VLANの概要
VLANとは、スイッチに接続されたPCやサーバを論理的にグループ分けして、あたかも別々のネットワークに分割したように利用できる仕組みです。
VLANのメリット
通常、スイッチに接続された機器はすべて同じネットワークに属します。そのため、すべての機器がブロードキャストを受け取り、セキュリティや効率の面で問題になることがあります。
そこでVLANを設定すると、同じスイッチに接続されていても、機器を論理的に分けて異なるネットワークとして扱うことができます。たとえば、部署ごとに「営業部用VLAN」「総務部用VLAN」と分けることで、ブロードキャストが不要に広がるのを防ぎ、セキュリティを高めることが可能です。
- セキュリティ向上:部門ごとにネットワークを分け、不正アクセスを抑止。
- トラフィック制御:不要な通信が他の部署に流れない。
- 柔軟性:物理的な接続に関係なく、論理的にネットワークを設計できる。
ポートベースVLAN
VLANの代表的な方式のひとつが「ポートベースVLAN」です。これは、スイッチの各ポートにVLAN IDを割り当てることで、接続された機器を論理的にグループ分けする方法です。
例えば、スイッチングハブの1〜4番ポートを「VLAN10」、5〜8番ポートを「VLAN20」と設定すると、同じVLANに属する機器同士は通信できますが、異なるVLAN間では直接通信できません。
- シンプルな構成:設定が「ポート単位」で行われるため、管理が容易
- 同一VLAN内通信:同じVLAN IDに属する機器間は、通常のLANと同様に通信可能
- VLAN間分離:異なるVLAN IDに属する機器間は通信できず、セキュリティやトラフィック制御に効果的
- 柔軟性の欠点:PCを別のポートに差し替えると意図せず別のVLANに所属してしまう。正しいVLANに所属させるために、管理者がVLAN設定を変更しなければならない
VLAN間で通信を行うには?
ポートベースVLANでは、異なるVLAN間での通信は遮断されます。もし「VLAN10」と「VLAN20」のPCを通信させたい場合は、ルータやL3スイッチを用いた「VLAN間ルーティング」が必要となります。
タグVLAN
タグVLAN(IEEE 802.1Q)は、VLANの情報をEthernetフレームに「タグ」として埋め込む方式です。スイッチングハブ間で複数のVLANを一つの回線(リンク)でやり取りできるようになります。
各フレームにはVLANタグが追加されます。スイッチングハブは、このタグを見て、「どのVLANのフレームなのか」を判断します。これにより、1本の物理リンクで複数のVLANを運べるため、ネットワーク設計が柔軟になります。
VLANタグ
IEEE 802.1Qで規定されるVLANタグは、Ethernetフレームに挿入される 4バイト(32ビット)の追加情報です。これにより、1本のリンク上で複数のVLANのフレームを識別できるようになります。タグは、Ethernetフレームの送信元MACアドレスとタイプフィールドの間に挿入されます。
TPID(Tag Protocol Identifier, 16ビット)
- 値は 0x8100 に固定
- 「このフレームはVLANタグ付きですよ」という目印
- スイッチはこの値を見て、VLANタグの有無を判断する
PCP(Priority Code Point, 3ビット)
- 優先度を示すフィールド(IEEE 802.1p)
- 0〜7の8段階でトラフィック優先度を表す
- 例:音声(VoIP)は高優先度、通常データは低優先度
DEI(Drop Eligible Indicator, 1ビット)
- 輻輳時にフレームを破棄してよいかを示すフラグ
- 旧名称 CFI(Canonical Format Indicator)
- 値が1なら「混雑したら捨ててもよいフレーム」
VLAN ID(12ビット)
- VLANを識別する番号
- 値の範囲は 0〜4095
- ただし、予約値があるため実際に使えるのは 1〜4094
- 0:タグなしを示すため予約
- 4095:将来の拡張用に予約
アクセスポートとトランクポート
- アクセスポート
特定のVLANに所属するポートで、通常のPCやプリンタなどの端末を接続し、タグは付与せずに通信します。 - トランクポート
スイッチングハブ間を接続し、複数のVLANをまとめて流すポートで、フレームにタグを付与して送信します。
図では、左側のスイッチングハブの4番ポートと右側のスイッチングハブの1番ポートをトランクに設定し、VLAN10とVLAN20の両方のフレームをタグ付きでやり取りしています。
