1ﾐﾘも知らない人のためのネットワーク構築入門① ~VLAN~

はじめに

駆け出しネットワークエンジニアの自分もいつか後輩を持ち、自社研修のネットワーク分野で講師を担当する可能性が高いため、研修内容と同じNW構築をPacket Tracerでやってみようという試みです。自分は説明しやすくなるし、未来の後輩たちも見返せるのでハッピー！

全5回でVLAN、IPアドレス設定、スタティックルート、telnet、HSRPを取り扱う予定です。今回は第1回 VLANになります。

ゆる～く、わかりやすくを心がけるので踏み込んだ解説は少ないかもです。また、本文では説明するほどでもないかもしれないけれど、知っていたら得しそうな知識を脚注で解説しています。重大なものは本文で解説するので注は読み飛ばしてもOKです。
悪しからずm(_ _)m

この記事でやること

この記事では以下のシナリオを実践していきます。

0-1.事前準備
0-2.VLANとは
1.スイッチでVLANを作成する
2.VLANをIF（インターフェース）に設定
3.異なるVLANで疎通しないことを確認 ＆ 同じVLANで疎通することを確認

実践

0-1.事前準備

記事内の構築ではPacket Tracerを使っています。Packet Tracerはネットワーク機器の実機ではなく、構築を論理的に行えるCisco¹のアプリケーションです。ネットワーク機器のコマンド入力や状態のシミュレーションがPCひとつでおこなえます。

記事を見ながら同じことをしたい人もいると思いますが、ここではPacket Tracerのインストール手順などは割愛します。以下が参考になったのでそちらをご参照ください。

基本的な使い方も載ってますので合わせてどうぞ

実機でやる場合はTeraTermというターミナル²を使用するのでインストール推奨です。

また、実機ではPC(windows11 想定)を2台使う場面があります。あらかじめご了承ください。
なお研修ではCisco Catalyst 2960とCisco 892を使いました。入力コマンドや想定動作はこれらに則っています。

0-2.VLANとは

Virtual Local Area Network（仮想LAN）のことで、仮想的にネットワークを分割できる機能です。VLANはひとつのセグメント³に複数個用意することができ、通常ならば通信可能な機器たちに異なるVLANを設定し、通信ができない状態へ変えられます。

VLANはネットワークを分けられる

・VLAN設定なし
        ##########　　　　 ###########
        #　機器1　#　　↔　　#　機器2　#
        ##########　　　　 ###########
　　　　　同じセグメントであれば通信可能

・VLAN設定あり
    　VLAN1を設定↓　　　　VLAN2を設定↓
        ##########　　　　 ###########
        #　機器1　#　　×　　#　機器2　#
        ##########　　　　 ###########
　　　同セグでもVLANが異なると通信不可能になる     

    　VLAN1を設定↓　　　　VLAN1を設定↓
        ##########　　　　 ###########
        #　機器1　#　　↔　　#　機器2　#
        ##########　　　　 ###########
　　　同セグ＋VLANが同じならば再び通信可能に    

これによってセキュリティの向上や、物理的な条件に左右されない柔軟なネットワーク構築が実現します。他にもより発展的な機能を使う時にVLAN設定が前提となることもあり、VLANはネットワーク構築において欠かせない存在ともいえます。

今回はそんなVLANを作成・適用し、実際に機能の動作確認をしていきましょう。
早速作成からやっていきます。

1.スイッチでVLANを作成する

まずはPCとスイッチ⁴をコンソールケーブル⁵で繋げます。
私は「どのケーブルをどの穴(ポート)に突き刺せばいいの？」というところからわからなかったです。
コンソールケーブルはLANケーブルでよく見るRJ-45という端子と、明らかにゴツいDB-9という端子がくっついているやつです。わからなかったら下のAmazonから写真をご確認あれ。

そしてそのケーブルをCONSOLEと書かれたポートに刺します。勝手に抜いたら壊れるんじゃないかとハラハラしてましたが、どれだけ抜き差ししても大丈夫です。好きなだけやってください。

線を繋いだらTeraTermを起動します。「シリアル」という項目が選択できると思うのでそちらをポチッとな。

Packet Tracerを使う場合は、機器のアイコンをダブルクリック→「CLI⁶」の欄を選択するとコマンド入力ができるようになるため線を繋がなくても設定可能です。

画面に Switch> と出てきたらいよいよコマンドを投入できます。

画面に名前が出ていたら成功

Switch>

この状態はユーザEXECモード⁷なので、まずはenable で特権EXECモード⁸へ移行します。成功したら名前の横に # がつきます。

特権モードへ移行

Switch>
Switch>enable
Switch#

次にグローバルコンフィギュレーションモード⁹に移行させます。
コマンドは configure terminal です。成功したら名前の横に (config) がつきます。

グローバルコンフィギュレーションモードへ移行

Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#

グローバルコンフィギュレーションモードでvlan <任意の番号> を投入するとVLANを作成することができます。
VLANは複数個作成することができるため、ごちゃごちゃにならないよう番号で識別します。ちなみに番号は1～4094の範囲で設定可能です。

ここでは番号を10に設定したVLANを作成します。

VLANを作成

Switch(config)#vlan 10
Switch(config-vlan)#
Switch(config-vlan)#exit
Switch(config)#

これでVLAN 10が作成されました。
しれっとexitコマンドが登場しましたが、これは現在いるモードからひとつ上のモードへ戻る際に使います。
ネットワークの機器はモードが階層分けされていて、特権→グローバル→VLANというように決まった道筋でしかモードの切り替えができません。特権→VLANのようにすっ飛ばすことはできず、目的のモードまで各駅停車の如く入力する必要があります。

モード遷移早見表

        #################
        #　ユーザーEXEC　#
        #################
    　　　exit　⇅　enable　
        #################
        #　　特権EXEC　　#
        #################
        　exit　⇅　configure terminal
###################################
#　グローバルコンフィギュレーション　#
###################################
exit　⇅ vlan <id>　　　　exit　⇅　interface <IF種類> <番号>
###############　　##########################
#　VLANコンフ　#　　#　インターフェイスコンフ　#
###############　　##########################

そしてexitはそんな各駅停車の戻る版です。上の図のように、VLANからグローバルへ、グローバルから特権へ……とひとつずつ上に移行することができます。
そのため、VLANを作った際にやったことはVLAN作成のためにVLANコンフィギュレーションモード¹⁰へ入り、もう用がないのでグローバルコンフィギュレーションモードへ戻ったということです。もしもexitをもう一度入力したら、今度は特権EXECモードに行きます。

さて、ここまででVLAN 10が作成されましたね。
しかしVLANはただ作っただけでは効果が発揮されません。このVLANを使用したいスイッチのインターフェースへ適用する必要があります。
ゲームのカセットを用意したけれど、ゲーム機にはまだ挿せていない状態だと思ってください。まだゲームを遊ぶことはできませんね。
では、使えるように設定しましょう。

2.VLANをIF（インターフェイス）に設定

IFに対しての設定はインターフェイスコンフィギュレーションモード¹¹でおこないます。

インターフェイスコンフィギュレーションモードモードに移るには、グローバルコンフィギュレーションモードでinterface <インターフェイスの種類> <ポート番号> を入力します。
ここではfastethernet¹²というIFを使い、ポート番号は0/1に設定をします。

Switch(config)#interface fastethernet 0/1
Switch(config-if)#

インターフェイスコンフィギュレーションモードに移ると、名前の横に(config-if)が付きます。
インターフェイスコンフィギュレーションモードに移行したら、switchport mode accessを投入します。

Switch(config-if)#switchport mode access
Switch(config-if)#

これによってスイッチポートをaccessモードにすることができます。

そもそもスイッチポートには2つのモードがあります。それがaccessとtrunkです。
ざっくり説明すると、ひとつのIFでひとつのVLANだけを設定したいならaccessを、ひとつのIFで複数のVLANを設定したいならtrunkを入力します。
今回はひとつのポートからひとつのVLANだけを扱う設定になっています。もしも複数のVLANを扱いたい場合はswitchport mode trunkを投入するのですが、今回はやめておきましょう。

スイッチポートをaccessにしたら、いよいよVLANの設定を適用します。
switchport access vlan <任意の番号> で設定が可能です。番号の部分には割り当てたいVLANと同じ番号を割り振ります。
今回は先ほど作成したVLAN 10を使いたいので、番号には10を入力しましょう。

Switch(config-if)#switchport access vlan 10
Switch(config-if)#

さあ、ゲーム機にカセットが挿入された状態になりました！
が、まだ使えません！ ここからもうひと手間必要になります。

仕上げに入力するのはno shutdownです。

Switch(config-if)#no shutdown
Switch(config-if)#

IFにはshutdownという概念があります。
その名の通り、shutdownは機能オフの状態です。
IFがshutdownしていると、そのIFとの通信は何が何でも断絶されます。
そして、shutdownの状態から通信可能な状態にするコマンドがno shutdownなのです。

no shutdownまで入力出来たら通信可能な状態になっているはずです¹³。
これでVLAN設定は完了となります。

ついでに下記のコマンドも投入してください。
これが投入できたらVLAN同士で通信できるか試します。

fa 0/2にVLAN 20の設定をするコマンド

Switch(config-if)#exit
Switch(config)#
Switch(config)#vlan 20
Switch(config-vlan)#
Switch(config-vlan)#exit
Switch(config)#
Switch(config)#interface fastethernet 0/2
Switch(config-if)#
Switch(config-if)#switchport mode access
Switch(config-if)#
Switch(config-if)#switchport access vlan 20
Switch(config-if)#
Switch(config-if)#no shutdown
Switch(config-if)#

fa 0/3にVLAN 20の設定をするコマンド、ついでにconfigモードに戻っときます

Switch(config-if)#exit
Switch(config)#
Switch(config)#vlan 20
Switch(config-vlan)#
Switch(config-vlan)#exit
Switch(config)#
Switch(config)#interface fastethernet 0/3
Switch(config-if)#
Switch(config-if)#switchport mode access
Switch(config-if)#
Switch(config-if)#switchport access vlan 20
Switch(config-if)#
Switch(config-if)#no shutdown
Switch(config-if)#
Switch(config-if)#exit
Switch(config)

整理すると、ここまでで以下の設定が投入されています。

fa 0/1 - VLAN 10
fa 0/2 - VLAN 20
fa 0/3 - VLAN 20

しれっと書いてしまっていますが、faとはfastethernetの略です。
実はコマンド入力も省略が可能で、fa 0/1で通ったりします。
余裕があれば遊んでみてください。

3.異なるVLANで疎通しないことを確認 ＆ 同じVLANで疎通することを確認

VLANを設定したら、次はその機能をお試ししてみましょう。
VLANは論理的にセグメントを分割する機能です。
つまり同じIDのVLAN同士なら通信OK、異なるIDのVLAN同士なら通信NGというのが想定される動作になります。

まずはPCを2つ用意します。そしてそれぞれにIPアドレスとサブネットマスクを割り当てます。
IPアドレスとサブネットマスクって何者だよ、と思った方もいるかもしれませんが、詳しい説明は次回 ～IPアドレス設定～ でしようと思います。
ざっくり言うとIPアドレスはネットワークの宛先で、サブネットマスクはセグメントの範囲を判定します。

この場では
IPアドレス=サブネットマスクで255に設定した場の数を揃え、0に設定した場の数を重複しないよう設定する
サブネットマスク=とりあえず2つのPCに同じ数字を設定する
と思ってください。

では設定します。
片方のPCにはIPアドレスが10.10.1.0、サブネットマスクは255.255.0.0
もう片方にはIPアドレスが10.10.2.0、サブネットマスクは同じく255.255.0.0を割り当てます。
サブネットマスクが255のところはどちらも「10.10.」と同じ数字に揃え、サブネットマスクが0のところはそれぞれ「1.0」「2.0」と別の数字になっていますよね。
もうちょい踏み込むと、255の部分は同じセグメントにいることを、0の部分はセグメント内のどこにいるかを示します。
例えるなら「住所を書いてみたら同じ県や市区町村ではあるけれど住んでる場所は違った」というようなものです。東京都セグメントや千葉県セグメントが用意され、その中のどこに住んでいるかを示すことで、PCやその他機器はお互いがどこにいるかを知ることができるのです。

閑話休題。アドレスの話はこの辺りにして設定方法に戻りましょう。

ここから先は実機でやる人はwi-fiなどのインターネット接続をオフにしたうえで、セキュリティソフトもオフにしてください。セキュリティソフトが機能している場合、うまくいかない場合があります。

実機でやる人は「コントロールパネル」を立ち上げます。
そこから「ネットワークとインターネット」>「ネットワーク接続の表示」を選択。
わからなかったらWin+R >「ncpa.cpl」を入力すれば出てきます。

「イーサネット」を右クリックして「プロパティ」を選択。
「インターネットプロトコルバージョン4（TCP/IP）」というのがあると思うので、そちらをクリックして「プロパティ」を選択。
下図と同じものが出ていればOKです！

ここで、片方のPCにはIPアドレスが10.10.1.0、サブネットマスクは255.255.0.0
もう片方にはIPアドレスが10.10.2.0、サブネットマスクは同じく255.255.0.0を割り当てます。
他の設定はスルーでいいです。

packet tracerを使う人はPCオブジェクトをダブルクリックしたら設定画面が出てきます。
そこの「Config」>「FastEthernet0」を選択してください。
右側にIP Configurationという項目があるので、Staticを選択。「IPv4 Address」にIPアドレスを、「Subnet Mask」にサブネットマスクを入力します。

画像は片側の設定しかしていません
もう1台のPCに10.10.2.0、255.255.0.0の設定を忘れないでください

次にLANケーブルで機器に配線をおこないます。つなぎ方は下記。

PC A　↔　Switch fastethernet 0/1
PC B　↔　Switch fastethernet 0/2

ポートの番号はポートの上に数字が書いてあるので、そちらを参照してください。上下がわかりにくいので挿し間違いに注意。
片方のPCは1と書かれたポートにつなぎ、もう片方のPCは2と書かれたポートにつなぎます。

Packet Tracerでも同じようにつなぎ、下のような図になってたらOKです。
ケーブルはCopper Straight Through¹⁴を選んでおり、それぞれfastethernet 0/1とfastethernet 0/2に挿しています。

さて、実機の人もPacket Tracerの人も、ここまででアドレス設定と配線をおこないました。
以上ができていたら10.10.1.0のアドレスを設定したPCでコマンドプロンプトを開きましょう。Win+Rからcmdを入力すると開けます。真っ黒な画面です。
そこでping <宛先IP> を打ちます。

ping 10.10.2.0

pingは指定したアドレスに向けて疎通しているかどうかを確認するコマンドです。
コマンドを入力すると、宛先アドレスで指定した機器から応答が帰ってきて、無事に通じているかがわかります。
では、pingを打った結果を見てみましょう。

Request timed out. が並び、Packets:にはLost = 4（100% loss） とありますね。
これはすべての通信が10.10.2.0に届かなかったことを意味します。

設定を入れて線もつなげたのにこのような結果になったのは、VLANが正しく動作しているからです。
今回はfa 0/1とfa 0/2、つまりVLAN 10とVLAN 20という異なるVLANでの疎通確認をしました。異なるID同士では通信できないので、pingは失敗します。

では、fa 0/1につなげているPCをfa 0/3に挿しなおしてみましょう。
そのうえでもう一度同じpingを送信します。

今度は成功しました。データの大きさや返信までの時間が表示されていますね。
さっきは100%だったlossも今は0%です。

今のはfa 0/3とfa 0/2の通信、つまりどちらもVLAN 20ですね。
同じIDのVLANだったため、VLANは通信を許し、無事に疎通が確認できました。

おわりに

このようにIPアドレスの設定やIFのshutdownをいじらなくても、VLANによってネットワークを分けることができます。
改めてになりますが、VLANはセキュリティの向上や柔軟なネットワーク構築に欠かせない設定です。さらに発展的な機能を使いたい場合に、まずはVLANを用意しないと設定できないものさえあります。
実は大事でめちゃくちゃ使うものなのでぜひ覚えてあげてください。

今回は以上です。
次回のネットワーク構築入門はルーターに対するIPアドレス設定を予定しています。
それでは、お疲れ様でした。

1. ネットワーク機器大手の会社。現場で機器を見ると必ずひとつはあるレベルで製品が普及している。 ↩

2. コマンド入力でカチャカチャやって機器の操作ができるツール。ネットワークの機器もこれで操作します。 ↩

3. ネットワークの範囲のこと。機器Aと機器Bが同じセグメントの中にあれば通信が届くものと思ってください。この範囲の中にVLANを複数個作れます。 ↩

4. セグメント内の通信の行き先を判別してくれる機器。ルーターがセグメントの外を司るとしたら、こちらはセグメントの中を司る。電源のON/OFFができるボタンのことではない。京都のゲーム会社も無関係。 ↩

5. Cisco機器へコンソールログインする際に使うケーブル。実はインターネットを有線接続する際に使うLANケーブルとは中身が違う。あまり深く考えなくていい。 ↩

6. Command Line Interface（コマンドラインインターフェース）のこと。普段アプリやファイルをポチポチとクリックして使っているものと違い、カタカタとキーボードでコマンドを入力して動かす形態。やってみたらわかる。 ↩

7. 権限がなさすぎるモード。何かできるんだろうけれど使ったことがなくて何ができるのかわからない。調べたら「端末の設定変更」「基本テストの実行」「システム情報の表示」らしい。 ↩

8. たくさんの情報を参照できるモード。ネットワーク機器はモードによってどのコマンド入力を受け付けるかが決められている。頑張って設定したい項目の権限があるモードまで移ろう。 ↩

9. 機器全般の設定ができるモード。逆に特権モードでは使えたコマンドがグローバルコンフィギュレーションモードでは使えなくなってたりするため、いちいちモードを切り替える必要がある。面倒かもしれないけど頑張って。 ↩

10. VLANの設定をいじるモード。名前の横に(config-vlan)がある。 ↩

11. インターフェイスの設定ができるモード。ポートの数が多いのでポート番号の打ち間違いに注意。 ↩

12. 他にもGigabitethernetやEthernetといったIFがある。機器によって使えるものが違い、それぞれ対応している通信速度が異なる。fastethernetは最大100Mbpsに対応。 ↩

13. Catalystという製品のスイッチではデフォルト設定でno shutdownになっていて、ケーブル接続をするだけで使えたかもしれません。が、shutdownの概念は大事だと思うのでやっておきましょう。入れて損はない。多分。 ↩

14. ざっくり言うとLANケーブルのこと。実はLANケーブルにはストレートケーブルとクロスケーブルの二種類あり、中にある導線の配置が地味に異なる。使い分けはあるけれど、ストレートとクロスに関係なく接続できる機能をサポートしていることもあって今後は空気になっていくのかもしれない。 ↩