目次
1.VLANの概要
VLAN(Virtual LAN)とは、ネットワーク機器を単一の物理ネットワークから論理的に複数の仮想ネットワークに分割する技術です。VLAN は、ネットワーク内のデバイスをグループ化して、同じグループ内のデバイスのみが相互に通信できるようにすることで、ネットワークのセキュリティ、柔軟性、管理効率を向上させます。
VLAN はスイッチまたはルーターのポートによって分割されるため、VLAN を実装するには、それをサポートするスイッチまたはルーターが必要です。VLAN を使用すると、管理者はグループごとに異なるネットワーク ポリシーを設定できます。たとえば、VLAN 100 を財務部門のグループ、VLAN 200 をマーケティング部門のグループにすることができます。異なるグループは互いに分離されており、干渉しません。また、ネットワーク管理も容易になります。
VLAN の主な利点は次のとおりです。
- ネットワーク セキュリティの向上: VLAN は、機密性の高いネットワーク トラフィックを特定の VLAN に分離し、ネットワーク攻撃や不正アクセスを防止します。
- ネットワーク パフォーマンスの向上: VLAN によりブロードキャスト ストームが軽減され、ネットワーク スループットと運用効率が向上します。
- ネットワークの柔軟性と管理性の向上: VLAN は、必要に応じてデバイス全体を管理し、管理とメンテナンスのプロセスを簡素化できます。
図1 LANと仮想LAN
2.VLANフレームフォーマット
図2 VLANフレームフォーマット
VLAN タグは 12 バイトを占有します。
TPID: タグ プロトコル識別子、2 バイト。フレームの VLAN タイプを識別するために使用されます。通常は 0x8100 で、標準の IEEE 802.1Q VLAN を示します。
PRI: 優先順位、3 ビット、QoS/CoS (Quality of Service/Class of Service) に使用されます。
CFI: Canonical Format Indicator、1 ビット。MAC アドレスが正規形式であるかどうかを識別するために使用され、通常は 0 に設定されます。
VID: VLAN ID (VLAN ID)、12 ビット、0 ~ 4095 の範囲。0 と 4095 は特別な意味を持ち、それぞれタグなし VLAN とグローバル VLAN を示します。
3.VLANポートの種類
VLAN を実装するには、異なるポートを持つスイッチやルーターなどのネットワーク デバイスを使用する必要があります。
一般的な VLAN ポートをいくつか示します。
- アクセス ポート: このポートはデバイスの接続に使用され、1 つの VLAN にのみ所属できます。このポートからデータ パケットが送信されると、データ パケットはそのポートが属する VLAN に直接送信され、他の VLAN はデータ パケットを受信しません。
- トランク ポート: このポートは、スイッチやルーターなどのネットワーク デバイスの接続に使用され、複数の VLAN からデータ パケットを同時に送信できます。このポートで送信されるパケットにはタグが付けられるため、受信ポートはパケットがどの VLAN に属しているかを認識できます。
- ハイブリッド ポート: このポートは複数の VLAN に属することができ、同時にアクセス ポートとトランク ポートとして使用できます。通常、サーバーなど、複数の VLAN を必要とするデバイスを接続するために使用されます。
4.デフォルトVLAN
デフォルト VLAN は、スイッチのデフォルト VLAN ID を指します。デフォルトの VLAN ID は通常 1 です。すべてのタイプの VLAN ポートで VLAN ID を設定する必要があります。VLAN ポートのタイプが異なると、デフォルトの VLAN ID の用途も異なります。
デフォルトの VLAN ID は、スイッチまたはルーターの未設定のポートがデフォルトで属する VLAN 番号を指します。ポートがスイッチに接続され、どの VLAN にも参加しないように設定されている場合、そのポートはデフォルトの VLAN ID で表される VLAN の一部になります。デフォルトの VLAN ID は通常 1 に設定されます。これは、IEEE 802.1Q プロトコルで定義された最も古い VLAN 番号であり、多くのスイッチのデフォルト設定でもあるためです。ただし、場合によっては、デフォルトの VLAN ID が異なる値に設定される場合があります。
デフォルトの VLAN ID は、ネットワーク内で重要な役割を果たします。これにより、複雑な VLAN 構成を行わずに、新しいデバイスがネットワークに簡単に参加できるようになります。デバイスがスイッチのポートに接続されると、追加のセットアップを行わなくても、すぐにデータの送受信を開始できます。
ただし、デフォルトの VLAN ID によってもネットワーク セキュリティの問題が発生する可能性があります。ネットワーク管理者が VLAN が割り当てられていないポートを適切に構成しない場合、攻撃者はこれらのポートを使用してネットワーク上の機密情報にアクセスする可能性があります。したがって、ネットワーク管理者はネットワーク内のデフォルトの VLAN ID 構成を定期的に確認し、必要に応じて必要な変更を加える必要があります。
5. VLAN のタグ付けとタグ解除
VLAN のタグ付けとタグ解除を理解する前に、スイッチが VLAN を処理する方法の原則を理解する必要があります。
原則として:
1. スイッチに入るフレームには VLAN タグが含まれている必要があります。
2. スイッチから送信されるフレームには、VLAN タグが付いている場合と付いていない場合があります。
VLAN のタグ付けとタグ解除について説明する多くの記事や書籍は、すべて VLAN ポートの観点から説明しているため、私たちは通常、このような考え方に陥り、VLAN ポートの観点から VLAN を理解することは非常に複雑です。
VLAN を処理するスイッチの観点から VLAN のタグ付けとタグ解除を理解すると、習得が容易になります。
まず、最初の原則を理解します。1. スイッチに入るフレームは VLAN タグを運ぶ必要があります。
最初の原則から、VLAN ポートからスイッチに入るデータには VLAN タグが付けられている必要があることがわかります。元のフレームに VLAN タグがない場合は、VLAN タグを追加する必要があります。元のフレームに VLAN タグがある場合、フレームの通過を許可するかどうかを判断する必要があります。
次の表から、ポート受信 VLAN の原理を理解できます。
表 1 さまざまな VLAN ポートがデータ フレームを受信する仕組み
次に、2 番目の原則を理解しましょう。2. スイッチから送信されるフレームには VLAN タグが付いている場合と付いていない場合があります。
交換されたフレームがホストに接続されている場合、ホストは通常 VLAN タグ付きのフレームを処理しないため、ホストに接続する VLAN ポートは VLAN タグを削除する必要があります。送信フレームがスイッチまたはルーターに接続されている場合、VLAN タグを伝送する必要がありますが、現時点では、VLAN ポートは VLAN タグを削除できません。
次の表から、ポート送信 VLAN の原理を理解できます。
表 2 さまざまな VLAN ポートがデータ フレームを送信する方法
さまざまな VLAN ポートのさまざまな特性に応じて、VLAN ポートの使用シナリオが固定されています。
- アクセス ポートは通常、ホストに接続するためにスイッチによって使用されます。
- トランク ポートは、スイッチとスイッチ、およびスイッチとルーター間の接続に一般的に使用されます。
- ハイブリッド ポートは、スイッチとホスト、スイッチとスイッチ、スイッチとルーター間の接続に使用できます。
6.VLAN分割方法
VLANの分割には主に以下の方法があります。
ポートモード: スイッチのポートに応じて VLAN を分割します。つまり、各ポートに VLAN 番号を割り当てます。
MAC アドレス方式:装置の MAC アドレスに応じて VLAN を分割し、同じ MAC アドレスは同じ VLAN に属します。
IPサブネットモード:IPアドレスに応じてVLANを分割し、同一サブネット内の機器は同一のVLANに属し、異なるサブネット内の機器は異なるVLANに分割します。
プロトコル モード: データ フレームが属するプロトコル タイプに応じて VLAN が分割されます。
その他の方法: VLAN を分割するその他の方法。