ネットワークを分割して安全性・利便性を高める

　同じ属性を持つ固まりのことを「セグメント」と呼びます。情報通信ネットワークにおいては、何らかの条件で分けられた各ネットワークのことを指します。では、なぜネットワークを分ける必要があるのでしょうか。ここではまず、ネットワークを分割する理由について解説していきます。その上で、ネットワークを分割する方法にはどのようなものがあるのかを4つのタイプに分け説明し、特にセキュリティの高まる「VLAN」による分割方法について詳しく解説します。

ネットワークにおけるセグメント

　「区分」という意味を持つセグメント。ネットワークにおいてセグメントを作ることは、社内ネットワーク全体を保護するのに効果的です。

セグメントとは

　「セグメント」とは「区分」という意味で、もっと砕いた言い方をすると、「同属性の固まり」を指します。ネットワークにおける「セグメント」は、特定の条件の元に分割された各ネットワークのことを示します。

　多くの企業や家庭は、ネットワーク構築時にLANを使用しています。1つのLANにパソコンやルーター、サーバー、プリンタなどを接続することで、相互通信ができるようになります。各LANはインターネットの中に無数に点在する小さな固まりのネットワークです。このように、1つの範囲内に区分された小さなネットワークの固まりがセグメントと呼ばれます。

セグメントを分割する

　一般的にセグメントは適切な大きさに区分して管理します。たとえば会社内であれば部署ごとにネットワークを分離し、独立させる必要があります。ネットワークを区分する際には、ルーターなどをネットワークの境界に設置します。このように、部署や組織ごとに独立させたネットワークが「分割されたセグメント」です。ネットワークを分割する理由には、主に以下の2点があります。

ネットワークの混雑を緩和するため

　「セグメント」を分割する1つ目の理由は、ネットワークの混雑緩和です。特に規模の大きい企業は、ネットワークも大きくなるため、適切にセグメントを分割することで、混雑を緩和して通信速度の低下を防ぐことができます。

　ネットワークでは「ARP」と「DHCP」が適用されます。「ARP」とは、IPアドレスから「MACアドレス」を検索する仕組みです。「MACアドレス」は各機器に付与される住所のことで、ネットワーク上では、IPアドレスとMACアドレスを合致させることで正確なデータの受け渡しが行われます。

　一方「DHCP」とは、「IPアドレス」を自動的に割り当てる仕組みです。なお、「IPアドレス」とはネットワーク上の住所に該当し、各機器に与えられます。

　「ARP」と「DHCP」は企業ネットワークの基盤となるプロトコルで、ほぼすべてのネットワークに実装されています。なお、プロトコルとは各機器がネットワーク通信を行うための標準ルールです。しかし「APR」と「DHCP」は、通信の際に同ネットワーク内の全てのデバイスに信号を送るため、回線を圧迫してネットワーク全体の混雑を引き起こします。

　セグメントを分割し各ネットワークを区切ることで、APRやDHCPによるネットワーク全体の混雑を緩和することができます。

セキュリティを設定しやすくするため

　セグメントの分割が必要な2つ目の理由は、セキュリティの設定・管理をしやすくするためです。セグメントを作成しておくことで、各境界に設置されたルーターを使用して、セグメント間でのフィルタリングがしやすくなります。たとえばA部署のネットワークに対し、B部署からのアクセスは許可するが、C部署からのアクセスは禁止するということです。

　フィルタリングはサーバーを使用しても利用可能です。しかし、サーバーによるフィルタリングは設定が煩雑なため、セグメントを分割したほうが効率的です。

ネットワークを分割する方法を解説

ネッワークの混雑緩和や利便性を考えると、ネットワークを分割して管理することは重要です。次に、ネットワークの分割方法について解説します。

まずはイーサネットについて知る

　イーサネットとはネットワークとコンピューター間の有線通信の規格です。具体的には、有線LANにおけるネットワーク通信について定められています。ただし、一般的にイーサネットと言う場合、LANケーブル自体を指すことが多いです。たとえばイーサネット対応機器というのは、LANケーブルを接続して使用できる機器という意味です。

物理的に分割する方法

　物理的なネットワークの分割は、レイヤー2のスイッチを分けることで可能です。レイヤー2とはOSI参照モデルにおける「データリンク層」のことで、物理的に接続された機器への信号を管理しています。

　1台のレイヤー2のスイッチでは、1つのネットワークを構成できます。そのため、レイヤー2のスイッチを2台以上用意すれば、スイッチの数に応じたネットワークを構成できます。

IPアドレスの設定で分割する方法

　同じネットワークに接続されている機器であっても、IPアドレスの設定によって、ネットワークを分けることが可能です。前述のように、1台のレイヤー2スイッチに接続されている機器は、すべて同一のネットワークに繋がっています。

　IPアドレスの設定を変更すれば、同一のネットワーク内でさらに個別のネットワークを構成することができます。たとえば2台のパソコンにそれぞれIPアドレス「192.168.1.1/24」「192.168.2.1/24」を設定します。

　この方法にはデメリットがあります。物理的には1つのレイヤー2スイッチでつながっているネットワークであるため、「192.168.1.0/24」に送信した信号は、別のネットワークである「192.168.1.0/24」にも送信されます。つまり、無駄な信号の送信によって回線が圧迫されるリスクがあります。

物理的に分割してIPアドレスの設定でも分割する方法

　ネットワークを物理的に分割し、さらにIPアドレスの設定で分割することで、2つのネットワークは相互に関わることができなくなります。回線の混雑緩和が期待できる 一方、相互間でのネットワーク通信も絶たれることになります。そのため、分割したイーサネット同士はルーターによって接続を制御する必要があります。

VLANで分割する方法

　VLANは1台のレイヤー2スイッチでネットワークを分割する方法です。物理的に分割する場合と異なり、レイヤー2スイッチを複数準備する必要がないため、効率的にネットワークを分割することができます。

　VLANでイーサネットを分割するには、同一のVLAN内で割り当てるポート間のみでデータ通信を行うように設定するだけで設定が完了します。このとき、VLAN番号とIPアドレスを対応させることが重要です。特に VLAN番号とIPアドレスは数値の範囲が異なるため、対応させるときは注意してください。

VLANとは

　VLANとは1つのネットワークを論理的に複数に分割するネットワークのこと、あるいは、分割するための仕組みのことです。1つのスイッチに属しているネットワークを、スイッチを変更することで仮想的に分割することができます。

VLANの仕組み

　VLANとは、同一のVLANに付与された番号間でのみデータの送受信を行うことで、ネットワークを分割する仕組みです。VLAN番号とは、VLANを識別する番号のことであり、同一のVLAN同士でしか通信ができなくなるため、論理的にはネットワークが分割された状態になるということです。

イーサネットフレームとは

　イーサネットフレームとは、イーサネット規格に則った通信の中でやり取りされるデータのことです。フレームはTCP/IPのパケットと同様、細分化されたデータの集合体です。データが細分化されるのは、一度に大量のデータを送って回線を圧迫しないためです。

VLAN設定時におけるイーサネットフレームの転送

　VLANでネットワークを分割することで、イーサネットフレームが転送される範囲が限定されます。これにより、ネットワーク全体のセキュリティが高まります。たとえばVLAN内の1つのネットワークがウイルスに汚染されたとしても、同じVLAN内にある他のネットワークとは分割されているため、被害を最小限に抑えることができます。