ネットワークの分割の仕方
ネットワークは、様々に分割することが出来ます。
セキュリティを高めるためにも、問題の特定のためにも役立ちます。
それでは、ネットワークを分割するとは、具体的にどういうことなのでしょうか?
分割の方法は2パターン
ネットワークを分割する方法は、大きく2パターンあります。
1つめは、「ルーターを設置する」方法。
2つ目は、「スイッチを用いる」方法。
前提として、TCP/IPの階層構造をザックリ理解しておいて下さい。
(基本情報技術者試験では定番中の定番です)
<TCP/IPの階層構造>
アプリケーション層:HTTP、SMTP、POP、FTP…
トランスポート層:TCP、UDP…
インターネット層:IP、ICMP…
ネットワークインタフェース層:Ethernet、PPP…
※OSI参照モデルでは、より細かく7層に分かれます
下に行けば行くほど、物理的な配線ケーブルの世界になります。
それぞれ、通信手段(プロトコル)を変えて通信しているわけです。
ルーターとスイッチ、それぞれのネットワーク分割方法を詳しく見ていきます。
ルーターによるネットワーク分割
ルーターとは、2つ以上のネットワークを中継するための機器です。
これは、主に「インターネット層」で動作します。
送信元や送信先のIPアドレスを元に、通信を許可するかしないかを判断します。
いわば、関所です。
ルーターで判別するのは、「パケット」という情報の塊の単位です。
普段わたしたちがデータ通信しているとき、データは分割して「パケット」という単位で細切れに送られています。
このパケットには様々な情報が詰め込まれており、その中のIPアドレス情報を参照しています。
このように、ルータでアクセスのコントロールを行う方法を、
「パケットフィルタリング」と呼びます。
スイッチによるネットワーク分割
スイッチとは、ルーター同様、2つ以上のネットワークを中継する機器であることに変わりはありませんが、
「ネットワークインタフェース層」で動作します。
つまり、上位プロトコルのIPアドレスなどではない情報で通信を振り分けることが可能です。
代表的なものが、「MACアドレスによるフィルタリング」です。
MACアドレスとは、IPアドレスとは異なり、物理的な機器一つ一つに割り振られた固有の番号です。
MACアドレスは物理的な機器の情報なので、より原始的な次元で通信制御することができます。
接続を許可するMACアドレスを登録しておき、通信を振り分けます。
IPアドレスは、動的に変わるものもあれば、偽装も可能です。
それでは、MACアドレスが固いのでしょうか?
残念ながら、MACアドレスも偽装することが可能です。
さらに、MACアドレスは平文で送信されるので、盗聴には注意しなければなりません。
以上、ネットワークを分割する2種類の方法をご紹介しました。
どちらにもメリット・デメリットがありますが、性質を知った上で上手く使い分けることが最も重要です。
