ネットワークを分割して安全性・利便性を高める

　同じ属性を持つ固まりのことを「セグメント」と呼びます。情報通信ネットワークにおいては、何らかの条件で分けられた各ネットワークのことを指します。では、なぜネットワークを分ける必要があるのでしょうか。ここではまず、ネットワークを分割する理由について解説していきます。その上で、ネットワークを分割する方法にはどのようなものがあるのかを4つのタイプに分け説明し、特にセキュリティの高まる「VLAN」による分割方法について詳しく解説します。

ネットワークにおけるセグメント

　「区分」という意味を持つセグメント。ネットワークにおいてセグメントを作ることは、社内ネットワーク全体を保護するのに効果的です。

セグメントとは

　「セグメント」とは「区分」という意味で、もっと砕いた言い方をすると、「同属性の固まり」を指します。ネットワークにおける「セグメント」は、特定の条件の元に分割された各ネットワークのことを示します。

　多くの企業や家庭は、ネットワーク構築時にLANを使用しています。1つのLANにパソコンやルーター、サーバー、プリンタなどを接続することで、相互通信ができるようになります。各LANはインターネットの中に無数に点在する小さな固まりのネットワークです。このように、1つの範囲内に区分された小さなネットワークの固まりがセグメントと呼ばれます。

セグメントを分割する

　一般的にセグメントは適切な大きさに区分して管理します。たとえば会社内であれば部署ごとにネットワークを分離し、独立させる必要があります。ネットワークを区分する際には、ルーターなどをネットワークの境界に設置します。このように、部署や組織ごとに独立させたネットワークが「分割されたセグメント」です。ネットワークを分割する理由には、主に以下の2点があります。

ネットワークの混雑を緩和するため

　「セグメント」を分割する1つ目の理由は、ネットワークの混雑緩和です。特に規模の大きい企業は、ネットワークも大きくなるため、適切にセグメントを分割することで、混雑を緩和して通信速度の低下を防ぐことができます。

　ネットワークでは「ARP」と「DHCP」が適用されます。「ARP」とは、IPアドレスから「MACアドレス」を検索する仕組みです。「MACアドレス」は各機器に付与される住所のことで、ネットワーク上では、IPアドレスとMACアドレスを合致させることで正確なデータの受け渡しが行われます。

　一方「DHCP」とは、「IPアドレス」を自動的に割り当てる仕組みです。なお、「IPアドレス」とはネットワーク上の住所に該当し、各機器に与えられます。

　「ARP」と「DHCP」は企業ネットワークの基盤となるプロトコルで、ほぼすべてのネットワークに実装されています。なお、プロトコルとは各機器がネットワーク通信を行うための標準ルールです。しかし「APR」と「DHCP」は、通信の際に同ネットワーク内の全てのデバイスに信号を送るため、回線を圧迫してネットワーク全体の混雑を引き起こします。

　セグメントを分割し各ネットワークを区切ることで、APRやDHCPによるネットワーク全体の混雑を緩和することができます。

セキュリティを設定しやすくするため

　セグメントの分割が必要な2つ目の理由は、セキュリティの設定・管理をしやすくするためです。セグメントを作成しておくことで、各境界に設置されたルーターを使用して、セグメント間でのフィルタリングがしやすくなります。たとえばA部署のネットワークに対し、B部署からのアクセスは許可するが、C部署からのアクセスは禁止するということです。

　フィルタリングはサーバーを使用しても利用可能です。しかし、サーバーによるフィルタリングは設定が煩雑なため、セグメントを分割したほうが効率的です。

ネットワークを分割する方法を解説

ネッワークの混雑緩和や利便性を考えると、ネットワークを分割して管理することは重要です。次に、ネットワークの分割方法について解説します。

まずはイーサネットについて知る

　イーサネットとはネットワークとコンピューター間の有線通信の規格です。具体的には、有線LANにおけるネットワーク通信について定められています。ただし、一般的にイーサネットと言う場合、LANケーブル自体を指すことが多いです。たとえばイーサネット対応機器というのは、LANケーブルを接続して使用できる機器という意味です。

物理的に分割する方法

　物理的なネットワークの分割は、レイヤー2のスイッチを分けることで可能です。レイヤー2とはOSI参照モデルにおける「データリンク層」のことで、物理的に接続された機器への信号を管理しています。

　1台のレイヤー2のスイッチでは、1つのネットワークを構成できます。そのため、レイヤー2のスイッチを2台以上用意すれば、スイッチの数に応じたネットワークを構成できます。

IPアドレスの設定で分割する方法

　同じネットワークに接続されている機器であっても、IPアドレスの設定によって、ネットワークを分けることが可能です。前述のように、1台のレイヤー2スイッチに接続されている機器は、すべて同一のネットワークに繋がっています。

　IPアドレスの設定を変更すれば、同一のネットワーク内でさらに個別のネットワークを構成することができます。たとえば2台のパソコンにそれぞれIPアドレス「192.168.1.1/24」「192.168.2.1/24」を設定します。

　この方法にはデメリットがあります。物理的には1つのレイヤー2スイッチでつながっているネットワークであるため、「192.168.1.0/24」に送信した信号は、別のネットワークである「192.168.1.0/24」にも送信されます。つまり、無駄な信号の送信によって回線が圧迫されるリスクがあります。

物理的に分割してIPアドレスの設定でも分割する方法

　ネットワークを物理的に分割し、さらにIPアドレスの設定で分割することで、2つのネットワークは相互に関わることができなくなります。回線の混雑緩和が期待できる 一方、相互間でのネットワーク通信も絶たれることになります。そのため、分割したイーサネット同士はルーターによって接続を制御する必要があります。

VLANで分割する方法

　VLANは1台のレイヤー2スイッチでネットワークを分割する方法です。物理的に分割する場合と異なり、レイヤー2スイッチを複数準備する必要がないため、効率的にネットワークを分割することができます。

　VLANでイーサネットを分割するには、同一のVLAN内で割り当てるポート間のみでデータ通信を行うように設定するだけで設定が完了します。このとき、VLAN番号とIPアドレスを対応させることが重要です。特に VLAN番号とIPアドレスは数値の範囲が異なるため、対応させるときは注意してください。

VLANとは

　VLANとは1つのネットワークを論理的に複数に分割するネットワークのこと、あるいは、分割するための仕組みのことです。1つのスイッチに属しているネットワークを、スイッチを変更することで仮想的に分割することができます。

VLANの仕組み

　VLANとは、同一のVLANに付与された番号間でのみデータの送受信を行うことで、ネットワークを分割する仕組みです。VLAN番号とは 、VLANを識別する番号のことであり、同一のVLAN同士でしか通信ができなくなるため、論理的にはネットワークが分割された状態になるということです。

イーサネットフレームとは

　イーサネットフレームとは、イーサネット規格に則った通信の中でやり取りされるデータのことです。フレームはTCP/IPのパケットと同様、細分化されたデータの集合体です。データが細分化されるのは、一度に大量のデータを送って回線を圧迫しないためです。

VLAN設定時におけるイーサネットフレームの転送

　VLANでネットワークを分割することで、イーサネットフレームが転送される範囲が限定されます。これにより、ネットワーク全体のセキュリティが高まります。たとえばVLAN内の1つのネットワークがウイルスに汚染されたとしても、同じVLAN内にある他のネットワークとは分割されているため、被害を最小限に抑えることができます。

ネットワークの分割は安全性と利便性の向上につながる

　ネットワークを分割すると、回線全体の混雑の緩和や、セキュリティの強化にメリットがあります。規模の大きい企業は特に、通信混雑やウイルス汚染が命取りになることもあります。ネットワークの分割による効率性と安全性の高いシステム運用がおすすめです。