク] area 0
R1(config-router)# network [VLAN30のネットワークアドレス] [VLAN30のワイルドカードマスク] area 0
R1(config-router)# network [VLAN99のネットワークアドレス] [VLAN99のワイルドカードマスク] area 0
R1(config-router)# exit

6.2. ルーティング設定の確認

各ルーターで以下のコマンドを実行し、ルーティングテーブルを確認します。

7. 疎通確認

すべての設定が完了したら、クライアントPCから以下の疎通確認を行います。

同一VLAN内通信:
VLAN 10 内のPCから、R1のVLAN 10用サブインターフェース (ゲートウェイIP) へPing。
VLAN 20 内のPCから、R2のVLAN 20用サブインターフェース (ゲートウェイIP) へPing。
VLAN 30 内のPCから、R1のVLAN 30用サブインターフェース (ゲートウェイIP) へPing。
異なるVLAN間通信:
VLAN 10 のPCから VLAN 20 のPCへPing。
VLAN 10 のPCから VLAN 30 のPCへPing。
VLAN 20 のPCから VLAN 30 のPCへPing。
経路確認:
traceroute (または tracert) コマンドを使用して、異なるVLAN間の通信時にパケットが想定通りのルーターを経由しているか確認します。
例: VLAN 10 のPCから VLAN 20 のPCへの traceroute は、R1のVLAN10 GW -> R1のVLAN99 IF -> R2のVLAN99 IF -> R2のVLAN20 GW -> 宛先PC となるはずです。

Discussion