L2スイッチのVLAN設定とは？仕組みと使い方を解説！（仮想LAN・タグVLAN・L3スイッチとの連携・設定方法など）

L2スイッチの機能の中でも、特に重要度が高いのが「VLAN（仮想LAN）」の設定です。

VLANを正しく理解することで、部門ごとのネットワーク分離やセキュリティ強化、トラフィック管理の効率化が実現できます。

しかし「タグVLANとアクセスVLANの違いは？」「L3スイッチとどう連携するの？」と疑問を感じる方も多いでしょう。

本記事では、L2スイッチのVLAN設定の仕組みから実践的な設定方法、L3スイッチとの連携までをわかりやすく解説していきます。

VLANとは？物理構成に縛られない仮想ネットワーク

それではまず、VLANの基本的な概念と目的について解説していきます。

VLAN（Virtual LAN：仮想LAN）とは、物理的なケーブル接続に関わらず、論理的にネットワークを分割する技術です。

たとえば1台のL2スイッチに営業部と技術部のPCが混在していても、VLANを設定することで両者の通信を分離できます。

VLANを使わない場合、同一スイッチに接続した全デバイスが同じブロードキャストドメインに属するため、不要なブロードキャストが全デバイスに届いてしまいます。

VLANによってブロードキャストドメインを分割することで、不要なトラフィックの削減・セキュリティの向上・ネットワーク管理の効率化の三つが同時に実現します。

VLANは設計の自由度が高く、フロアや建物をまたいだ論理グループの形成も可能です。

異なるフロアのPCを同一VLANにまとめたり、同一フロアのPCを異なるVLANに振り分けたりと、物理レイアウトに縛られないネットワーク設計ができます。

VLAN IDの割り当て方と設計の考え方

VLAN設計の第一歩は、用途に応じたVLAN IDの割り当てを計画することです。

一般的な割り当て例として、管理用VLAN（VLAN 1は避けてVLAN 10など）、社員PC用VLAN（VLAN 20・30など部門別）、プリンター・IoT機器用VLAN、ゲスト用Wi-Fi VLAN（VLAN 100など）といった形で用途ごとに分けるアプローチが使われます。

VLAN 1（デフォルトVLAN）は設定変更なしでも全ポートが所属するため、セキュリティの観点からVLAN 1を通常トラフィックに使用しない「VLAN 1除外の原則」が推奨されます。

番号体系は規則性を持たせると管理が楽になり、拡張時に追加しやすい設計になります。

VLAN設計は後から変更が難しい場合も多いため、初期段階で十分な検討を行うことが重要です。

アクセスVLANとタグVLANの仕組み

VLANの設定を理解するうえで、「アクセスVLAN（アクセスポート）」と「タグVLAN（トランクポート）」の違いを正確に把握しておきましょう。

アクセスポートはエンドデバイスが接続するポートであり、単一のVLANに所属し、フレームにVLANタグは付与されません。

接続デバイス（PC・プリンターなど）はVLANの存在を意識せずに通常通り通信します。

タグVLAN（トランクポート）はスイッチ間やスイッチとルーター間に使用するポートであり、IEEE 802.1Qによって複数のVLANのフレームをタグ付きで送受信します。

タグを見てどのVLAN宛てのフレームかを識別するため、1本のリンクで複数VLANを通過させることが可能です。

ネイティブVLANの注意点

トランクポートには「ネイティブVLAN」という概念があります。

ネイティブVLANはトランクリンクでタグなしのフレームが属するVLANであり、デフォルトではVLAN 1が設定されています。

ネイティブVLANが一致しないスイッチ間ではVLAN間でトラフィックが混入する「VLAN不一致」が発生する可能性があります。

セキュリティ上のベストプラクティスとして、ネイティブVLANは使用されていない専用のVLAN IDに変更し、通常のVLANとは分離する設定が推奨されます。

設定ミスによるネイティブVLAN不一致はトラブルの原因になりやすいため、スイッチ間接続時は必ず双方の設定を確認しましょう。

L2スイッチでのVLAN設定手順

続いては、実際のL2スイッチでのVLAN設定手順を確認していきます。

ここではCisco IOSを例に設定コマンドを示しますが、考え方はHP・Yamaha・NEC・Juniper等の他メーカーでも共通しています。

VLAN作成からポート割り当てまでの手順

設定後は必ず「show vlan brief」でVLANが正しく作成され、各ポートに割り当てられているかを確認します。

「show interfaces trunk」ではトランクポートの状態と許可されているVLANリストを確認できます。

設定変更後の確認コマンド実行は、ミス防止の基本的な習慣として身につけておきましょう。

Web UIからのVLAN設定（マネージドスイッチの場合）

CLIを使わないマネージドスイッチでは、WebブラウザからVLAN設定が可能です。

一般的な手順としては、スイッチのIPアドレスにブラウザでアクセスし、管理画面の「VLAN」セクションを開き、VLAN IDと名前を入力して作成します。

その後、各ポートをVLANのアクセスポートまたはトランクポートに割り当てて設定を保存します。

GUI操作でもアクセス・トランクの概念は同じであり、ポートの種別とVLAN IDの正確な指定が重要です。

設定後は同一VLANのデバイス間でPing疎通を確認することで、VLANが正しく機能しているかを検証できます。

VLANの設定ミスと典型的なトラブル

VLAN設定でよく発生するトラブルとその原因を知っておくと、迅速な対処が可能です。

「接続しているのに通信できない」場合、ポートに間違ったVLAN IDが割り当てられているか、トランクポートに必要なVLANが含まれていない可能性があります。

「一部デバイスとだけ通信できない」場合は、デバイスが異なるVLANに設定されていることが原因であることが多いでしょう。

ネイティブVLANの不一致によるトラブルは症状がわかりにくいため、スイッチ間のトランク設定を双方向で確認することが重要です。

「show vlan」「show interfaces switchport」「show running-config」コマンドを駆使して現在の設定を可視化することがトラブルシューティングの基本です。

L2スイッチとL3スイッチの連携によるVLAN間通信

続いては、L2スイッチとL3スイッチを連携させたVLAN間通信の実現方法を確認していきます。

L2スイッチだけではVLAN間の通信（インターVLANルーティング）はできないため、L3スイッチまたはルーターとの連携が必要です。

SVIを使ったインターVLANルーティング

L3スイッチを使ったVLAN間ルーティングの主流がSVI（Switched Virtual Interface）を使う方法です。

SVIとはVLANに対応した仮想インターフェースであり、そのVLANのデフォルトゲートウェイIPアドレスをL3スイッチ上で設定します。

VLAN 10のデバイスはデフォルトゲートウェイを192.168.10.1に設定し、VLAN 20のデバイスは192.168.20.1に設定します。

SVIを使ったインターVLANルーティングはハードウェアで処理されるため非常に高速であり、大規模ネットワークでも安定したパフォーマンスを発揮します。

L2スイッチとL3スイッチのトランクリンクを通じてVLANフレームが転送され、L3スイッチのSVIがVLAN間ルーティングを担う構成が企業ネットワークの標準です。

ルーターオンアスティック構成との比較

L3スイッチが予算的に難しい場合、L2スイッチとルーターを組み合わせた「ルーターオンアスティック」構成もあります。

ルーターオンアスティックでは、ルーターの1本の物理インターフェースをサブインターフェースに分割し、各VLANに対応させます。

設定は比較的簡単ですが、全VLAN間通信が1本の物理リンクを経由するためボトルネックになりやすい点が弱点です。

中小規模でVLAN間通信量が少ない環境では有効な選択肢ですが、トラフィックが増えるとL3スイッチへの移行が推奨されます。

コストと性能のバランスを見ながら、適切な構成を選択することが重要です。

まとめ

L2スイッチのVLAN設定は、物理構成に縛られずネットワークを論理的に分割する強力な手段です。

アクセスポートはエンドデバイス向けの単一VLAN設定、トランクポートはスイッチ間の複数VLAN転送を担い、IEEE 802.1Qタグによって識別します。

VLAN間の通信にはL3スイッチのSVIを活用したインターVLANルーティングが最も効率的であり、L2スイッチとのトランクリンク接続によってシームレスに連携できます。

設定ミスによるトラブルはコマンドでの状態確認を徹底することで迅速に解決できます。

VLANの仕組みを正しく理解し、適切な設計と設定を行うことが、安全で効率的なネットワーク環境を実現するための基本です。