ネットワークの「分割」
ルータは、ネットワークの「分割」を行うためのネットワーク機器ともいえます。ルータはブロードキャストを通しません。そのため、ルータによってブロードキャストドメイン、すなわちネットワークを分割することができます。分割されたネットワーク同士はルータで相互接続されているので、その間での通信が可能です。
ネットワークを分割する理由
ルータでネットワークを分割できますが、なぜ、ネットワークを分割する必要があるのでしょうか? ネットワークを分割する主な目的は、次のとおりです。
- 不要なデータ転送の制限
- セキュリティの確保
- 管理の効率化
どのようにネットワークを分割するかについて、明確な基準はありません。ネットワークを設計する際にケースバイケースでネットワークの分割を考えていきます。企業の社内ネットワークであれば、多くの場合、
- 部署などの業務単位での分割
- フロアなどの物理的な配置による分割
- 上記2つの組み合わせ
といった基準でネットワークの分割を検討します。
不要なデータ転送の制限
最もシンプルなネットワーク構成は、レイヤ2スイッチだけで構成する1つのネットワークにいろんな機器を接続した形です。ただし、このようなネットワーク構成では、不要なデータ転送がたくさん発生してしまうことになります。典型的な例がARP(本連載第5回)でのアドレス解決です。ARPはIPアドレスからMACアドレスを求めるためのプロトコルで、ブロードキャストを利用しています。
例えば、同じレイヤ2スイッチに接続されているホストのMACアドレスを求めるため、あるホストがARPリクエストを送信したとしましょう。このARPリクエストは、他のレイヤ2スイッチも含めて、同じネットワーク上にあるすべての機器にフラッディングされます。すべての機器はARPリクエストを受信し、自身への問い合わせかどうか判断しますが、MACアドレスを求めたいホスト以外の機器にとってこの処理は全く無用なものです。つまり、1つのネットワークだと、ネットワーク上に余計なARPリクエストがばらまかれ、関係のない機器に余計な処理負荷をかけてしまいます。
余計なデータ転送が発生するのは、ARPリクエストのようなブロードキャストだけではありません。マルチキャストやUnknownユニキャストもフラッディングされて、余計なデータ転送が発生します。こうした余計なデータ転送やそれに伴うホストの処理負荷を軽減するため、ネットワークは適切な範囲で分割します。
セキュリティの確保
ネットワーク間でのデータのやり取りは、必ずルータを経由して行われます。そのことを利用し、ルータをネットワークとネットワークの間に置かれた「関所」とすることで、不正な通信を遮断し、セキュリティを確保することができます[3]。ルータにやってきたIPパケットを転送する前に、それが正規の通信データであるかどうかをルータにチェックさせます[4]。
管理の効率化
複数の拠点にまたがるような大きな企業のネットワークを、分割せずに1つのネットワークとして構築しては、管理が煩雑になってしまいます。適切な範囲で分割することで、管理する対象のネットワークの範囲が小さくなり、効率よく管理できます。
注
[3]: 企業向けのレイヤ2スイッチには転送するIPパケットをチェックできる製品もありますが、ルータほど柔軟なチェックができないものがほとんどです。
[4]: IPパケットを転送する際にルータがセキュリティチェックを行うためには、ルータにそのための設定が必要です。設定をしていないと、ルーティングテーブルに載っている宛先でありさえすれば、データをそのまま転送します。Ciscoのルータでは主にアクセスコントロールリストの設定を行います。
