ネットワークループ検知とVLAN:単一セグメントの障害が全ネットワークに波及するのを防ぐ可用性設計

投稿日: 更新日

「たった一個の差し間違い」で全社が止まる恐怖

LANケーブルの両端を同じスイッチに挿してしまう、あるいはハブを二重に繋いでしまうことで発生する「ネットワークループ」。これにより発生する「ブロードキャストストーム(パケットの無限増殖)」は、ネットワーク帯域を瞬時に食いつぶし、スイッチのCPU負荷を限界まで押し上げ、ネットワーク全体をダウン(通信不能)に陥れる。

VLANとループ検知機能を組み合わせることで、万が一ループが発生しても、その被害を特定のVLAN内だけに封じ込め、他の業務セグメントを守り抜く「可用性設計」が可能になる。

1. VLANによる「ストームの壁」構築

VLANを設定していない(全ポートが同じセグメントの)場合、どこか一箇所で発生したループパケットは全てのポートへ転送され、ネットワーク全体を道連れにする。

  • 隔離の効果: VLANを設定していれば、ループの影響はそのVLAN IDが割り当てられたポート間だけに限定される。
  • 例: 1階の事務用VLANでループが発生しても、別VLANである「サーバーVLAN」や「2階の営業用VLAN」の通信は止まらない。

2. スパニングツリープロトコル(STP)の最適化

スイッチ間でループを自動検知し、予備経路をあえて遮断(ブロック)することで通信を維持する技術。

  • PVST+ (Per-VLAN Spanning Tree): VLANごとに個別のスパニングツリーを構成する。これにより、特定のVLANでトポロジー変更(障害)が起きても、他のVLANのツリーには影響を与えず、再計算による一時的な通信断を防げる。

3. ループ検知・遮断機能(メーカー独自機能の活用)

多くのスマートスイッチやL3スイッチには、ループを検知した瞬間に「該当ポートだけを物理的にシャットダウン」する機能がある。

  • アクション: ループを検知 → ログを記録 → LEDを点滅 → 該当ポートを自動隔離(Error-Disable)
  • メリット: ネットワーク全体が重くなる前に、問題の箇所だけを「切り離す」ことができるため、管理者が現場に到着する前に被害を最小化できる。

4. エッジポート(アクセスポート)の徹底管理

ループの多くは、ユーザーが勝手に持ち込んだ小型ハブや、デスク下の配線ミスから発生する。

  • BPDUガード: 端末を繋ぐためのポートに設定。誤ってスイッチやハブが繋がれた(BPDUパケットを受信した)瞬間にポートを遮断する。
  • 未使用ポートの無効化: 使っていない壁のLANポートを物理的に無効(Shutdown)にしておくことで、「とりあえず挿してみる」という行為による事故を根絶する。

運用のメリット

  • 復旧時間の短縮: どのポートが遮断されたかを確認するだけで原因箇所が特定できるため、広大なオフィスでハブを探し回る必要がなくなる。
  • 業務継続性の確保: インフラ(VLAN100)や基幹システム(VLAN10)を一般事務用セグメント(VLAN20)から切り離しておくことで、社員のミスによって会社全体の業務が停止するリスクを構造的に排除できる。

注意点:カスケード接続のルール化

小型ハブの多段接続(カスケード)はループ発生確率を飛躍的に高める。

  • 対策: 「ハブの持ち込み禁止」を運用ルールとするだけでなく、VLANのポート設定で接続できるMACアドレスの数を制限(ポートセキュリティ)し、勝手なハブ増設を技術的に阻止する。
アバター画像
0xc793

本サイトは、SOHO・個人・ホームネットワーク等の事業基盤や生活の継続を目的とした環境設計や実施タスクのナレッジです。セキュリティ、バックアップ、運用の各軸に基づき、エントリを配置していきます。