【ネットワーク初心者のための】「VLAN」とは

ネットワーク初心者向けに、VLANの基本概念、種類（ポートベースVLANとタグVLAN）、およびその利点や実際の利用例を説明しています。VLANを用いることで、物理的なネットワーク機器を効率的に活用し、セキュリティ強化やネットワーク分離を実現する方法を紹介しています。

はじめに

企業・団体のネットワークにおいてよく登場する「VLAN」ですが、ネットワークを初めて勉強される方にとってはなかなかイメージが掴みにくいかもしれません。
そこで、そんなネットワーク初心者の方向けに、VLANについて解説します。

VLANとは

VLANは「Virtual Local Area Network」の略です。
直訳すると「仮想のLAN」ですね。

まず、通常のLANについて考えてみましょう。
1つのネットワークを構築するときは、LANケーブルとレイヤ2スイッチやハブで、PCやサーバの間を繋ぎます。

ですが、場合によってはネットワークを分けたいこともあります。
学校を例にすれば、教員用のネットワークと子ども用のネットワークは分けたいです。
そうしなければ、子どもから成績情報などにアクセスされてしまうような事が考えられるためです。

このとき、通常のLANでは、物理的に配線や機器を分ける必要があります。

この構成は物理的に分離されていて安全なのですが、配線も機器も二重に必要になってしまい非効率です。
効率を高めるには、1個の物理的なネットワークを複数のネットワークで使いたいですね。

そんな思いを実現する技術がVLANです。

コンピュータの世界で「仮想」は1つの物理的なものを複数あるように見せかける技術を指したり、あるいはその逆を指したりします。
VLANも、「仮想」の言葉のように、1つの物理的なLANを、論理的に複数のLANへ分離させることができる技術です。
これにより、1個の物理的なLANで、ネットワーク分離を実現できます。

このとき、セグメント①、セグメント②というように各VLANをネットワーク機器が見分けるために使うのが「VLAN ID（VID）」です。
VIDは1～4094の数字を用いていて、「VLAN 10」というように記載します。

VIDの異なるVLANは論理的に分離されており、そのままではお互いの通信はできません。
次のように物理的につながっていないネットワークを論理的につながっていないネットワークに置き換えただけだからです。

上図のような物理分離の場合に対し、下図がVLANを利用した場合です。

このように一台の機器でネットワークを分離できるため、図では学校を例にしましたが、他にもネットワーク分離を行っている自治体や病院などでも有効です。
また、企業でも通常の社内ネットワークと各種機器用のネットワーク、検証用の機器のネットワークなどでネットワークを分けている場合に有効です。

もちろん、VLAN同士で通信できるようにすることも可能です。
このとき、物理的な分岐点はレイヤ2スイッチになっていますが、通信は一旦その上流に存在するレイヤ3スイッチやルータを経由します。

なぜ遠回りするのか疑問に思われるかもしれませんが、VLANはあくまで独立した2個のネットワークを物理的にまとめる技術です。
したがって、物理的に分離されていた頃と同じ経路で通信が流れると考えて頂ければ分かりやすいかと思います。

また、VLAN間にファイアウォールを設ければ、必要な通信だけVLAN同士を跨がせる事も可能です。
これにより、セキュリティ強化も可能です。

タグVLANとポートベースVLAN

「VLAN」と一口に言っても、様々な種類が存在しています。
それらすべてをこの記事で解説することは難しいので、今回は先ほどの説明図に登場する、2種類のVLANを紹介します。

ポートベースVLAN
タグVLAN

ポートベースVLAN

通常、ネットワーク機器の中でデータリンク層（レイヤ2）で動くスイッチは、同一セグメントの中でのフレームの中継に用いられます。

一方、先ほどのVLANの図では、1台のL2スイッチが2個のセグメントのフレームを中継しています。

これを実現するのがポートベースVLANです。
これはレイヤ2スイッチのLANポートごとにVLANを割り当てる仕組みです。

これにより、レイヤ2スイッチの台数を削減することができました。

タグVLAN

もう一度、先ほどのVLANの図を見てみましょう。
すると、1本のLANケーブルが2個のセグメントのフレームを中継しています。

先ほどのポートベースVLANでは、1個のLANポートには1個のVLANしか割り当てられませんでした。
ケーブルを削減するには、1個のLANポートで複数のVLANのフレームを扱ってもらう必要があります。
それを実現するのがタグVLANです。

タグVLANは、VLANのフレームにVLAN IDを書いた「タグ」をつけて、同じ配線に複数のVLANのフレームを流せるようにする仕組みです。

先ほどのポートベースVLANとタグVLANを組み合わせることで、1組のネットワーク機器で複数のネットワークを構築できるというわけです。

トランクポートとアクセスポート

前述のように、タグVLANでは1つのLANポートから複数のVLANのフレームが出てきます。
このように、複数のVLANに所属するポートを「トランクポート」と呼びます。

トランクポートは1本のLANケーブルで複数のVLANのフレームを流す必要がある時に用いられます。
先ほどの図ではレイヤ2スイッチとレイヤ3スイッチの間の接続で用いていました。

また、ネットワーク機器のメーカーによっては、このトランクポートに対して、個別の機器が接続するポートベースVLANのポートを「アクセスポート」と呼ぶこともあるようです。

無線LANにおけるVLAN

ここまでは有線LANを想定して解説してきましたが、無線LANでもVLANの技術を使うことができます。
分かりやすい例として、ゲスト用のWi-Fiを設けた場合のネットワークを図に起こしてみました。

この会社ではインターネット回線を一本契約していて、業務用のPCを有線LANと無線LANで使っています。
ゲスト用のWi-Fiを整備するとなったときに、VLAN対応の無線アクセスポイントを使うことで実現できます。

無線アクセスポイントをレイヤ2スイッチの代わりに用いるイメージなのですが、有線であればタグVLANとしてLANポートにVLANを割り当てていたところ、無線アクセスポイントのSSIDを業務用とゲスト用とで設定し、各SSIDにVLANを割り当てることで、無線LANの世界にVLANを持ち込むことが可能です。