VLAN - すべてはタグを付けるだけ

    本ページは英語ドキュメントを翻訳したものです。

     


     

    VLAN - すべてはタグを付けるだけその昔、急速に変化を遂げたある業界でローカルエリア ネットワーク(LAN)が使用されていました。  LAN は単一のブロードキャスト ドメインで、すべてのデバイスが LAN 上でブロードキャスト トラフィックを受信していました。 


    LAN が拡大し、ブロードキャストが増加するにつれて、トラフィックの輻輳が起こり、セキュリティへの脅威が増大しました。そうして、セグメンテーションが必要になりました。  LAN の分割です。  かつては、新しい専用ケーブルを配線して、新しいスイッチをインストールし、2 つの LAN の間でトラフィックをルーティングするようにルータを設定するだけで済みました。これですべてがうまくいったのです。


    幸いなことに、もっと優れたソリューションが登場しました。  ケーブルの数を増やし、スイッチを追加購入する代わりに、仮想 LAN(VLAN)を使用できるようになったのです。  VLAN のしくみは、実はとてもシンプルです。すべてはタグを付けるだけです。


    まず、複数の VLAN を識別する必要があります。  VLAN は番号で識別されます。  デフォルトの VLAN は、VLAN 1 です。  ここに VLAN 2 を追加するとします。  これで、VLAN が 2 つになりました。  どのパケットがどの LAN(VLAN)に属しているかを識別するために、フレームには ID タグが挿入されます。 この ID タグは、VLAN の ID 番号と一致します。  フレームは異なるスイッチを通過するため、それらのスイッチは各 VLAN を識別しなければなりません。そのためにはタグを維持する必要があります。  シスコでは、タグを許可するスイッチ ポートをトランク ポートと呼び、  タグを許可しないポートをアクセス ポートと呼びます。


    メインの VLAN はデフォルトで VLAN 1 になります。  ネットワークに VLAN が 1 つしかない場合は、タグを付ける必要がありません。それ以外に識別する VLAN がないからです。  VLAN 2 が追加されると、VLAN タグが VLAN 2 のフレームに追加されます。 この時点では VLAN が 2 つあるため、少なくとも 1 つの VLAN に識別用のタグを付ける必要があります。  次に、VLAN 3 を追加します。  この設定では、2 つの VLAN にタグを付ける必要があり、元の LAN(VLAN)にはタグを付ける必要がありません。タグが付いていない VLAN は、ネイティブ VLAN として識別されます。


    ネイティブ VLAN については、使用する状況や理由に関して多くの疑問があります。そもそもネイティブ VLAN を使う必要があるのか、という声もあるでしょう。  IT の常ですが、答えは「ユーザの目的次第」ということになります。 VLAN 1 は管理 VLAN である必要はありません。  また、ネイティブ(タグなし)の VLAN である必要もありません。 ユーザの環境に合わせてどのようにでもできます。  筆者は通常、セキュリティ上の理由からネイティブ VLAN は使用せず、すべての VLAN にタグを付けるようにしています。 


    ただし、ネイティブ(タグなし)の VLAN が必要な場合もあります。  ワイヤレス アクセス ポイントがその例です。  あるアクセス ポイントに名前の異なる 3 つの Wi-Fi ネットワークがあるとします。それぞれのワイヤレス ネットワーク名(SSID)は異なる VLAN にマッピングされています。  これらのワイヤレス ネットワーク用 VLAN は、それぞれ VLAN 41、42、43 であるとします。  管理上の理由で、アクセス ポイントもそれ自体が 1 つの VLAN 内に存在している必要があります。  この AP を VLAN 90 に配置します。  さらに、AP に IP アドレスを割り当てるために DHCP を使用します。  この例では VLAN 1 が使用中ではないことに注意してください。  それでは、AP が接続された時、この AP は使用する VLAN をどのようにして識別するのでしょうか。 

    ここで便利なのがネイティブ VLAN(タグなし VLAN)です。タグなし VLAN を管理 VLAN として使用することにより、AP はこのタグなし VLAN を使用して DHCP アドレスを要求します。  この AP では、ネイティブ VLAN を 90 として割り当てる必要があります。スイッチ ポートでも同様です。  スイッチ ポートはネイティブ VLAN 90 をトランキングします。  これで、AP が VLAN 90 を管理 VLAN として使用するようになり、VLAN 41、42、および 43 はワイヤレス ネットワーク向けに使用されるようになります。


    使用する用語がわかりにくいことがあります。同じものを指していても、ベンダーによって使用する用語が異なるため、複数のネットワーク ベンダーと仕事をしている場合は特にそうです。  シスコでネイティブ VLAN と呼んでいるものは、HP ではタグなし VLAN と呼ばれています。  VLAN を識別するためのタグ付けさえ理解すれば、用語が何であれ、VLAN の概念は簡単に理解できます。  すべてはタグを付けるだけです。  802.1Q タグは、まさにそのためのものです。

    CLNBanner