目次
VLAN入門:ポートVLANとタグVLANでネットワークを分割する仕組み
どうも!リョクちゃです。
ネットワークを効率的かつ安全に運用するためには、
VLAN(Virtual LAN) の理解が欠かせません。
VLANを使うことで、1つの物理スイッチを論理的に分割し、異なるネットワークとして扱うことができます。
VLANとは?
VLAN(Virtual LAN)とは、
1つのスイッチを仮想的に分割し、複数の独立したネットワーク(セグメント)を作る技術です。
同じ物理ネットワーク上にあっても、VLANが異なる端末同士は直接通信できません。
メリット
- セキュリティ向上(部署間で不要な通信を遮断)
- ネットワーク負荷分散(ブロードキャストドメインの分割)
- 配線の自由度アップ(物理的な接続ではなく論理的に管理)
ポートVLAN(Access VLAN)
Access VLAN は、スイッチのポートに対して「どのVLANに属するか」を1つだけ割り当てる設定です。
PCやプリンタのように、通常1つのネットワークにだけ参加する端末に適しています。
|
1 2 3 4 |
Switch(config)# interface FastEthernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 |
上記設定では、ポートFa0/1に接続された機器がVLAN10に所属するようになります。
タグVLAN(802.1Q / Trunk)
タグVLANは、1本の物理リンクで複数のVLANの通信を運ぶ仕組みです。
主にスイッチ同士や、スイッチとルータを接続する際に利用します。
|
1 2 3 4 |
Switch(config)# interface FastEthernet0/24 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan 10,20 |
- Trunkポート : 複数のVLANをタグ付きで流す
- タグ(802.1Q) : フレームにVLAN IDを埋め込む
これにより、VLAN10とVLAN20の通信を1本のケーブルでまとめて伝送できます。
実務例:部署ごとにネットワークを分ける
- VLAN 10 : 管理部
- VLAN 20 : 営業部
- VLAN 30 : 開発部
1台のスイッチで部署ごとに論理分割できるため、物理的なLANを作り直す必要がありません。
セキュリティ上も、異なるVLAN間の通信はルータやL3スイッチを経由する必要があるため安全です。
障害例:タグミスで通信できない
- Accessポートに接続するPCがTrunkポートに挿さっていた
⇒ VLANが正しく設定されず通信不可 Trunkポートの許可VLANリストに対象VLANが含まれていない
⇒ タグ付きフレームが破棄されて通信できない
VLAN関連のトラブルでは「どのポートがAccessかTrunkか」「許可されているVLANは何か」を確認するのが基本です。
まとめ
- VLANはネットワークを論理的に分割し、セキュリティと効率を高める技術
- Access VLAN : 端末用、1つのVLANを固定
- タグVLAN / Trunk : 複数のVLANを1本のケーブルで運ぶ
- 実務ではタグ設定ミスがトラブルの原因になりやすい
👉 次回は「スパニングツリープロトコル(STP)」を解説し、冗長化環境でのループ防止を学びます。
関連記事
➡ 前回:ルーティングトラブルシュート:ping・tracerouteで障害を切り分ける方法
