関連する技術記事・ガイドを検索
VLAN(Virtual Local Area Network)は、物理的に同一のネットワーク機器を使用しながら、論理的に独立した複数のネットワークセグメントを作成する技術です。セキュリティ向上、トラフィック管理、ネットワーク効率化を実現する重要な技術です。
従来のLAN:
物理的配線 = 論理的ネットワーク
部署変更時 → 物理的配線変更必要
セキュリティ境界 = 物理的境界
VLAN:
物理的配線 ≠ 論理的ネットワーク
部署変更時 → 設定変更のみ
セキュリティ境界 = 論理的境界
セキュリティ:
- ブロードキャストドメイン分離
- 異なるVLAN間の通信制御
- 機密データ保護
管理効率:
- 論理的なネットワーク再構成
- 一元的な設定管理
- 物理配線変更不要
パフォーマンス:
- ブロードキャストトラフィック削減
- 帯域使用効率向上
- 負荷分散
概要:
スイッチのポートごとにVLAN割り当て
設定例:
Port 1-8: VLAN 10(営業部)
Port 9-16: VLAN 20(技術部)
Port 17-24: VLAN 30(管理部)
特徴:
- 設定簡単
- 管理しやすい
- 柔軟性に制限
動作原理:
イーサネットフレームにVLANタグ追加
4バイトのVLANヘッダー挿入
VLANタグ構造:
- TPID: 0x8100(タグ識別子)
- PCP: 優先度(3ビット)
- CFI: カノニカル形式(1ビット)
- VID: VLAN ID(12ビット、4094個のVLAN)
利点:
- 1ポートで複数VLAN対応
- トランクポート実現
- 高い柔軟性
典型的な構成:
VLAN 10: 営業部(192.168.10.x/24)
VLAN 20: 技術部(192.168.20.x/24)
VLAN 30: 管理部(192.168.30.x/24)
VLAN 99: 管理VLAN(192.168.99.x/24)
メリット:
- 組織構造に対応
- アクセス制御明確
- 管理ポリシー統一
サービス別構成:
VLAN 10: ユーザーデータ
VLAN 20: VoIP(音声)
VLAN 30: ゲストネットワーク
VLAN 40: IoTデバイス
VLAN 50: サーバーセグメント
利点:
- QoS適用容易
- セキュリティポリシー最適化
- トラフィック特性に応じた制御
構成:
スイッチ → ルーター(トランクポート経由)
設定例(Cisco):
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
interface FastEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
利点:
- 1つの物理ポートで全VLAN対応
- コスト効率良好
- 拡張容易
概要:
スイッチ内でVLAN間ルーティング実行
設定例:
interface vlan 10
ip address 192.168.10.1 255.255.255.0
no shutdown
ip routing # L3機能有効化
利点:
- 高速なVLAN間通信
- 一台でスイッチング+ルーティング
- ワイヤスピード転送
VLAN作成:
vlan 10
name Sales
vlan 20
name Engineering
ポート割り当て:
interface range fa0/1-8
switchport mode access
switchport access vlan 10
トランクポート設定:
interface fa0/24
switchport mode trunk
switchport trunk allowed vlan 10,20,99
ACL(Access Control List)例:
access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 101 permit ip any any
interface vlan 10
ip access-group 101 in
効果:
営業部(VLAN 10)から技術部(VLAN 20)へのアクセス拒否
プライベートVLAN:
- 同一VLAN内でも通信制御
- ホスト間分離
- セキュリティ強化
ポートセキュリティ:
- MACアドレス学習制限
- 不正接続防止
- 違反時の動作設定
推奨構成:
VLAN 10: メインデバイス(PC、ゲーム機)
VLAN 20: IoTデバイス(スマート家電)
VLAN 30: ゲストネットワーク
VLAN 40: NAS・サーバー
メリット:
- IoTデバイス分離
- ゲスト環境分離
- セキュリティ向上
QoS連携:
VLAN 10: ゲーミングトラフィック(最高優先度)
VLAN 20: ストリーミング(高優先度)
VLAN 30: 一般通信(標準優先度)
VLAN 40: バックアップ(低優先度)
帯域保証:
- ゲーミングVLANに最低帯域保証
- 遅延敏感通信優先
- ジッター制御
VLAN間通信できない:
確認項目:
1. VLAN設定確認
2. トランクポート設定
3. ルーティング設定
4. ACL設定
診断コマンド:
show vlan brief
show interface trunk
show ip route
show access-lists
設計原則:
- 明確な命名規則
- 一貫したVLAN ID割り当て
- 文書化の徹底
- 変更管理プロセス
監視項目:
- VLAN別トラフィック量
- VLAN間通信パターン
- セキュリティログ
- 設定変更ログ
VLANは、現代ネットワークにおけるセキュリティ、効率性、管理性向上の基盤技術です。適切な設計と実装により、物理インフラを最大限活用しながら、論理的で柔軟なネットワーク環境を構築できます。