VLAN(仮想LAN)の基礎知識
ネットワーク分割の仕組みを完全解説
VLANは物理的なネットワーク構成に依存せず、論理的にネットワークを分割する技術です。
ネットワークスペシャリスト試験でも頻出のテーマを、基本から実践的な設定まで解説します。
こんな人向けの記事です
- VLANの仕組みを基礎から理解したい
- ネットワークスペシャリスト試験の対策をしたい
- タグVLAN・アクセスポートの違いを知りたい
Step 1VLANとは何か
VLAN(Virtual LAN)は、1台の物理スイッチを複数の論理的なネットワークに分割する技術です。同じスイッチに接続されていても、異なるVLANに属する端末同士は直接通信できません。
VLANの主なメリット
セキュリティ向上:部門ごとにネットワークを分離し、不正アクセスを防止ブロードキャスト制御:ブロードキャストドメインを縮小し、ネットワーク負荷を軽減
柔軟な構成:物理的な配置に関係なく、論理的にグループ化が可能
物理スイッチ 1台
↓
VLAN 10: 営業部
VLAN 20: 開発部
VLAN 30: 管理部
VLAN 20: 開発部
VLAN 30: 管理部
↓
論理的に分離された3つのネットワーク
Step 2VLANの種類
| 種類 | 分類方法 | 特徴 |
|---|---|---|
| ポートベースVLAN | スイッチのポート番号 | 最も一般的。ポートごとにVLANを割り当て |
| MACベースVLAN | 端末のMACアドレス | 端末の接続ポートが変わってもVLANが維持される |
| プロトコルベースVLAN | L3プロトコル | IPやIPXなどプロトコル種別で分離 |
| タグベースVLAN | IEEE 802.1Qタグ | スイッチ間でVLAN情報を伝達 |
試験のポイント
ネットワークスペシャリスト試験ではポートベースVLANとタグベースVLAN(802.1Q)が最も出題されます。この2つの違いを確実に理解しましょう。
Step 3アクセスポートとトランクポート
| 項目 | アクセスポート | トランクポート |
|---|---|---|
| 所属VLAN | 1つのVLANのみ | 複数のVLANを通過 |
| タグ | タグなし(untagged) | タグあり(tagged) |
| 接続先 | PC、サーバーなどの端末 | スイッチ間、ルータ接続 |
| 用途 | エンドユーザーの接続 | VLAN情報のスイッチ間伝達 |
Cisco IOS 設定例
# アクセスポートの設定(ポート1をVLAN 10に割り当て)
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
# トランクポートの設定(ポート24をトランクに)
interface FastEthernet0/24
switchport mode trunk
switchport trunk allowed vlan 10,20,30Step 4IEEE 802.1Qタグ
802.1Qは、イーサネットフレームにVLAN識別用のタグを挿入する標準規格です。タグは4バイトで構成されます。
802.1Q タグフレーム構造
通常のイーサネットフレーム:
| 宛先MAC | 送信元MAC | タイプ | データ | FCS |
802.1Q タグ付きフレーム:
| 宛先MAC | 送信元MAC | 802.1Qタグ(4B) | タイプ | データ | FCS |
802.1Qタグの内訳(4バイト):
| TPID (2B): 0x8100 | PCP (3bit) | DEI (1bit) | VID (12bit) |
VID = VLAN ID(0〜4095、有効範囲は1〜4094)ネイティブVLAN
トランクポートにはネイティブVLAN(デフォルトはVLAN 1)が設定されます。ネイティブVLANのフレームはタグなしで送信されます。セキュリティ上、ネイティブVLANをデフォルトのVLAN 1から変更することが推奨されます。
Step 5VLAN間ルーティング
異なるVLANに属する端末が通信するには、L3デバイス(ルータまたはL3スイッチ)によるルーティングが必要です。
方法1: ルータ・オン・ア・スティック
1本の物理リンクでサブインターフェースを使い、複数VLANのルーティングを行います。
ルータ設定例
# サブインターフェースでVLAN間ルーティング
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0方法2: L3スイッチ(SVI)
L3スイッチのSVI(Switch Virtual Interface)を使う方法が、高速で一般的です。
L3スイッチ設定例
# SVIでVLAN間ルーティング
ip routing
interface Vlan10
ip address 192.168.10.1 255.255.255.0
interface Vlan20
ip address 192.168.20.1 255.255.255.0試験のポイント
ネットワークスペシャリスト試験では、L3スイッチによるVLAN間ルーティングの構成がよく出題されます。SVIのIPアドレスが各VLANのデフォルトゲートウェイになることを理解しましょう。
Step 6VLANの設計ポイント
| 設計項目 | 推奨事項 |
|---|---|
| VLAN ID管理 | 命名規則を決め、VLAN ID一覧表を作成する |
| ネイティブVLAN | VLAN 1以外に変更し、不要なトラフィックを排除 |
| 未使用ポート | 使用しないVLANに割り当て、セキュリティを確保 |
| トランクの制限 | allowed vlanで必要なVLANのみ通過を許可 |
| IPアドレス設計 | VLANごとにサブネットを割り当て(例: VLAN10=192.168.10.0/24) |
まとめ
- VLANは物理スイッチを論理的に分割する技術
- アクセスポート(端末接続)とトランクポート(スイッチ間)の違いを理解
- 802.1QタグでVLAN IDを識別(12bit = 最大4094)
- VLAN間通信にはL3デバイス(ルータ or L3スイッチ)が必要
- L3スイッチのSVIによるルーティングが主流
- ネイティブVLANの変更やトランクの制限がセキュリティ上重要