VLANとは？どんなメリットがある？VLANを管理できるツールも紹介

VLANとは

みなさんの会社ではVLAN（Virtual Local Area Network）を利用していますか？様々なメリットがあるため、VLANを導入している会社も多いのではないでしょうか。

VLANとは仮想的なネットワークセグメントを構築する技術で、物理的な接続形態とは異なるセグメントを作れます。論理的にLANを複数に分割したり、複数に分かれたLANを1つにまとめたりすることが可能です。

VLANのイメージ

各VLANはVLAN IDにより識別できます。ルーターやL3スイッチを介さない直接のイーサネットフレームの通信は、同じVLAN IDに所属している範囲内でのみ可能となります。イーサネットはLANで用いられる通信規格であり、通信する際に細切れにしたデータの単位をフレームと呼びます。

なお、LANとは限定された範囲で構築されたネットワークを意味します。LANの範囲は端末からルーターの手前までとなり、イーサネットフレームで通信可能です。

VLANは広域イーサネットに活用されており、安全な通信を実現できます。広域イーサネットとは複数の離れた拠点のLANをつなぐWANサービスで、専用線などと比べて低コストという特徴を持ちます。

VLANのメリット

VLANのメリットにはどのようなものがあるのでしょうか。ブロードキャストドメインの分割、物理的な接続形態にとらわれないネットワークセグメントの作成、セキュリティの向上などが挙げられます。さらに、VLANは広域イーサネットに活用されており、安全な通信を実現できます。

ブロードキャストドメインを分割してトラフィックを削減

VLANを用いるメリットとして、ブロードキャストドメインを分割できることが挙げられます。ブロードキャストとはネットワーク内のすべてのホストに対してデータを送信することです。

その際に送られるブロードキャストフレームは、OSI参照モデルにおける物理層とデータリンク層の通信となり、L2スイッチやリピータやブリッジ、ハブで接続された範囲に送信されます。LANと同様の範囲であり、ネットワーク層に該当するルーターの先へは基本的に転送されません。

ブロードキャストドメインはその送信範囲を指します。ブロードキャストドメインを分割すると、ブロードキャストを用いるARPなどのプロトコルのデータが届く範囲が狭くなり、余計なトラフィックを削減できます。

たとえば2つのVLANに分けられている場合は、ブロードキャストフレームを受け取るホストの数は半減します。そのため、トラフィック量に加えて各ホストの余計なCPU処理も削減できます。

さらに、あるVLAN内でブロードキャストストームが発生した場合でも、他のVLANはその影響を受けないため帯域を圧迫されずにすみます。ブロードキャストストームとは、ブロードキャストフレームの送受信を無限に繰り返すことであり、ループがあるネットワーク内で発生します。

物理的な配置にとらわれずにネットワークを柔軟に構築・管理

VLANにより、物理的な配置にとらわれることなく、ネットワークをセグメント化できます。そのため、同じフロアのネットワークを分割するだけでなく、異なるフロアをつなぐ同一のネットワークを構築することもできます。たとえば、ビルの1階に営業部とマーケティング部、2階に営業部と技術部がある場合、1階と2階を結ぶスイッチを経由することで営業部をまとめたVLANを作成可能です。このセグメントでブロードキャストフレームを送信すると、両方の階にいる営業部のメンバーのみが受信します。このように、VLANによりフロアを気にすることなくセグメントを構築できます。

セグメントを作成すると、機器の配置が物理的に限定されなくなるため、ネットワークの構築や管理がより柔軟になります。そのため、新たにネットワークを構築しやすくなり、新規ネットワーク構築時のコストや面倒な変更作業の手間を削減できます。

アクセスを制限してセキュリティを向上

VLANによってネットワークを分割し、アクセスを制限することで情報漏えいの防止につながり、セキュリティが向上します。たとえば、社員の部署や立場に加えて、社員利用とゲスト利用、ネットワーク機器管理と一般利用などの用途に応じてアクセスできるネットワークを制限できます。特に、部署ごとに異なるセキュリティポリシーが適用されるケースもあり、VLANを用いてセグメントを分割すると、それぞれの部署で適切なセキュリティ対策を施せるようになります。

また、データの転送範囲を限定しているので、仮に不正な通信が生じてもその影響をセグメントの範囲内に抑えることが可能となります。ブロードキャストを用いて情報を収集するマルウェアの動きも制限できます。

VLANの種類

VLANにはいくつかの種類があります。それぞれVLANを実現する方法には違いがあり、特徴も異なっています。以下で各VLANの種類についてご紹介します。

ポートVLAN

ポートVLANでは、L2スイッチのポート単位でVLANの割り当てを行います。各ポートにVLAN IDを1対1で割り当て、1つのポートが複数のVLANに所属することはありません。L2スイッチのいずれのポートにつなぐかによって、接続できるVLANが変わります。そのため、シンプルでわかりやすいという特徴を持ちます。

VLAN IDが未設定の状態ではすべてのポートがデフォルトVLANに所属しており、デフォルトVLANではVLANを指定しない通信が流れます。VLAN IDには数字が割り当てられ、多くのL2スイッチでデフォルトVLANは1となっています。また、デフォルトVLANは管理VLANを兼ねているケースも多く、管理VLANではL2スイッチの設定・制御などの管理情報に関するトラフィックを通信します。

デメリットとして、複数のL2スイッチが所属するVLANを構築する場合、ポートの接続が複雑になることが挙げられます。それぞれのL2スイッチで同じVLAN IDのポート同⼠を接続する必要があり、VLANの数だけケーブルでL2スイッチをつなぐことになります。さらに、VLANの数やVLAN内にあるL2スイッチの台数が増えると、接続するケーブルが増えて管理が煩雑になるほか、L2スイッチのポートもいくつも必要になります。

ポートVLANのセグメントの概略

タグVLAN

タグVLANでは複数のVLANに所属するポート「トランクポート」を用いることで、ポートVLANのデメリットを解消しています。スイッチ間の接続に関しては、トランクポートをつなぐケーブルが1本あれば十分です。

通信の流れとしては、まずL2スイッチが送信元からデータを受け取り、VLANタグを付与します。その後、トランクポートの先にあるL2スイッチがタグを識別して転送し、宛先の近くにあるL2スイッチがVLANタグを外したうえでデータを届けます。なお、1つのVLANのみに所属するポートはアクセスポートと呼び、宛先・送信元とL2スイッチをつなぐポートが該当します。

また、通信する際はL2スイッチなどの機器がタグVLANに対応している必要があります。さらに、異なるVLAN間の通信が混ざらないように、スイッチ間でネイティブVLANのIDをそろえておきましょう。ネイティブVLANとは、VLANタグがないデータをトランクポートが受け取った際に転送するセグメントのことです。

タグVLANにおける通信の概略

マルチプルVLAN

ポートVLANとタグVLANを組み合わせることで、複数のセグメントに分割したネットワークを構築できます。しかし、ネットワーク構成が複雑になるうえ、VLANタグの読み取りが可能な高価なスイッチが必要となり、特に中小規模の事業者にとって管理・費用双方の面で負担が大きくなります。

それらの負担を削減する方法として、L2スイッチのアクセス制御機能であるマルチプルVLANが挙げられます。マルチプルVLANとは、ポートVLANにおいて特定のポートが複数のVLANに所属できるようにする仕組みです。このポートはマルチプルポートと呼ばれます。これにより、L2スイッチと通信するルーターやサーバーなどの機器がタグVLANに未対応であっても、手軽にVLANを実現できます。

MACベースVLAN

MACベースVLANでは、L2スイッチの設定から機器のMACアドレスに応じてVLANを割り当てます。そのため、機器がスイッチの別のポートに接続されても、MACアドレスで指定されたVLANの設定を維持します。さらに、接続先が別のスイッチとなった場合でも、VLANの設定が共有されている範囲内であれば、そのままVLANを利用できます。工事やケーブルの配線変更などにより、機器の設置場所を変えることが多いケースでMACベースVLANは適しています。

ユーザーベースVLAN（認証VLAN）

ユーザーベースVLAN（認証VLAN）では、ユーザーごとに利用できるVLANをあらかじめ設定します。ネットワーク接続時にユーザーが認証を行い、認証が通ればVLANを利用できます。スイッチのいずれのポートを用いても、認証されたユーザーのVLANを活用可能です。

認証方法としては、IDとパスワードによるWeb認証に加え、RADIUSやLDAPなどのプロトコルの活用も挙げられます。RADIUSやLDAPでは別途サーバ―を用いて、高セキュリティかつサーバーへの負荷を分散したユーザー認証が可能となっています。

サブネットベースVLAN

サブネットベースVLANでは、スイッチに接続する機器のIPアドレスによって、いずれのVLANに所属するかが変わります。接続するポートにかかわらず、機器に応じてVLANが決定するという点で、MACベースVLANと似ています。ただし、MACベースVLANでは機器を交換すると、MACアドレスが変わるため再度VLANの割り当てを設定する必要があります。サブネットベースVLANでは機器を入れ替えてもIPアドレスの変更がなければ、VLANの割り当ての再設定は不要であり、手間を削減して運用できます。

プロトコルベースVLAN

プロトコルベースVLANでは、使用しているプロトコルによってVLANを分割します。通信に用いるスイッチのポートが同一であっても、異なるプロトコルの通信であれば他のVLANの所属となります。また、通信のプロトコルが同じならばポートが異なっていても、同じVLANに該当します。

監視ツールで手軽にVLANの状況を把握

このようにVLANにはいくつもメリットがありますが、種類なども多いことからVLANの管理は大変でしょう。ネットワーク監視ツール「OpManager」を用いると、VLANごとに通信量などを一目で把握できます。VLANのインターフェースに関して、受信・送信別にトラフィック使用量やパケットのエラーレート、廃棄レートなどをグラフ形式で表示します。

VLANのインターフェースに関するグラフ

さらに、OpManagerでは各種ネットワーク機器の様々な項目を監視できます。スイッチの監視画面から各VLANのステータスなどの状況を一覧で確認することが可能です。

スイッチの監視画面

上記赤枠内の任意のVLANをクリックすると、VLANごとの詳細を閲覧できます。個々のインターフェースについて、管理ステータスとオペレーションステータス、物理アドレス（MACアドレス）などを確認可能です。管理ステータスとは事前に設定した各インターフェースのあるべき状態であり、オペレーションステータスは実際の状況を示します。

【関連】 ポート/インターフェースのステータスの仕様 | OpManager ナレッジベース

【関連】 インターフェースのステータス監視｜OpManager ユーザーガイド

また、VLAN帯域の推移を受信・送信別に確認することもできます。

VLANの監視画面

加えて、OpManagerではオプション機能として、スイッチポートマッパー（SPM）を利用できます。スイッチとそのスイッチにつながる装置間の接続性を示します。サマリでは、ポートの使用状況に加えて、ポートに紐づいているVLANの総数を確認できます。

スイッチポートマッパーのサマリ画面

ポートの項目では、ポートごとのより詳細な情報をリストで表示します。各ポートのVLAN IDを一覧で確認可能です。

ポートごとの詳細な情報を一覧で表示する画面

OpManagerの機能や特徴についてさらに知りたい方は、ぜひ 製品概要資料 をご覧ください。また、以下のとおり登録不要で操作できる体験サイトもご用意していますので、ぜひご活用ください。

インストール不要で操作できる体験サイト

ManageEngineのネットワーク監視ツール「OpManager」では、ツールの使用感を確認できるGUIベースのサイトを提供しております。制限はありますが、実際に操作いただくことも可能です。

インストールや設定は一切必要ないので、お気軽にお試しください。

今すぐ体験 ▶▶▶

関連するおすすめページ

• VLANをディスカバリする方法 | OpManager ナレッジベース
• インターフェースのステータス監視｜OpManager ユーザーガイド
• ポート/インターフェースのステータスの仕様 | OpManager ナレッジベース