ネットワーク機器「L2スイッチ」のポイント

はじめに

今回は、ネットワーク機器の「レイヤ2スイッチ(L2スイッチ)」について解説します。試験では、L2スイッチの冗長機能など、ネットワークを利用しやすくするための機能を扱った問題が多く出題されています。また、近年は仮想化技術と組み合わせた問題が出題されているため、定番の構成は把握しておく必要があります。なお、L3スイッチやルータの機能(ルーティングや冗長化技術)については第2回で解説しましたので、そちらを参照してください。

L2スイッチのポイント

L2スイッチの基本機能

L2スイッチはデータリンク層の機能をサポートしたネットワーク機器です。セグメント内の端末を接続する機器として広く利用されています。L2スイッチの基本機能を表1に示します。

VLAN(Virtual LAN)

VLANはL2スイッチ内でブロードキャストドメインを分割できる機能です。通常、L2スイッチは1つの機器で1つのブロードキャストドメインを構成しますが、VLANを設定することで1つの機器に複数のブロードキャストドメインを構成できます。物理的な構成を変更せずにVLANの設定だけで新しいセグメントの追加や削除に対応できるため、ネットワーク構成の柔軟性を高めることができます。

VLANはVLAN-IDの値でブロードキャストドメインを管理します。同一のVLAN-IDを同じブロードキャストドメインとして扱い、異なるVLAN-IDは異なるブロードキャストドメインとして扱います。VLAN-IDには12ビットのフィールドが割り当てられており、1～4094の値が利用できます(オール0ビットとオール1ビットは予約扱いのため使用不可)。

VLANを利用する場合は何らかのVLAN-IDを割り当てますが、1つのVLAN-IDを利用するポートをアクセスポートと呼び、複数のVLAN-IDを利用できるポートをトランクポートと呼びます(図1)。アクセスポートとトランクポートの代表的な設定方法を表2に示します。

図1：VLANの利用イメージ

スパニングツリープロトコル(STP)

STP(Spanning Tree Protocol)はネットワーク上に論理的なツリーを構築し、ツリー構造に不要なリンクをブロッキング状態として通信を論理的にブロックし、通信のループを防止するプロトコルです。IEEE802.1Dで策定されています。

L2スイッチで冗長な経路を構成すると、その箇所でネットワークのループが構成されます。この箇所にブロードキャストパケットが流れ込むと、ループにより通常の通信が全く通らなくなるトラブルが発生します。これをブロードキャストストームと呼びます。ループ構成は利用者の誤接続などで意図せず構成される場合もあるため、ネットワークのトラブルとしては発生しやすい部類に属します。STPはループの構成を動的に防ぐことができるため、ネットワークに冗長な経路を構成する以外にも、ブロードキャストストームの発生を予防する目的でも利用されます。

・STPのツリー構築

STPはBPDU(Bridge Protocol Data Unit )と呼ばれるパケットを(デフォルト)2秒毎に流してL2スイッチ間で情報を交換し、自動的に論理的なツリーを構築します。ツリーを構築した後もBPDUは送信され続けるため、ネットワーク構成が変化した場合は、自動的に論理的なツリーを再構築します。

以下は、STPにおけるツリー構築の流れです。

1. ルートブリッジの選出
   ルートブリッジはSTPで論理的なツリーを構築する際に中心となるL2スイッチです。BPDUを交換してブリッジID(MACアドレスとブリッジプライオリティを組み合わせた値)をL2スイッチ間で確認し、最も小さい値を持つL2スイッチがルートブリッジとして選ばれます。
2. ルートポートの選出
   ルートポートは最小コストでL2スイッチからルートブリッジへ到達できるポートです。ルートブリッジを除く各L2スイッチにおいて、ルートブリッジへ到達するまでの累計パスコストが最小になるポートが選出されます。パスコストは表3のように規定されています。

表3：STPにおけるパスコスト

通信速度	コスト
10Mbps	100
100Mbps	19
1000Mbps	4
10Gbps	2

3. 指定ポートの選出
   指定ポートはリンクにおいてルートブリッジへ最小コストで到達できる側のポートです。L2スイッチの各リンクからルートブリッジへ到達するまでの累計パスコストが最小になるポートが選出されます。
4. 非指定ポートの選出
   非指定ポートはルートポートにも指定ポートにも選出されなかったポートです。論理的なツリーを構成する上で不要と判断されたポートで、このポートがブロッキング状態となって論理的に通信をブロックします(図2)。


図2：STPの利用イメージ

リンクアグリゲーション(LA)

LA(Link Aggregation)は複数の物理回線を論理的な1本の回線として扱う機能です。STPでは物理リンクを2本以上用意しても1本しかアクティブにならないため、物理リソースを十分に活用できない弱点がありますが、LAでは複数のリンクを同時に利用できるため、回線の冗長構成を実現できる以外にも通信帯域を増強できるメリットがあります。

LAはIEEE802.3adやIEEE802.1axなどで策定されています。この規格ではLACP(Link Aggregation Control Protocol)と呼ばれる制御用のパケットでLAの構成を制御するため、L2スイッチとNICの間でLAを構成するなど、異なる装置間のリンクにも適用できます(図3)。

図3：リンクアグリゲーションの利用イメージ

なお、LAでは2本以上の物理回線を利用できますが、通信は事前に指定されたルールに従って回線に振り分けられます。そのため、必ずしも全ての回線が効率良く活用されるとは限りません。振り分けルールには、宛先/送信元MACアドレスや宛先/送信元IPアドレスを指定できるため、ネットワークの構成に合った振り分けルールを選択する必要があります。

通常のLAでは全てのリンクを1台の筐体に接続する必要があるため、筐体が故障した場合は通信が停止してしまいます。しかし、最近のL2スイッチが備えるスタック接続と呼ばれる機能を利用すると、筐体をまたいでLAを構成できます(図4)。リンクの冗長構成と通信帯域の増強に加え、片方の筐体にトラブルが発生した場合でも通信を継続できるメリットが得られます。

図4：スタック接続対応L2スイッチを用いたリンクアグリゲーションの利用イメージ

過去問題の確認

それでは、L2スイッチに関連した問題を確認してみましょう。まずは午前問題からです。

午前問題

Automatic MDI/MDI-Xに関する問題です。MDI(Media Dependent Interface)/MDI-X(MDI-crossover)は通信ケーブルにおける信号の送受信に関する仕様です。MDI-XはMDIの仕様を反転したもので、ツイストペアケーブルの場合、MDIでは1,2番ピンで送信して3,6番ピンで受信を行い、MDI-Xでは3,6番ピンで送信して1,2番ピンで受信を行います(100BASE-TXの場合)。ストレートケーブルではMDIとMDI-Xを接続した場合は正常に通信できますが、MDI同士を接続した場合は通信ができなくなります。Automatic MDI/MDI-Xは相手の状態に合わせてMDI/MDI-Xを自動的に選択する仕組みで、ストレートケーブルとクロスケーブルのどちらでも通信が可能です。解答は(エ)です。

VLANのセキュリティ効果に関する問題です。VLANはL2スイッチのブロードキャストドメインを分割する仕組みでした。ARPなどのブロードキャストパケットを異なるVLAN-IDが設定されたポートに流れなくするセキュリティ上の効果があることから、解答は(イ)です。

午後問題

続いて、午後問題を確認します。こちらから平成25年度 秋期 ネットワークスペシャリスト試験 午後Ⅰ問題をダウンロードして、問3を解いてみてください。

設問1

語句の穴埋め問題です。VLANやリンクアグリゲーション、仮想化技術の基本用語に関する知識が問われています。解答は(ア)タグ、(イ)12、(ウ)帯域、(エ)ルータ、(オ)スタックとなります。

設問2(1)

DA/SAのアドレス種別に関する問題です。問題文中の図2のフレームフォーマットからEthernetヘッダを扱っていることがわかるため、解答は「MACアドレス」となります。なお、DAはDestination Address(宛先アドレス)、SAはSource Address(送信元アドレス)です。

設問2(2)

宛先情報の変化に関する問題です。12ページ上から2行目に、問題文中の図2の状況が記述されています(図5)。同一セグメントとは、一般的に同一ブロードキャストドメイン内を指します。問題文中の図2にはL3SWが書かれていますが、今回の条件ではL2SWとして通信を処理します。したがって、フレーム①からフレーム③まで、宛先と送信元のMACアドレスにはSV1とSV2の値が利用されることがわかります。また、設問文に「フレーム番号①のSAの該当機器は，SV1であることを前提とする」と記述されているので、DAはSV2となります。以上から、解答は「フレーム①から③まで、DAにはSV2、SAにはSV1が指定される」となります(図8)。

図5：問題文中図2における通信の説明

図6：設問2(2)の解答

設問2(3)

網掛け部分に入るフィールドを解答する問題です。11ページ最終行～12ページ上から2行目にかけて、網掛け部分にはIEEE802.1adを利用することがわかります(図7)。VLANタグのフィールドはすでに問題文中の図2に記載されているので、網掛け部分にも同じものを書けば解答となります(図8)。

図7：問題文中の図2における網掛け部分で利用する仕組みの説明

図8：設問2(3)の解答

なお、IEEE802.1adの場合、網掛け部分のタグはサービスタグ(S-Tag)と呼ばれ、TPIDには0x88a8の値が入ります(※ネットワークによっては0x88a8ではなく0x9100などの値が入る場合もあります)。また、内側のタグはカスタマータグ(C-Tag)と呼ばれ、TPIDには0x8100の値が入ります。

設問2(4)

VLANを複数の顧客で利用した場合に想定される問題を考えます。まず、前提としてVLAN-IDは1～4094の範囲しか利用できないことが挙げられます。また、10ページの1つ目のドット(・)にVLANの管理について記述されています(図9)。これらから、利用するVLAN-IDの値やNW全体で利用するVLAN-IDの総量は一元的に管理されておらず、問題が発生する可能性があると考えられます。以上から、解答は「別々の顧客で使用しているVLAN IDが重複する。」と「VLAN数に制限があるが、これを超える。」の2点となります。

図9：顧客システム用NWにおけるVLANの管理に関する記述

設問3(1)

監視システム上のマップを完成させる問題です。12ページ下から1～2行目と13ページ上から1行目の記述にある通り、L2SWやL3SWはスタック機能により1台として扱っています(図10)。実際、問題文中の図3では物理的に2台あるL2SWとL3SWの筐体を1台で描いています。また、13ページ上から5～6行目の記述より、問題文中の図3で表現する対象は問題文中の図1のNW基盤であることがわかります(図11)。NW基盤には監視サーバや大型コンピュータ、顧客システムは含まれていません。そこで、問題文中の図1にある3階と4階のL2SWを記入すれば解答となります(図12)。

図10：L2SWとL3SWの設定に関する記述

図11：問題文中の図3で表現する対象に関する記述

図12：設問3(1)の解答

設問3(2)

冗長構成を利用する際にL2SWで対応する方法を問う問題です。設問文にあるネットワーク接続を問題文中の図1に当てはめて考えると、図13の構成になることが読み取れます。このままではL2スイッチでループが構成されており、ブロードキャストストームが発生します。そこで、NW基盤のL2スイッチと顧客システムのL2SWの両方で何らかの対応が必要になります。

1つ目の方法はL2スイッチにSTPを設定し、ループ箇所をブロッキング状態にすることです。2つ目の方法はリンクアグリゲーションです。通常、リンクアグリゲーションは別々の筐体に接続されたリンクでは構成できませんが、設問3(1)で確認した通り、NW基盤のL2SWはスタック接続により1つの筐体と見なされるため、リンクアグリゲーションを設定することができます。以上より、解答は「STPを動作させ、ブロックポートを設ける。」と「リンクアグリゲーションで、単一のリンクとして扱う。」となります。

図13：設問3(2)におけるネットワーク構成

設問3(3)

D君の考えた構成においてFWに必要となる機能を問う問題です。12ページ下から5行目より、L3SWはVRF機能を導入していることが読み取れます(図14)。すなわち、FWに接続されているL3SWでは仮想L3SWが複数稼働している状況であるため、1台のFWでそれぞれの仮想L3SWにFWの機能を提供する必要があります。以上から、解答は「複数の独立したFW機能を、1台のFW装置で稼働させる機能」となります。

図14：設問3(2)におけるネットワーク構成

おわりに

今回は、ネットワーク機器のL2スイッチに関連する問題について確認しました。次回は、無線LANについて取り上げます。