VLANについて整理してみた

背景・目的

VLANに関わる機会があったので、今までふわっと覚えていた知識をあらためて整理します。

まとめ

下記に特徴を整理します。

特徴	説明
VLANとは	Virtual Local Area Networkの略 仮想LAN、バーチャルLANと呼ばれる 仮想的なLANセグメントを作る技術 1つのLANを複数のLANに分けたり、複数に分かれたLANを1つのLANに見せたりすること 社内NWによく使われる
レイヤ2スイッチングハブ	すべてのポート間のイーサネットフレームの転送が可能
(特徴) NWのトラフィック量の削減	VLANを活用すると、同じVLANに割り当てているポート間だけでイーサネットフレームを転送することが可能 上記により、ブロードキャストドメインを分割が可能 VLANは、1〜4094のVLAN番号で識別する
(特徴) 物理的な配置に関係なくセグメント化可能	複数のスイッチングハブにまたがり設定も可能 物理的な配置に関係なく、一つのNWをNWを分離して運用可能
(特徴) セキュリティ	VLANにより、分割されたNW同士は接続されていないため、データは転送されず、セキュリティが向上する
VLANの種類	・ポートVLAN ・タグVLAN ・MACベースVLAN ・ユーザーベースVLAN ・サブネットベースVLAN
ポートVLAN	最も一般的で、スイッチングハブのポート単位でVLANを割り当てる方法 どの物理ポートにPCを接続すればどのVLANに所属するかわかりやすいのが特徴 1つの物理ポートは1つのVLANにしか所属できない制約がある 複数台のスイッチをまたいだ運用の場合、使用するVLANの数だけスイッチを接続する。これによりVLANの数が増えたり、ケーブルの接続が複雑になる
タグVLAN	NWを流れる個々のデータフレームに、転送先のグループの識別番号（VLANタグ）をイーサネットフレームに付与する方法 VLANタグを使用して、同じグループに所属するNWへフレームを転送する タグVLANを使用することで、スイッチ同士を接続する際に、各VLAN同士を1本のLANケーブルに集約可能 スイッチングハブをまたいでVLANを作成可能
MACベースVLAN	データを送信するPCのMACアドレスを基にし、VLANのグループを割り振りする PCの設置場所が変わってもVLANグループの設定はそのまま PCの入れ替えなどした場合は、再設定が必要になる
ユーザーベースVLAN	NWを使うユーザの認証情報により識別する。認証VLANとも呼ばれる。 PCを使用しているユーザの認証情報がスイッチ経由でRADIUS、LDAPなどの認証サーバに送られ、 NW接続し時点で認証が行われ成功後に所属するVLANグループに参加できる
サブネットベースVLAN	データ送信元のIPアドレスにより識別する方法 スイッチングハブに接続するコンピューターのIPにより、ユーザがどのポートのNWに所属するか決まる MACアドレスVLANと類似しているが、IPアドレスを基にしているので、PCを入れ替えてもIPを変更しなければ再設定は不要
イーサネット	機器をネットワークに有線接続する際に用いられる代表的な通信規格 イーサネットで使用するケーブルは下記の通り ・LANケーブル ・光ファイバー ・同軸ケーブル イーサネットは通信速度により規格が変わる
イーサネットフレーム	イーサネットって規格に従って通信するときにやり取りされるデータのこと データを細切れにして送信する イーサネットヘッダとデータ部、FCSで別れている
イーサネットヘッダー	下記で構成されている ・宛先MACアドレス ・送信元MACアドレス
FCS	Frame Check Sequenceの略 通信プロトコルのフレームにエラー検出のために付加されるコード
イーサネットヘッダーにおけるタイプ	データフィードに格納する上位層のプロトコルを識別する情報 タイプには、下記のものがある ・IPv4 ・ARP ・IPX ・IPv6

概要

下記の記事を基に整理しました。参考になりました。感謝です。

VLANとは

• VLAN = Virtual Local Area Network
• 仮想LAN、バーチャルLANと呼ばれる
• 仮想的なLANセグメントを作る技術
• 1つのLANを複数のLANに分けたり、複数に分かれたLANを1つのLANに見せたりすること
• 社内NWによく使われる

VLANの特徴と仕組み

NWのトラフィック量を削減できる

• ブロードキャストドメインが分割できる
• レイヤ2スイッチングハブは、すべてのポート間のイーサネットフレームの転送が可能
• VLANを活用すると、同じVLANに割り当てているポート間だけでイーサネットフレームを転送することが可能
• 上記により、ブロードキャストドメインを分割が可能
• VLANは、1〜4094のVLAN番号で識別する

イーサネット

• PCのような機器をネットワークに有線接続する際に用いられる代表的な通信規格
• イーサネットで使用するケーブルは下記の通り
  • LANケーブル
  • 光ファイバー
  • 同軸ケーブル
• イーサネットは通信速度により規格が変わる

イーサネットフレーム

• イーサネットって規格に従って通信するときにやり取りされるデータのこと
• データを細切れにして送信する
• イーサネットヘッダとデータ部、FCSで別れている
• イーサネットヘッダーは下記で構成されている
  • 宛先MACアドレス
  • 送信元MACアドレス
• FCSは、Frame Check Sequenceの略
  • 通信プロトコルのフレームにエラー検出のために付加されるコード

イーサネットヘッダーにおけるタイプとは

• データフィードに格納する上位層のプロトコルを識別する情報
• タイプには、下記のものがある
  • IPv4
  • ARP
  • IPX
  • IPv6

物理的な配置に関係なくセグメント化が可能

• 複数のスイッチングハブにまたがり設定も可能
• 物理的な配置に関係なく、一つのNWをNWを分離して運用可能

セキュリティの向上

• VLANは、NWを分割しデータが転送される範囲を限定する機能
• 分割されたNW同士は接続されていないため、データは転送されない
• 上記の理由から、セキュリティが向上する

VLANの種類

ポートVLAN

• 最も一般的
• スイッチングハブのポート単位でVLANを割り当てる方法
• どの物理ポートにPCを接続すればどのVLANに所属するかわかりやすいのが特徴
• 1つの物理ポートは1つのVLANにしか所属できない制約がある
• 複数台のスイッチをまたいだ運用の場合、使用するVLANの数だけスイッチを接続する。これによりVLANの数が増えたり、ケーブルの接続が複雑になる

タグVLAN

• NWを流れる個々のデータフレームに、転送先のグループの識別番号（VLANタグ）をイーサネットフレームに付与する方法
• VLANタグを使用して、同じグループに所属するNWへフレームを転送する
• タグVLANを使用することで、スイッチ同士を接続する際に、各VLAN同士を1本のLANケーブルに集約可能
• スイッチングハブをまたいでVLANを作成可能

MACベースVLAN

• データを送信するPCのMACアドレスを基にし、VLANのグループを割り振りする
• PCの設置場所が変わってもVLANグループの設定はそのまま
• PCの入れ替えなどした場合は、再設定が必要になる

MACアドレス

• MACアドレスは、機器に割り当てられている識別番号
• 機器出荷時に付与されている
• データの受け渡し先を特定するときに利用する

ユーザーベースVLAN

• NWを使うユーザの認証情報により、識別する
• 認証VLANとも呼ばれる
• PCを使用しているユーザの認証情報がスイッチ経由でRADIUS、LDAPなどの認証サーバに送られる
• NW接続し時点で認証が行われ成功後に、所属するVLANグループに参加できる

サブネットベースVLAN

• データ送信元のIPアドレスにより識別する方法
• スイッチングハブに接続するコンピューターのIPにより、ユーザがどのポートのNWに所属するか決まる
• MACアドレスVLANと類似している
• IPアドレスを基にしているので、PCを入れ替えてもIPを変更しなければ再設定は不要

考察

今回、VLANの仕組みや種類を整理し、NW設計や運用におけるイメージが持てました。特に、物理的なネットワーク構成に依存せず、論理的にネットワークを分割・統合できる点などは参考になりました。
今後は、ハンズオンなどで知識を深めていきたいです。

参考