VLANとは?
種類の特徴や導入のメリットなどを解説
公開:2024年1月31日
ネットワークを構築するうえで欠かせない技術となっているVLAN。多くの企業が利用する技術ですが、VLANの種類やメリットなどの詳細までは把握できていないケースも多いと思います。
この記事では、VLANの概要やメリット、種類、実装時の注意点など、VLANの基本となる情報をまとめています。
目次
1. 「VLAN」とは?
「VLAN」とは「Virtual Local Area Network」の略で、仮想的なLANセグメントを構築する技術です。
物理的なLANで機器同士を接続していくと、ネットワークの数に合わせてルーターやスイッチ、LANケーブルなどのハードウェアが必要になります。一方、VLANを活用すれば、一つの物理的なネットワーク環境のうえにいくつもの仮想的なネットワーク環境を構築できるようになります。
1.1. VLANと広域イーサネットの違いとは
「広域イーサネット」とは、複数の離れた拠点のLANをつなぐWANサービスです。広域イーサネットはOSI参照モデルのレイヤ2(L2)で通信をおこなうサービスで、通信の仕組みのなかにVLANが利用されています。
つまり、VLANは「広域イーサネットを実現する技術の一つとして用いられている」と認識しておくとよいでしょう。
広域イーサネットについては以下の記事で詳しく解説しています。
2. 「ブロードキャストドメイン」とは
よくVLANとともに取り上げられる言葉に「ブロードキャストドメイン」があります。
まず「ブロードキャスト」とは、同じネットワーク内にいる機器全体と通信することを指します。機器のIPアドレスやMACアドレスを解決するARPなど、さまざまな用途に利用されています。
このブロードキャストが送られる範囲を「ブロードキャストドメイン」と呼びます。
そして、VLANを用いることでブロードキャストドメインを分割できるようになります。そもそも「なぜ分割する必要があるのか」については、次項にて説明いたします。
2.1. ブロードキャストドメインを分割する理由とメリット
先述した通り、ブロードキャストはさまざまなネットワークサービスを利用するために欠かせない通信です。しかし、ドメイン内のすべての機器にデータを送る性質上、トラフィックの増加やループなどのトラブルにつながる可能性があります。
VLANを用いて適切な範囲でブロードキャストドメインを分割すれば、そのようなトラブルを防止できることに加え、無駄なデータの送受信を削減でき、ネットワークや各機器の負荷を軽減できます。こうした理由から、VLANが活用されています。
3. VLANを導入するメリットとは
VLANにはその他にも多くのメリットがあります。主なメリットを3つご紹介します。
3.1. ネットワークの構築や管理がより柔軟になる
VLANは仮想化技術なので、ネットワーク機器の物理配置にとらわれずにネットワークを構築することが可能になります。
例えば、営業部と品質管理部でネットワークを分けたい場合、物理的にネットワークを構築しようとすれば営業部用と品質管理部用それぞれにネットワーク機器の用意が必要です。一方、VLANであれば営業部と品質管理部でネットワーク機器を共有でき、柔軟なネットワークの構築と管理ができるようになります。
3.2. ネットワークセキュリティが向上する
VLANではブロードキャストドメインが分割できるほか、VLANごとにトラフィック量や通信範囲、通信内容などを制御できます。そのため、機密情報を扱うネットワークをVLANを用いて他の業務用ネットワークと分離してアクセスできる機器を制限するなど、ネットワークセキュリティを向上させることができます。
3.3. トラフィック量の減少につながる
VLANでブロードキャストドメインを分割すると不要なデータの送受信が減るため、トラフィックの減少につながります。
またブロードキャストドメインが分割されていれば、データが無限に転送され続けてしまい障害の原因となる「ネットワークループ」が発生した際にも、ブロードキャストドメイン外には影響をもたらさずに済むため、ネットワークの安定運用にもつながります。
4. VLANの種類と特徴
VLANのなかにもいくつかの種類があり、もっている機能や特徴がそれぞれ異なります。ここではVLANの種類と特徴を見ていきましょう。
4.1. ポートベースVLAN
「ポートベースVLAN」はネットワーク機器のポート単位で一つのVLANを割り当てるVLANです。最も一般的なVLANであり、クライアント端末向けのLANケーブルごとにどのネットワークかを決めたい場合に利用されます。
4.2. タグベースVLAN
「タグベースVLAN」は、送受信するデータのフレームにタグを付与し、同じポートに複数のVLANを割り当ててもどのVLANのデータかを識別できるようにしたVLANです。主に複数のVLANを通すネットワーク機器間での通信に利用されます。大規模なネットワークでは、VLANタグを二重に付与する「二重タギング」と呼ばれる技術も利用されます。
4.3. MACベースVLAN
「MACベースVLAN」は、機器に割り振られた一意の値であるMACアドレスによって、割り当てるネットワークを決定するVLANです。特定の機器とのみデータの受け渡しをしたい場合など、一部の機器に対して任意のVLANを割り当てる際に利用されます。
4.4. ユーザーベースVLAN
「ユーザーベースVLAN」は、割り当てるネットワークを認証したユーザーごとに決定するVLANです。ネットワークの利用にはユーザー認証が必要になるため、RADIUSやLDAPなどユーザー認証を実現する仕組みを事前に用意しておく必要があります。
4.5. サブネットベースVLAN
「サブネットベースVLAN」は、割り当てるネットワークを機器のIPアドレスごとに決定するVLANです。MACベースVLANでは機器の入れ替えごとに設定の変更が必要になりますが、サブネットベースVLANでは機器のIPが変わらなければ変更が不要というメリットがあります。
5. VLANへの攻撃例と注意すべきポイント
続いて、VLANを実装しているネットワークへの攻撃例と対策方法を解説します。
5.1. VLANホッピング
「VLANホッピング」とは、本来アクセスできないVLANに対して不正にアクセスする攻撃です。VLANホッピングを悪用されると、機密情報を扱うネットワークに不正にアクセスされるなどの被害が発生する可能性があります。
VLANホッピングを防ぐためには、DTPと呼ばれるアクセスポート/トランクポートを自動で決定する機能を無効化する、VLANのACLなどで通信を制御する、定期的に不要なVLANを削除するなどの対策が有効です。
5.2. VLAN二重タギング(ダブルタグ)
「VLAN二重タギング攻撃」とは、VLANタグを二重に付与できる性質を悪用し、他のVLANネットワークに不正なデータを送りつける攻撃です。主に「ネイティブVLAN」と呼ばれるタグなしのデータがデフォルトで利用するVLANタグを悪用しておこなわれます。
対策としては、ネイティブVLANを初期値の1から別のVLAN IDに変更しておくことが挙げられます。
6. QT PROのVLANサービスで拠点間の通信を快適に
日頃何気なく利用しているVLANにも、さまざまな種類や攻撃のリスクがあります。VLANを上手に活用するためにはVLANの基本知識をおさえ、セキュリティを担保しつつ使い分けをおこなう必要があります。
QT PROでは、複数の拠点間をつなぐ広域イーサネットサービス「QT PRO VLAN」を提供しています。QT PRO VLANは高セキュリティかつ低コストで、VLANの特徴を活かした柔軟なネットワークを実現するサービスです。複数の拠点をまたぐネットワーク構築の際には、ぜひQT PRO VLANの導入をご検討ください。
7. まとめ
VLANは、ネットワークの構築や運用に関わる方にとって欠かせない知識です。VLANを上手に活用できれば、高セキュリティ・低トラフィックなネットワークを柔軟に構築できます。
この記事で解説した内容を参考に、社内のネットワーク構成をぜひ見直してみましょう。
