セキュリティ確保
-a1.gif)
-b1.gif)
-c1.gif)
(1) 学校でのネットワーク利用(セキュリティ)の観点から
校内LAN において,教員用ネットワークには教員にしか参照できないデータが保存されることが考えられます。生徒や教員以外のユーザが出入りできるようなネットワークでは,校務では利用できません。
ネットワークを(物理的に)完全に切り離すことによってセキュリティを高めることも考えられますが,実際の運用を考慮した場合,現実的でない場合が多いようです。
そこで,利用者からは分割されているようにみえるネットワークを構築する必要が生まれました。そのために,VLANと呼ばれる方法が用いられることが一般的になってきています。
| 区別なし | 物理的に分割 | ネットワーク間の セキュリティ確保 |
|
|
|
| 教員と生徒の間に 制約がありません。 | お互いに出入りできず,不便な面があります。 | アクセスの制限が可能になり,セキュリティを保つことができます。 |
(2) VLANとは
物理的な接続形態に依存せず,仮想的にグループを形成して一つのLANとみなすものがVLAN(Virtual LAN)です。
VLAN機能を使うと,データの転送をグループ内だけに限定することができます。したがって,端末は同じVLANの端末とは通信できても,異なるVLANの端末とは通信できなくなります。これにより,セキュリティの向上を図ることができます。
また,VLANはブロードキャストドメインと呼ばれる範囲(直接通信できる範囲)を分割できる機能と言い換えることもできます。このため,既存のネットワークの物理的な形態にかかわらず,論理的にネットワークを再構築することが可能になります。
一般に,LANスイッチと呼ばれる機器の機能を利用して,MACアドレスやIPアドレス,あるいは利用するプロトコルなどに応じてグループ化して使用します。
| ポート単位で二つのVLANを設定した例 |
-a.gif) |
| VLAN 1側とVLAN 2側は同じLANスイッチ内に接続されていますが,ネットワークとしては分割されていて,互いに通信できません。 |
(3) ネットワーク有効利用の観点から
イーサネットでLANを構成している場合,データはパケット(Packet)と呼ばれる小さなかたまりに分けて送信されます。ネットワーク上を流れるパケットが増えると,パケット同士が衝突(Collision:コリジョン)しデータが破棄される確率が高まり,パケットを再送する必要が生じてしまいます。ネットワークを分割すると,そのような無駄を無くすことができます。
| 分割なし | 分割あり |
-a.gif) |
-b.gif) |
| 一つのネットワークに多くのパソコンが接続されていると,破棄されるデータが増え,効率が悪化します。 | 複数の通信が同時に成立するため,効率が良くなります。 |
(1) ポート(ベース)VLAN
LANスイッチのポートに番号(VLAN ID)を設定し,同じVLAN内でのみ通信できる使用方法です。ただし,一つのポートは複数のVLANに所属できない制約があります。
| 分割されたグループ内でのみ通信可能で, 他のグループとは通信できません |
-a.gif) |
この形式では,LANスイッチ間をつなぐ配線が,ネットワークの数だけ必要になります。したがって,あまり大きな規模のネットワークには適していないといえるでしょう。
| ネットワークごとに配線が必要になります |
-c.gif) |
(2) タグVLAN
タグVLANを使用すると,一つのポートを複数のVLANに所属させることができます。
ポート(ベース)VLANのみでは,LANスイッチを接続する際,配線がネットワークの数だけ必要になりますが,タグVLANでは異なるネットワークのデータを一本の配線に流すことが可能になります。したがって,構成の変更や拡張が容易になり,柔軟な構築が可能になります。
| タグVLANを用いることにより,配線が容易になります |
-a.gif) |
(1) VLAN導入以前
VLAN機能をもたないスイッチを用いてネットワークを構築すると,生徒用ネットワークと職員用ネットワークを別々にすることを前提に設計しなければならないため,生徒ネットワークは閉じた形態となります(業務内容と用途によって逆の運用の可能性もあります)。
接続されたノード(パソコンのほかネットワークに接続されたもの)は,すべて同一ネットワーク内に含まれてしまいます。
-a.gif) |
| 教員ネットワークのみインターネットに接続が可能なモデルです。 生徒には閉じたネットワークのみ提供が可能となります。 |
(2) VLAN導入 〜第1段階〜
ポート(ベース)VLANによるLANの分割を行うと,2(1)で示したLANスイッチに接続される「線」が管理の基本となる形態になります。生徒用ネットワークと職員用ネットワークがある程度の制約をもちつつ共存できるようになります。
物理的制約があるため,拡張性や利便性に問題が残ります。 2(2)参照
| VLANとしての構成図 |
-a.gif) |
設定の例
| 新規にVLANを作成します。 VLAN作成時には,VLAN名とVLAN ID(VID)を割り当てます。 |
<入力例> CREATE VLAN=A VID=10 CREATE VLAN=B VID=20 |
| VLANにポートを割り当てます。 | <入力例> ADD VLAN=A PORT=1-6 ADD VLAN=B PORT=7-16 |
| 物理的には1台のスイッチでありながら,ネットワーク的には 2台のスイッチに分割されたような状態となります。 |
-b.gif) |
(3) VALN導入 〜第2段階〜
ネットワークの拡張に対する方策として,タグVLANを用いると複数のLANスイッチにまたがるVLANを構築できます。
各LANスイッチ以下で複数のネットワークが共存できるようになり,規模が拡大しても対応可能になるなど,拡張性に柔軟さが生まれます。
また,配線の追加を必要とせずに,ネットワークの分割運用を可能にします。
その反面,VLAN機能を有する機材の管理,運用などに制約が生じる可能性があります。
| VLANとしての構成図 |
-b.gif) |
設定の例
| VLAN A,Bを作成します。 | <入力例> CREATE VLAN=A VID=10 CREATE VLAN=B VID=20 |
| VLAN Aにポートを追加します。 ポート1〜8はタグを使わない通常のポート ポート16はタグを使用するポート と想定しています。 |
<入力例> ADD VLAN=A PORT=1-8 ADD VLAN=A PORT=16 FRAME=TAGGED |
| VLAN Bにポートを追加します。 ポート9〜15はタグを使わない通常のポート ポート16はタグを使用するポート と想定しています。 |
<入力例> ADD VLAN=B PORT=9-15 ADD VLAN=B PORT=16 FRAME=TAGGED |
| ポート16がタグ付きに設定され,VLAN A,B両方のデータがスイッチ間に流れる設定ができます。 | -c.gif) |
(4) 実際の導入例
学校で実際にVLANを運用している例を示します。
当初,L3スイッチは存在せず,ルータによる分割を行っていましたが,1台目のL3スイッチの導入を機に,大幅に運用が柔軟になりました。
現在では各棟にL3スイッチを配置し,全校でセキュリティの確保とほぼ自由な拡張が可能になっています。
この事例では,当初敷設したLANを次々と拡張していった様子がうかがえます。
-a.gif) |
この学校では,LANを利用した校務が日常的に行われています。運用に当たっては,LANスイッチの管理や,教員用ネットワークに接続されたPCに生徒が触れないような配慮をしています。
ネットワークの分割は大変便利な上,様々な面から有効です。その一方で,運用に関しては柔軟性とセキュリティのバランスが大変難しいため注意が必要です。
(1) VLAN導入に当たり必要なもの
ポート(ベース)VLANやタグVLANを利用したい場合は,それぞれのVLAN機能付きのLANスイッチが必要です。設定する環境と予算に合わせた機材を選定することが大切です。
また,多くのLANスイッチには,紹介したVLAN機能以外の様々なものが実装されています。これらの機能を有効に利用することは大切ですが,同時に管理者が代わる際には仕事の引継ぎが容易にできるようにしておきたいものです。
(2) セキュリティとのバランス
利用者の意見をくみつつ,セキュリティを保つことは容易なことではありません。技術的進展や周囲のスキルなどをかんがみながら,時期をみてセキュリティポリシーを見直すことも必要です。
(3) 機材の変動があるとき
新たにPCやプリンタが導入されたときなど,その管理者や管理場所のほか,用途を把握して適切な設置・設定が必要となります。近年利用が盛んなネットワーク上に設置する共有資源などは,特に注意が必要です。
URL:http://www.allied-telesis.co.jp/library/nw_guide/index.html(アライドテレシス ネットワーク講座)