2020/6/11 更新
VLAN機能をもっているスイッチでは接続する機器の使用目的などによりVLAN(仮想VLAN)を使ってネットワークをグループに分けて分離しておくと都合がよい場合があります。ここでは、ネットワークで使われる VLANの仕組みやVLANを利用するメリットなどを説明しています。
仮想的にネットワークを分類する VLANの仕組みとは
VLAN とは仮想(Virtual)LANのことで、VLAN の機能を持つスイッチでは複数の仮想的なネットワーク(仮想LAN)を作成することができます。
異なるVLAN同士はネットワーク的に分離されているためこのままではお互いに通信することができません。お互いに通信するためには、ルーターやファイアウォールなどルーティング機能を持った機器に間に入ってもらうことで異なるVLAN間での通信も可能にすることができます。
初期状態ではスイッチに接続した機器はすべて同じVLANに属します。VLANを設定することによりポートごとに指定のVLANに割り当てることができます。
スイッチのポートに送受信されるデータは同じVLANをもつポートにしか流せないように制限される仕組みになっています。
以下の図はスイッチに2ポートずつ異なる VLAN を作成しています。
VLANの設定方法はいくつか種類がいくつかありますが、最も使われる VLAN の割り当て方は、先で説明したスイッチのポート毎にあらかじめ接続するグループの VLAN を設定しておく方法です。
スイッチに VLAN を作成するメリット
VLAN でネットワークを分割して作成するメリットはいくつかあります。
メリット① ネットワークの混雑軽減
同じネットワークに接続する機器が多くなってくると ARP などのブロードキャストによりネットワーク全体にフレームが流れるためネットワークの無駄な帯域消費につながります。
またネットワークの帯域消費だけでなく、ブロードキャストが届いたすべての端末機器で、自分宛かどうかを判別する処理が必要になるため、関係のない機器まで処理をする負担が増えることになってしまいます。
適切なVLANを設定することは、 VLAN 単位でブロードキャストの範囲を分けて不要なトラフィックや処理の範囲を小さくするメリットにつながります。
メリット② ネットワークの運用効率の向上
ネットワークを運用していく中でネットワーク構成や設定を変更したり、追加したり、ということも少なくありません。接続機器が多くなると管理も大変になり、どこにどのような種類の機器がつながっているのか確認するのも大変になります。
そのような場合でもあらかじめ用途などでVLANを設定しておくと分割したVLAN毎に対応しやすくなり作業による影響範囲を明確にすることも容易になるメリットになります。
メリット③ セキュリティの確保
ネットワークを分割したVLANは、そのままではお互いに通信することができません。あえてVLANを分けて必要な通信範囲を限定することは、VLANのグループによってアクセスできるデータを制限したり、マルウェアなどのネットワーク経由の感染範囲を最小限にするメリットにもつながります。
VLAN の使い方
実際に VLAN で分ける単位はどのようなグループかというと、管理やセキュリティの面から考慮すると、ネットワークに同じような利用用途を持つグループ単位で分類することが多いです。
例えば、部署や部門毎に分けたり、同じ種類のサーバーグループで分けたりすることが一般的です。そうすることで、このグループはこのサーバーグループにだけアクセスを許可する、などということもアクセス制御でやりやすくなります。
VLAN 情報は接続されたスイッチ同士で連携することができるので、別の場所に設置している場所でも同じ VLAN のグループに属すことができます。
異なる VLAN 同士で通信が必要な場合は、ルーティング機能を持つL3スイッチやルーターで異なるネットワーク同士を接続することができます。
基本的にVLANを分けると、利用するIPアドレスもAのVLANでは「192.168.1.0/24」、BのVLANでは「192.168.2.0/24」のようにネットワークを分けます。アクセス制御機能で IP アドレスなどを基に特別な通信に絞った細かい設定も可能です。
コメント