1.ネットワークにおけるセグメントとは

 セグメント (segment)とは、「区分」という意味で、ネットワークにおけるセグメントとは、192.168.1.0/24、192.168.2.0/24などと分けられた各ネットワークのことです。
ネットワークスペシャリストを目指す女性SEあれ? 


サブネットとどう違うのですか?
まあ、同じと思っていいです。
私の感覚だと、クラスで割り当てられたネットワークを,サブネットマスクを使ってさらに小さなネットワークに分けたものをサブネットと考えています。
なので、「分割されて小さくなった」というイメージです。

一方、セグメントという言葉に、分割されて小さくなったという感覚はありません。
純粋に、一つの領域というか、ブロードキャストが届くネットワーク範囲のことをセグメントと呼びます。
ネットワークエンジニアの皆さんの感覚でも、この整理というのは、遠からずではないでしょうか・・・(違ったらご意見ください!)

2.なぜセグメントを分割するの?

セグメントは、適切な大きさに分割する必要があります。
パソコンが仮に200台あったとしても、それを1つのセグメントにしてしまうのもありですが、192.168.1.0/24と192.168.2.0/24などと、ネットワークを部署単位などで分離します。その際、ルータ(またはL3スイッチ)を境界に設置します。これは、会社において、部署単位で部屋を分けるのと似ています。
女性ハテナ 


なぜセグメントを分けるのですか?
■理由1
同一セグメントであれば、ブロードキャストパケットが全てに流れる。無駄なトラフィックを適切に制限するというのが一つの理由です。
女性ほおづえ 

でも、ブロードキャストパケットなんて、
たまにしか流れないから大した理由ではないですよね。
たしかにそう。でも、ウイルスであったり、ループなどでネットワークが輻輳した場合、同一セグメント内の全ての端末に影響がでる。被害を局所化するという意味では、適切に分断しておくべきでしょう。
aa
■理由2
セキュリティ設定をしやすくする。
セグメントを分けておけば、セグメント間でのフィルタリングができます。例えば、ルータにてフィルタリングができます。一方、L2SWでは、IPアドレスベースのフィルタリングが(できる機械があるかもしれませんが、)基本的にはできません。
また、サーバやFWなどで、総務部(192.168.1.0/24)からは許可したいが、営業部(192.168.2.0/24)からはアクセスさせたくないなどの処理をするのも、設定しやすい。
bb
1 
同一セグメントでも、
総務の端末のIPアドレスや営業部の端末のIPアドレスを個別にフィルタリングすれば可能ですよね。
可能だけど、面倒です。セグメントで書いた方が簡単です。手間がかかったり、一目で分かりにくいのは、セキュリティミスが生まれがちになり、お勧めできません。

スポンサードリンク