読み方 : ネイティブブイラン
ネイティブVLAN【native VLAN】
ネイティブVLANとは?
タグVLANでは、イーサネットフレームのヘッダに32ビットの「VLANタグ」を挿入することで、フレームがどのVLANに属するかを識別する。複数のVLANのトラフィックを1本の回線に束ねて流すトランクリンクでは、各フレームにこのタグが付加されるのが基本である。このとき、何らかの事情でタグが付与されていないフレームが便宜的に所属するVLANがネイティブVLANである。
ネイティブVLANが設けられた背景には、機器間の互換性維持がある。VLANに対応していない古い機器はタグを解釈できないため、タグなしのまま通信できる仕組みが必要であった。ネイティブVLANを設定しておけば、そうした機器からのフレームも指定したVLANの通信として正しく転送できる。また、スイッチ間で制御情報を交換する管理用ネットワークとして利用されることも多い。
送信時も同じ原則が適用される。ネイティブVLANに属するフレームをトランクポートから送出する際、スイッチはタグを付けずにそのまま転送する。そのため、接続する機器同士でネイティブVLANの番号を一致させておく必要がある。番号がずれると、タグなしフレームが意図しないVLANに流れ込む「VLANミスマッチ」が生じ、通信障害の原因となる。
セキュリティ面では、VLAN 1をデフォルトのまま運用することへの懸念がある。VLAN 1はスイッチの管理通信にも使われるケースが多く、攻撃者がタグなしフレームを悪用して管理ネットワークへ侵入する「VLANホッピング」のリスクがある。対策として、ネイティブVLANをVLAN 1以外の番号に変更するか、ネイティブVLANにもタグを強制付与する設定が推奨されている。
共有ボタンをタップ