「L3スイッチとルーター、どっちもルーティング出来るって聞いたけど結局何が違うの?」——ここで詰まる人、めちゃくちゃ多いです。
LANの中(社内)で強いのがL3SW、外(インターネット/WAN)との境界で強いのがルーター…と言われても、NATやVPN、VLAN間ルーティングが絡むと一気にややこしくなります。
この記事では“役割・機能・構成例”でスッキリ整理します。
まず結論:L3SWとルーターの違い
役割の違い(LAN内/境界)
早見表で一気に理解
まず結論です。
L3SW(レイヤ3スイッチ)とルーターは、どちらも「IPアドレスを見て、データをどこに送るか決める機械」です。
これをネットワークの世界ではルーティング(道案内)と呼びます。
でも、得意な場所(担当する場所)が違います。
- L3SWが得意:学校の中みたいな「同じ建物の中(社内LAN)」で、クラス(VLAN)が分かれていても行き来出来る様にする
- ルーターが得意:学校の外(インターネットや拠点間回線)とつなぐ「出入口(境界)」を担当する
イメージし易い様に、ざっくり表にするとこうです。
| 比べるポイント | L3SW(L3スイッチ) | ルーター |
|---|---|---|
| よく置く場所 | 社内LANの中 | 社内LANと外(WAN/ネット)の間 |
| 得意な仕事 | VLAN同士をつなぐ(社内の道案内) | 外部とつなぐ、経路制御、回線側の対応 |
| よくある機能 | VLAN間ルーティング、たくさんのLANポート | NAT/NAPT、VPNなど境界向け機能 |
実際、多くの解説でも「L3SWはLAN同士の接続が中心で、NAT/NAPTやVPNは基本的に持たない」「ルーターはLANとWANをつなぎ、NAT/NAPTやセキュリティ機能を持つものが多い」という整理になっています。
ただし最近は「出来る事が似てきた機種」もあります。
だからこそ大事なのは、名前で決めつけずに **“どこに置くか”と“何が必要か”**で選ぶ事です。
L3SW(L3スイッチ)とは何か
L3SWの基本機能
VLAN間ルーティングとSVI
L3SWの一番大事な役目は、**VLAN(ブイラン)**が分かれている社内ネットワークで、必要な通信だけを通せるようにする事です。
VLANは、同じスイッチにつながっていても「クラスを分ける」みたいにネットワークを分ける仕組みです。
例えば、
- VLAN10:職員室
- VLAN20:1年生教室
みたいに分けると、基本的に別VLAN同士はそのままだと話せません。
そこで出てくるのが VLAN間ルーティングです。
これは「別クラス同士が連絡出来るように、先生が手紙を回す」みたいなものです。
Ciscoの資料でも、CatalystスイッチでVLAN間ルーティングを設定する手順が用意されていて、L3SWでVLAN間ルーティングをするのが一般的なやり方だと分かります。
そして、L3SWでよく出てくる言葉が SVI(VLANインターフェース)です。
SVIは超簡単に言うと、「VLANごとに作る“出口(ゲート)”」**です。
ここにIPアドレスを設定すると、そのVLANの人達はそのIPを「外へ出るときの最初の行き先(デフォルトゲートウェイ)」として使えます。
SVIは「VLAN間で通信出来る様にするための仮想的なインターフェース」と説明されています。
例)
- VLAN10(10.10.10.0/24)のSVI → 10.10.10.1
- VLAN20(10.10.20.0/24)のSVI → 10.10.20.1
こうしておくと、VLAN10のPCがVLAN20のサーバに話しかけたい時、L3SWが「はい、こっちのVLANへ送るね」と交通整理をしてくれます。
ポイントは、L3SWは 社内LANの中の移動を速く、分かり易くするための機械だという事です。
ルーターとは何か
ルーターの基本機能
WAN接続とNAT/NAPTの役割
ルーターは、ひと言で言うと **「ネットワークとネットワークをつなぐ門番」**です。
特に、社内LANとインターネットの様な外部ネットワーク(WAN)をつなぐ場所で活躍します。
多くの説明で「ルーターはLANとWANを接続する際に使う」と言われます。
そして、ルーターの“境界っぽい仕事”の代表が NAT/NAPT です。
ここは中学生向けに超かみくだくとこうです。
- 社内のPCは、大体プライベートIP(例:192.168.x.x)を使う
- インターネット側では グローバルIP が必要
- だから境界で「住所(IP)」を書き換えて外へ出す必要がある
この「住所を書き換える」技術が NAT です。
NATは「境界のルータやゲートウェイがIPアドレスを対応づけて変換する技術」と説明されています。
でもNATだけだと、1対1の変換が基本で、たくさんの機器が同時に外へ出るのに不利です。
そこで登場するのが NAPT。
これは IPアドレスだけでなく“ポート番号”も一緒に変換して、1つのグローバルIPをみんなで共有出来る様にする仕組みです。
E-wordsでも「IPアドレスとポート番号を変換して中継する技術」と説明されています。
またRFC(インターネットの公式文書)でも、NATとNAPTを区別して説明しています。
さらに、境界では **VPN(安全なトンネル)**などの機能が必要になる事が多く、一般的な説明でも「L3SWはVPNを持たないが、ルーターは持つものが多い」とされています。
だから、**外とつなぐ=ルーター(またはファイアウォール)**という考え方が基本になります。
性能と仕組みの違い(なぜL3SWは速い?)
ASIC/ハードウェア転送という考え方
ルータが“万能”になり易い理由
「L3SWは速い」ってよく聞きます。
これは、L3SWが たくさんの通信をさばくための“専用の回路(ASICなど)を使って、転送を速く出来る設計が多いからです。
Ciscoの資料では、ハードウェアベースのL3スイッチングで、ルーターの転送負担を減らす(オフロードする)という考え方が説明されています。
またCisco Express Forwarding(CEF)という仕組みでも、最適化された転送表を使って CPUの関与を少なくして高速に転送するという説明があります。
難しく言うとややこしいので、超ざっくり言うとこうです。
- L3SW:転送の仕事を“得意な専用係”が担当しやすい → 速い
- ルーター:色んな仕事を1台でやり易い → 便利だけど負荷が増える事がある
じゃあ、ルーターはダメなの?というと全然そんな事はありません。
ルーターは境界でやる事が多いです。
例えば、
- NAT/NAPT
- VPN
- 回線側の設定(プロバイダや拠点間など)
- 外からのアクセス制御
こういう「外とつなぐなら必要になりがちな仕事」をまとめて引き受けるから、ルーターは 万能な門番になり易いんです。
つまり、速さだけで勝負するより、役割分担で考えるのが正解です。
セキュリティ・付加機能の違い
VPN/フィルタリング/冗長化の考え方
「出来る・出来ない」より設計意図
ネットワーク機器を選ぶ時、みんなが気になるのが「セキュリティ」です。
ここで大事なのは、**“どこを守るのか”**です。
- 境界(インターネットに近い場所):攻撃も来やすい。VPNも必要になりやすい。
- 社内(LANの中):部署ごとの区切り、アクセス範囲の整理が中心。
だから一般的には、
- L3SW:社内LAN向け(LAN同士の接続)で、NAT/NAPTやVPNは基本的に搭載しない
- ルーター:境界向け(LANとWAN接続)で、NAT/NAPT、セキュリティ機能を持つものが多い
という説明になります。
ただし注意点。
「L3SW=セキュリティ弱い」ではありません。
L3SWでも、社内の整理として アクセス制御(ACLのようなもの)や、安定稼働のための仕組みを持つ機種があります(機種差はあります)。
大切なのは、「守りたい場所」に合う役割を持たせる事です。
お勧めの考え方はこうです。
- 社内LANはL3SWで整理(部署・教室ごとにVLAN)
- 外との出入口はルーター(またはFW)で守る(NAT/VPN/ポリシー)
この分担にすると、設計も運用も迷いにくくなります。
構成例で学ぶ:どこに何を置く?
小〜中規模の典型パターン
Router on a Stick vs L3SW
VLANを作り始めると、ほぼ必ず出てくる悩みがこれです。
「VLAN間ルーティングは、ルーターでやる?L3SWでやる?」
有名なのが **Router on a Stick(ルータ・オン・ア・スティック)**というやり方です。
これは、ルーターとスイッチを1本の線(トランク)でつないで、ルーター側にVLANごとの設定(サブインターフェース)を作ってVLAN間ルーティングをする方式です。
Cisco Pressでも、この方式をRouter-on-a-Stickとして説明しています。
この方式のメリットは、機器が少なくても始めやすい事。
小さめのネットワークならコスト的にもアリです。
ただしデメリットもあります。
VLANが増えるほど、ルーターに仕事が集まり易くなります。
社内の通信が増えた時に「全部ルーター経由」で混みやすくなる事があります。
そこでよく使われるのが、L3SWでVLAN間ルーティングする方式です。
Ciscoのドキュメントでも、CatalystスイッチでVLAN間ルーティングを設定する方法がまとまっています。
L3SW方式にすると、社内の行き来はL3SWがさばき、ルーターは外との出入口に集中出来ます。
良くある“王道の分担”はこれです。
- 社内(VLAN間):L3SW(SVIでゲートウェイを作る)
- 外(インターネット/WAN):ルーター(NAT/NAPT、VPNなど)
選定チェックリスト(失敗しない判断基準)
要件から逆算する
10項目フローチェック
最後は「結局どっち買えばいいの?」に答えるチェックです。
ポイントは、必要な機能が“境界寄り”か“社内寄り”かです。
次の質問に答えてみてください。
- インターネット接続(WAN)をつなぐ? → Yesならルーターが必要になりやすい
- NAT/NAPTが必要?(1つのグローバルIPを共有したい等)→ Yesならルーター寄り
- VPNが必要?(拠点間・在宅接続など)→ Yesならルーター(またはFW)寄り
- 社内でVLANを沢山作る? → YesならL3SW寄り
- VLAN間の通信が多い?(サーバやプリンタに皆がアクセスする)→ YesならL3SWでさばくと楽
- VLANごとにゲートウェイ(出口)を作りたい? → L3SWのSVIが分かりやすい
- 小規模でまず動けばいい? → Router on a Stickも候補
- 社内は速くしたい&外は安全にしたい? → L3SW+ルーター分担が定番
- 将来端末が増える? → ポート数が必要ならL3SWを検討(収容力)
- トラブル時に切り分けを簡単にしたい? → 役割分担すると原因が追いやすい
結論としては、社内の交通整理=L3SW、外との出入口=ルーターで考えると失敗が減ります。
よくある質問(FAQ)
ルータ不要論/L3SWでネットに出る?等
つまずきポイントまとめ
Q1. L3SWだけでルーターは要らない?
社内LANだけなら、L3SWでVLAN間ルーティングは出来ます(SVIで出口を作れる)。
でもインターネットに出るなら、NAT/NAPTやVPNなど“境界の仕事”が必要になる事が多いので、一般的にはルーター(またはFW)が必要になります。
Q2. L3SWでもルーティングできるのに、何が違うの?
同じ「道案内」でも、L3SWは社内の大量のやり取りを速くさばく考え方が強く、ルーターは境界の色んな機能(NAT/VPNなど)をまとめて担当しやすい、という違いです。
Q3. Router on a Stickって何がイヤなの?
小規模なら良いですが、VLANが増えたり通信量が増えたりすると、ルーター側に負担が集まりやすくなります。だから中〜大規模では、社内はL3SW、境界はルーターに分ける構成がよく選ばれます。
まとめ
L3SW(L3スイッチ)とルーターは、どちらも「IPアドレスを見て、データの行き先を決める機械」ですが、担当する場所が違います。
基本は、L3SW=社内LANの中の交通整理、ルーター=社内と外(インターネット/WAN)の出入口です。
多くの解説でも「L3SWはLAN同士」「ルーターはLANとWAN」をつなぐ、と整理されています。
L3SWが得意なこと(社内の整理)
社内では、部署ごとにネットワークを分けるために VLAN を使う事が多いです。
この時、別VLAN同士が話すには「道案内(ルーティング)」が必要で、L3SWはここが得意です。
Ciscoも「CatalystスイッチでVLAN間ルーティングを設定する方法」を案内しています。
その中心になるのが SVI(VLANごとの“出口”みたいなもの)です。
SVIは、VLANにIPアドレスを持たせて、VLAN間で通信出来るようにするための仮想インターフェースだと説明されています。
ルーターが得意な事(外との出入口)
インターネットに出る時は、社内のIPアドレスのままだと都合が悪い事が多いので、ルーター側で NAT/NAPT(アドレスの書きかえ)をするのが一般的です。
NATの考え方(Basic NATとNAPTを含めた“Traditional NAT”)はRFCでも整理されています。
また、拠点間接続や在宅接続で使う VPN の様な「境界っぽい機能」も、ルーターに載っている事が多い、という説明が良くあります。
一番失敗しにくい考え方(結論)
名前で決めるより、次の順で考えると迷いません。
- 社内でVLANが増える/社内通信が多い → まずL3SWで整理(SVIでVLANの出口を作る)
- インターネット接続・NAT/NAPT・VPNが必要 → まずルーター(またはFW)で出入口を作る
よくある王道は、**「社内(VLAN間)=L3SW」「外との境界=ルーター」**の分担です。
これにすると、社内は速く整理できて、外側は安全に管理しやすくなります。
コメント