Post on 22-Oct-2020
いまさら聞けないVLANとVLAN間ルーティング
鈴木新(Arata Suzuki)
グローバルナレッジネットワーク(株)Cisco認定インストラクターOctober 13, 2016
ご参加ありがとうございます本日の資料はこちらからダウンロードいただけますhttp://supportforums.cisco.com/ja/community/5356/webcast
直接ダウンロードする場合はこちらhttps://supportforums.cisco.com/ja/document/13140546
オーディオブロードキャストについて[Audio Broadcast(オーディオ ブロードキャスト)] ウィンドウが自動的に表示され、コンピュータのスピーカーから音声が流れます
[Audio Broadcast(オーディオ ブロードキャスト)] ウィンドウが表示されない場合は、[Communicate(コミュニケート)] メニューから [Audio Broadcast(オーディオ ブロードキャスト)] を選択します
イベントが開始されると自動的に音声が流れ始めます
音声接続に関する詳細はこちらをご参照ください。解決しない場合は、QA ウィンドウよりお知らせください。https://supportforums.cisco.com/ja/document/82876
ご質問方法Webcast 中のご質問は全て画面右側のQAウィンドウより All Panelist 宛に送信してください
エキスパートスピーカー
鈴木 新(Arata Suzuki) グローバルナレッジネットワーク(株)
Cisco認定インストラクター
グローバルナレッジネットワーク株式会社会社紹介とご案内
提供コース1,000以上
年間提供クラス6,000以上
会社案内 (グローバルナレッジネットワーク)• 世界約30か国で展開する
ITとビジネストレーニングのリーディングカンパニー
• Global Knowledge Asiaグループとしてアジア7ヶ国に展開
• シスコダイレクトラーニングパートナー入門~ハイエンドスキル、R&Sから各種専門分野まで幅広くシスコ認定トレーニングコースを取り揃えて実施
・シスコよりアワード受賞実績多数・「Learning Partner of the Year for Asia Pacific and
Japan 2016」
・「CCSI Instructor Excellence Award 2016」 4名
集合研修(定期開催)
集合研修(一社向け)
Virtual Classroom(定期開催)
eラーニング(ASP)
オンライン配信
(一社向け)
Virtual Classroom(一社向け)
NEW TRAINMIX TRAIN(新入社員研修)
Worldwide Training Service
テストセンター
推奨コースとおすすめ情報
•講義、演習、確認問題集、試験がセット、5日間で効果的に資格取得できるプログラムICND1/ICND2 v3.0対応
4日間で講義と演習を行い、最終日の15:00から受験
「Cisco Learning Labs」を使用した豊富な演習
確認問題集が付属しており、効率よく学習が可能
豊富な受講形態(集合研修/オンライン研修、試験バウチャー付き/なし、など)
資格取得だけでなく、実務スキルの修得も目的としたプログラム
1日目 オリエンテーション 講義 + 演習 + 章末の振り返り
2日目 朝テスト 講義 + 演習 + 章末の振り返り
3日目 朝テスト 講義 + 演習 + 章末の振り返り
4日目 朝テスト 講義 + 演習 + 章末の振り返り
5日目 朝テスト 復習 + 自習 試験
9:30 18:00
15:00
グローバルナレッジの資格取得支援コース「CCNA BOOT CAMP」の特長
◆机上で学習した内容について、実機でネットワーク構築を行ってステップアップしたい方におすすめ
実用構成で学ぶ!ルータ/スイッチ基礎~演習で身に付く小規模ネットワーク構築~
Cisco関連トレーニングの詳細はWebへ
http://gknet.jp/csitg
その他の関連トレーニングのご案内
CCNA R&S v3.0改訂のご案内
2016年5月17日、シスコシステムズ社によりCCNA R&S試験の改訂が発表されました。v2.0試験は終了し、(英語・日本語版共に)v3.0試験は、3科目(ICND1/ICND2/CCNA R&S)とも英語版・日本語版ともに開始しています。
グローバルナレッジでは、改訂情報(改訂のポイント、追加/削除されるトピックなど)をいち早くWebで御紹介しています。
CCNA R&S改訂内容の詳細はWebへhttp://gknet.jp/narsv3
鈴木新(Arata Suzuki)
グローバルナレッジネットワーク(株)Cisco認定インストラクターOctober 13, 2016
いまさら聞けないVLANとVLAN間ルーティング
投票質問1
あなたはVLANについてどの程度知識がありますか?
1. VLANについて学習するのは初めてで、概要についても理解していない
2. VLANの概要は理解しているが、基本動作は理解をしていないところがある
3. VLANの基本動作は理解しているが、実機で設定したことはない
4. VLANの基本動作を理解しており、実機でも設定した経験がある
• L2SWの基本動作
• VLANの基本
•複数のL2SWにまたがったVLAN
• VLAN間ルーティング
アジェンダ
ネットワーク機器の機能
BRIDGE
BRIDGE
ノードの集線
ネットワーク間の相互接続
負荷分散
アクセス制御や監視
ルータ
レイヤ3スイッチ
レイヤ2スイッチ
アクセスポイント
ファイアウォール
ロードバランサ
DNS メール
WebBRIDGE
冗長化
WAN
インターネット
LANLAN
DMZ
Switch
ルータ
レイヤ3スイッチ
レイヤ2スイッチ
NAT
ダイナミックルーティング
スタティックルーティング
VRRP/HSRP
スパニングツリー(STP/RSTP)
リンクアグリゲーション
セキュリティ
VLAN
インターネット
ネットワーク機器の機能
Switch Switch
L2SWの基本動作
MACアドレス Port
A 1
B 2
C 3
D 4
E 5
F 6
1 2 3 4 5 6
A B C D E F
フォワーディング
フラッディング
フィルタリング
MACアドレステーブル
MACアドレステーブルを持つ
バッファを持つ
L2SWの基本動作
MACアドレス Port
A 1
B 2
C 3
D 4
E 5
F 6
1 2 3 4 5 6
A B C D E F
フォワーディング
宛先MACアドレスが、MACアドレステーブルに登録されている場合、該当のポートにのみ転送する
MACアドレステーブル
送信元 :A宛先 :D
L2SWの基本動作
MACアドレス Port
A 1
B 2
C 3
E 5
F 6
1 2 3 4 5 6
A B C D E F
フラッディング
宛先MACアドレスが、MACアドレステーブルにない場合、入力ポート以外の全てのポートへ転送する
MACアドレステーブル
送信元 :A宛先 :D
L2SWの基本動作
1 2 3 4 5 6
A B
C D E F
フィルタリング
宛先MACアドレスが、MACアドレステーブルにあり送信MACアドレスと同じポートの場合、転送せずに破棄する
MACアドレステーブル
リピータ
送信元 :A宛先 :B
MACアドレス Port
A 1
B 1
C 3
D 4
E 5
F 6
L2SWの基本動作
1 2 3 4 5 6
A B C D E F
ネットワークは分けない、全体で1つのネットワーク
=1つのブロードキャストドメイン
L2SWの基本動作
(参考)ポート毎にコリジョンが発生する可能性がある
=コリジョンドメインはポート毎に分かれる
1 2 3 4 5 6
A B
C D E F
リピータ
営業部 総務部
L2SWの基本動作
ネットワークを分けたい場合は別のL2SWが必要
1台のL2SWで
複数のネットワークを構成したいなら、、、
VLAN
1 2 3 4 5 6
VLAN10 VLAN20
営業部 総務部
A B C D E F
論理トポロジ(イメージ)
営業部 総務部
VLANの利点・VLANごとにブロードキャストドメインを分割する・仮想的なサブネットを構成する
VLAN
1 2 3 4 5 6
VLAN10 VLAN20
ブロードキャストドメイン
営業部 総務部
A B C D E F
ブロードキャストドメイン
論理トポロジ(イメージ)
営業部 総務部
VLANの利点・VLANごとにブロードキャストドメインを分割する・仮想的なサブネットを構成する
VLAN
VLAN10 VLAN20
1 2 3 4 5 6
ポートベースVLAN
ポート VLAN
1 10
2 10
3 10
4 20
5 20
6 20
管理者が手動で、ポートとVLANを紐付ける
最も一般的な方法
MACベースVLAN
MACアドレス VLAN
A 10
B 10
C 10
D 20
E 20
F 20VLAN10 VLAN20
1 2 3 4 5 6
A B C D E F
ユーザベースVLAN
ユーザ名 VLAN
suzuki 10
sato 10
takahashi 10
tanaka 20
kato 20
uchida 20VLAN10 VLAN20
1 2 3 4 5 6
suzuki sato kato uchida
投票質問2
あなたのクライアントPCはどの方法でVLANが割り当てられていると思いますか?
1. ポートベースVLAN
2. MACベースVLAN
3. ユーザベースVLAN
4. その他
デフォルトVLAN
デフォルトVLAN(VLAN1)
1 2 3 4 5 6
VLAN1VLAN1
1 2 3 4 5 6
VLAN10 VLAN20
1 2 4 5
ポート移動
CiscoのL2SWの初期設定で存在するVLANは1
全てのポートはVLAN1に割当られている
割当を変更すると他のVLANにのみ割当られるようになる
同一VLAN内での疎通確認
1 2 3 4 5 6 7 8
IP: 192.168.1.1/24DG: 192.168.1.254
IP: 192.168.1.2/24DG: 192.168.1.254
Fa0/1 Fa0/4
VLAN1
① ②
初期設定では全てのポートはVLAN1に割当られている
同一VLAN内での疎通確認
Console 1 2 3 4 5 6 7 8
スイッチのポートがVLAN1(デフォルト)の状態で、同一VLAN内のPC同士が通信できることを確認する
コマンドプロンプトを起動して、PC同士でpingを実行する
IP: 192.168.1.1/24DG: 192.168.1.254
IP: 192.168.1.2/24DG: 192.168.1.254
Fa0/1 Fa0/4
VLAN1
① ②
>Ping 192.168.1.2(192.168.1.1)
VLANの設定と確認
VLANの設定を行い、異なるVLAN間では通信ができないことを確認する
1. VLAN2を作成して、Fa0/4を割り当てる
2. PCのIPアドレスや接続ポートは前の演習のままにして、PC同士でpingを実行する
IPアドレスは同じサブネットから割り振られているが、VLANが異なるため通信はできない
Console 1 2 3 4 5 6 7 8 1
Fa0/1vlan1
Fa0/4vlan2
VLAN1
①
VLAN2
②
VLANの設定と確認
1 2 3 4 5 6 7 8
IP: 192.168.1.1/24DG: 192.168.1.254
IP: 192.168.1.2/24DG: 192.168.1.254
Fa0/1 Fa0/4
VLAN1
① ②
VLANの構成手順VLAN作成VLAN割当確認
VLAN2を作成しただけでは割当ができない
VLAN2
VLANの設定と確認
1 2 3 4 5 6 7 8
IP: 192.168.1.1/24DG: 192.168.1.254
IP: 192.168.1.2/24DG: 192.168.1.254
Fa0/1 Fa0/4
VLAN1
① ②
VLANの構成手順VLAN作成VLAN割当確認
割当コマンドを入れたら確認
VLAN2
①ユーザモードから管理者が操作する特権モードに移行
②VLANを作成するためグローバルコンフィグレーションモードに移行
③VLAN2を作成
④Fa0/4ポートをVLAN2に割り当てる
⑤特権モードに戻る
VLANの設定
Switch> en
Switch#
Switch# conf t
Switch(config)#
Switch(config)#vlan 2
Switch(config-vlan)#
Switch(config-vlan)#int fa0/4
Switch(config-if)#switch access vlan 2
Switch(config-if)#end
Switch#
⑥VLAN・ポートの確認
VLANの設定 (確認)
Switch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/5
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Gi0/1
2 VLAN0002 active Fa0/4
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Pod1-L2SW#
VLANの設定 (確認)
⑦PC同士でpingを実行する(通信ができないことを確認する)
VLAN10 VLAN20
1 2 3 4 5 6
VLANとIPアドレス
VLANごとに異なるIPネットワークを使用する
VLAN番号をネットワークIPアドレスに反映させると管理がしやすい
例)第3オクテットはVLAN番号にする
192.168.10.0/24 192.168.20.0/24
VLANの設定と確認
1 2 3 4 5 6 7 8
IP: 192.168.1.1/24DG: 192.168.1.254
IP: 192.168.2.1/24DG: 192.168.2.254
Fa0/1 Fa0/4
VLAN1
① ②
VLANの構成手順VLAN作成VLAN割当確認
PCのIPアドレスとデフォルトゲートウェイの変更
VLAN2
VLAN10 VLAN20
1 2 4 6 7 10 115 123 98
L2SW同士の接続
VLAN10 VLAN20
1 2 4 6 7 10 115 123 98
A B
宛先MACアドレス
送信元MACアドレス
タイプ データ FCS
宛先MACアドレス
送信元MACアドレス
タグ タイプ データ FCS
イーサネットフレーム
タグを付けた
イーサネットフレーム
IEEE802.1Q
VLAN10 VLAN20
1 2 4 6 7 10 115 123 98
L2SW同士の接続
VLAN10 VLAN20
1 2 4 6 7 10 115 123 98
A B
イーサネットフレームのまま通信する
ネイティブVLAN ポート毎に1つ設定するタグを付けずにやり取りするVLAN(デフォルトのネイティブVLANは1)
f0/12
ネイティブVLAN10
f0/12
ネイティブVLAN10
宛先MACアドレス
送信元MACアドレス
タイプ データ FCS
トランクポート・アクセスポート
• トランクポート
• タグ情報を認識する
• スイッチ同士の接続
• 接続はトランクリンク
• アクセスポート
• タグ情報を認識しない
• PCが接続
• 接続はアクセスリンク
VLAN10 VLAN201 2 4 6 7 10 115 123 98
VLANタグ10付きフレーム
PC接続用のポートはアクセスポート
12番ポートはトランクポート
VLAN10 VLAN201 2 4 6 7 10 115 123 98
投票質問3
IEEE802.1Qの説明として正しいのはどれでしょう?
1. VLANの割当をする方法の1つ
2. タグを付けてどのVLAN情報なのかを伝える仕組み
3. アクセスポートで利用する仕組み
4. 異なるVLANに通信するための仕組み
VLAN10 VLAN20
1 2 4 6 7 10 115 123 98
異なるVLANの通信
VLAN10 VLAN20
1 2 4 6 7 10 115 123 98
A B
VLAN10とVLAN20はつながっていないため、ホストAからホストBへ通信はできない
異なるVLANと通信したい場合は、L3デバイスでルーティングを行う必要がある(VLAN間ルーティング)
VLAN間ルーティングの方法
方法1:ルータの物理ポートを使用
VLAN間ルーティングは可能だが、物理ポートが多く必要
方法2:ルータのサブインタフェースを使用
IEEE802.1Qタグの使用により、物理ポートを節約することができる
方法3:レイヤ3スイッチを使用
1番よく使用される方法
VLAN10 VLAN20
レイヤ2スイッチ
1 2 4 6 7 10 115 123 98
IP : 192.168.10.1 /24
DG: 192.168.10.254
IP : 192.168.10.2 /24
DG: 192.168.10.254
IP : 192.168.20.1 /24
DG: 192.168.20.254
IP : 192.168.20.2 /24
DG: 192.168.20.254
ルータを使用したVLAN間ルーティング(方法1)
インタフェース①IP: 192.168.10.254 /24
インタフェース②IP: 192.168.20.254 /24
IP= IPアドレス・サブネットマスクDG = デフォルトゲートウェイ
ルータ
1 2
ポート VLAN
1~5, 11 10
6~10, 12 20
A
B
C
D
VLAN10 VLAN20
レイヤ2スイッチ
1 2 4 6 7 10 115 123 98
IP : 192.168.10.2 /24
DG: 192.168.10.254IP : 192.168.20.2 /24
DG: 192.168.20.254
ルータを使用したVLAN間ルーティング(方法2)インタフェース①サブインタフェース1 IP: 192.168.10.254 /24 (VLANタグ10)サブインタフェース2 IP: 192.168.20.254 /24 (VLANタグ20) ルータ
1
ポート VLAN
1~5 10
6~10 20
12 トランクポートタグ無しフレーム
VLANタグ20付きフレーム
A
B
C
D
VLANタグ10付きフレーム
タグ無しフレーム
レイヤ3スイッチ
1 2 3 4 5 6
A B C D E F
VLAN10 VLAN20
192.168.10.254/24 192.168.20.254/24仮想ルータ
VLAN間ルーティングは可能だが、通常PCはレイヤ3スイッチに直接接続しない。
ネットワークの拡張性を考え、階層構造にするのが一般的
一般的に、PCはレイヤ2スイッチに接続して、複数のレイヤ2スイッチをレイヤ3スイッチに接続する
L1
L2
L3
VLAN1
VLAN10 VLAN20レイヤ2スイッチ1 2 4 6 7 10 115 123 98
IP : 192.168.10.2 /24
DG: 192.168.10.254
IP : 192.168.20.2 /24
DG: 192.168.20.254
レイヤ3スイッチを使用したVLAN間ルーティング(方法3)
ポート VLAN
1~5 10
6~10 20
12 トランクポート
A
B
C
D
レイヤ3スイッチ
1 2 4 6 753 8
ポート VLAN
1~8 トランクポート
VLAN10インタフェース(L3)IP: 192.168.10.254 /24
VLAN20インタフェース(L3)IP: 192.168.20.254 /24
タグ無しフレーム
タグ無しフレーム
VLANタグ20付きフレーム
VLANタグ10付きフレーム
仮想ルータ
VLAN間ルーティングの設定と確認
1. VLANごとに仮想インターフェイスを作成する(仮想ルータとVLANの接続点のことをVLANインターフェイスとよぶ)
2. PCにIPアドレスとデフォルトゲートウェイを設定して通信確認をする
1 4
①
VLAN2
192.168.1.254/24 192.168.2.254/24仮想ルータ
L1
L2
L3
VLAN1
IP: 192.168.1.1/24DG: 192.168.1.254
IP: 192.168.2.1/24DG: 192.168.2.254
②
①L3SWでルーティング機能を有効にする
②VLAN1の仮想インターフェイスを作成して、IPアドレスを設定する
③VLAN2の仮想インターフェイスを作成して、IPアドレスを設定する
VLAN間ルーティングの設定(L3SWを使用)
Switch> en
Switch#conf t
Switch(config)#ip routing
Switch(config)#int vlan 1
Switch(config-if)#ip address 192.168.1.254 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#int vlan 2
Switch(config-if)#ip address 192.168.2.254 255.255.255.0
Switch(config-if)#no shut
④特権モードに戻りルーティングテーブルを確認する
VLAN間ルーティングの設定(つづき)
Switch(config-if)#end
Switch#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C 192.168.1.0 is directly connected, Vlan1
C 192.168.2.0 is directly connected, Vlan2
Windows PCのIPアドレス設定
PC①(VLAN1)IPアドレス:192.168.1.1サブネットマスク:255.255.255.0デフォルトゲートウェイ:192.168.1.254
PC②(VLAN2)IPアドレス:192.168.2.1サブネットマスク:255.255.255.0デフォルトゲートウェイ:192.168.2.254
IPアドレス、サブネットマスク、デフォルトゲートウェイを手動で設定
通信確認①コマンドプロンプトを起動して、PC同士でpingを実行する。
>Ping 192.168.2.1(192.168.1.1)
192.168.2.1
192.168.2.1:192.168.2.1:192.168.2.1:192.168.2.1:
• L2SWの基本動作
• VLANの基本
•複数のL2SWにまたがったVLAN
• VLAN間ルーティング
まとめ
Q & A 画面右側のQ&A ウィンドウから All Panelist 宛に送信してください
Ask the Expert with Arata Suzuki
今日聞けなかった質問は、今回のエキスパートが担当するエキスパートに質問( 10月14日~ 10月25日まで開催)へお寄せください!https://supportforums.cisco.com/ja/discussion/13140551
Webcastの内容やQ&Aドキュメントは、本日より5営業日以内にこのサイトへ掲載いたします。https://supportforums.cisco.com/ja/community/5356/webcast
コンテンツに関するご意見を募集しています!
掲載してほしい情報あったら役に立つ情報英語ではなく日本語でほしい情報などリクエストをお寄せください
ソーシャルメディアでサポートコミュニティと繋がろう
http://www.facebook.com/CiscoSupportCommunityJapan
Twitter- http://bit.ly/csc-twitterhttps://twitter.com/cscjapan
https://www.youtube.com/user/CSCJapanModerator
Google+ http://bit.ly/csc-googleplus
LinkedIn http://bit.ly/csc-linked-in
Instgram http://bit.ly/csc-instagram
Newsletter Subscriptionhttp://bit.ly/csc-newsletter
http://bit.ly/csc-googleplushttp://bit.ly/csc-linked-inhttp://bit.ly/csc-instagramhttp://bit.ly/csc-newsletter
ご参加ありがとうございましたアンケートにもご協力ください