- PR -

広域イーサネットでのタグVLAN使用について

1
投稿者投稿内容
nori77
会議室デビュー日: 2005/04/12
投稿数: 5
投稿日時: 2005-04-12 10:31
広域イーサネットでのタグVLAN使用について悩んでおります。
もしお分かりになる方がいらっしゃいましたらお助け下さい。

タグVLAN対応のL3スイッチ(またはルータ)を使って、広域イーサネットで
繋がれた2拠点を接続しようとしています。
拠点と部署名を仮に下記としたとき、

 A拠点: 総務部、営業部
 B拠点: 総務部、営業部

A-B拠点の総務部同士は通信可能、営業部同士は通信可能、総務部と営業部
は通信しないようにしたいと思っています。
広域イーサネットはタグVLAN(IEEE802.1Q)を透過するとの事なので、L3
スイッチのLANの設定で総務部をVLANグループ1、営業部をVLANグループ2
と設定して、拠点間をレイヤー2で通信すれば実現できると思いますが、
広域イーサネットの中をブロードキャストが流れることになり、効率が悪く
なります。

そこで、A拠点を1セグメント、広域イーサネット(WAN側)を1セグメント、
B拠点を1セグメントとして、レイヤー3で通信しながらも、タグVLANを活用
したい。このような運用は可能でしょうか?
komey
ベテラン
会議室デビュー日: 2003/11/27
投稿数: 76
投稿日時: 2005-04-12 18:57
記載されている構成では、それなりの設定をしないと
ルーティングできないような気がします。
拠点間でIPアドレス帯域が同じということは、ルータはどのIPアドレスが
どちらの拠点にあるのか知らない、ということになりますよね?
どのIPアドレスがどちらの拠点にあるのかを明示的に設定する、とか
どのインタフェースから入ってきたパケットはどちらに流す、とか
機器によってはできなくはないですが、あまり現実的ではないかと。


混乱を避けるためにセグメントとVLANの範囲を一致させるのが
一般的だと(私は)思います。
というわけで、私が設計するとすると、
・A拠点の総務部を1セグメント
・A拠点の営業部を1セグメント
・B拠点の総務部を1セグメント
・B拠点の営業部を1セグメント
・WANを1セグメント
と分けて、A拠点とB拠点の同じ部同士のみの通信を許可するよう
ルータなりL3スイッチなりでフィルタリングし、
配下のL2スイッチは共用できるようセグメントごとにVLANを分ける、ということを考えます。
けっこう素直な設計かなという気がするのですが、問題ありそうでしょうか。


[ メッセージ編集済み 編集者: komey 編集日時 2005-04-12 18:59 ]
くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-04-13 12:46
こんにちわ。
[QUOTE/]そこで、A拠点を1セグメント、広域イーサネット(WAN側)を1セグメント、
B拠点を1セグメントとして、レイヤー3で通信しながらも、タグVLANを活用
したい。このような運用は可能でしょうか? [/QUOTE]
無理でしょう。
タグVLANを通すインターフェイスにはIPアドレスは設定出来ません。
単なる土管みたいなものです。

komeyさんの言われる通りの構成が普通だと思います。
どうしてもこの構成で組む場合は、ルータでネットワークのサブネットマスクの調整
とProxy-arpの処理及びACLを組み合わせれば出来るかもしれません。
実施する際は、しっかりとした検証を行う必要があります。
nori77
会議室デビュー日: 2005/04/12
投稿数: 5
投稿日時: 2005-04-13 14:50
いろいろ教えていただき有難うございます。
もやもやしていた部分がすっきりしました。

引用:

タグVLANを通すインターフェイスにはIPアドレスは設定出来ません。
単なる土管みたいなものです。



やはりそうですか。
つまり同一セグメント上でのみタグVLANは有効に働くということですね。
komeyさんの言われる通り、それぞれセグメント分割して、IPフィルタ
リングでアクセス制御したいと思います。
1

スキルアップ/キャリアアップ(JOB@IT)