VLAN(仮想LAN)は、1つの物理ネットワークを複数の論理ネットワークに分割する技術です。本記事では、VLANの基本概念から、実際の設定方法やタグVLAN(IEEE 802.1q)の仕組みまでを分かりやすく解説します。
VLANとは
VLAN(仮想LAN、Virtual Local Area Network)は、1台のスイッチなどのネットワーク機器上で、1つの物理ネットワークを複数の論理的なネットワークに分割する技術です。
VLANを使うことで、同一スイッチに接続された機器(PCやプリンタなど)を論理的に異なるネットワークに分けることができ、より効果的なネットワーク管理やセキュリティの強化が可能になります。
VLANのメリット
- セキュリティの向上: 異なるVLAN同士では通信できないため、機器間の分離が実現し、ネットワーク内の情報が不必要に流出するリスクを低減します。
- ネットワークの柔軟な管理: サブネットごとにVLANを分けることで、物理的なネットワーク構造を変えずにネットワークセグメントの追加や削除が容易になります。
- ブロードキャストの抑制: VLANごとにブロードキャストドメインが分割されるため、ブロードキャストによるトラフィックを抑え、効率的なネットワーク通信を実現します。
VLANの種類
VLANは一意のID(識別番号)で区別され、通常はCiscoでは、以下の2つに分類されます:
- 標準 VLAN ID 1~1005
- 拡張 VLAN ID 1006~4094
例えば、192.168.1.0/24をVLAN 100、192.168.2.0/24をVLAN 200とすることで、異なるサブネットをVLAN番号で識別します。
IEEE802.1q (タグVLAN)
例えば、2台のスイッチを接続し、それぞれにVLAN 100とVLAN 200の端末を配置したい場合、スイッチ間を物理的なケーブルで直接接続するのが最初に思い浮かぶ方法でしょう。
しかし、スイッチに複数のVLANが存在する場合、この方法では物理的な限界がすぐに訪れます。例えば、100個のVLANがある場合、100本のケーブルが必要になります。しかし、スイッチには通常24ポートや48ポートといった物理ポートの制限があるため、すべてのVLANを物理的に接続するのは現実的ではありません。
そこで登場するのがIEEE 802.1q (タグVLAN)です。
IEEE 802.1qは、1つの物理ポートで複数のVLANを同時に通過させるための技術です。この技術では、データフレームに「タグ」を付与することで、VLAN情報を識別し、1本のケーブルで複数のVLANを多重化します。これにより、物理ポートの数を抑えつつ、VLANごとの通信を効率的に行うことが可能になります。
また、上記のように、端末などが接続されるポートをアクセスポートといい、スイッチ間など、複数のVLANを多重化しているポートをトランクポートといます。
タグVLANでは以下の利点があります。
- 物理的なポート節約: 1つの物理ポートで複数のVLANを扱えるため、スイッチ間で必要なケーブル数を大幅に削減できます。
- 柔軟なネットワーク設計: ネットワーク管理者は、タグVLANを使うことで、物理的な構造にとらわれず、論理的なネットワーク構成を簡単に変更できます。
- 効率的な通信: 1つの接続で複数のVLANトラフィックを処理できるため、スイッチ間の帯域を有効活用できます。
VLAN設定例
ここでは、Ciscoスイッチを用いたVLAN設定例を紹介します。VLAN 100とVLAN 200の2つのVLANを設定し、アクセスポートとトランクポートをそれぞれ設定します。
VLANの作成
VLAN 100とVLAN 200を以下のコマンドで設定します。
SW1(config)# vlan 100 SW1(config-vlan)# exit SW1(config)# vlan 200 SW1(config-vlan)# exit
コマンドshow vlan でVLANが追加されているかどうか確認できます。
SW1# show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
100 VLAN0010 active
200 VLAN0020 active
アクセスポートの設定
アクセスポートは、特定のVLANに直接接続される端末向けのポートです。以下は、VLAN 100とVLAN 200のアクセスポートを設定する例です。Fa0/1をVLAN100, Fa0/2をVLAN200のアクセスポートとして設定します。
SW1(config)# interface FastEthernet0/1 SW1(config-if)# switchport access vlan 100 SW1(config-if)# switchport mode access SW1(config)# interface FastEthernet0/2 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 200
各VLANのポート割り当て状況を確認します。
SW1# show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6
Fa0/7,
100 VLAN0010 active Fa0/1
200 VLAN0020 active Fa0/2
また、ポートに対して、どのVLANが設定されているかを show interface status で確認します。
SW1# show interface status Port Name Status Vlan Duplex Speed Type Fa0/1 connected 100 a-full a-100 100BaseTX/FX Fa0/2 connected 200 a-full a-100 100BaseTX/FX
トランクポートの設定
トランクポートは、複数のVLANのトラフィックを通過させるために使われます。以下は、トランクポートの設定例です。以下、Fa0/8をトランクポートとして設定します。
SW1(config)# interface FastEthernet0/8 SW1(config-if)# switchport trunk encapsulation dot1q SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk allowed vlan 100,200
最後の allowed vlan を設定しないと、トランクポートには、設定している全てのVLANが、多重化されます。 実務上では、余計なVLANをトランクポートの対象にしないように、allowed vlanを設定し、対象VLANを制限します。
では、Fa0/8がトランクポートとして、どのVLAN番号を許可されているのかを確認します。
SW1# show int trunk
Port Mode Encapsulation Status Native vlan
Fa0/8 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/8 100,200
Port Vlans allowed and active in management domain
Fa0/8 100,200
Port Vlans in spanning tree forwarding state and not pruned
Fa0/8 100,200
ポートがトランクか否かだけであれば、show interface status でも確認できます。
SW1# show interface status
Port Name Status Vlan Duplex Speed Type
Fa0/1 connected 100 a-full a-100 100BaseTX/FX
Fa0/2 connected 200 a-full a-100 100BaseTX/FX
Fa0/8 connected trunk a-full a-100 100BaseTX/FX
まとめ
VLANは、ネットワークを論理的に分割し、セキュリティと管理性を向上させる技術です。特に、IEEE 802.1q(タグVLAN)を使うことで、スイッチ間で物理ポート数に依存せずに複数のVLANを効率的に接続できます。これにより、柔軟で拡張性のあるネットワーク設計が可能になります。
コメント