ネットワーク入門―データリンクレイヤを理解する

■レイヤ2：イーサネットの動作場所
IP やルーティングより重要なのは何だろうか？　そう、障害時のレイヤ2ほど重要なものはない。多くの人は、回復の早いレイヤ 2ネットワークのインプリメントに必要な Spanning Tree Protocol （STP）（定義）に関する知識がない。障害を起こすスイッチが、直接接続されたホスト以外のコネクティビティ確立を邪魔することがあってはならない。Spanning Tree の説明に入る前に、まずはレイヤ 2の内部の仕組みを理解しなくてはならない。

レイヤ2（データリンクレイヤ）は、イーサネットが動作するレイヤだ。ここからは、ネットワーク入門レベルで相互のやりとりを理解することを目標に、ブリッジ、スイッチング、そして VLAN の説明を行っていく。現場のネットワークを運用するのにイーサネットの内部の仕組みを実際に理解する必要はないので、意欲のある方は自習をされたい。

現在イーサネットスイッチと呼ばれているものは、最初は「ブリッジ」という名前で登場してきた。従来のブリッジはすべてのイーサネットフレームを読み込み、自分宛でないものはすべてのポートに転送した。これらは、STP によって冗長性を実現することができ、どの MAC アドレスがどのポートにあるのかも学習し始めた。ここまで来ると、ブリッジは学習するデバイスへと変化し、ポートで見えるすべての MAC アドレスのテーブルを持つようになった。フレームを送信する必要がある場合は、ブリッジがブリッジテーブルにある送信先の MAC アドレスを見て送信先のポートを判断する。正しいホストにだけデータを送信する機能はコリジョンの可能性を大幅に減らしたため、これがスイッチングを大きく前進させた。送信先の MAC アドレスがブリッジテーブルで見つからないと、 スイッチは単にすべてのポートにデータを大量送信する。最初は、どのホストが実際に稼働しているのかを判断する方法がこれしかないため、お分かりかと思うが、データの大量送信はスイッチングの重要な概念となっている。また、これはルーティングにおいても必要性の高いものとなっている。

このレイヤには以下のような重要な用語がある。

ユニキャストのセグメント化：ブリッジは、ユニキャストフレーム（1つの MAC アドレスだけに送信されるフレーム）が到達できるホストを制限できる。ハブは単純に全員にすべてを転送するので、それだけでかなりの帯域幅を削減することができる。

コリジョンドメイン ：コリジョンが発生する可能性のあるセグメント。スイッチはカットスルー転送を利用し、ネットワークカードは全二重となっているため、コリジョンはもはや発生しない。ポート上でコリジョンがあるということは、だれかが誤って半二重のネゴシエーションを行ったか、何か大きな問題があることを意味する。

ブロードキャストドメイン：ブロードキャストフレームが送信され、検知されるセグメント

そして数年後、ブリッジの古い蓄積転送手法には修正が加えられた。新しいスイッチはフレームの送信先 MAC アドレスだけを見て瞬時に送信を行う。「カットスルー（貫通）転送」という名前が与えられたのはおそらく、フレームが少ない処理でスイッチをはるかに素早く貫通するためだと思われる。これはいくつか重要なことを示唆している。スイッチが CRC をチェックしてパケットに対するダメージの有無を判断できないため、コリジョンを発生させなくする必要があったのだ。

そこで、ブロードキャストのセグメント化に対応するために VLAN が導入された。別のマシンにブロードキャストフレームを送信できない場合、それは自分のローカルネットワーク上にないため、パケット全体をルータに送信して転送させることになる。これが Virtual LAN （VLAN）の仕事で、基本的にはネットワークを増やす形になる。

スイッチ上では、VLAN のコンフィギュレーションを行い、VLAN にポートを割り当てることができる。もしホスト A が VLAN 1にある場合、それは VLAN 2のなかのどれとも通信することができない。これらは全く接続されていないデバイス上にあるようなものだ。まあ、それに近い状況だ。ブリッジテーブルが大量送信され、スイッチが追いつくのに苦労している場合は、すべてのポートにすべてのデータが大量送信される。このような状況で通信を継続するにはそうするしかないのだ。この点を指摘する必要があるのは、多くの人が VLAN をセキュリティメカニズムだと考えているためだ。これは全く誤った考えだ。ネットワークを多少知っている（あるいは適切なクラッキングツールを保有している）人ならだれでも、VLAN のブロードキャストのセグメント化はすぐに乗り越えられてしまう。実際、フレームを大量送信し、全員のデータを本人以外全員に吐き出すスイッチは基本的にはハブになってしまう。

先刻承知の通り、ARP でマシンを探せない場合はルータを使う必要がある。しかし、これはルータから各 VLAN に物理的に配線を行わなければならないことを意味するのだろうか？　レイヤ3スイッチがあるので、もはやそれは不要だ。たとえば、48ポート搭載のスイッチを想像してみていただきたい。VLAN 1や VLAN 2もあり、1~24のポートは VLAN 1、25~48のポートは VLAN 2だとする。これら2つの VLAN の間をルーティングする場合、基本的には3つの選択肢がある。まず、各 VLAN のポートをルータに接続し、ホストに正しいデフォルトルートを割り当てる。今日の最新流行の世界では、各 VLAN ごとに2つの仮想インターフェイスを用意することもできる。Cisco の世界ではルータのインターフェイスは「vlan1」や「vlan2」と呼ばれる。これらは IP アドレスを入手して、ホストは自分のルータとしてルータインターフェイスを使う。

われわれのレイヤ2の概要説明は、3番目の方法で最後になる。同じ VLAN を含める必要のある複数のスイッチがある場合、スイッチ A の VLAN 1がスイッチ B の VLAN 1と同じになるようこれらを接続できる。これは、最初のスイッチを出るときにパケットに VLAN の ID を付けられる802.1q により実現可能だ。Cisco では、これらのリンクを「トランクポート」と呼んでおり、これらではスイッチが許す限り多くの VLAN を持つことができる（現在、大半のハードウェアは4096まで）。つまり、VLAN 間のルーティング方法の最後となる3つ目は、トランクをルータに接続し、各 VLAN に適切なインターフェイスを用意するというものになる。スイッチ A と B の両方にある VLAN 1上のホストは、すべて「トランク化」されてブロードキャストドメインを共有しているため、（たまたま別のデバイス上にある）ルーターインターフェイスにアクセスできるようになる。

ここでは、「これがレイヤ2だからイーサネットヘッダを記憶しておきなさい」という標準的な教え方を省いてみた。エキスパートになるためにはこれも知っておく必要があるが、有能な運営者になるには（本格的な技術系のクラスでは教えないことだが）仕組みをすべて理解しておくだけでよい。次回は、世界で最も興味深いプロトコルである Spanning Tree について解説する。

まとめ
・ブリッジ（別名：スイッチ）は、MAC アドレステーブルを格納してユニキャストのセグメント化を可能にする。つまり、これらは必要とするホストにだけユニキャストデータを送信する。
・VLAN にはセキュリティ上のメリットが全くない。
・レイヤ3スイッチにはトランク経由で複数の VLAN が提供され、ルーティングが行われる。また、これらはすべて同一回線上で可能となっている。

本稿はEnterprise Networking Planetの記事を転載した。