同じ物理層でも異なる論理層のネットワーク

2008.12.16

　複数の会社を巻き込んだプロジェクトを進行するために前回考えたのは，ルーティングの制御によりレイヤー3で自社と他社のネットワークをつなぐ方式であった。しかしこの方式はでは，アクセスできるポートを限定し，中継するパケットをフィルタリングしたとしても，運用上のミスがあれば不正なアクセスを防ぐことができない。

　最近ではイーサネット・フレーム（転送するデータ・パケット）にVLAN番号を付けたタグ付きフレームを扱えるL2スイッチの品ぞろえが増えてきた。同じ物理ネットワークを使っていても，VLAN番号を分けることで論理的に異なる複数のネットワークを構築する技術である。

ネットワーク・アドレス重複の問題を解消

　例えば，L2スイッチの4つのポートに，それぞれA，B，C，Dの4台のパソコンをつないだとする。AとBのパソコンがつながっているポートにはVLAN100を，CとDのパソコンがつながっているポートにはVLAN200を設定する。通常，L2スイッチではつながった4台のパソコンはお互いにパケットを転送し合うことができる。しかし，このケースでは，VLAN100のパソコンAとB同士か，VLAN200のパソコンCとD同士しかパケットを転送しあうことができない。

　図3では，このVLANの技術を使って，データセンターの内部に3つの独立したネットワークを構築している。「VLAN100のA社の仮想ネットワーク」「VLAN200のA社とB社の共有ネットワーク」「VLAN300のB社の仮想ネットワーク」である。これら3つのネットワークは，VLAN番号が違うため，お互いにパケットを直接転送し合うことができないという意味で，独立したレイヤー2のネットワークになっている。

図3●2つの会社をデータセンター経由でつなげる（レイヤー2）

　次に，A社とデータセンターのつなぎ方を見てみよう。データセンター内のA社の仮想ネットワークは，L2-VPNと表示されたVPN装置を使って，A社のネットワークのファイアウオールと同じセグメントにレイヤー2でつながる。このため，A社の仮想ネットワークは，A社の社内ネットワークの一部になる。この結果，A社の仮想ネットワークのネットワーク・アドレスは，A社の社内に割り当てられるネットワーク・アドレスでなければならず，図3の場合は「192.168.20.0/24」を割り当てている。

　注意すべきことは，データセンター内のA社の仮想ネットワークをレイヤー2でA社のネットワークにつなげたからA社の社内ネットワーク・アドレスである「192.168.20.0/24」を割り当てたのであって，A社の仮想ネットワークに「192.168.20.0/24」を先に割り当ててレイヤー3で接続したのではないということである。別な言い方をすると，L2-VPN装置を使ってレイヤー2で接続したのであって，レイヤー3のVPN装置を使ったのでないということである。

　レイヤー2とレイヤー3の接続の違いは，ブロード・キャストのパケットの転送に違いが出るところだ。図3のレイヤー2での接続の場合，A社のファイアウオールのセグメントに流れ込むブロード・キャストのパケットはすべて，L2-VPN装置を経由してA社の仮想ネットワークに流れ込むことになる。このため，A社の仮想ネットワークのp君のVMは，社内のp君のパソコンと同じく，社内のファイル・サーバー，プリンタ・サーバー，ディレクトリなどのすべてのネットワーク・サービスにアクセスできる。ただし，L2-VPN装置間は社内LANより遅い回線なので，A社のネットワークからデータセンターのA社の仮想ネットワークに不要なパケットを転送しないように，通常はL2-VPNでパケットのフィルタリング設定をする。

　図3では，データセンターとB社もレイヤー2で接続している。データセンター内のB社の仮想ネットワークは，B社の社内ネットワークのアドレスを割り当てる。このとき，A社の仮想ネットワークとB社の仮想ネットワークのネットワーク・アドレスは同じでも構わない。データセンター内では，A社の仮想ネットワークはVLAN100に，B社の仮想ネットワークはVLAN300に割り当てているため，レイヤー2で独立したネットワークになっているからである。しかし、今回はp君とr君のVMからそれぞれ共有サーバーにアクセスするため、アドレスが同じでは共有サーバーでうまくルーティングできない。そこで、A社の仮想ネットワークには192.168.20.0/24を、B社の仮想ネットワークには192.168.30.0/24を割り当てることにする。

　A社のp君とB社のr君がファイルを共有するためには，データセンター内のA社とB社の共有ネットワークを使う。この共有ネットワークのネットワーク・アドレスは，A社の仮想ネットワークでもB社の仮想ネットワークでもない独立したネットワーク・アドレスを割り当てる。p君とr君はそのネットワークへのルーティングをファイアウオールに振り向けることで，共有ネットワーク上の共有サーバーにアクセスすることができる。