通信制御機器のvlan接続についての疑問

前へ 次へ
このQ&Aのポイント
  • 通信制御機器のvlan接続について疑問を持っています。ファイアウォールはl2対応するものを使う前提で、srx550あたりの想定でお願いします。
  • ファイアウォールのvlan設定について疑問があります。接続ポートのvlanは差し込み先ポートの設定に従うのでしょうか?それとも、対応するようにvlanを付与しないと通信はできないのでしょうか?
  • スイッチとファイアウォールのvlan接続についても疑問があります。アクセスvlanの場合、接続ポート同士で同一のvlan設定が無いと通信できないと考えています。スイッチ側のポートにvlanを振れば、ファイアウォールは設定が不要でしょうか?
回答を見る
  • ベストアンサー

通信制御機器について

現在、ネットワークの勉強をする中で、スイッチとファイアウォールのvlan接続について疑問を持っています。 ファイアウォールはl2対応するものを使う前提で、srx550あたりの想定でお願いします。 ファイアウォールは、端末のように接続ポートのvlanは差し込み先ポートの設定に従うのでしょうか? それとも、対応するようにvlanを付与しないと通信はできないのでしょうか? スイッチとスイッチを接続する場合には、アクセスvlanの場合、接続ポート同士で同一のvlan設定が無いと通信できないと考えています。(vlan1とvlan2は疎通しない) スイッチとファイアウォールの場合には、スイッチ側のポートにvlanを振れば、ファイアウォールは設定が不要でしょうか?(スイッチはvlan100でファイアウォールは設定なし) お手数をお掛けいたしますがご回答お願いします。

  • gjwtg
  • お礼率33% (1/3)

質問者が選んだベストアンサー

  • ベストアンサー
  • chachaboxx
  • ベストアンサー率23% (412/1777)
回答No.3

No2追伸です VLANの基本的な考え方ですが、小数ポートのハブを数台纏めたようなものです。 小数ポートの理由は、無用なポート(宛先)に対する通信(ブロードキャスト等)を防ぐことです。 それをソフト制御で実現したのがVLANハブです。 さらにその通信内容を解析して疎通制御しているのがファイヤーウォールです。 なのでVLANからファイヤーウォールのポートに対して何かフラグのようなパケットを追加することはないと思います。 あくまで装置内のみでの通信制御です。

gjwtg
質問者

お礼

ありがとうございます。 調べる方向性が少し見えてきました! ご回答いただいた内容を踏まえつつ、勉強してみます。

その他の回答 (2)

  • chachaboxx
  • ベストアンサー率23% (412/1777)
回答No.2

普通のスイッチは信号機付交差点の様なもの。 でも右左折直進、進行方向は自由。 昔のダムハブは信号のない交差点。 V-LANはインターチェンジの様に指定された方向にしか進めない。よって方向(通信ポート)を指定することが必要です。 ファイヤーウォールは定義が広いです。 普通のルーターもそう呼べますし、企業などで使う数百万のものでもそう呼びます。 全通過車両対象の検問のようなもの。 それぞれの機能を選択して取り入れている機種など多種多様なので、一概には言いにくいです。

gjwtg
質問者

補足

ご回答ありがとうございました。 知識が足りず、追加で質問させてください。 ファイアウォール側に設定がなければ単一のvlanしか持たないので、方向を考えなくて良い(バカハブだとvlan設定が無くても通信を行えるのと同じ)と考えているのですが、スイッチ側のvlanが100だと、ファイアウォール側は設定なしだと、通信をしたときにvlan-idが不一致でポートではじかれて通信ができなくなる、ということですか? 申し訳ないことに、バカハブをvlan設定があるスイッチのポートに刺すと、そのまま通信ができる仕組みが分かっていないのが原因かも知れません…

  • agehage
  • ベストアンサー率22% (2554/11357)
回答No.1

スイッチとスイッチを繋ぐような、同一のVLANで繋ぎます そうでないと通信できませんから

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • L3スイッチとL2スイッチのVLANについて

    以下、L3スイッチとL2スイッチのVLANについてご存知の方、教えてください。 少し長文ですが、困っているのでよろしくお願いします。 質問の部分は☆印のところです。 L3スイッチ(Catalyst3560)にVLANを3つ作成し、各VLAN間通信を許可する。 ・VLAN1:192.168.10.0/24 (1port~8portを使用) ・VLAN2:192.168.20.0/24 (9port~16portを使用) ・VLAN3:192.168.30.0/24 (17port~24portを使用) L2スイッチ(Catalyst2960)にVLANを3つ作成し、各VLANの1ポートは、L3のVLANに接続する。 ・VLAN1:1port~8portを使用 →L3の1ポート目に接続 ・VLAN2:9port~16portを使用 →L3の9ポート目に接続 ・VLAN3:17port~24portを使用 →L3の17ポート目に接続 ネットワークアドレスが異なる各PC群を、L2に接続し、全PC間通信を可能とする。 →最終目標 質問の背景としては、もともとPCをL3に直接接続して、全PC間の通信を行う予定が、 PCが激増し、L2を介して通信することとなりました。 実際、L2スイッチは48ポートです。 L3スイッチに対する、VLANの設定、VLAN間通信の設定はできています。 質問事項 ☆L3スイッチの設定 おそらく、現在のVLANの設定はポートVLANだと思われます。 L2スイッチとVLAN間同士で通信する場合、タグVLANという考え方が必要になるのでしょうか。 この構成におけるL3スイッチに必要な設定を教えてください。 現在行っている設定は、以下のサイトを参考に設定しました。 http://www.infraexpert.com/study/vlan1.1.htm ☆L2スイッチ VLANを作成するにあたって、L3スイッチとVLAN-IDやVLAN-NAMEを合わせる必要があるのでしょうか。 また、L2スイッチにはIPアドレスを1つしか設定できないという認識で、且つL2スイッチにIPアドレスの 設定は不要という認識です。 この構成の場合、特にIPアドレスの設定は必要ないでしょうか。

  • L2スイッチ間のVLAN構築に関する疑問

    L2スイッチ間でスタティックなVLAN構築を行う場合, トランクポートを設定し,タグVLANで構築するのが一般的だと思います。 もしトランク接続を行わずにスイッチ間の接続を行う場合, スイッチの各VLAN同士をクロスケーブルで接続すればポートは消費しますが, スイッチ間のVLAN接続ができます。 そこで疑問に思ったのですが, もし,トランク接続を設定した状態で1つ目のスイッチのあるVLANから2つ目のスイッチの異なるVLANに接続した場合,どのような通信が行われるのでしょうか? 以下に物理構成図と疑問点を記します。 使用した機器はCatalyst2900,Catalyst2950です。 物理構成図におけるPC01,PC02,PC03は互いに疎通確認が取れました。 添付ファイルの物理構成図に従って細かくケースを分割して考えると, ・PC01-PC02間の通信について,トランクポートと直接つないだケーブルのどちらの経路で通信を行うのか? ・PC02-PC03間の通信について, PC02→PC03は二つの経路(トランク経由,直接つないだケーブル)があるが,PC03→PC02の通信は経路が一つしかない。この場合,経路選択はどのように行われるのか?また,方向によって経路が変わることはあるのか? という疑問が浮かびました。 現実には実装されることがない接続ですが,この場合のスイッチの挙動はどうなるのでしょうか。 回答お願いします。

  • アクセスポートを利用したvlan tagなしの通信

    NWに知見のある方にお聞きしたいのですが、添付のような構成の場合、PC AからPC Bへの通信は可能でしょうか。 ipセグメントは同一で あり、直接接続されているスイッチAのVLANは異なるVLANですが、すべてアクセスポートのため、スイッチBを経由してVLAN30経由で戻ってくる想定です。 ご教示願います。

  • タグVLANについて

    タグVLANについて、以下の認識であっているか確認して貰えないでしょうか。  ・端末が接続されるアクセスポートにおいて、タグVLANを設定する場合、   端末側のNICと対抗のSWのポートでそれぞれタグVLANを認識できる必要がある   という認識で問題ないでしょうか。  【SW】  ポート1:タグVLAN10------タグVLAN10:端末A  ポート2:タグVLAN20------タグVLAN20:端末B  ポート3:タグVLAN30------タグVLAN30:端末C  ポート4:タグVLAN10------タグVLAN10:端末D  ポート5:タグVLAN10~30(カスケード)----------タグVLAN10~30が認識できるSW  ・上記のような構成の場合は、単純にルーティングをかえさずに通信可能なのは   端末Aと端末Dという認識ですが、タグVLANを端末の部分に使う事は、以下2点の問題から   選択しとしては微妙なきがするのですが、このような設定は一般的なのでしょうか?      1.各端末のNICがタグVLANに対応している必要がある。   2.各端末でタグVLANの設定を追加で行う必要がある。   メリットとして考えられそうなのは間にVLANに対応していないSWが経由し、   配下に複数の端末があるときに、柔軟にVLANで分ける事ができるという事でしょうか?   それとも、VLAN対応していないSWにパケット不良として破棄されるのでしょうか? よろしくお願い致します。

  • L3スイッチとL2スイッチを使ったタグVLANについて

    L3スイッチとL2スイッチを使ったタグVLANについて教えてください。 例) L3スイッチの1番ポートをトランクに設定 L2スイッチ1番ポート->トランク      2番ポート->VLAN 1      3番ポート->VLAN 2      4番ポート->VLAN 3 同様のL2スイッチが3台 各L2スイッチの1番ポートをハブ経由でL3スイッチの1番ポートに接続 L3スイッチの2番ポートをルータに接続 ルータからWANの出入りが可能 というネットワーク構成にしたときにしかるべきスイッチの設定が出来たとして 1.各L2スイッチに接続したPCから他のL2スイッチの同じVLANのPCと通信できるか 2.各L2スイッチに接続したPCからインターネットに出ていけるか 3.異なるVLANのPCに通信できない設定がうまくいくか が知りたいです。 趣旨としてはL3スイッチのトランクのポートが1つで複数のL2スイッチをつなげてVLANがうまくいくかということです。 よろしくお願いします。

  • Catalyst3550のルーティングについて

    catalyst3550について教えてください。 NWA(ホスト10台)---------Catalya\st3550----------NWB(ホスト1台) ・NWA(10台):10.0.0.1~10/24 ・Catalyst(NWAを収容しているポート10個):Vlan1で10.0.0.254/24を付与 ・NWB(1台):192.168.0.1/24を付与 ・Catalyst(NWBを収容しているポート1個):Vlanを割り当てず、192.168.0.254/24を設定 ※コマンドにてip routing設定済み 上記設定時について教えてください。 (1)NWA内の端末からNWBの端末にはpingは飛ぶのでしょうか。それとも、NWBを収容しているポートにVlanを割り当てていないので、pingは飛ばないのでしょうか。 また、通信をするためには、trunkポートににする必要はあるのでしょうか。

  • VLAN設定について

    5ポートのスイッチがあったとして下記のようにVLANを設定します。 VLAN1:ポート1 VLAN2:ポート2,3 VLAN3:ポート4,5 この時、以下の内容は実現することはできるのでしょうか 1.VLAN1はVLAN2,3から通信可能 2.ポート2とポート4が通信可能   (基本的にVLAN2とVLAN3は通信不可) どなたか助けてください

  • シスコのVLNAタグ付けについて

    シスコのVLANとトランク接続について教えてください。 現状の構成は下記で検討しています。 10.0.0.0セグメント---ルータA----L2スイッチ--ルータB---100.0.0.0セグメント 上記で、ルータAからルータBまでをトランク接続し、ルータA、L2スイッチ、 ルータBでVLAN10、20コマンドを入力し、VALNをそれぞれで作成しました。 また、ルータA、L2スイッチ、ルータBの接続ポートをトランク設定にしました。 また、書きIPアドレスを設定しました (ルータA) interface Vlan10  ip address 192.168.10.1 interface Vlan20  ip address 192.168.20.1 (ルータB) interface Vlan10  ip address 192.168.10.2 interface Vlan20  ip address 192.168.20.2 (L2スイッチ) interface vlan5   ip address 10.1.1.1 上記設定で、10.0.0.0セグメントからL2スイッチの管理用IPである10.1.1.1に対しパケットを送信する場合、ルータAでは、トランクポートからVALNタグ5をつけてトランクポート通過させるのでしょうか。 それとも何もvlanを付与せずにトランクポートを通過するのでしょうか。 なお、ルータAでvlan5の作成、IPアドレスは付与していません

  • VLANタグについて

    下記場合のときのVLANタグについて教えてください。 シスコのcatalyst3550利用しています。 VLANポート1から入ってきたパケットが、ルーティングされ、VLAN10のポートからパケットが出力されて別スイッチに行くとき、パケットにVLANタグ10は付与されるのでしょうか。それとも、タグは付与されずに送信されるのでしょうか。 なお、VLAN10を割り当てているポートははトランクポートでなく、アクセスポートとなります。

  • STPの設定方法

    L3スイッチ1台にL2スイッチ2台を下にぶら下げる形で 物理構成を行いたいと思います。 そうすることによってSTPが動作するかと思います。 ここでやってみたい事に対してどのようにSTPを設定すれば よいか教えてください。 内容は、 ・VLANを複数作成します。 ・L2スイッチにはサーバをクラスタ化したいので  同じ設定を投入します。 ・L2スイッチに上記と別にクラスタ化や冗長化しないような  端末も繋げて別のVLAN作成します。 ・ブロッキングポートをL3スイッチとL2スイッチを結ぶ物理の  片側のL3スイッチのポートもしくはL2スイッチのポートに  設定しようと思います。 これらをするために自分で調べたところ、PVSTを使えば可能なのかと 思いました。 VLANプライオリティを L3スイッチにspanning-tree vlan 10,20,30 priority 12288 L2スイッチにspanning-tree vlan 10,20,30 priority 4096       spanning-tree vlan 10,20,30 priority 8192 を設定すればL3スイッチとL2スイッチの間のインターフェースが ブロッキングポートになると考えております。 またさらに調べていたら、インターフェースにも設定が必要なのでしょうか?  (config-if)# spanning-tree port-priority 240をブロッキング  ポートにしたいインターフェースに設定すればSTPは想定する  インターフェースにブロッキングポートに出来、片側の  L2スイッチとL3スイッチ間の通信は出来ますでしょうか? このどちらかの設定が必要なのでしょうか? それとも両方設定が必要でしょうか? ちなみに使用機種はL3がcat3750,L2がcat2960です。 お手数ですがよろしくお願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する