VLANについてかなり詳しく説明してみた

プロモーションを含みます。
プロモーションを含みます。

結論から言うと、VLAN はネットワークを論理的に分割するネットワーク技術のことです。

もう少し詳しく説明していきます。

そもそも「LAN」とは

VLAN を知る前に、LAN とはどういうものかを改めて整理しておきましょう。

LANは「Local Area Network」の略称で「構内通信網」と訳されたりします。

LANは「建物内で複数のコンピュータが相互通信する限られた範囲のネットワーク」のことをいいます。

限られた範囲のネットワーク」は、「グループ」に置き換えると理解しやすいかもしれません。

LANは、建物内で複数のコンピュータが相互通信するグループ

「VLAN」とは

VLAN を簡単にいうと番号で識別されるグループのようなもののことです。

VLAN は、ネットワークを論理的に分割するために利用されます。

ネットワークの中に小さなネットワーク (サブネット) を作るというイメージです。

“VLAN” を直訳した「仮想的なLAN」という言葉から理解しようとすると、イメージしづらくなります。

VLAN について、もう少し詳しくみていきましょう。

VLAN という用語は、Virtual の「V」と、Local Area Network の略称である「LAN」を組み合わせたネットワーク用語です。

  • バーチャルの意味は「仮想」。仮想とは「実際には、そうではないが、実質的にそうであるとみなせるもの」
  • ローカルエリアネットワークの意味は、「建物内で複数のコンピュータが相互通信する限られた範囲のネットワーク」

組み合わせると「実際にはないが、建物内で複数のコンピュータが相互通信する限られた範囲のネットワークと実質的にみなせるも」となります。

VLANは複数のコンピュータが相互通信する論理グループ

家で例えると、「リビング」「寝室」「自分の部屋」があるとします。

VLAN は家全体に対して「リビング内だけ」や「寝室内だけ」「自分の部屋だけ」という風に考えると良いでしょう。

VLANの実態

では、VLAN の実態は、一体どういうものなのでしょうか。

VLAN の「限られた範囲のネットワーク」という意味は、実際には「ネットワークセグメント」と呼ばれています。

セグメントは、「区画」を意味します

ネットワークセグメント」は、例えば、会社内の部署「総務部」や「人事部」、学校でいえば「職員室」や「パソコン教室」、家庭でいえば「リビング」や「自分の部屋」というような、分割された部屋のようなもののことを指します。

ネットワークセグメント」をもっと具体的に言うと「ネットワークアドレス」になります。

「ネットワークセグメント」と「ネットワークアドレス」は、ほぼ同義です

例えば、「総務部」と「人事部」のネットワークアドレスが以下だとします。

総務部のネットワークアドレス
172.16.10.0/24

人事部のネットワークアドレス
172.16.20.0/24

VLAN は、このネットワークアドレスに「VLAN番号」を割当てるという思考をもって設計します。

VLAN番号は、スイッチングHUB (以下、スイッチ) のポートごとに設定することができます。

VLAN番号は「VLAN ID」とも呼ばれます

後から見てもすぐネットワークアドレスが想像できるように、例えば以下のように VLAN番号を割当てます。

総務部のVLAN ID
VLAN 10

人事部 のVLAN ID
VLAN 20

VLAN ID は12ビット (2^12乗=4096)
そのため全体範囲は「0~4095」です。
その中でも、実際に利用できるVLAN番号は「1~4094」となります。

このように設定した後に、総務部のPCを「VLAN10」に所属させ、人事部のPCを「VLAN20」に所属させれば、VLANネットワーク構築が完了です。

では、どうやって PC を VLAN に所属させるのかというと、具体的には以下の2項を実施します。

総務部のPC
項1. IPアドレスを「172.16.10.1~172.16.10.254」の範囲で設定する
項2.「VLAN10」が設定されたスイッチポートに接続する

PC名IPアドレス備考
総務部PC1172.16.10.1VLAN10設定済みポートへ接続
総務部PC2172.16.10.2VLAN10設定済みポートへ接続
総務部PC3172.16.10.3VLAN10設定済みポートへ接続
・・・・・・・・・

人事部のPC
項1. IPアドレスを「172.16.20.1~172.16.20.254」の範囲で設定する
項2.「VLAN20」が設定されたスイッチポートに接続する

PC名IPアドレス備考
人事部PC1172.16.20.1VLAN20設定済みポートへ接続
人事部PC2172.16.20.2VLAN20設定済みポートへ接続
人事部PC3172.16.20.3VLAN20設定済みポートへ接続
・・・・・・・・・

VLANを利用するメリット

VLANを利用しない場合のネットワーク構成

VLAN を利用しない場合、ネットワークを2つに分割するためには、2台のスイッチが必要になります。

今回の目的

VLANを使用せずに、会社内の「総務部」と「人事部」のネットワークを分離したい。

※ 今回の例では、ルータに適切な設定をしたうえで、スイッチを2台用意します。

機器構成

ルータ (port1) - スイッチA (総務部PC接続用)
  〃   (port2) - スイッチB (人事部PC接続用)

ネットワークセグメント

総務部セグメント 172.16.10.0/24
人事部セグメント 172.16.20.0/24

ルータのルーティングテーブル例

ip route 172.16.10.0 255.255.255.0  port1
ip route 172.16.20.0 255.255.255.0  port2

複数台のスイッチを利用したネットワーク構成例

「ルータ」のポート1には、「スイッチA」が接続されています。
「ルータ」のポート2には、「スイッチB」が接続されています。

「総務部のPC」は「スイッチA」に接続されています。
「人事部のPC」は「スイッチB」に接続されています。

クリックで拡大

このようなネットワーク構成にすることで、「総務部」と「人事部」のネットワークを分割することができます。

補足情報1
ルータのルーティングテーブル (各ネットワークセグメントへの経路情報) には、「総務部のネットワークセグメント」と「人事部のネットワークセグメント」への道筋が書かれているので、PC から届いたデータをどこに転送するかが分かっています。

ルーティングテーブルに経路情報が書かれていない場合、PC から届いたデータをどこに転送するのかが分からず、データを転送することができません。

補足情報2
・同じネットワーク内の PC 同士は、ルータを介さず通信が可能
・別のネットワーク上にある PC とは、ルータを介さないと通信ができない
・ルータは「各ネットワークとの架け橋」になっている

今回の VLAN を利用しない構成では、2つのネットワークに分割するために2台のスイッチが必要でした。

もし、ネットワークセグメントが「10個」ある場合、スイッチの台数も「10台」必要になります。

VLANを利用したネットワーク構成

VLAN を利用しない場合、「総務部」と「人事部」のネットワークを分割するにはスイッチが2台必要となりましたが、VLAN を利用するとスイッチ1台で済ますことができます。

参考情報
VLAN によって分割されたネットワークのことを「ブロードキャストドメイン」といいます。

ここでいうブロードキャストは「全員にばらまく」や「すべての相手に一斉送信する」という意味です。

ここでいうドメインは「領域・範囲」という意味です。

例えば、選挙演説で立候補者がメガホンを使って、その場にいる人達に演説するというようなイメージです。または、教室で先生が、学生全員に授業をしているというようなイメージです。

どちらも個人から、その限定した空間内の全員に、同じ内容を一斉に伝えています。

今回の VLAN を利用したネットワーク構成例では「8ポートスイッチ」を利用するとします。

PC が接続できるポートが8つあります。

8ポートスイッチ

例えば、PC やルータなどの機器を以下のようにスイッチポートに接続します。

ポート 1~3: 総務部の PC を接続
ポート 4~6: 人事部の PC を接続
ポート 8: ルータを接続

例えば、VLAN を以下のようにスイッチに設定します。

・ポート 1~3: VLAN 10 を設定
・ポート 4~6: VLAN 20 を設定

実際のスイッチには、以下のようなコンフィグが設定されています。

interface GigabitEthernet 0/1
description SohmuPC
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet 0/2
description SohmuPC
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet 0/3
description SohmuPC
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet 0/4
description JinjiPC
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet 0/5
description JinjiPC
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet 0/6
description JinjiPC
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet 0/7
switchport mode access
!
interface GigabitEthernet 0/8
description Router
switchport mode trunk
!
interface GigabitEthernet
 スイッチの物理ポート番号を表します。

switchport access vlan
 スイッチポートに設定されているVLANを表します。

description
 そのスイッチポートの用途説明です。
 人間に分かりやすいようにするために書くもので、スイッチの動作に影響はありません。

このように、各スイッチポートにVLANを設定し、PCを適切なスイッチポートに接続することで、

総務部のPC」は、「VLAN 10」に所属
人事部のPC」は、「VLAN 20」に所属

させることができます。

クリックで拡大

結果、スイッチ1台でも、ネットワークを分割することができました。

まとめ

LAN を簡単にいうと「建物内で複数のコンピュータが相互通信するグループ」のこと。

VLAN を簡単にいうと「番号で識別される論理グループ」のこと。

VLAN は、ネットワークアドレスに「VLAN番号」を割当てるという思考をもって設計する。

VLAN を利用することで、スイッチポートごとにネットワークセグメントを割り当てることができるため、用意するスイッチの数を減らすことができる。

VLAN を利用するとスイッチの物理な配置を考えなくていいため、階をまたがったネットワークセグメントを構築するなど、柔軟なネットワーク設計ができる。

この記事を書いた人
TerraYuuki

ITインフラエンジニアのアウトプットブログ。仕事や資格勉強などを通じて得たIT技術やWindows Tips、ガジェットレビュー記事を主に書いています。

written by Terra Yuuki
PR
ネットワーク
てこエンジニアブログ