1_VLAN(Virtual Local Area Network)の概要
VLANとは「物理的な構成を変えずにネットワークを論理分割する技術」で、L2スイッチ等の機器で提供されている機能になります。VLANは、仕様が複雑なため難しく感じますので、可能な限り図解して解説します。
- 1VLANの概要
1-1_VLANのない環境
2-2_VLANのある環境 - 2VLANを使用するメリット
2-1_セキュリティ強化
2-2_ブロードキャストドメインの分割による性能改善
2-3_運用の柔軟性と管理効率の向上 - 3VLANの仕様詳細
3-1_ポートベースVLAN
3-2_タグVLAN
1-1_VLANがない環境
通常L2スイッチ等で接続された機器同士は、同じネットワークに属することになり、FWのように宛先を制限したりすることは出来ず、自由にデータ送信が出来てしまいます。
例えば、企業内において、営業部が使用するPCとシステムサーバ及び総務部が使用するPCとシステムサーバがL2スイッチで接続されている場合、営業部のPCで総務部のシステムサーバにアクセスすることが可能です。これは実務を考えた際、営業部の人間が、総務部の人事系のデータにアクセスできるかもしれないというリスクが存在します。
1-2_VLANがある環境
VLANにて、営業部のネットワークと総務部のネットワークを論理的に分割すると、営業部と総務部の相互通信が出来なくなります。イメージとしては、スイッチの中に論理的なスイッチを複数作るようなものです。
※VLANにはグループごとにIDがあり、今回は営業部に10、総務部に20を割り振っています。
L2スイッチやMACアドレス等の知識が不安な方は、下記記事にて解説していますので、ご参照ください。
2_VLAN機能を利用するメリット
VLANのメリットは、主に①セキュリティ強化②ブロードキャストドメインの分割による性能改善③運用の柔軟性と管理効率の向上が挙げられます.
2-1_セキュリティ強化
部署や役割ごとにネットワークを分離できるため、情報漏えいリスクを低減できます。
機密系と一般系を同一の物理ネットワーク上で安全に共存させる基本手段として有効です。
2-2_ ブロードキャストドメインの分割による性能改善
VLANでネットワークを分離するということは、ブロードキャストが届く範囲(ブロードキャストドメイン)が限定されることと同義です。ブロードキャストドメインを適切に分割することで、不要なトラフィックが減り、通信の遅延や輻輳の発生が抑えられます。
ごめんなさない・・・ブロードキャストって何でしたっけ?たしかL2スイッチって不要な通信が流れないような情報を持っている認識だったのですが・・・
ブロードキャストとは、ネットワーク内の全機器を対象にした通信のことを指します。L2スイッチで通信を制御できるのは、あくまで1対1の通信を宛先にした個別の通信が対象になり、全通信を目的としたブロードキャストを制限することはできません。
ブロードキャストの具体的に例を挙げると、IPアドレスからMACアドレスを取得するために行うARP通信や、動的IPアドレスを取得するために実施するDHCP通信、ネットワーク内の機器が稼働しているかを確認するためのping通信などがあります。
ping通信における機器の稼働確認
-1024x416.png)
基本通信って、1対1のものだと思っていたのですが、意外とブロードキャストって多いんですね・・・
そうなんですよ・・・なので、VLANを用いて適切にネットワークを分離しないと不要な通信が流れて通信が逼迫します・・・
VLANでブロードキャスト分割されている場合
VLANでブロードキャスト分割されている場合
2-3_運用の柔軟性と管理効率の向上
VLANを利用すると、物理配線を変えず情報機器を別ネットワークへ移動できるため、構成変更や拡張が容易になり運用負荷を下げることに繋がります。VLANがないと物理的なスイッチを用意して、配線を変えるという作業が必要になります。
例えば、総務部が組織変更により人事部と経理部に分かれる場合、VLAN機能を使わずにネットワークを分けようとすると、L2スイッチをもう一つ用意した上に、機器に接続されているケーブルを移すなどの作業が発生します。
VLANを設定すれば、L2スイッチに設定を追加するだけでネットワークを分割することが出来ます。
3_VLANの仕様の詳細
VLANはポートベースVLANとタグVLANの2種類が主に利用されます。
3-1_ポートベースVLAN
スイッチのポート単位でネットワークを分ける方式です。スイッチには複数のLANケーブルを挿す「穴(ポート)」がありますが、管理者が「このポートはVLAN10、このポートはVLAN20」と設定することで、物理的には同じスイッチに接続されていても、論理的には別々のネットワークに分離されます。
物理的な「穴」と論理的なネットワークが直結しているため、直感的に理解しやすく、2-3までの説明は、ポートベースVLANのイメージで解説していたと思ってください.
【留意点】
ポートベースVLANはシンプルで分かりやすいのですが、1つのポートは1つのVLANにしか所属できないという制限があるため、複数のL2スイッチ間を跨いでネットワークを構成する場合には、各VLANでケーブルが必要になります。例として、総務部と営業部が1階から2階に分かれている場合が挙げられます。
VLANの数が多くなる一定以上の規模の会社では、全ての機器をポートベースVLANでつなぐことは現実的ではありません。
3-2_タグVLAN
タグVLANを利用すると、上記のようなフロア(L2スイッチ)を跨ぐ際にも、一つのポートとケーブルで同じVLANを構成することができます。
タグVLANとは、通信データ(イーサネットフレーム)に「このデータはVLAN10所属です」という名札(タグ)を付ける方式のことで、データにタグをつけることでネットワーク機器がどのVLAN宛ての通信かを判別することができます。文字だけでは中々難しいと思いますので、以下の図で説明します。
3-2-1_タグVLANで通信する流れ(事前の設定)
3-2-2_タグVLANで通信する流れ(データの送信~1階L2スイッチ側の処理)
① 1階の営業部のPC1から、2階の営業部のPC4宛てにデータを送信する。
② PC1から送信されたデータを受信した1階L2スイッチは、2階L2スイッチに転送するデータについては、受信したポートに属するVLANIDをタグとしてデータに追加した上で、2階L2スイッチに転送する。
3-2-3_タグVLANで通信する流れ(2階L2スイッチが受信~)
③④タグVLANが付加された通信を受信した2階L2スイッチは、受信元のVLANを認識した上で、宛先のVLANと同一であればタグを外した上でデータを転送します。
なぜタグをつける必要があるんですか?
受け取ったL2スイッチの立場で見てみてください、受け取ったL2スイッチ側にも複数のVLANが設定されているため、ただデータを受け取っただけでは、送信元が同じVLANに所属していたかどうかが判別できません。
L2スイッチがネポートベースVLANでネットワークを分割(VLANを処理)できるのは、送信元と宛先の機器が自身のポートで直接つながっているから・・・という理解でいいですか?
その通りです。自身とつながっていない機器からL2スイッチを経由してデータが来た場合に、どのネットワークに所属しているかを判別するためにタグVLANが必要になるのです
(参考)よくある質問
- Q1VLANとは何ですか
- A1
VLAN(Virtual LAN)は、1台のスイッチ上でネットワークを仮想的に分割する仕組みです。セキュリティや効率を高めるために利用されます。
- Q2ポートベースVLANとは何ですか?
- A2
ポートベースVLANは、スイッチのポート単位で所属するネットワークを決める方式です。端末側の設定は不要で、小規模環境に向いています。
- Q3タグVLANとは何ですか?
- A3
タグVLANは、通信データにVLAN IDというタグを付けて識別する方式です。複数のVLANを1本のケーブルでやり取りでき、大規模環境に適しています。
- Q4なぜポートベースVLANだけでは不十分なのですか?
- A4
ポートベースVLANはシンプルですが、スイッチ間接続ではVLANごとにケーブルが必要になり非効率です。大規模環境ではタグVLANが必須となります。
- Q5L2スイッチはどのようにVLANタグを処理しますか?
- A5
受信時にポート設定からVLANを識別し、転送時に同じVLANか確認し、送信時にタグを付けるか外すかを決めます。
- Q6VLANを使うメリットは何ですか?
- A6
セキュリティ向上、ネットワーク効率化、部署ごとの分離、ブロードキャストの抑制などがメリットです。
コメント