PR

 VLANがどこで使われているかを知ると,VLANの理解がより深まる。そこでPart3では,VLANが活用されている現場をのぞいてみよう。「ブロードキャストを自在に操る」というVLANのシンプルな機能が,さまざまなメリットを生み出していることがわかるはずだ。

ブロードキャストの嵐から通話を守る

 IP電話は,ネットワークに音声データを流して通話を実現する技術である。実はVLANは,IP電話を導入する際に欠かせない。

 IP電話を導入する際に考えなければいけないのは,通話時の品質である。というのも,電話というアプリケーションは,パケットが欠けたり遅延が発生すると,通話品質が落ちてしまうからだ。音声データの流れに別のパケットがちょっと流れ込んだだけで通話に支障が出てしまうのだ。

 IP電話の通話品質を保つ方法の一つとして,IP電話専用のLANを構築するという手がある。しかしこれは,LAN敷設のために膨大な手間やコストがかかってしまう。そこでVLANを利用する。物理的には1本のケーブルを使うのだが,VLANで音声用のLANと業務用のLANを分けるのである。

IP電話機がタグVLANの機能を持つ

 最近のIP電話機は,パソコン接続用とLANスイッチ接続用の二つのポートを持っている。こうしたIP電話機はタグVLAN機能を持っており,パソコンから送られてきたフレームとIP電話のフレームに別々のタグを付けて上位のLANスイッチに送信する*1。すると,このフレームを受け取ったLANスイッチで,音声用のVLANを認識することができる。ユーザーとLANスイッチをつなぐケーブルは1本のままで,音声用のVLANと業務用のVLANを分けことができるのである(図3-1)。

図3-1●IP電話ネットワークでVLANを活用
図3-1●IP電話ネットワークでVLANを活用
IP電話機がLANスイッチの役割を果たし,フレームにタグを付けて送り出す。
[画像のクリックで拡大表示]

 こうすると,社内ネットワークにつながるパソコンが出すブロードキャスト・フレームは一切,音声用のVLANには届かない。パソコンは頻繁にARPを送出するが,それらがIP電話やIP電話サーバーに届かなくなるので,音声通信の品質劣化を防げるのだ。

不正ユーザーをLANにつながせない

 企業ネットワークのセキュリティ分野でもVLANが活躍している。その代表が,「認証VLAN」と呼ばれる技術である。

 認証VLANは,VLANとユーザー認証を組み合わせた技術である。LANスイッチと認証サーバーが連携し,認証に合格したパソコンだけが社内LANにアクセスできる。こうして不正なユーザーを社内LANに入れないようにする。

 認証VLANの方式には,IEEE 802.1X方式とWeb認証方式の二つがある。それぞれの利用例を見てみよう。

採用が進んできたIEEE802.1X方式

 認証VLAN機能をうたうLANスイッチの多くが搭載しているのが,IEEE 802.1X方式である。この方式を使った認証VLANの流れを追ってみよう。

 LANスイッチのポートにケーブルをつなぐと(図3-2の(1)),パソコンに搭載されているIEEE802.1X用のクライアント・ソフト*2が認証用の画面を出す*3(同(2))。

図3-2●IEEE802.1Xを使った認証VLAN
図3-2●IEEE802.1Xを使った認証VLAN
EAPというしくみを使ってユーザー名とパスワードをやりとりし,ユーザーを認証する。認証に合格した時点でユーザーのパソコンがつながるポートにVLAN番号を割り当てる。
[画像のクリックで拡大表示]

 IEEE802.1X認証では,認証情報のやりとりにEAP*4と呼ばれるプロトコルを使う。その際,認証情報の送信にEAPOLフレーム*5と呼ばれるフレームを使う(同(3))。これは,MACフレームのデータ部分にEAPメッセージ(ユーザー名とパスワード)を格納したフレームである。

 LANスイッチは,このEAPメッセージを認証サーバーに渡す仲介役を務める。LANスイッチと認証サーバー間のやりとりには,EAP over RADIUSフレームが使われる(同(4))。これは,RADIUSのデータ部分にEAPメッセージを入れたフレームである。LANスイッチは,EAPメッセージをMACフレームからRADIUSパケットに乗せ変えて送るわけだ。

ポートにVLANを動的に割り当てる

 認証サーバーには,ユーザー名とパスワードとともに,ユーザーのVLAN番号が登録されている。認証サーバーはこの情報と,EAPメッセージ内のユーザー名とパスワードと照らし合わせ,このユーザーが正規のユーザーかどうかを判断する。正規のユーザーと認められれば,そのユーザーのVLAN番号をLANスイッチに返信する(同(5))。

 VLAN番号情報を受け取ったLANスイッチは,パソコンのつながるポートにそのVLAN番号を割り当てる。するとパソコンは,割り当てられたVLANにアクセスできるようになる(同(6))。

 認証VLANは,認証に合格したユーザーだけを社内LANに通すことができるので,不正に持ち込まれたユーザーのパソコンを排除できる。また,LANスイッチのどのポートにつないでも,ユーザーごとに決められたVLANに接続できるのもメリットだ。

手軽なWeb認証方式

 Web認証方式を使った認証VLANの例も見てみよう。

 基本的な動作の流れは,先に見たIEEE802.1X方式と同じである。LANスイッチが認証サーバーと連携し,ユーザーが認証に合格したら,パソコンがつながるLANスイッチのポートにVLAN番号を割り当てる。

 Web認証方式がIEEE802.1X方式と違う部分は,認証情報をやりとりするときに使うプロトコルである。Web認証方式は,そのやりとりにWebアクセスで使われるHTTP*6を使う。パソコンに認証用の特別なソフトをインストールする必要がなく,Webブラウザで認証できるのがメリットだ。

 Web認証方式を使った認証VLANの流れも確認しておこう(図3-3)。

図3-3●Web認証を使った認証VLAN
図3-3●Web認証を使った認証VLAN
ユーザーはWebブラウザを使って認証する。認証に合格したらLANスイッチのポートにVLANを割り当てるのはIEEE802.1X方式と同じ。
[画像のクリックで拡大表示]

 ユーザーがLANスイッチのポートにケーブルをつなぐと,パソコンに仮のIPアドレスが割り振られる(同(1))。ユーザーは次に,Webブラウザを起動してLANスイッチが内蔵しているWebサーバー機能にアクセスする。するとLANスイッチは,認証のための画面を返信する(同(2))。ユーザーはこの認証画面にユーザー名とパスワードを入力して送信する(同(3))。こうして認証情報を,HTTPでやりとりするわけだ。

 そのあとLANスイッチは,IDとパスワードをRADIUSパケットに乗せ変えてRADIUSサーバーに送り出す(同(4))。認証に合格したら,RADIUSサーバーがユーザーのVLAN番号を返信する(同(5))。こうしてパソコンは,割り当てられたVLANにアクセスできるようになる(同(6))。