5.2.2 セグメントの分離

ネットワークの構成において、基本的には同じセグメントにはスイッチを 利用してネットワークを構成して良いでしょう。 こうした場合の例としては、学校の演習室の内部を一つのセグメントにする ような場合が上げられます。

\epsfile{file=same-segment}

しかし、機能的なまとまりが異なる場合には、必ずネットワーク的に異なるセグメント として構成しなければなりません。 例えば、企業において、人事と営業、あるいは会計と人事を同一セグメントで 構成するのは後々問題の種となるでしょう。 このような分離は、実はセキュリティの基本であると言えます。 実際、如何なる防御技術があっても、同一セグメントにウィルスや、スパイウェアが 進入した場合、情報の秘匿は困難であるからです。

一方、勿論、物理的な位置関係が違うだけで、機能的には同じような場合には、 ケーブルを延長して2つのネットワークを同一セグメントとして扱って も構いません。勿論、積極的にそうする理由がない限りはという限定付ではありますが。 そうした 理由としては、クライアント間で簡単にファイルを共有したいというような場合 が考えられます。しかしながら、同一セグメントでなくとも、ファイルサーバが設置され ていれば、ファイル共有は可能となるので、目的が全てを正当化する訳ではありません。 今の場合、ファイルサーバによる共有という道が不可能である、あるいは何らかの 理由で困難である場合にのみ選択されるべきでしょう。

つまり、筆者の主張としては、ネットワークセグメントは出来うる限り分離されて いることが望ましいと言う事です。但し、これにはコストが許す限りという条件が あるというのも忘れてはなりません。 何故ならば、ノンインテリジェントハブが最も安価で、L2スイッチ、L3スイッチの順に 飛躍的にコストは増大していくからです。

\epsfile{file=diff-segment}

このように分離されたネットワーク間はルータを用いて接続するようにします。 L2スイッチでの接続は、同一セグメントになるか、あるいは後述するVLANを 用いて分離された別のセグメントになるかのどちらかしかありません。 つまり、何らかのルータがそこに存在しない限り、異なるセグメント間の通信 は不可能です。但し、ルータというと先に上げた高価なルータを思い浮かべる かも知れませんが、L2スイッチで分離し、それらの分離されたセグメント間 を安いPCをルータにしてつなぐということも可能ですので、コストとの関係 では実は多くのソリューションがあります(業者はこうした設計は手離れが 良くないので好まないでしょうが、手弁当ネットワークではコスト故に良く 使われる手法です)。そうでないとすると、最も安く、しかしそこそこの機能 を持ったギガビットのL3スイッチで大体20万円前後はするようです。



Noriyo Kanayama