シオラボのネットワーク技術コラム第10回 「VLANとは」

1. はじめに

前回の「シオラボのネットワーク技術コラム」から、L3スイッチを取り上げています。L3スイッチは、ネットワーク層(第3層・レイヤ3)のプロトコルに基づいてデータ中継をおこなうネットワーク装置のことでしたね。各ポートにVLANを割り当てることができ、VLAN間通信をおこなうことができることが大きな特長であり、これこそがL2スイッチとの差別化ポイントです。L2スイッチはVLANでブロードキャストドメインを分割することはできますが、セグメント間のルーティング(VLAN間ルーティング)はできません。つまり、VLAN間ルーティングをおこなうには、ルータやL3スイッチなどの機器が必要になるということです。今回は、このVLAN間ルーティングの前提知識となるVLANについて、解説をしていくことにしましょう。

2. VLANとは

VLANは、Virtual LANのことで、仮想的なLANセグメントを作る仕組みです。VLANを使用することで、ブロードキャストドメイン、つまりネットワークセグメントを分割することができます。物理的に同一のネットワークに接続されているように見えながら、実は内部では複数のLANに分割されているといったイメージです。VLANは、L2スイッチでも、L3スイッチでも設定することができます。

VLANでは、仮想的にネットワークを分割することになるので、直接通信できる範囲が狭まり、これだけでもセキュリティは向上します。これまでVLANは、ブロードキャストパケットが全ポートに送られることを避けるような、通信帯域を有効活用できるようにすることを目的とすることが多かったのですが、最近は、部門毎にVLANを設けることでネットワークを分割し、アクセス制限を掛けるといったような、セキュリティ対策に使われることの方が多いでしょう。VLANを使用することで、セキュリティが向上し、ネットワークの構成を柔軟に変更することができるようになります。

VLANを構築するにはいくつか方法がありますが、代表的なものは次の2つです。

(1) ポートVLAN

1つの物理ポートに、1つだけVLAN IDを指定する方法です。ポートに、所属するVLANの番号(ID)を割り当てていきます。通常、VLAN IDには、1から4094までの整数を使用できます。同じVLAN IDを割り当てられたポートとは通信することができますが、他のVLAN IDとの通信は遮断されます。また、複数のスイッチを設置した場合でも、同じVLAN IDが割り当てられているポート同士をケーブル接続すれば、通信することが可能となります。ただし、通信できるのは同じVLAN IDが割り当てられたポート同士のみです。つまり、通信するには、同じVLAN ID同士を接続する必要があるので、VLANの数やスイッチの台数が増えると、必要なポートが急激に増えてしまいます。よって、ポートVLANは、小規模で単純なネットワーク構成の場合に導入されることが多いです。

(2) タグVLAN

ネットワークを流れるMACフレームに、VLANタグと呼ばれる識別情報を付与することで、フレームがどのVLANに所属しているかを識別する方法です。スイッチでは、フレームに付与されたVLANタグを見て、フレームがどのVLANから出されたものかを判別し、該当するVLANにだけそのフレームが届くように制御します。ちなみに、フレームに付与されるVLANタグは、IEEE802.1Qで標準化されていて、通常のMACフレームのヘッダー部に4バイトのタグ情報を挿入する仕組みです。タグVLANを使用すると、1つのポートに複数のVLANグループを設定できるため、スイッチ同士を接続する際に、同じVLAN ID同士を接続する必要はなくなり、1本のケーブルに集約することができます。よって、機材・配線の変更が少なく、ネットワークの変更や拡張が容易になります。

(タグVLANの例)

スイッチにタグVLANを設定するには、ポートに対して、タグ付きポートであることを指定します。すると、そのタグ付きポートは、スイッチ内に作られたすべてのVLANに所属することになります。つまり、タグVLANでは、1つの物理ポートを、複数のVLANに所属させることができます。これがポートVLANとの大きな違いです。

今回は、VLANについて説明してきました。VLANは、スイッチを扱う上で、切っても切れない有用な技術で、ネットワークが大きくなるとVLANの必要性はさらに増してきます。タグVLANはやや複雑ですが、概念はしっかりと理解しておきましょう。次回は、いよいよ「VLAN間ルーティング」について解説していきたいと思います。ぜひお楽しみに。