Virtual Local Area Network

VLAN（仮想LAN）とは

Virtual Local Area Network（バーチャル・ローカル・エリア・ネットワーク）、略してVLAN（ブイラン）は、物理的なネットワーク構成に依存せず、論理的にネットワークを分割する技術です。レイヤ2スイッチの機能の一つであり、ネットワークの効率化とセキュリティ強化を目的として導入されます。

従来のLANでは、スイッチに接続されたすべての端末が同じブロードキャストドメインに属し、互いに通信可能でした。しかし、VLANを使用すると、物理的な接続を維持したまま、スイッチ内部でトラフィックを分割し、ブロードキャストドメインを小さく分割できます。これにより、特定のグループ内でのみ通信を許可するなど、柔軟なネットワーク設計が可能になります。

VLANの主な目的

VLANを導入する主な目的は以下の通りです。

通信帯域の確保: ネットワーク規模が大きくなると、ブロードキャストトラフィックが増加し、通信帯域が圧迫される可能性があります。VLANでブロードキャストドメインを分割することで、トラフィックを分散させ、帯域を有効活用できます。
セキュリティの向上: VLAN間の通信を制限することで、特定のグループへの不正アクセスを防ぎ、ネットワークセキュリティを強化できます。
ネットワーク機器の削減: VLANを利用することで、物理的なネットワーク機器の台数を削減し、コストを抑えることができます。
柔軟なネットワーク設計: 物理的な配線に依存せず、論理的にネットワークを分割できるため、組織変更や部署移動に合わせて柔軟にネットワーク構成を変更できます。

VLANの方式

VLAN機能を持つスイッチでは、様々な方法でLANセグメントを分離できます。主な方式は、接続ポートに基づくものと、受信データに基づくものの2つに大別されます。

接続ポートによるLAN分離

ポートベースVLAN: スイッチのポートごとにVLANを割り当てる方式です。例えば、ポート1と2を同じVLANに、ポート3と4を別のVLANに割り当てることで、異なるグループ間での通信を分離できます。
マルチプルVLAN: ポートベースVLANの拡張機能で、特定のポート（マルチプルポート）を設け、すべてのVLANグループと通信できるようにするものです。アップリンク接続によく使用されます。複数のVLANに接続された端末と通信できます。
プライベートVLAN: VLAN内部の通信をさらに細分化する方式です。例えば、単独ポート、グループポート、アップリンクポートに分け、それぞれ通信範囲を制限できます。プライマリVLANとセカンダリVLANという概念を用います。

受信データによるLAN分離

タグVLAN: イーサネットフレームにVLANタグを付与することで、LANを分離する方式です。IEEE 802.1Qで標準化されており、広く利用されています。詳細は後述します。
MACベースVLAN: 接続機器のMACアドレスに基づいてVLANを割り当てる方式です。受信フレームの送信元MACアドレスを基に、転送先ポートを決定します。
サブネットベースVLAN: 機器のIPアドレスのサブネットに基づいてVLANを割り当てる方式です。受信パケットのIPアドレスとサブネットマスクを基に、転送先ポートを決定します。
プロトコルベースVLAN: ネットワークプロトコル（IP、IPXなど）に基づいてVLANを割り当てる方式です。受信フレームのEtherTypeを基に、転送先ポートを決定します。
認証VLAN (ユーザベースVLAN): 端末のログイン情報を基にVLANを割り当てる方式です。IEEE 802.1Xで標準化されており、EAPやRADIUSサーバと組み合わせて使用されます。

タグVLANの詳細

タグVLANは、イーサネットフレームにVLANタグを付加することで、複数のVLANを同じ物理回線上で混在させる技術です。IEEE 802.1Qで規定されており、しばしば「Dot1Q VLAN」とも呼ばれます。

タグVLANでは、送信側がフレームにタグを挿入し、受信側がタグを見て所属するVLANを識別します。これにより、1つの物理ポートで複数の異なるVLANの通信を同時に行うことができます。

タグVLANのポートの種類

アクセスポート: 1つのVLANにのみ属するポートです。通常、端末などを接続します。
トランクポート: 複数のVLANを混在させるポートです。スイッチ、ルータ、サーバなどを接続し、VLANタグを処理します。

タグVLANの運用例

例えば、オフィスビルで、部署ごとにVLANを分けたい場合を考えます。各部署の端末を異なるVLANに接続し、部署間のトラフィックを分離します。フロア間の接続にはトランクポートを使用し、各部署内の接続にはアクセスポートを使用します。これにより、物理的な配線は同じでも、部署ごとの論理的なネットワークを構築できます。

タグVLANのフレーム構造

VLANタグは、送信元MACアドレスとイーサタイプの間に挿入される4バイト（32ビット）のフィールドです。

TPID（Tag Protocol Identifier）: 16ビットの値で、0x8100です。VLANタグ付きフレームであることを示します。
PCP（Priority Code Point）: 3ビットの値で、フレームの優先度を示します。0から7までの値を取り、7が最も高い優先度です。
DEI（Drop Eligible Indicator）: 1ビットの値で、輻輳時にフレームを破棄できるかどうかを示します。0または1の値を取ります。
VID（VLAN Identifier）: 12ビットの値で、フレームが属するVLANを識別します。1から4094までの値を取り、最大4094個のVLANを扱うことができます。

VID=0は、どのVLANにも属していないことを意味し、PCP・DEIを通知するための優先度タグとして使われます。VID=1は、無タグフレーム受信時にスイッチ内部で処理されるVID(PVID)で、デフォルト値は1です。VID=2は、SRP用途のPVIDで、デフォルト値は2です。VID=4095はシステム内部のエントリ検索などに用いる予約値です。

タグVLANのフレームサイズ

VLANタグを挿入することで、イーサネットフレームの最大サイズは4バイト増加し、1522バイトになります。タグ付きフレームを中継する機器も、このサイズに対応している必要があります。

古い実装

初期の実装では、DEIの領域はCFI（Canonical Format Indicator）と呼ばれていました。これはトークンリングなど、イーサネット以外のフレームであることを示すためのものでした。後の改訂でDEIに変更されました。IEEE 802.2のSNAPフレームによるカプセル化にも対応していました。

二重タグ

二重タグ（Q-in-Q VLAN、VLANトンネリング）は、イーサネットフレーム内に2つのVLANタグを挿入する技術です。IEEE 802.1adで規定され、IEEE 802.1Qに取り込まれました。主にインターネットサービスプロバイダで利用されます。S-TAG（プロバイダのVLANタグ）とC-TAG（加入者のVLANタグ）を使用します。S-TAGのTPIDは0x88a8, 0x88a7が規定されていますが、0x9100, 0x9200, 0x9300などの値を使うこともあります。

まとめ

VLANは、ネットワークを論理的に分割し、効率的で安全なネットワークを構築するための重要な技術です。ポートベースVLANやタグVLANなど、様々な方式を理解し、ネットワーク環境に最適なVLANを設計・構築することが重要です。

参考資料

中嶋章『図解入門　よくわかる　最新ネットワーク技術の基本と仕組み』（初版）秀和システム、2016年10月3日。ISBN 978-4-7980-4764-5。
IEEE Std. 802.1Q-2005, Virtual Bridged Local Area Networks. ISBN 0-7381-3662-X.
ISL & 802.1q Frame Formats

関連項目

レイヤ2スイッチ
レイヤ3スイッチ
仮想ネットワーク
アクセス制御リスト (ACL)
VLANホッピング
Shortest Path Bridging (IEEE 802.1aq)
SDN
Virtual Extensible LAN (VXLAN)
Virtual private network (VPN)
* VLAN Trunking Protocol (VTP)

もう一度検索