SonicOS のインターフェースは大きく次のように分けられます。
|
•
|
仮想インターフェース - 仮想インターフェースは、サブインターフェースとして物理インターフェースに割り当てられ、複数のインターフェースに割り当てられたトラフィックを物理インターフェースが搬送できるようにします。
|
物理インターフェースは、送受信トラフィックを規定するアクセス ルールの設定が可能なゾーンに割り当てる必要があります。セキュリティ ゾーンは、送受信トラフィックの経路として動作する各物理インターフェースにバインドされます。インターフェースがなければ、トラフィックはゾーンにアクセスしたり、ゾーンを出ていくことができません。
ゾーンの詳細については、ネットワーク > ゾーン を参照してください。
NSA 6600 および SuperMassive 9000 シリーズ装置では、強化された Small Form-Factor Pluggable (SFP+) ポートである X16、X18、および X19 は、CPU に対する直接スループットが最大であることを表すため、ドット付きで示されます。これらのドット付きポートには、CPU への専用 (非共有) アップリンクがあります。
これは、例えば 10Gb の企業ネットワーク バックボーンがあり、部門のゲートウェイ機器として SuperMassive 9200 を使用している場合に有益です。ドット付きポート (X16、X18、または X19) のいずれかをバックボーンに直接接続する必要があります。これらのポートは CPU からポートの接続先までを直接接続するので、最大限のアクセス速度が得られます。バックボーンへの接続で、ネットワーク上のユーザや他の機器と帯域幅を共有することは望ましくありません。最大の速度と効率を得るために、ドット付きポートはバックボーンに直接接続してください。
また、商業的に重要なリンクや、著しく多重化されているリンクも、通常はドット付きのインターフェースに接続する必要があります。商業的に重要なリンクの使用事例としては、管理部門による 10Gb バックボーン ネットワークへの接続があります。パフォーマンスを最大限に引き出すため、ドット付きインターフェースを介して上流のバックボーン接続を接続してください。これにより、CPU アップリンクを共有する、ドット付きでない他のインターフェース上の一時的な高負荷状況によって、重要なバックボーン トラフィックが失われることはなくなります。
著しく多重化されているリンクの使用事例としては、それぞれが 10Gb のアップリンクを持つ、多数の下流エンタープライズ スイッチがあります。パフォーマンスを最大限に引き出すため、ドット付きインターフェースを介して各スイッチを接続してください。これにより、高レベルの異なるスイッチング ドメインが CPU リソースを互いに奪い合うことはできなくなります。
図 4. 10 ギガビット イーサネット ホットプラグ可能なポート
X17 インターフェースは、SonicOS 管理インターフェースにアスタリスク (*) マーク付きで表示されます。これは、このインターフェースがポート X0 ~ X15 と共有される共通スイッチング ドメインに接続され、そのため X17 は SonicOS 詳細スイッチング機能に参加できることを意味します。
仮想インターフェースは、物理インターフェースに割り当てられたサブインターフェースであり、SonicWALL セキュリティ装置でサポートされます。仮想インターフェースにより、1 つの物理接続で複数のインターフェースを使用できます。
仮想インターフェースは、ゾーンの割り当て、DHCP サーバ、NAT、アクセル ルールの管理など、物理インターフェースと同じ機能を数多く備えています。
仮想ローカル エリア ネットワーク (VLAN) は、IP ヘッダーのタグ付けを使用することで、単一の物理 LAN の中で複数の LAN をシミュレートできるため、“タグベースの LAN 多重テクノロジ"と表現できます。物理的に個別の、接続されていない 2 つの LAN は、互いに完全に分かれています。 2 つの異なる VLAN についても同様ですが、VLAN の場合、2 つの VLAN は、同じ回線上に存在できます。VLAN では、このような仮想化を実現する VLAN 対応のネットワーキング機器が必要です。 これらは、ネットワークの設計とセキュリティ ポリシーに従って VLAN タグ (ID) を認識、処理、削除、および挿入できるスイッチ、ルータ、およびファイアウォールです。
VLAN は多くのさまざまな理由で役立ちますが、その理由の多くは、VLAN が、物理的ではなく論理的なブロードキャスト ドメイン、つまり LAN 境界を提供できる機能に基づいています。これは、大きな物理 LAN を複数の小さな仮想 LAN に分割する場合と、物理的に異なる複数の LAN を論理的に連続する 1 つの仮想 LAN にまとめる場合の、両方に該当します。この利点は、以下のとおりです。
|
•
|
パフォーマンスの向上 - 論理的に分割された小さなブロードキャスト ドメインを作成することで、必要な送信先にのみブロードキャストを送信し、アプリケーション トラフィック用に多くの帯域幅を残せるため、ネットワーク全体の使用率が低下します。
|
|
•
|
コストの減少 - ブロードキャストのセグメント化は、かつてはルータで行われていたため、新たなハードウェアと設定が必要でした。VLAN では、ルータの機能的な役割は一変しました。 通信の抑制目的で使用されるのではなく、必要に応じて、異なる VLAN 間の通信を促進するために使用されます。
|
|
•
|
仮想ワークグループ - ワークグループは、マーケティング部門やエンジニアリング部門など、一般に情報を共有する論理単位です。効率上の理由で、ブロードキャスト ドメイン境界は、このような機能ワークグループに対応するように作成する必要がありますが、それが常に可能であるとはかぎりません。エンジニアリング ユーザとマーケティング ユーザが建物の同じ階 (および同じワークグループ スイッチ) を共有していて、入り混じっていることもあれば、その逆にエンジニアリング チームが、構内全体に分散していることもあります。この状態を複雑な配線を駆使して解決するのはコストがかかり、絶えず行われる追加や移動を保守するのは不可能です。VLAN では、スイッチを簡単に再設定して、論理的なネットワーク配置をワークグループの要求に対応させることができます。
|
|
•
|
セキュリティ - ある VLAN 上のホストは、別の VLAN 上のホストと、両者間の通信を促進するネットワーク機器がなければ通信できません。
|
SonicOS の VLAN サポートは、物理インターフェースの下にネストされる論理インターフェースである、サブインターフェースを使用して実現されます。一意の VLAN ID (タグ) ごとに、独自のサブインターフェースが必要です。セキュリティと管理上の理由で、SonicOS は VLAN トランク プロトコルに対応していません。 代わりに、サポートされる各 VLAN を設定し、適切なセキュリティ機能を割り当てる必要があります。
VLAN ケーブル スイッチからのトランク リンクは、関連する VLAN ID をファイアウォール上のサブインターフェースとして宣言し、それらを、物理インターフェースを設定する方法とほぼ同じ方法で設定することにより、サポートされます。言い換えると、サブインターフェースとして定義された VLAN だけがファイアウォールによって処理され、それ以外は対象外として破棄されます。この方法の場合、トランク リンクの接続先であるファイアウォール上の親物理リンクは従来のインターフェースとして動作し、同じリンク上に存在する可能性があるネイティブの (タグ付きでない) VLAN トラフィックもサポートできます。また、親インターフェースは、“未定義"のままです。
VLAN サブインターフェースは、ゾーンの割り当て、セキュリティ サービス、GroupVPN、DHCPサーバ、IP ヘルパー、ルーティング、NAT ポリシーとアクセス ルールの完全な制御など、物理インターフェースの大部分の機能と特徴を備えています。マルチキャスト サポートは、現時点では VLAN サブインターフェースから除外されています。
