VLAN 【Virtual LAN】 仮想LAN / バーチャルLAN
概要
VLAN(Virtual LAN)とは、一つの構内ネットワーク(LAN)内に、物理的な接続形態とは独立に機器の仮想的なグループを設定し、それぞれをあたかも一つのLANであるかのように運用する技術。LANスイッチ(スイッチングハブ)の機能の一つで、接続された機器を管理者の設定した任意の数のグループに分け、ネットワークを分割することができる。これにより、各機器はそれぞれのグループの範囲内でのみ直接通信できるようになり、ブロードキャストフレーム(宛先に全機器を指定したデータ)による回線の混雑を緩和することができる。
また、複数のスイッチにまたがる大規模なネットワークをVLANに分割することもでき、多数の機器を一つのフラットなネットワークに繋いで管理することができる。端末を使用する従業員の所属先に応じて参加するネットワークを切り替えるなど、物理的な配線に縛られずに柔軟にネットワークを構成・変更することができる。
人員の異動や機器の入れ替え、移転の際にも機器の配置や配線を気にすることなくVLANの設定を確認・変更するだけで済む。利用者は組織内の自分に無関係なネットワークへは直接接続できないようなるためセキュリティを向上させる効果もある。
ポートVLANとタグVLAN
最も単純な方式として、一台のLANスイッチのケーブル接続口(ポート)毎に、どのVLANに所属するか設定する「ポートVLAN」(ポートベースVLAN)がある。同じVLAN IDに設定されたポート同士が接続可能となる。
これに対し、イーサネットフレームの一部にVLANの識別番号(VLAN ID)を書き込み、同じVLAN IDを持つポート間に流通させるのが「タグVLAN」である。複数のスイッチ間でVLAN設定を共有することで、スイッチをまたいだ大規模なネットワークでVLANを構成することができる。フレームにタグを追加する方式はIEEE 802.1Qとして標準化され、ほとんどのメーカーの製品が対応している。
スタティックVLANとダイナミックVLAN
ポートごとに所属VLANが固定されている方式を「スタティックVLAN」と呼び、ポートに接続された機器の情報を元にVLANを決定する方式を「ダイナミックVLAN」という。
後者は機器が移動して接続先のポートが変わった場合でも、特に設定を変更すること無く適切な接続先に自動的に導いてくれる。接続した機器のMACアドレスによって識別する「MACベースVLAN」、IPアドレスによって識別する「サブネットベースVLAN」、利用者の認証情報によって識別する「ユーザベースVLAN」あるいは「認証VLAN」などの種類がある。
共有ボタンをタップ