オフィスビルで、営業部と開発部が同じフロアにいるとします。ネットワーク的には同じスイッチにつながっているけれど、セキュリティ上、お互いのデータを見られないようにしたい。
普通に考えると、物理的に別々のスイッチを用意する必要がありそうですよね。でも、それでは機器が増えて、コストも管理も大変です。
そこで登場するのがVLAN(Virtual Local Area Network:仮想ローカルエリアネットワーク)という技術。1台のスイッチを、論理的に複数のネットワークに分割できるんです。
この記事では、VLANの基本から実践的な設定方法まで、初心者の方にも分かりやすく解説していきます。
VLANって何?基本をサクッと理解しよう
VLANは、物理的に同じネットワークスイッチに接続されている機器を、論理的に複数の独立したネットワークに分割する技術です。
オフィスビルのたとえ
分かりやすく、オフィスビルで例えてみましょう。
従来の方法(物理的な分離):
- 1階:営業部専用のスイッチ
- 2階:開発部専用のスイッチ
- 3階:総務部専用のスイッチ
各部署が物理的に別々のフロア=別々のスイッチを使います。
VLANを使った方法(論理的な分離):
- すべての部署が同じフロアにいる
- 1台の大きなスイッチにみんな接続
- でも、スイッチ内部で「見えない壁」を作って分離
同じ建物(スイッチ)にいるけれど、営業部は営業部だけ、開発部は開発部だけと通信できるようにするんです。
色分けバッジのたとえ
もう一つ、社員バッジで考えてみましょう。
全員が同じオフィスにいる(同じスイッチに接続)
- 営業部:赤いバッジ(VLAN 10)
- 開発部:青いバッジ(VLAN 20)
- 総務部:緑のバッジ(VLAN 30)
ルール:
同じ色のバッジを付けた人同士だけが話せる。違う色の人とは話せない(原則として)。
VLANは、この「色分けバッジ」のような仕組みなんですね。
なぜVLANが必要なの?
VLANを使うメリットを見てみましょう。
セキュリティの向上
問題:
全員が同じネットワークにいると、誰でも他人の通信を見られる可能性があります。
VLANの解決策:
部署ごとにVLANを分けることで、営業部のデータを開発部から見えなくできます。
具体例:
人事部の給与データは、人事部のVLANだけに隔離。他の部署からはアクセスできません。
ブロードキャストドメインの分割
ブロードキャストとは、ネットワーク内の全員に送られる通信です。
問題:
大きなネットワークでは、ブロードキャストが多すぎて、ネットワーク全体のパフォーマンスが低下します。
VLANの解決策:
VLANで分割すれば、各VLANは独立したブロードキャストドメインになります。営業部のブロードキャストは営業部内だけで収まり、開発部には届きません。
柔軟な管理
問題:
物理的な配置(どのスイッチに接続するか)でネットワークが決まると、席替えのたびに配線を変える必要があります。
VLANの解決策:
物理的な場所に関係なく、論理的にグループを作れます。営業の人が開発部の隣に座っていても、VLANで営業部のネットワークに所属させられるんです。
コスト削減
問題:
部署ごとに物理的なスイッチを用意すると、機器代も電気代もかさみます。
VLANの解決策:
1台のスイッチで複数のネットワークを実現できるので、機器を減らせます。
VLANの仕組み:タグという印
VLANは、どうやって「どのデータがどのVLANに属するか」を判断しているのでしょうか。
IEEE 802.1Q
IEEE 802.1Qは、VLANの標準規格です。
イーサネットフレーム(データの基本単位)に、VLANタグという4バイトの情報を追加します。
VLANタグの構造:
+------------------+
| TPID (2バイト) | ← 0x8100(これはVLANタグだという印)
+------------------+
| TCI (2バイト) | ← VLAN IDなどの情報
+------------------+VLAN ID:
0〜4095までの番号。どのVLANに属するかを示します。
タグ付きフレームとタグなしフレーム
タグ付きフレーム(Tagged Frame):
VLANタグが付いているフレーム。スイッチ同士の通信で使われます。
タグなしフレーム(Untagged Frame):
VLANタグが付いていない普通のフレーム。一般的なパソコンやプリンターが送信します。
流れ:
- パソコンがタグなしフレームを送信
- スイッチが受信して、ポート設定に基づいてVLANタグを付ける
- スイッチ間の通信はタグ付きで行われる
- 最終的な宛先スイッチがタグを外して、パソコンに届ける
VLANの種類
VLANには、いくつかの分類方法があります。
ポートベースVLAN
最も一般的な方式。スイッチのどのポートに接続されているかでVLANを決定します。
設定例:
- ポート1〜10:VLAN 10(営業部)
- ポート11〜20:VLAN 20(開発部)
- ポート21〜24:VLAN 30(総務部)
ポート1に接続したパソコンは、自動的にVLAN 10に所属します。
タグベースVLAN
機器自身がVLANタグを付けて送信します。
使用例:
- サーバーが複数のVLANに同時に所属
- 仮想化環境で1つの物理サーバーが複数のVLANを扱う
MACアドレスベースVLAN
MACアドレス(機器固有の番号)に基づいてVLANを割り当てます。
メリット:
機器がどのポートに接続されても、同じVLANに所属できます。
デメリット:
管理が複雑になります。
プロトコルベースVLAN
通信プロトコル(IPやIPXなど)によってVLANを分けます。
使用例:
特定のプロトコルだけを隔離したい場合。
アクセスポートとトランクポート
スイッチのポートには、2つの動作モードがあります。
アクセスポート(Access Port)
役割:
1つのVLANだけを扱うポート。パソコンやプリンターなど、一般的な機器を接続します。
特徴:
- タグなしフレームを送受信
- ポートに設定されたVLANに自動的に所属
- 接続された機器はVLANを意識する必要がない
設定例(Cisco):
interface FastEthernet0/1
switchport mode access
switchport access vlan 10トランクポート(Trunk Port)
役割:
複数のVLANのトラフィックを同時に扱うポート。スイッチ同士を接続する時に使います。
特徴:
- タグ付きフレームを送受信
- 複数のVLANの通信を1本のケーブルで運ぶ
- VLANタグで区別する
設定例(Cisco):
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 10,20,30たとえ:バスと電車
アクセスポート = バス停
- 1つの路線(VLAN)だけ
- 乗客(パソコン)は路線を意識しない
- バス停に行けば、その路線のバスに乗れる
トランクポート = 駅
- 複数の路線(VLAN)が乗り入れ
- 路線番号(VLANタグ)で区別
- 乗客は正しいホームに行く必要がある
ネイティブVLAN
トランクポートには、ネイティブVLANという特別な設定があります。
ネイティブVLANとは?
トランクポート上で、タグなしで送信されるVLANのことです。
デフォルト:
多くのスイッチで、VLAN 1がネイティブVLANに設定されています。
なぜ必要?
互換性のため:
802.1Qタグに対応していない古い機器との通信を可能にします。
管理トラフィックのため:
スイッチの管理フレーム(CDP、VTPなど)をタグなしで送ることがあります。
セキュリティ上の注意
脆弱性:
タグなしフレームは、どのVLANに属するか曖昧になりやすく、セキュリティリスクがあります。
ベストプラクティス:
- ネイティブVLANは、使わない番号に設定する
- 両端のスイッチで、ネイティブVLANを一致させる
- 可能なら、すべてのVLANをタグ付きで運ぶ
VLAN間通信(Inter-VLAN Routing)
デフォルトでは、異なるVLAN同士は通信できません。
でも、営業部と開発部が完全に隔離されていたら、不便ですよね。必要な時は通信できるようにしたいです。
ルーターまたはL3スイッチが必要
VLAN間通信には、ルーターまたはレイヤー3スイッチが必要です。
理由:
VLANは異なるネットワーク(サブネット)なので、IPルーティングが必要になります。
Router on a Stick
1つのルーターで複数のVLANをルーティングする方法です。
構成:
スイッチ ←トランクポート→ ルーター
├ VLAN 10(192.168.10.0/24)
└ VLAN 20(192.168.20.0/24)ルーターの設定例(Cisco):
interface GigabitEthernet0/0
no shutdown
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0サブインターフェースを作って、各VLANのゲートウェイにします。
L3スイッチ(レイヤー3スイッチ)
スイッチ自体がルーティング機能を持っています。
メリット:
- 高速
- 配線がシンプル
- 別途ルーターが不要
設定例(Cisco):
ip routing
interface vlan 10
ip address 192.168.10.1 255.255.255.0
interface vlan 20
ip address 192.168.20.1 255.255.255.0VLANの設定例
実際の設定手順を見てみましょう。
Ciscoスイッチでの基本設定
ステップ1:VLANの作成
Switch(config)# vlan 10
Switch(config-vlan)# name Sales
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name Development
Switch(config-vlan)# exitステップ2:アクセスポートの設定
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exitステップ3:トランクポートの設定
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# exitステップ4:確認
Switch# show vlan brief
Switch# show interfaces trunkLinux(Open vSwitch)での設定
VLANインターフェースの作成:
sudo ip link add link eth0 name eth0.10 type vlan id 10
sudo ip addr add 192.168.10.2/24 dev eth0.10
sudo ip link set eth0.10 upOpen vSwitchでの設定:
sudo ovs-vsctl add-br br0
sudo ovs-vsctl add-port br0 eth0
sudo ovs-vsctl set port eth0 tag=10VLANのトラブルシューティング
よくある問題と解決方法です。
VLAN間通信ができない
症状:
同じVLAN内は通信できるが、異なるVLAN間で通信できない。
原因:
- ルーティングが設定されていない
- ゲートウェイの設定が間違っている
確認事項:
- L3スイッチまたはルーターでルーティングが有効か
- 各VLANにゲートウェイが設定されているか
- 端末のデフォルトゲートウェイが正しいか
トランクが機能しない
症状:
スイッチ間でVLANが通らない。
原因:
- トランクポートの設定ミス
- ネイティブVLANの不一致
- 許可VLANリストに含まれていない
確認コマンド(Cisco):
show interfaces trunk
show interfaces switchport対処法:
- 両端のスイッチでトランクモードを確認
- ネイティブVLANを一致させる
- 必要なVLANを許可リストに追加
VLANタグが正しく付かない
症状:
パケットキャプチャでVLANタグが見えない。
原因:
- アクセスポートに接続している(タグは付かない)
- スイッチの設定ミス
確認方法:
トランクポート側でパケットをキャプチャしてみます。
ベストプラクティス
効果的なVLAN設計のコツです。
VLAN設計の基本方針
部門別に分ける
営業、開発、総務など、組織の部門に合わせてVLANを作ります。
セキュリティレベルで分ける
- VLAN 10:一般ユーザー
- VLAN 20:サーバー
- VLAN 30:管理ネットワーク
用途別に分ける
- VLAN 100:データ通信
- VLAN 200:VoIP(電話)
- VLAN 300:ゲストWi-Fi
VLAN番号の管理
予約済み番号:
- VLAN 1:デフォルトVLAN(使わない)
- VLAN 1002-1005:予約済み(Token Ring、FDDIなど)
推奨:
- 10〜99:一般ユーザー用
- 100〜199:サーバー用
- 200〜299:特殊用途
- 900〜999:管理用
ドキュメント化
記録すべき情報:
- VLAN番号と名前
- 用途
- サブネット(IPアドレス範囲)
- どのスイッチのどのポートで使われているか
スプレッドシートや専用ツールで管理します。
ネイティブVLANの変更
セキュリティのため:
デフォルトのVLAN 1から、使っていない番号(例:999)に変更します。
interface GigabitEthernet0/1
switchport trunk native vlan 999VLANと仮想化
仮想化環境でもVLANは重要です。
VMwareとVLAN
vSphere/ESXi:
仮想スイッチ(vSwitch)でVLANタグをサポートしています。
構成:
- 物理スイッチでトランクポートを設定
- ESXiホストを接続
- 仮想スイッチのポートグループにVLAN IDを設定
- 仮想マシンが自動的にそのVLANに所属
KVM/QEMUとVLAN
Linux Bridge:
sudo ip link add link eth0 name eth0.10 type vlan id 10
sudo brctl addbr br10
sudo brctl addif br10 eth0.10Open vSwitch:
より高度なVLAN機能を提供します。
セキュリティの考慮点
VLANを使う上でのセキュリティです。
VLANホッピング攻撃
攻撃手法:
攻撃者が、本来アクセスできないVLANに侵入しようとします。
対策:
- 未使用ポートをシャットダウン
- アクセスポートでは
switchport mode accessを明示 - ネイティブVLANを使わない番号に変更
プライベートVLAN
目的:
同じVLAN内でも、端末同士を隔離したい場合。
用途:
ホスティング環境で、顧客同士を分離します。
まとめ:VLANで柔軟なネットワーク設計を
VLANは、現代のネットワークに不可欠な技術です。
この記事のポイント:
- VLANは物理的に同じスイッチを論理的に分割する技術
- IEEE 802.1Qタグで識別する
- セキュリティ、パフォーマンス、管理の効率化に貢献
- アクセスポートは1つのVLAN、トランクポートは複数のVLAN
- VLAN間通信にはルーターまたはL3スイッチが必要
- ネイティブVLANはセキュリティリスクに注意
- 適切な設計とドキュメント化が重要
VLANの役割:
- ブロードキャストドメインの分割
- セキュリティの向上
- 柔軟な管理
- コスト削減
VLANを適切に設計・運用することで、安全で効率的なネットワークを構築できます。
企業ネットワークでもデータセンターでも、VLANは基盤技術として広く使われています。基本をしっかり理解して、実践に活かしましょう!
コメント