VLANとは何か:VLANのご紹介
LANはネットワーク上の2つ以上のデバイスのグループです。VLANは仮想LANであり、ローカルネットワーク内のサブグループです。
VLANはネットワーク管理者が単一のスイッチネットワークを複数のグループに分けて、システムの機能的およびセキュリティ要件に合わせることを容易にします。しかし、VLANは完全に仮想的です。新しいケーブルを敷設したり、既存のネットワークインフラストラクチャに大きな変更を加えたりすることなく実装できます。
上記の図では、1つのスイッチが2つの仮想ネットワーク、つまり2つのVLANをサポートしています。VLAN-10のユーザーはVLAN-20のデバイスにアクセスできず、その逆も同様です。
VLANのメリット
- VLANはブロードキャストドメインのサイズを縮小することでネットワークのパフォーマンスを向上させます。ブロードキャストドメイン内では、すべてのデバイスが他のすべてのデバイスにパケットを送信でき、すべてのパケットが受信および処理されなければなりません。ブロードキャストドメインが非常に大きくなると、ブロードキャストデータの量が多いため、ネットワーク上のスイッチのパフォーマンスが低下する可能性があります。
- VLANは追加のセキュリティ層を追加することができます。例えば、特定のセキュリティクリアランスを持つユーザーのために特定のVLANを作成することができます。
- VLANはデバイス管理を容易にします。ユーザーが新しい物理的な場所に移動した場合、そのユーザーの物理的なワークステーションを再構成する必要はありません。また、ユーザーが同じ場所に留まっていても、職務が変わった場合は、ワークステーションのVLANメンバーシップを変更するだけで済みます。
もっと見る
* 広温度対応産業用レイヤー3イーサネットスイッチ
* 重要なネットワークに適した産業用イーサネットスイッチの選び方
複数のVLANが互いに通信するためには、ルーターが必要です。VLAN間のルーターは、ブロードキャストトラフィックをフィルタリングし、 ネットワークセキュリティを強化し、アドレスの要約を行い、ネットワークの混雑を緩和します。
VLANにはポートベース(タグなし)とタグ付きの2種類があります。タグ付きVLANの場合、パケットに特別な「タグ」が挿入され、スイッチやルーターがそのパケットを正しく転送できるようにします。 イーサネットネットワーク でVLANをサポートするためにほとんどのネットワーク機器がサポートしている標準はIEEE 802.1Qです。この標準は、イーサネットフレームに4バイトのタグを追加します。この追加情報は、フレームがどのVLANに属しているかを識別し、VLAN ID番号を含みます(同じネットワーク上で最大4094のVLANが可能です)。複数のタグ付きVLANは、スイッチの同じポート(トランクポートと呼ばれる)を使用できます。
タグなしVLANはスイッチの物理ポート(アクセスポートと呼ばれる)に基づいています。イーサネットフレームに追加情報はありません。代わりに、スイッチの各ポートが特定のVLANに属するように定義されます。このアプローチは、単一の物理スイッチを複数の論理スイッチに分割します。デバイスが単一のVLANにのみ接続されている場合、そのポートはタグなしにする必要があります。
Port-based VLAN
Tagged VLAN
3番目のタイプのVLANポートとして、ハイブリッドポートと呼ばれるものがあります。このオプションでは、デバイスとトランキングの両方が可能です。無線アクセスポイントは、しばしばハイブリッドポートを使用して構成されます。
管理VLAN
管理VLANはネットワーク上に他のVLANがいくつ存在していても、すべてのスイッチで共有される単一のネットワークです。セキュリティのために、特定のポートを管理VLANに割り当てることで、管理者だけがそのポートにログインできるようにすることができます。特定のMACアドレス(デバイス)をリストに追加してアクセスを許可することも可能です。これにより、新しいデバイスを接続するだけで侵入者がネットワークにアクセスするのを防ぎます。管理VLANが誤って設定された場合、管理者や技術者がそのスイッチへのアクセスを失う可能性があり、その場合はスイッチを工場出荷時の設定にリセットして再度アクセスする必要があります。
VLANの仕組み
VLANが実例の一つに、ITS (高度道路交通システム) アプリケーションがあります。ITSネットワークの伝送データには、重要な交通制御信号、セキュリティ監視ビデオストリーム、およびデジタルサインボードのデータが含まれます。異なるデータタイプには、それぞれ異なる緊急性とデータセキュリティ要件があります。異なるタイプのデータ間で競合が発生した場合、重要な交通制御信号は最優先で伝送される必要があり、このデータは失われてはなりません。この目的のために、データの分離とQoS (Quality of Service) の分類にVLANを使用することが推奨されます。交通制御信号データは、専用のVLAN上で高い優先度レベルに設定され、ネットワークトラフィックが多い場合でも優先的に伝送されるようになります。
結論
VLANはスイッチネットワークのパフォーマンスを向上させることができます。論理的なサブネットワークを作成することで、ワークグループや特定のユーザーに対するブロードキャストトラフィックを制限できます。
VLANはネットワークのセキュリティを強化します。フレームは意図された受信者にのみ配信され、ブロードキャストフレームは同じVLANのメンバーに送信されます。機密情報へのアクセスが必要なユーザーは、物理的な距離に関係なく、一般ユーザーグループとは別のVLANに分割することができます。
トランクポートを使用して複数のスイッチを接続する場合、VLANは単一のスイッチに限定されません。VLANは異なるスイッチの異なる数のポートを持つことができます。トランクポート間のリンクは、各スイッチ上のVLANポート間の接続を提供します。VLANは、大規模なネットワークを管理するための効果的で論理的なツールです。