中規模ネットワークの構築 - 集中ルーティング型の論理設計
40,50人〜数千人が利用する中規模ネットワークを構築する時の集中ルーティング型における論理設計について説明します。
VLAN
集中ルーティング型ではコアスイッチでルーティングを行い、エッジスイッチではルーティングを行わないため、VLANの区切りはコアスイッチになります。
つまり、VLANの区切りとなるルーティングポイントはコアスイッチであり、レイヤー3で見た場合はエッジスイッチはなくても同じです。
物理的な接続と対比させると以下のようになります。
VLAN10〜30はコアスイッチでルーティングされますが、エッジスイッチはスイッチしているだけでルーティングポイントではありません。
エッジスイッチが増えた場合でも同じVLANを利用できるため、人が移動してパソコンを異なるエッジスイッチに接続することになっても、これまでと同じVLANを利用可能です。
リンクアグリゲーション
コアスイッチ間は重要なため、リンクアグリゲーションで接続します。
コアスイッチとエッジスイッチ間も通信量が多い場合はリンクアグリゲーションを検討します。
スパニングツリープロトコル
集中ルーティングの場合は、スパニングツリープロトコルの設計を行います。
VLANの数が少ない場合はSTP、PVST+の内、LANスイッチがサポートしている方を選択すれば大丈夫ですが、LANスイッチがサポートしている場合は高速切り替え可能なようにRSTP、もしくはRapidPVST+にします。また、複数の機種があり、LANスイッチでサポートしているSTPが混在している場合、可能な限り統一できるSTPの種類にします。
設計の考え方としては、片方のコアスイッチがルートブリッジとなるように優先度を高くし、万一障害が発生しても他方のコアスイッチがルートブリッジになるように次に優先度を高くします。優先度が高いコアスイッチ2台はエッジスイッチとの接続部分でブロッキングポートにならないため、コストが同じであってもエッジスイッチ側がブロッキングになります。
VLAN単位でコアスイッチ1側、コアスイッチ2側を使うか分散させたい場合は、PVST+、RapidPVST+、またはMSTPを選択します。高速切り替えを考慮した場合はRapidPVST+かMSTPにします。
VLAN単位でも設計の考え方は同じで、コアスイッチを経由して通信するVLANでは優先度を高くし、他方のコアスイッチは次に優先度が高くなるようにします。コストはすべて同じでもエッジスイッチ側がブロッキングになります。
PVST+、またはRapidPVST+の方が構築は容易ですが、VLAN数が30を越えるような場合はBPDUの処理でエッジスイッチが遅くなる可能性があるため、MSTPを選択します。
スパニングツリープロトコルでは片方のコアスイッチがダウンした場合や、ケーブルに不具合が発生した場合でも切り替えて通信可能です。
なお、装置独自機能としてFlex Link、バックアップポート、EPSR、EAPSなどのスパニングツリー代替え機能を持っているLANスイッチの場合は、スパニングツリープロトコルの代わりに適用を検討します。この場合も上記と同様な冗長性を確保でき、スパニングツリープロトコルと比較して導入や運用が簡単になります。
アドレス設計
各VLANに割り当てるサブネットを検討し、表にします。
| VLAN | サブネット | マスク | 用途 |
|---|---|---|---|
| 10 | 172.16.10.0 | 255.255.255.248 | コアスイッチ〜ファイアウォール間 |
| 20 | 172.16.20.0 | 255.255.255.0 | グループA |
| 30 | 172.16.30.0 | 255.255.255.0 | グループB |
合わせて、「物理設計」で示した接続表で各インターフェースに割り当てるVLANを記載します。
また、各LANスイッチやファイアウォールに割り当てるIPアドレスを表にします。IPアドレスは、VLANの区切りとなるルーティングポイントに対して割り当てます。
このため、集中ルーティング型ではコアスイッチとファイアウォールに割り当てます。
| VLAN | 装置 | IPアドレス |
|---|---|---|
| 10 | 仮想 | 172.16.10.1 |
| コアスイッチ1 | 172.16.10.2 | |
| コアスイッチ2 | 172.16.10.3 | |
| ファイアウォール | 172.16.10.4 | |
| 20 | 仮想 | 172.16.20.1 |
| コアスイッチ1 | 172.16.20.2 | |
| コアスイッチ2 | 172.16.20.3 | |
| 30 | 仮想 | 172.16.30.1 |
| コアスイッチ1 | 172.16.30.2 | |
| コアスイッチ2 | 172.16.30.3 |
スタティックルーティング
集中ルーティング型ではコアスイッチはファイアウォール、ファイアウォールはインターネットがデフォルトゲートウェイになるようにします。
また、ファイアウォールでは172.16.20.0/24と172.16.30.0/24の経路を、次で説明するVRRPの仮想IPアドレス172.16.10.1をゲートウェイとして、スタティックルートに追加します。これで、コアスイッチがルーティングしてVLAN20や30と通信可能になります。
VRRP
集中ルーティング型で冗長化を行うために、VRRPの設計を行います。
VRRPを構築しない場合、パソコンではデフォルトゲートウェイの設定が1つしかできないため、障害発生時に切り替わりができません。
このため、コアスイッチでVRRPを構成し、仮想IPアドレスを設定します。前述の「アドレス設計」の表で仮想と記載されているアドレスが仮想IPアドレスになります。
パソコンで仮想IPアドレスをデフォルトゲートウェイにすることで、1台のコアスイッチに障害が発生した場合でも他方のコアスイッチで通信を継続可能になります。
VRRPは、VLANごとにマスタールーターを変えることができますが、同じVLANではマスタールーターはスパニングツリープロトコルのルートブリッジと同じコアスイッチにします。つまり、片方のコアスイッチで通信を行い、他方のコアスイッチは待機とする場合はすべてのVLANでスパニングツリープロトコルのルートブリッジとVRRPのマスタールーターは同じにします。
同じでないと、以下のように余計な通信が発生します。
この場合、どちらのコアスイッチがダウンしても切り替えにより通信が途切れます。
スパニングツリープロトコルでは障害が復旧すると元の経路に戻るため、VRRPも元に戻るようにプリエンプトモードはデフォルトのままにします。
VLAN単位でコアスイッチ1側、コアスイッチ2側を使うか分散させることも可能ですが、この場合もスパニングツリーのルートブリッジとVRRPのマスタールーターはセットにして考えます。
留意点としては、インターネットへの通信はVLAN20では1つのコアスイッチを経由するだけですが、VLAN30は2つのコアスイッチを経由するため、どちらのコアスイッチに障害が発生した場合でも切り替えにより通信が途切れます。(ルーティングを2台のコアスイッチで分散できるメリットもありますが、経路が複雑化するデメリットもあります)
DHCPリレーエージェント
DHCPリレーエージェントは、通常はパソコンのデフォルトゲートウェイとなるLANスイッチで、該当のVLANに対して設定します。
このため、集中ルーティング型ではコアスイッチで各VLANに対してDHCPリレーができるようにDHCPサーバーのIPアドレスを設定します。
補足
ファイアウォールでスパニングツリープロトコルが利用できない場合、コアスイッチ間でVLAN10は利用しないようにします。また、スパニングツリープロトコルによってコアスイッチ2でブロッキングされないように、VLAN10のスパニングツリープロトコルは無効にします。
もし、スパニングツリープロトコルを有効にしてコアスイッチ2側がブロッキングになったとします。その場合は、VRRPも遮断されてしまいます。
また、ルーターでLAN側に複数サブネットが作れる場合は、VLAN10と11など分けてルーティングすることでもループを防げます。
この場合、ファイアウォールからコアスイッチへの経路ではVRRPが使えません(同一サブネットではないため)。このため、コアスイッチとファイアウォール間はダイナミックルーティングの適用が必要になります。
中規模ネットワークの構築関連ページ
- 1ページ目「物理設計」
- 2ページ目「集中ルーティング型の論理設計」
- 3ページ目「分散ルーティング型の論理設計」
- 4ページ目「その他の論理設計」
- 5ページ目「運用管理設計」