Ether-Zone

Be a cool, Be a lazy

VLANとは

VLANとは

VLAN(Virtual LAN)は仮想的なセグメントを構築するための技術です.
イーサネットではスイッチなどのL2ネットワーク機器で接続されるデバイス間において,1つのデバイスが送信したブロードキャストが他のデバイスへ到達します.このブロードキャストが届く範囲のことをブロードキャストドメインといいます.VLANを利用するとこのブロードキャストドメインを分割できます.

目次

VLANの特徴

VLANを利用することで,次のようなメリットがあります.

  • 通信効率の向上
  • 柔軟な論理ネットワークの構成
  • セキュリティ強化

通信効率の向上

ネットワーク内のデバイスが通信するために,通信先がどこにいるか特定できない場合は,はじめにARPリクエストをブロードキャストする必要があります.VLANがないセグメントの場合,ブロードキャストはセグメント内のすべての通信先に送信されます.

VLANを利用することで,特定のVLANグループに所属するデバイスのみにフラッディングするようになります.無駄なフレームを受信しなくなり,CPUの負荷高騰やネットワーク帯域の圧迫といった影響を抑制し,ノード間の通信効率を向上できます.

柔軟な論理ネットワークの構成

VLANはLAN内の複数のスイッチにまたがって設定できます.LAN内のスイッチで共通のグループを設定することで,組織の物理的な構成を変更した場合でもVLANの設定変更で柔軟にセグメントを構成できます.

セキュリティ強化

VLANを構成したネットワークでは,通信できる範囲は同一のVLANグループのみに限定されます.L2レベルでネットワークを分離できるため,ネットワークセキュリティを強化できます.

VLANの基本動作

VLANはVLAN IDと呼ばれる番号で同じブロードキャストに属するスイッチポートの集合を定義できます.VLAN IDは1〜4094の範囲で使用されます.
複数のスイッチ間でVLANを構成する場合,スイッチ間を接続するポートはトランクポートで設定します.トランクポートは複数のVLAN IDを割り当ててVLANフレームを転送することができます.IEEE802.1Qではトランクポートで転送するフレームに付与するVLANタグが定義されています.
このVLANタグを利用してフレームを受信したスイッチはどのVLANへフレームを転送すべきかを判断します.トランクポートにより,VLANごとにスイッチ間を繋ぐケーブルを敷設する手間を省くことができます.VLANタグの構成要素には以下のようなものが含まれます.

  • TPID:0x8100で固定.
  • UP(User Priority):トラフィックを制御するための優先度を指定する.
  • CF(Canonical Format):0であれば正規フォーマットであることを示す.
  • VLAN ID:VLANのIDを指定(1~4094).

以下はIEEE802.1Qのフレーム構造です.

vlan_tag.png

スイッチに直接端末が接続されている場合など,接続先のVLANが1つに限定できる場合はアクセスポートを設定します.アクセスポートでは,VLANタグを付与しません.スイッチが内部で保持するVLANテーブルでVLAN IDとポートの関係性を参照して転送するかを判断します.この場合,アクセスポートの先でフレームを受信する相手は通常のイーサネットフレームを受信するのと同じ動作をします.

VLANの基本設定

VLANグループの設定

VLANを設定するには,まずVLANグループを作成します.VLAN_NAMEで任意のVLANグループ名を定義します.vlan-idでVLANグループに設定する任意のVLAN IDを定義します.

set vlans [VLAN_NAME] vlan-id [VLAN_ID]
set interfaces [INTERFACE_NAME] unit [UNIT_NUMBER] family ethernet-switching vlan members [VLAN_NAME]

ポートモードの設定

次の二つのポートモードを設定できます.

  • アクセスポート:ポートを1つのVLANだけに所属させる.
  • トランクポート:VLANタグにより複数のVLANフレームを扱えるようにする.

アクセスポートの設定

set interfaces [INTERFACE_NAME] unit [UNIT_NUMBER] family ethernet-switching port-mode access

タギングポートの設定

set interfaces [INTERFACE_NAME] unit [UNIT_NUMBER] family ethernet-switching port-mode trunk

VLAN IDが100で,VLAN100というVLANグループ名を設定する場合,次の通りとなります.設定したVLANグループをアクセスポートとしてインターフェースへ割り当てます.

set plans VLAN100 vlan-id 100
set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members VLAN100

VLANの確認

show vlansでVLANの設定内容を確認できます.