VLANの仕組み

Table of Contents

1 VLANの仕組みの概要
2 VLANの識別
3 VLAN設定時のイーサネットフレームの転送

VLANの仕組みの概要

VLANの仕組み自体は極めてシンプルです。通常のレイヤ2スイッチはすべてのポート間でのイーサネットフレームの転送が可能です。それがVLANによって、

「同じVLANに割り当てているポート間でのみイーサネットフレームを転送する」

ように制限しています。同じVLANのポート間だけでしかイーサネットフレームを転送しないようにすることで、ブロードキャストドメイン、すなわちネットワークを分割します。

VLANの仕組みのポイント

VLANの仕組みはとてもシンプル！「同じVLANに割り当てているポート間でのみイーサネットフレームを転送する」ことで、ネットワークを分割します。

VLANの識別

VLANはVLAN番号で識別します。VLAN番号は、1～4094の間です。そして、TCP/IPのネットワークはネットワークアドレスで識別します。VLANによってネットワークを分割するときには、VLAN番号とネットワークアドレスの対応を考える必要があります。VLAN番号とネットワークアドレスの対応をわかりやすくするためには、多くの場合、VLAN番号をネットワークアドレスの一部に組み込みます。たとえば、VLAN10であれば192.168.10.0/24のネットワークアドレスに対応づけます。これは、ネットワークアドレスの3オクテット目にVLAN番号を組み込んで、VLANとネットワークアドレスの対応をわかりやすくしている例です。

ただ、IPアドレスで利用する数値の範囲は0～255のため、VLAN番号によっては必ずしもネットワークアドレスに組み込みことができません。そのような場合でも、VLAN番号とネットワークアドレスの対応をわかりやすくするということはとても重要です。VLAN番号とネットワークアドレスの対応に一貫したポリシーがなければ、わかりにくいネットワーク構成となってしまいます。そして、わかりにくいネットワーク構成はトラブルのもとです。

VLAN設定時のイーサネットフレームの転送

レイヤ2スイッチでVLANを設定しているときのイーサネットフレームの転送について考えていきます。まずは、話をシンプルにするために1台のスイッチでのみ考えます。

以下の図は、1台のレイヤ2スイッチでVLANを利用した構成例を表しています。レイヤ2スイッチでVLAN10とVLAN20を作成し、ポート1とポート2をVLAN10に割り当てています。また、ポート3とポート4はVLAN20に割り当てています。

こうしてVLANを設定していると、MACアドレステーブルにはポートとMACアドレスだけではなくVLANの情報も一緒に管理することになります。PC Aからブロードキャストフレームが送信されると、レイヤ2スイッチのポート1で受信します。イーサネットフレームの転送先を判断するために、受信ポートと同じVLAN10のMACアドレスを参照します。ブロードキャストMACアドレスの場合、MACアドレステーブルには登録されていません。その場合はフラッディングされることになりますが、転送先ポートは同じVLAN10のポートのみです。つまり、レイヤ2スイッチはポート1で受信したブロードキャストフレームをポート2だけにフラッディングします。

Notice

上記のVLANの仕組みでは、ブロードキャストフレームについて解説しています。他のWebサイトや書籍などのいろんなVLANの解説でも、ブロードキャストフレームをどう転送するかということについて、フォーカスしているでしょう。でも、ブロードキャストフレームだけが対象ではないので勘違いしないでください。ユニキャストフレームでも、マルチキャストフレームでも、ブロードキャストフレームでも「同じVLANのポート間でのみイーサネットフレームを転送する」ことがVLANの仕組みです。

VLANについてわかりやすく考えると、レイヤ2スイッチを仮想的に分割するということです。さきほどの例では、VLAN10とVLAN20の2つのVLANを考えています。すると、1台のレイヤ2スイッチは仮想的に2台のスイッチとして扱うことができます。分割されたVLANごとのスイッチのポートは設定次第で自由に決められます。また、VLANごとのスイッチ間は接続されていないので、ネットワークを分割してVLAN間のイーサネットフレームの転送を分離しています。VLANによってセキュリティが高まるというのは、データ(イーサネットフレーム)が転送される範囲が限定されることを意味しています。