中規模ネットワークの構築 - 集中ルーティング型の論理設計
40,50人〜数千人が利用する中規模ネットワークを構築する時の集中ルーティング型における論理設計について説明します。
VLAN
集中ルーティング型ではコアスイッチでルーティングを行い、エッジスイッチではルーティングを行わないため、VLANの区切りはコアスイッチになります。
つまり、VLANの区切りとなるルーティングポイントはコアスイッチであり、レイヤー3で見た場合はエッジスイッチはなくても同じです。
物理的な接続と対比させると以下のようになります。
VLAN10〜60はコアスイッチでルーティングされますが、エッジスイッチはスイッチしているだけでルーティングポイントではありません。
全てのエッジスイッチで同じVLANを利用出来るように設定出来るため、人が移動してパソコンを異なるエッジスイッチに接続する事になっても、これまでと同じVLANを利用可能です。
リンクアグリゲーション
コアスイッチ間は重要なためリンクアグリゲーションで接続します。
コアスイッチとエッジスイッチ間も通信量が多い場合はリンクアグリゲーションを検討します。
スパニングツリー
集中ルーティングの場合はスパニングツリーの設計を行います。
VLANの数が少ない場合はSTP、PVST+の内、スイッチがサポートしている方を選択すれば大丈夫ですが、スイッチがサポートしている場合は高速切り替え可能なようにRSTP、若しくはRapidPVST+にします。又、複数の機種があり、スイッチでサポートしているSTPが混在している場合、可能な限り統一出来るSTPの種類にします。
設計の考え方としては、片方のコアスイッチがルートブリッジとなるように優先度を高くし、万一障害が発生しても他方のコアスイッチがルートブリッジになるように次に優先度を高くします。優先度が高いコアスイッチ2台はエッジスイッチとの接続部分でブロッキングにならないため、コストが同じであってもエッジスイッチ側がブロッキングになります。
VLAN単位でコアスイッチ1側、コアスイッチ2側を使うか分散させたい場合はPVST+、RapidPVST+、又はMSTPを選択します。高速切り替えを考慮した場合はRapidPVST+かMSTPにします。
VLAN単位でも設計の考え方は同じで、コアスイッチを経由して通信するVLANでは優先度を高くし、他方のコアスイッチは次に優先度が高くなるようにします。コストは全て同じでもエッジスイッチ側がブロッキングになります。
PVST+、又はRapidPVST+の方が構築は容易ですが、VLAN数が30を越えるような場合はBPDUの処理でエッジスイッチが遅くなる可能性があるため、MSTPを選択します。
スパニングツリーでは片方のコアスイッチがダウンした場合やケーブルに不具合が発生した場合でも切り替えて通信可能です。
尚、装置独自機能としてFlex Link、バックアップポート、EPSR、EAPS等のスパニングツリー代替え機能を持っているスイッチの場合はスパニングツリーの代わりに適用を検討します。この場合も上記と同様な冗長性を確保出来、スパニングツリーと比較して導入や運用が簡単になります。
アドレス設計
各VLANに割り当てるサブネットを検討し、表にします。
| VLAN | サブネット | マスク | 用途 |
|---|---|---|---|
| 10 | 172.16.1.0 | 255.255.255.248 | コアスイッチ〜ファイアウォール間 |
| 20 | 172.16.2.0 | 255.255.255.0 | グループA |
| 30 | 172.16.3.0 | 255.255.255.0 | グループB |
| 40 | 172.16.4.0 | 255.255.255.0 | グループC |
| 50 | 172.16.5.0 | 255.255.255.0 | グループD |
| 60 | 172.16.6.0 | 255.255.255.0 | グループE |
合わせて「物理設計」で示した「接続表」で各インターフェースに割り当てるVLANを記載します。
又、各スイッチやファイアウォールに割り当てるIPアドレスを表にします。IPアドレスはVLANの区切りとなるルーティングポイントに対して割り当てます。
このため、集中ルーティング型ではコアスイッチとファイアウォールに割り当てます。
| VLAN | 装置 | IPアドレス |
|---|---|---|
| 10 | 仮想 | 172.16.1.1 |
| コアスイッチ1 | 172.16.1.2 | |
| コアスイッチ2 | 172.16.1.3 | |
| ファイアウォール | 172.16.1.4 | |
| 20 | 仮想 | 172.16.2.1 |
| コアスイッチ1 | 172.16.2.2 | |
| コアスイッチ2 | 172.16.2.3 | |
| 30 | 仮想 | 172.16.3.1 |
| コアスイッチ1 | 172.16.3.2 | |
| コアスイッチ2 | 172.16.3.3 | |
| 40 | 仮想 | 172.16.4.1 |
| コアスイッチ1 | 172.16.4.2 | |
| コアスイッチ2 | 172.16.4.3 | |
| 50 | 仮想 | 172.16.5.1 |
| コアスイッチ1 | 172.16.5.2 | |
| コアスイッチ2 | 172.16.5.3 | |
| 60 | 仮想 | 172.16.6.1 |
| コアスイッチ1 | 172.16.6.2 | |
| コアスイッチ2 | 172.16.6.3 |
スタティックルーティング
集中ルーティング型ではコアスイッチはファイアウォール、ファイアウォールはインターネットがデフォルトゲートウェイになるようにします。
集中ルーティング型で冗長化を行うためにVRRPの設計を行います。
VRRPを構築しない場合、パソコンではデフォルトゲートウェイの設定が1つしか出来ないため、障害発生時に切り替わりが出来ません。
このため、コアスイッチでVRRPを構成し、仮想IPアドレスを設定します。前述の「アドレス設計」の表で仮想と記載されているアドレスが仮想IPアドレスになります。
パソコンで仮想IPアドレスをデフォルトゲートウェイにする事で1台のコアスイッチに障害が発生した場合でも他方のコアスイッチで通信を継続可能になります。
VRRPはVLAN毎にマスタールーターを変える事が出来ますが、同じVLANではマスタールーターはスパニングツリーのルートブリッジと同じコアスイッチにします。つまり、片方のコアスイッチで通信を行い、他方のコアスイッチは待機とする場合は全てのVLANでスパニングツリーのルートブリッジとVRRPのマスタールーターは同じにします。
同じでないと以下のように余計な通信が発生します。
この場合、どちらのコアスイッチがダウンしても切り替えにより通信が途切れます。
スパニングツリーでは障害が復旧すると元の経路に戻るため、VRRPも元に戻るようにプリエンプトモードはデフォルトのままにします。
VLAN単位でコアスイッチ1側、コアスイッチ2側を使うか分散させる事も可能ですが、この場合もスパニングツリーのルートブリッジとVRRPのマスタールーターはセットにして考えます。
上記の例では、VLAN10〜30間の通信、及びVLAN40〜60間の通信は1つのコアスイッチを経由するだけですが、VLAN10とVLAN40間の通信等、ルートブリッジ、マスタールーターが異なるVLAN間の通信は2つのコアスイッチを経由するため、どちらのコアスイッチに障害が発生した場合でも切り替えにより通信が途切れます。
又、インターネットへの通信はVLAN10〜30は1つのコアスイッチを経由するだけですが、VLAN40〜60は2つのコアスイッチを経由するため、どちらのコアスイッチに障害が発生した場合でも切り替えにより通信が途切れます。
DHCPリレーエージェント
DHCPリレーエージェントは通常はパソコンのデフォルトゲートウェイとなるスイッチで、該当のVLANに対して設定します。
このため、集中ルーティング型ではコアスイッチで各VLANに対してDHCPリレーが出来るようにDHCPサーバーのIPアドレスを設定します。
