VLANについてかなり詳しく説明してみた(初心者向け)

プロモーションを含みます
プロモーションを含みます
2022.10.28

VLAN はネットワークを論理的に分割するネットワーク技術のことです。

同じ VLAN 機器同士の通信を可能にします。

もう少し詳しく説明していきます。

そもそも「LAN」とは

LANは、物理的に接続されたネットワークグループのことです。

もう少し詳しい言い方をすると、LANは「建物内で複数のコンピュータが相互通信する限られた範囲のネットワーク」のことです。

「Local Area Network」の略称で「構内通信網」と訳されたりします。

LANは、建物内で複数のコンピュータが相互通信するグループ

「VLAN」とは

VLAN は、その名の通り「仮想的なLAN」のことです。

もう少し詳しい言い方をすると、VLANは「番号で識別される論理的なネットワークグループ」のことです。

VLAN は、「階をまたがるグループ」「部屋をまたがるグループ」のように、物理的な設置環境にとらわれず論理的にグループを作成することができます。

VLAN は、スイッチに接続されたホストをいくつかのグループに分けるために利用されます。

VLAN は、大きいネットワークの中に仮想的に小さなネットワーク (サブネットやセグメントと呼ばれる) を作ります。

LAN という用語は、Virtual の「V」と、Local Area Network の略称である「LAN」を組み合わせたネットワーク用語です。

  • バーチャルの意味は「仮想」。仮想とは「実際には、そうではないが、実質的にそうであるとみなせるもの」
  • ローカルエリアネットワークの意味は、「建物内で複数のコンピュータが相互通信する限られた範囲のネットワーク」

組み合わせると「実際にはないが、建物内で複数のコンピュータが相互通信する限られた範囲のネットワークと実質的にみなせるもの」となります。

「家」を大きなネットワークとして例えると、VLAN は、「リビング」や「寝室」「自分の部屋」という小さなネットワークを作るという風に考えると良いでしょう。

VLANの実態

では、VLAN の実態は一体どういうものなのでしょうか。

VLAN の「限られた範囲のネットワーク」という意味は、実際には「ネットワークセグメント」と呼ばれています。

セグメントは、「区画」を意味します

ネットワークセグメント」は、例えば、会社内の部署「総務部」や「人事部」、学校でいえば「職員室」や「パソコン教室」、家庭でいえば「リビング」や「自分の部屋」というような、分割された部屋のようなもののことを指します。

ネットワークセグメント」をもっと具体的に言うと「ネットワークアドレス」になります。

「ネットワークセグメント」と「ネットワークアドレス」は、ほぼ同義です

例えば、「総務部」と「人事部」のネットワークアドレスが以下だとします。

総務部のネットワークアドレス
172.16.10.0/24

人事部のネットワークアドレス
172.16.20.0/24

VLAN は、このネットワークアドレスに「VLAN番号」を割当てるという思考をもって設計します。

VLAN番号は、スイッチングHUB (以下、スイッチ) のポートごとに設定することができます。

VLAN番号は「VLAN ID」とも呼ばれます

後から見てもすぐネットワークアドレスが想像できるように、例えば以下のように VLAN番号を割当てます。

総務部のVLAN ID
VLAN 10

人事部 のVLAN ID
VLAN 20

VLAN ID は12ビット (2^12乗=4096)
そのため全体範囲は「0~4095」です。
その中でも、実際に利用できるVLAN番号は「1~4094」となります。

このように設定した後に、総務部のPCを「VLAN10」に所属させ、人事部のPCを「VLAN20」に所属させれば、VLANネットワーク構築が完了です。

では、どうやって PC を VLAN に所属させるのかというと、具体的には以下の2項を実施します。

総務部のPC
項1. IPアドレスを「172.16.10.1~172.16.10.254」の範囲で設定する
項2.「VLAN10」が設定されたスイッチポートに接続する

PC名IPアドレス備考
総務部PC1172.16.10.1VLAN10設定済みポートへ接続
総務部PC2172.16.10.2VLAN10設定済みポートへ接続
総務部PC3172.16.10.3VLAN10設定済みポートへ接続
・・・・・・・・・

人事部のPC
項1. IPアドレスを「172.16.20.1~172.16.20.254」の範囲で設定する
項2.「VLAN20」が設定されたスイッチポートに接続する

PC名IPアドレス備考
人事部PC1172.16.20.1VLAN20設定済みポートへ接続
人事部PC2172.16.20.2VLAN20設定済みポートへ接続
人事部PC3172.16.20.3VLAN20設定済みポートへ接続
・・・・・・・・・

VLANを利用するメリット

VLANを利用しない場合のネットワーク構成

VLAN を利用しない場合、ネットワークを2つに分割するためには、2台のスイッチが必要になります。

今回の目的

VLANを使用せずに、会社内の「総務部」と「人事部」のネットワークを分離したい。

※ 今回の例では、ルータに適切な設定をしたうえで、スイッチを2台用意します。

機器構成

ルータ (port1) - スイッチA (総務部PC接続用)
  〃   (port2) - スイッチB (人事部PC接続用)

ネットワークセグメント

総務部セグメント 172.16.10.0/24
人事部セグメント 172.16.20.0/24

ルータのルーティングテーブル例

ip route 172.16.10.0 255.255.255.0  port1
ip route 172.16.20.0 255.255.255.0  port2

複数台のスイッチを利用したネットワーク構成例

「ルータ」のポート1には、「スイッチA」が接続されています。
「ルータ」のポート2には、「スイッチB」が接続されています。

「総務部のPC」は「スイッチA」に接続されています。
「人事部のPC」は「スイッチB」に接続されています。

このようなネットワーク構成にすることで、「総務部」と「人事部」のネットワークを分割することができます。

補足情報1
ルータのルーティングテーブル (各ネットワークセグメントへの経路情報) には、「総務部のネットワークセグメント」と「人事部のネットワークセグメント」への道筋が書かれているので、PC から届いたデータをどこに転送するかが分かっています。

ルーティングテーブルに経路情報が書かれていない場合、PC から届いたデータをどこに転送するのかが分からず、データを転送することができません。

補足情報2
・同じネットワーク内の PC 同士は、ルータを介さず通信が可能
・別のネットワーク上にある PC とは、ルータを介さないと通信ができない
・ルータは「各ネットワークとの架け橋」になっている

今回の VLAN を利用しない構成では、2つのネットワークに分割するために2台のスイッチが必要でした。

もし、ネットワークセグメントが「10個」ある場合、スイッチの台数も「10台」必要になります。

VLANを利用したネットワーク構成

VLAN を利用しない場合、「総務部」と「人事部」のネットワークを分割するにはスイッチが2台必要となりましたが、VLAN を利用するとスイッチ1台で済ますことができます。

参考情報
VLAN によって分割されたネットワークのことを「ブロードキャストドメイン」といいます。

ここでいうブロードキャストは「全員にばらまく」や「すべての相手に一斉送信する」という意味です。

ここでいうドメインは「領域・範囲」という意味です。

例えば、選挙演説で立候補者がメガホンを使って、その場にいる人達に演説するというようなイメージです。または、教室で先生が、学生全員に授業をしているというようなイメージです。

どちらも個人から、その限定した空間内の全員に、同じ内容を一斉に伝えています。

今回の VLAN を利用したネットワーク構成例では「8ポートスイッチ」を利用するとします。

PC が接続できるポートが8つあります。

8ポートスイッチ

例えば、PC やルータなどの機器を以下のようにスイッチポートに接続します。

ポート 1~3: 総務部の PC を接続
ポート 4~6: 人事部の PC を接続
ポート 8: ルータを接続

例えば、VLAN を以下のようにスイッチに設定します。

・ポート 1~3: VLAN 10 を設定
・ポート 4~6: VLAN 20 を設定

実際のスイッチには、以下のようなコンフィグが設定されています。

interface GigabitEthernet 0/1
description SohmuPC
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet 0/2
description SohmuPC
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet 0/3
description SohmuPC
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet 0/4
description JinjiPC
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet 0/5
description JinjiPC
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet 0/6
description JinjiPC
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet 0/7
switchport mode access
!
interface GigabitEthernet 0/8
description Router
switchport mode trunk
!
interface GigabitEthernet
 スイッチの物理ポート番号を表します。

switchport access vlan
 スイッチポートに設定されているVLANを表します。

description
 そのスイッチポートの用途説明です。
 人間に分かりやすいようにするために書くもので、スイッチの動作に影響はありません。

このように、各スイッチポートにVLANを設定し、PCを適切なスイッチポートに接続することで、

総務部のPC」は、「VLAN 10」に所属
人事部のPC」は、「VLAN 20」に所属

させることができます。

結果、スイッチ1台でも、ネットワークを分割することができました。

まとめ

LAN を簡単にいうと「建物内で複数のコンピュータが相互通信するグループ」のこと。

VLAN を簡単にいうと「番号で識別される論理グループ」のこと。

VLAN は、ネットワークアドレスに「VLAN番号」を割当てるという思考をもって設計する。

VLAN を利用することで、スイッチポートごとにネットワークセグメントを割り当てることができるため、用意するスイッチの数を減らすことができる。

VLAN を利用するとスイッチの物理な配置を考えなくていいため、階をまたがったネットワークセグメントを構築するなど、柔軟なネットワーク設計ができる。

ネットワークがよくわかる教科書
ネットワークがよくわかる教科書
SBクリエイティブ
Amazon
楽天
タイトルとURLをコピーしました