1.ネットワークにおけるセグメントとは
セグメント (segment)とは、「区分」という意味で、ネットワークにおけるセグメントとは、192.168.1.0/24、192.168.2.0/24などと分けられた各ネットワークのことです。
サブネットとどう違うのですか?
まあ、同じと思っていいです。
私の感覚だと、クラスで割り当てられたネットワークを,サブネットマスクを使ってさらに小さなネットワークに分けたものをサブネットと考えています。
なので、「分割されて小さくなった」というイメージです。
一方、セグメントという言葉に、分割されて小さくなったという感覚はありません。
純粋に、一つの領域というか、ブロードキャストが届くネットワーク範囲のことをセグメントと呼びます。
ネットワークエンジニアの皆さんの感覚でも、この整理というのは、遠からずではないでしょうか・・・(違ったらご意見ください!)
2.なぜセグメントを分割するの?
セグメントは、適切な大きさに分割する必要があります。パソコンが仮に200台あったとしても、それを1つのセグメントにしてしまうのもありですが、192.168.1.0/24と192.168.2.0/24などと、ネットワークを部署単位などで分離します。その際、ルータ(またはL3スイッチ)を境界に設置します。これは、会社において、部署単位で部屋を分けるのと似ています。
なぜセグメントを分けるのですか?
■理由1
同一セグメントであれば、ブロードキャストパケットが全てに流れる。無駄なトラフィックを適切に制限するというのが一つの理由です。
でも、ブロードキャストパケットなんて、
たまにしか流れないから大した理由ではないですよね。
たしかにそう。でも、ウイルスであったり、ループなどでネットワークが輻輳した場合、同一セグメント内の全ての端末に影響がでる。被害を局所化するという意味では、適切に分断しておくべきでしょう。
■理由2
セキュリティ設定をしやすくする。
セグメントを分けておけば、セグメント間でのフィルタリングができます。例えば、ルータにてフィルタリングができます。一方、L2SWでは、IPアドレスベースのフィルタリングが(できる機械があるかもしれませんが、)基本的にはできません。
また、サーバやFWなどで、総務部(192.168.1.0/24)からは許可したいが、営業部(192.168.2.0/24)からはアクセスさせたくないなどの処理をするのも、設定しやすい。
同一セグメントでも、
総務の端末のIPアドレスや営業部の端末のIPアドレスを個別にフィルタリングすれば可能ですよね。
可能だけど、面倒です。セグメントで書いた方が簡単です。手間がかかったり、一目で分かりにくいのは、セキュリティミスが生まれがちになり、お勧めできません。
Copyright (C) 2011〜 nw.seeeko.com ネットワークスペシャリスト - せーこのつるぎ -