ネットワークの「分割」

ルータはネットワークの「分割」を行うためのネットワーク機器とも言えます。ルータはブロードキャストを通しません。そのため、ルータによってブロードキャストドメイン、すなわちネットワークを分割することができます。分割したネットワークは、ルータで相互接続されているので、分割されたネットワーク間の通信が可能です。

ルータによるネットワークの分割

ネットワークを分割する理由

ルータでネットワークを分割できますが、なぜ、ネットワークを分割する必要があるのでしょうか?

ネットワークを分割する主な理由は、次のとおりです。

ネットワークを分割する主な理由
  • 不要なデータの転送を制限する
  • セキュリティを確保する
  • 管理を効率化する

どのようにネットワークを分割するかについて、明確な基準はありません。ネットワークを設計する際にケースバイケースでネットワークの分割を考えていきます。企業の社内ネットワークであれば、多くの場合、以下のような基準でネットワークの分割を検討します。

  • 部署などの業務単位での分割
  • フロアなどの物理的な配置による分割
  • 上記の組み合わせ

不要なデータ転送の制限

レイヤ2スイッチだけで構成する1つのネットワークにいろんな機器を接続するのが最もシンプルなネットワーク構成です。ただし、このようなネットワーク構成では、不要なデータの転送がたくさん発生してしまうことになります。典型的な例がARPでのアドレス解決です。ARPはIPアドレスからMACアドレスを求めるためのプロトコルで、ブロードキャストを利用しています。

たとえば、同じレイヤ2スイッチに接続されているすぐ近くのホストのMACアドレスを求めるためにARPリクエストを送信すると、他のレイヤ2スイッチも含めて同じネットワーク上のすべてにフラッディングされてしまうことになります。ARPリクエストはMACアドレスを問い合わせる対象のホスト以外にとってはまったく関係ないのですが、ARPリクエストを受信して、自身が問い合わせ対象でないと判断して破棄します。この際、ホストに余計な処理が発生します。つまり、1つのネットワークだと、ネットワーク上にARPリクエストの余計なデータ転送も発生しますし、関係のないホストに対して余計な処理負荷をかけてしまうことになります。

不要なデータ転送の例(ARPリクエスト)

ARPリクエストのようなブロードキャストだけではなく、マルチキャストやUnknownユニキャストもフラッディングされて、余計なデータ転送が発生してしまいます。

こうした余計なデータ転送やそれに伴うホストの処理負荷を軽減するため、適切な範囲でネットワークを分割します。

セキュリティの確保

ネットワークを分割すると、ネットワーク間のデータは必ずルータを経由して行われます。ルータで転送するデータが正規の通信のデータであるかを追加でチェックすることができます。ルータという「関門」を設けることで、不正な通信を遮断してセキュリティの確保ができるようになります。

このようなルータでのデータのチェックは一般的に「パケットフィルタリング」と呼ばれます。

ルータでのデータのチェック

ルータで転送する際にセキュリティのチェックを行うためには、追加の設定が必要です。特別な設定をしていないと、ルーティングテーブルに載っている宛先でありさえすれば、転送します。Ciscoのルータでは主にアクセスコントロールリストの設定を行います。

企業向けのレイヤ2スイッチであれば、転送するデータのチェックを行うこともできる製品がありますが、ルータほど柔軟なチェックができないことがほとんどです。

管理の効率化

企業の社内ネットワークを複数の拠点にもまたがるような1つのネットワークとして構成すると、管理が煩雑になってしまいます。適切な範囲でネットワークを分割することで、管理する対象のネットワークの範囲を限定して、管理を効率よく行うことができます。

IPルーティングのキホン