PR

ネットワーク機器「L2スイッチ」のポイント

2018年9月19日(水)
加藤 裕

はじめに

今回は、ネットワーク機器の「レイヤ2スイッチ(L2スイッチ)」について解説します。試験では、L2スイッチの冗長機能など、ネットワークを利用しやすくするための機能を扱った問題が多く出題されています。また、近年は仮想化技術と組み合わせた問題が出題されているため、定番の構成は把握しておく必要があります。なお、L3スイッチやルータの機能(ルーティングや冗長化技術)については第2回で解説しましたので、そちらを参照してください。

L2スイッチのポイント

L2スイッチの基本機能

L2スイッチはデータリンク層の機能をサポートしたネットワーク機器です。セグメント内の端末を接続する機器として広く利用されています。L2スイッチの基本機能を表1に示します。

表1:L2スイッチの代表的な基本機能

機能 概要
全二重通信 L2スイッチは受信したパケットをバッファで処理するため、ポート間の通信で衝突(コリジョン)が発生しない全二重通信を実現できる
MACアドレステーブル 端末が接続しているポートをMACアドレスで管理するテーブル。L2スイッチが受信するフレームの送信元MACアドレスを確認して自動的に学習する。また、L2スイッチがフレームを送信する際には、学習したMACアドレステーブルを参照して送信するポートを決定する。宛先が学習済みのMACアドレスであった場合に不要なポートへデータが流れないメリットがある
オートネゴシエーション 装置にケーブルを接続した際に、対向のポートと信号を交換して通信速度やデュプレックス(複信方式)を自動判別する仕組み。異なる通信速度の規格のポート同士を接続しても最適な条件に調整して通信できる

VLAN(Virtual LAN)

VLANはL2スイッチ内でブロードキャストドメインを分割できる機能です。通常、L2スイッチは1つの機器で1つのブロードキャストドメインを構成しますが、VLANを設定することで1つの機器に複数のブロードキャストドメインを構成できます。物理的な構成を変更せずにVLANの設定だけで新しいセグメントの追加や削除に対応できるため、ネットワーク構成の柔軟性を高めることができます。

VLANはVLAN-IDの値でブロードキャストドメインを管理します。同一のVLAN-IDを同じブロードキャストドメインとして扱い、異なるVLAN-IDは異なるブロードキャストドメインとして扱います。VLAN-IDには12ビットのフィールドが割り当てられており、1~4094の値が利用できます(オール0ビットとオール1ビットは予約扱いのため使用不可)。

VLANを利用する場合は何らかのVLAN-IDを割り当てますが、1つのVLAN-IDを利用するポートをアクセスポートと呼び、複数のVLAN-IDを利用できるポートをトランクポートと呼びます(図1)。アクセスポートとトランクポートの代表的な設定方法を表2に示します。

図1:VLANの利用イメージ

表2:VLANの基本設定

設定方法 概要
アクセスポート
ポートベースVLAN L2スイッチのポートにVLAN-IDの値を固定的に割り当てる設定方法。VLAN-IDを明示的に設定できることから広く利用されている
トランクポート
タグVLAN IEEE802.1Qで策定された方式。Ethernetヘッダに4バイトのタグを付与し、その中に含まれる12ビット分のフィールドにVLAN-IDを書き込み、どのVLAN-IDからの通信であるかを通知、識別する。複数のVLAN-IDの通信を1ポートで通すことができるため、ポートの利用効率を高められる。主にL2スイッチ間の接続に利用される

スパニングツリープロトコル(STP)

STP(Spanning Tree Protocol)はネットワーク上に論理的なツリーを構築し、ツリー構造に不要なリンクをブロッキング状態として通信を論理的にブロックし、通信のループを防止するプロトコルです。IEEE802.1Dで策定されています。

L2スイッチで冗長な経路を構成すると、その箇所でネットワークのループが構成されます。この箇所にブロードキャストパケットが流れ込むと、ループにより通常の通信が全く通らなくなるトラブルが発生します。これをブロードキャストストームと呼びます。ループ構成は利用者の誤接続などで意図せず構成される場合もあるため、ネットワークのトラブルとしては発生しやすい部類に属します。STPはループの構成を動的に防ぐことができるため、ネットワークに冗長な経路を構成する以外にも、ブロードキャストストームの発生を予防する目的でも利用されます。

・STPのツリー構築

STPはBPDU(Bridge Protocol Data Unit )と呼ばれるパケットを(デフォルト)2秒毎に流してL2スイッチ間で情報を交換し、自動的に論理的なツリーを構築します。ツリーを構築した後もBPDUは送信され続けるため、ネットワーク構成が変化した場合は、自動的に論理的なツリーを再構築します。

以下は、STPにおけるツリー構築の流れです。

  1. ルートブリッジの選出
    ルートブリッジはSTPで論理的なツリーを構築する際に中心となるL2スイッチです。BPDUを交換してブリッジID(MACアドレスとブリッジプライオリティを組み合わせた値)をL2スイッチ間で確認し、最も小さい値を持つL2スイッチがルートブリッジとして選ばれます。
  2. ルートポートの選出
    ルートポートは最小コストでL2スイッチからルートブリッジへ到達できるポートです。ルートブリッジを除く各L2スイッチにおいて、ルートブリッジへ到達するまでの累計パスコストが最小になるポートが選出されます。パスコストは表3のように規定されています。
  3. 表3:STPにおけるパスコスト

    通信速度 コスト
    10Mbps 100
    100Mbps 19
    1000Mbps 4
    10Gbps 2
  4. 指定ポートの選出
    指定ポートはリンクにおいてルートブリッジへ最小コストで到達できる側のポートです。L2スイッチの各リンクからルートブリッジへ到達するまでの累計パスコストが最小になるポートが選出されます。
  5. 非指定ポートの選出
    非指定ポートはルートポートにも指定ポートにも選出されなかったポートです。論理的なツリーを構成する上で不要と判断されたポートで、このポートがブロッキング状態となって論理的に通信をブロックします(図2)。
  6. 図2:STPの利用イメージ

リンクアグリゲーション(LA)

LA(Link Aggregation)は複数の物理回線を論理的な1本の回線として扱う機能です。STPでは物理リンクを2本以上用意しても1本しかアクティブにならないため、物理リソースを十分に活用できない弱点がありますが、LAでは複数のリンクを同時に利用できるため、回線の冗長構成を実現できる以外にも通信帯域を増強できるメリットがあります。

LAはIEEE802.3adやIEEE802.1axなどで策定されています。この規格ではLACP(Link Aggregation Control Protocol)と呼ばれる制御用のパケットでLAの構成を制御するため、L2スイッチとNICの間でLAを構成するなど、異なる装置間のリンクにも適用できます(図3)。

図3:リンクアグリゲーションの利用イメージ

なお、LAでは2本以上の物理回線を利用できますが、通信は事前に指定されたルールに従って回線に振り分けられます。そのため、必ずしも全ての回線が効率良く活用されるとは限りません。振り分けルールには、宛先/送信元MACアドレスや宛先/送信元IPアドレスを指定できるため、ネットワークの構成に合った振り分けルールを選択する必要があります。

通常のLAでは全てのリンクを1台の筐体に接続する必要があるため、筐体が故障した場合は通信が停止してしまいます。しかし、最近のL2スイッチが備えるスタック接続と呼ばれる機能を利用すると、筐体をまたいでLAを構成できます(図4)。リンクの冗長構成と通信帯域の増強に加え、片方の筐体にトラブルが発生した場合でも通信を継続できるメリットが得られます。

図4:スタック接続対応L2スイッチを用いたリンクアグリゲーションの利用イメージ

過去問題の確認

それでは、L2スイッチに関連した問題を確認してみましょう。まずは午前問題からです。

午前問題

問1 ネットワーク機器のイーサネットポートがもつ機能であるAutomatic MDI/MDI-Xの説明として,適切なものはどれか。

ア 接続先ポートの受信不可状態を自動判別して,それを基に自装置からの送信を止める機能
イ 接続先ポートの全二重・半二重を自動判別して,それを基に自装置の全二重・半二重を変更する機能
ウ 接続先ポートの速度を自動判別して,それを基に自装置のポートの速度を変更する機能
エ 接続先ポートのピン割当てを自動判別して,ストレートケーブル又はクロスケーブルのいずれでも接続できる機能

(平成28年度 秋期 午前Ⅱ問題 問1(試験問題から引用))

Automatic MDI/MDI-Xに関する問題です。MDI(Media Dependent Interface)/MDI-X(MDI-crossover)は通信ケーブルにおける信号の送受信に関する仕様です。MDI-XはMDIの仕様を反転したもので、ツイストペアケーブルの場合、MDIでは1,2番ピンで送信して3,6番ピンで受信を行い、MDI-Xでは3,6番ピンで送信して1,2番ピンで受信を行います(100BASE-TXの場合)。ストレートケーブルではMDIとMDI-Xを接続した場合は正常に通信できますが、MDI同士を接続した場合は通信ができなくなります。Automatic MDI/MDI-Xは相手の状態に合わせてMDI/MDI-Xを自動的に選択する仕組みで、ストレートケーブルとクロスケーブルのどちらでも通信が可能です。解答は(エ)です。

問20 VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けるとき,セグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。

ア スイッチが,PCから送出されるICMPパケットを全て遮断するので,PC間のマルウェア感染のリスクを軽減できる。
イ スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
ウ スイッチが,PCのMACアドレスから接続可否を判別するので,PCの不正接続のリスクを低減できる。
エ スイッチが,物理ポートごとに,決まったIPアドレスのPC接続だけを許可するので,PCの不正接続のリスクを低減できる。

(平成25年度 秋期 午前Ⅱ問題 問20(試験問題から引用))

VLANのセキュリティ効果に関する問題です。VLANはL2スイッチのブロードキャストドメインを分割する仕組みでした。ARPなどのブロードキャストパケットを異なるVLAN-IDが設定されたポートに流れなくするセキュリティ上の効果があることから、解答は(イ)です。

午後問題

続いて、午後問題を確認します。こちらから平成25年度 秋期 ネットワークスペシャリスト試験 午後Ⅰ問題をダウンロードして、問3を解いてみてください。

設問1

語句の穴埋め問題です。VLANやリンクアグリゲーション、仮想化技術の基本用語に関する知識が問われています。解答は(ア)タグ、(イ)12、(ウ)帯域、(エ)ルータ、(オ)スタックとなります。

設問2(1)

DA/SAのアドレス種別に関する問題です。問題文中の図2のフレームフォーマットからEthernetヘッダを扱っていることがわかるため、解答は「MACアドレス」となります。なお、DAはDestination Address(宛先アドレス)、SAはSource Address(送信元アドレス)です。

設問2(2)

宛先情報の変化に関する問題です。12ページ上から2行目に、問題文中の図2の状況が記述されています(図5)。同一セグメントとは、一般的に同一ブロードキャストドメイン内を指します。問題文中の図2にはL3SWが書かれていますが、今回の条件ではL2SWとして通信を処理します。したがって、フレーム①からフレーム③まで、宛先と送信元のMACアドレスにはSV1とSV2の値が利用されることがわかります。また、設問文に「フレーム番号①のSAの該当機器は,SV1であることを前提とする」と記述されているので、DAはSV2となります。以上から、解答は「フレーム①から③まで、DAにはSV2、SAにはSV1が指定される」となります(図8)。

図5:問題文中図2における通信の説明

図6:設問2(2)の解答

設問2(3)

網掛け部分に入るフィールドを解答する問題です。11ページ最終行~12ページ上から2行目にかけて、網掛け部分にはIEEE802.1adを利用することがわかります(図7)。VLANタグのフィールドはすでに問題文中の図2に記載されているので、網掛け部分にも同じものを書けば解答となります(図8)。

図7:問題文中の図2における網掛け部分で利用する仕組みの説明

図8:設問2(3)の解答

なお、IEEE802.1adの場合、網掛け部分のタグはサービスタグ(S-Tag)と呼ばれ、TPIDには0x88a8の値が入ります(※ネットワークによっては0x88a8ではなく0x9100などの値が入る場合もあります)。また、内側のタグはカスタマータグ(C-Tag)と呼ばれ、TPIDには0x8100の値が入ります。

設問2(4)

VLANを複数の顧客で利用した場合に想定される問題を考えます。まず、前提としてVLAN-IDは1~4094の範囲しか利用できないことが挙げられます。また、10ページの1つ目のドット(・)にVLANの管理について記述されています(図9)。これらから、利用するVLAN-IDの値やNW全体で利用するVLAN-IDの総量は一元的に管理されておらず、問題が発生する可能性があると考えられます。以上から、解答は「別々の顧客で使用しているVLAN IDが重複する。」と「VLAN数に制限があるが、これを超える。」の2点となります。

図9:顧客システム用NWにおけるVLANの管理に関する記述

設問3(1)

監視システム上のマップを完成させる問題です。12ページ下から1~2行目と13ページ上から1行目の記述にある通り、L2SWやL3SWはスタック機能により1台として扱っています(図10)。実際、問題文中の図3では物理的に2台あるL2SWとL3SWの筐体を1台で描いています。また、13ページ上から5~6行目の記述より、問題文中の図3で表現する対象は問題文中の図1のNW基盤であることがわかります(図11)。NW基盤には監視サーバや大型コンピュータ、顧客システムは含まれていません。そこで、問題文中の図1にある3階と4階のL2SWを記入すれば解答となります(図12)。

図10:L2SWとL3SWの設定に関する記述

図11:問題文中の図3で表現する対象に関する記述

図12:設問3(1)の解答

設問3(2)

冗長構成を利用する際にL2SWで対応する方法を問う問題です。設問文にあるネットワーク接続を問題文中の図1に当てはめて考えると、図13の構成になることが読み取れます。このままではL2スイッチでループが構成されており、ブロードキャストストームが発生します。そこで、NW基盤のL2スイッチと顧客システムのL2SWの両方で何らかの対応が必要になります。

1つ目の方法はL2スイッチにSTPを設定し、ループ箇所をブロッキング状態にすることです。2つ目の方法はリンクアグリゲーションです。通常、リンクアグリゲーションは別々の筐体に接続されたリンクでは構成できませんが、設問3(1)で確認した通り、NW基盤のL2SWはスタック接続により1つの筐体と見なされるため、リンクアグリゲーションを設定することができます。以上より、解答は「STPを動作させ、ブロックポートを設ける。」と「リンクアグリゲーションで、単一のリンクとして扱う。」となります。

図13:設問3(2)におけるネットワーク構成

設問3(3)

D君の考えた構成においてFWに必要となる機能を問う問題です。12ページ下から5行目より、L3SWはVRF機能を導入していることが読み取れます(図14)。すなわち、FWに接続されているL3SWでは仮想L3SWが複数稼働している状況であるため、1台のFWでそれぞれの仮想L3SWにFWの機能を提供する必要があります。以上から、解答は「複数の独立したFW機能を、1台のFW装置で稼働させる機能」となります。

図14:設問3(2)におけるネットワーク構成

おわりに

今回は、ネットワーク機器のL2スイッチに関連する問題について確認しました。次回は、無線LANについて取り上げます。

NECマネジメントパートナー株式会社 人材開発サービス事業部
2001年日本電気株式会社入社。ネットワーク機器の販促部門を経て教育部門に所属。主にネットワーク領域の研修を担当している。インストラクターとして社内外の人材育成に努めているほか、研修の開発・改訂やメンテナンスも担当している。

連載バックナンバー

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています