今回の記事では、前回に引き続きVLANについて扱っていきます。今回のテーマは「タグVLAN」です。
VLANは企業などでのネットワークのセキュリティ向上やトラフィック管理の効率化に欠かせない重要な技術ですが、前回学んだポートベースVLANにはいくつかのデメリットがありました。
離れ小島のようになっているポートにはデータが送れないという問題がありましたね。
ネットワークの規模が大きくなると、ポートの数が物理的に足りなくなってしまうという問題もありました。
このデメリットを解消するためのタグVLANについて、今回の記事で深く学んでいきましょう。
タグVLANとは
タグVLAN(Tagged VLAN)とは、ネットワークを複数のセグメントに分け、それぞれのセグメントごとにトラフィックを管理する技術です。
具体的には、各パケットに「タグ」と呼ばれる識別情報を付加することで、そのパケットがどのVLANに属しているのかを識別できるようにします。
VLANタグには、「タグプロトコル識別子」と「タグ制御識別子」が含まれます。
石田先生洋服の「タグ」と同じイメージだと思ってください。
それなら覚えやすいですね!
タグVLANの仕組みでは、IEEE 802.1Q規格が使用されており、VLANID(0から4095の数値)をパケットに追加します。
このIDにより、複数のVLANが同じネットワーク機器を通過する際にトラフィックを区別することが可能になります。
タグVLANは特にスイッチ間でVLANをまたがってデータをやり取りする際に有効です。
異なるVLANに属するデバイスが同じネットワークインフラを共有している場合でも、VLANタグを付けることで、スイッチが適切なVLANへパケットを転送できます。
これにより、ネットワーク全体のセキュリティを向上させ、トラフィック管理を効率化することが可能です。
石田先生上の図ではスイッチ間のポートは、VLANIDが1または2という風に設定されています。
タグを付けるのは何故ですか?
石田先生「1または2」のポートからフレームが入ってくると、スイッチングハブ自体にはそれがどちらのポートから入ってきたものなのか、どのポートにフレームを流せば良いのかがわからなくなるのです。
そこでタグを付けることによって、どのポートに流すべきフレームなのかをはっきりさせるんですね!
石田先生そういうことです。
アクセスポートとトランクポート
アクセスポートは、一つのVLANにのみ属するデバイスを接続するためのポートです。このポートでは、通常タグが付いていないパケット(タグなしパケット)を扱います。
たとえば、パソコンやプリンタなどの端末が接続される際に使用されることが多いです。
一方、トランクポートは、複数のVLANのトラフィックを一度に通すために使用されるポートです。
このポートでは、各パケットにVLANの識別情報(タグ)が付けられており、どのVLANに属しているかを識別できます。
トランクポートは、特にスイッチ間で複数のVLANをまたがって通信する際に利用されます。
これにより、複数のVLANに属するデータが同じリンクを通して転送されることが可能になり、ネットワークの構成を効率的に管理することができるのです。
この図の場合では、パソコンやプリンタが接続されている赤いポートが「アクセスポート」、スイッチングハブ同士を繋いでいる緑のポートが「トランクポート」です。
石田先生ちなみに「トランク」には木の幹という意味があります。
へええ!勉強になります。
タグVLANでのVLANIDの設定方法
タグVLANのVLANIDを設定するには、まずスイッチにログインし、新しいVLANを作成してポートをそのVLANに割り当てます。
管理ツールやコマンドラインインターフェース(CLI)を使って、VLANを定義し、そのIDを設定しましょう。
次に、各ポートがどのVLANに属するかを指定します。
アクセスポートとして設定する場合…そのポートは単一のVLANに属し、例えばパソコンやプリンタなどのデバイスを接続するのに使用されます。このポートではタグなしパケットが送受信されます。アクセスポートはエンドユーザー向けで、主にVLANの終端として機能し、接続されたデバイスを特定のVLANに所属させます。
トランクポートとして設定する場合…そのポートは複数のVLANをまたぐ通信を許可します。トランクポートは、スイッチ間で複数のVLANのトラフィックを効率的にやり取りするために使用され、タグ付きパケットを扱うのが特徴です。これにより、1本の物理的なケーブルで複数のVLANに対応する通信が可能となり、ネットワークインフラを効率的に活用できます。
設定の完了後には、必ず設定が正しく反映されているかを確認しましょう。
たとえば、VLANの一覧を表示したり、各ポートの設定状況をチェックすることで、トラブルを未然に防ぐことができます。
また、タグVLANの設定にはミスが生じることもあるため、通信が正常に行われているかをテストすることも重要です。
タグVLANの設定が適切であれば、ネットワーク全体のセキュリティと管理の効率が大幅に向上するため、確認作業は非常に大切です。
ARPリクエスト(ブロードキャスト)とARPリプライ
ここからは、タグVLANを設定している状態でのARPリクエストとARPリプライのフレームの流れ方を見ていきましょう。
タグVLANを使えば、離れ小島のようになっているポートにもフレームを送れるんですよね。
石田先生その通りです。今回は同じスイッチングハブに接続されているプリンタ01ではなく、離れているPC02と通信したい場合を想定してみましょう。
VLANID2のポートにはフレームが流れず、離れ小島のPC02にはフレームが流れ、無事にARPリプライを送ることができました。
PC01も無事ARPリプライを受け取れていますね。
セキュリティがしっかり守られていることもわかりました!
まとめ
タグVLANは、ネットワークをより効率的に、安全に管理するための重要な技術です。
タグVLANを使うことで、物理的に同じネットワーク機器を共有しながらも、異なるセグメントごとにトラフィックを分けることができます。
ネットワークのセキュリティや管理効率を向上させるためには、タグVLANの正確な設定と確認が欠かせません。
タグVLANは「アクセスポート」と「トランクポート」など理解が難しい概念もありますが、きっちり学習して試験に臨んでください。
