ネットワーク設計においてVLAN(Virtual Local Area Network)は欠かせない技術ですが、「タグVLAN」と「ポートVLAN」の違いを正確に説明できる方は意外と少ないのではないでしょうか。
「トランクポートって何?」「802.1Qとはどういう規格?」「VLAN IDはどう設定するの?」といった疑問をお持ちの方に向けて、本記事では丁寧に解説していきます。
タグVLANとは?802.1Qの仕組みと基本概念
それではまず、タグVLANの基本的な意味と仕組みについて解説していきます。
タグVLAN(Tag VLAN)とは、イーサネットフレームに「VLANタグ」と呼ばれる識別情報を付加することで、1本のケーブル(リンク)上で複数のVLANトラフィックを同時に流す技術です。
タグVLANを可能にする標準規格が「IEEE 802.1Q(ドット・ワン・キュー)」であり、この規格に基づいてVLANタグの構造とフレームへの付加方法が定義されています。
VLANタグはイーサネットフレームのヘッダーに4バイト(32ビット)の情報として挿入されます。
【802.1Q VLANタグの構造】
・TPID(Tag Protocol Identifier):2バイト。値は0x8100で「これはVLANタグ付きフレーム」を示します。
・PCP(Priority Code Point):3ビット。QoS(通信品質優先制御)に使用します。
・DEI(Drop Eligible Indicator):1ビット。輻輳時の廃棄優先度を示します。
・VLAN ID(VID):12ビット。VLANを識別するID。0〜4095の値が使用可能(実用は1〜4094)。
VLAN IDは12ビットで表現されるため、0〜4095の最大4096種類のVLANを識別できます。
ただし、0はヌルVLAN(タグなし優先フレーム)、4095は予約されているため、実際に使用できるIDは1〜4094です。
タグVLANの動作イメージ
タグVLANの動作を具体的なイメージで説明します。
複数のVLAN(たとえばVLAN10:営業部、VLAN20:開発部)のトラフィックを1本のケーブルで同時にスイッチ間で転送したい場合を考えます。
タグVLANを使わない場合、VLANごとに別のケーブルとポートが必要です。
タグVLANを使う場合、1本のケーブルでフレームにVLAN IDタグを付与して転送し、受信側スイッチでタグを見てどのVLANか判断します。
タグVLANにより、スイッチ間の接続を大幅に削減でき、ケーブルコストとポートリソースの節約が実現できます。
タグVLANとトランクポートの関係
タグVLANのフレームが流れるポートを「トランクポート(Trunk Port)」と呼びます。
トランクポートとは、複数のVLANのタグ付きフレームを同時に送受信できるポートのことで、スイッチ間の接続やスイッチとルーター間の接続に使用されます。
Cisco機器では「トランクポート」、Juniper機器では「トランクインターフェース」と呼ばれることが多く、設定コマンドも機器メーカーによって異なります。
ポートVLANとの違いを徹底比較
続いては、タグVLANとポートVLANの違いについて確認していきます。
ポートVLAN(アクセスVLAN)とは
ポートVLAN(Port VLAN)とは、スイッチの物理ポートにVLANを割り当てることで、そのポートに接続された端末を特定のVLANに所属させる方式です。
「アクセスVLAN」「スタティックVLAN」などとも呼ばれます。
ポートVLANでは、接続される端末はVLANの存在を知りません。
スイッチが「このポートはVLAN10専用」と判断してフレームを処理します。
端末から送出されるフレームはVLANタグなし(アンタグド)であり、スイッチがフレームを受信した際に内部でVLAN10に所属するものとして扱います。
タグVLANとポートVLANの比較表
| 比較項目 | タグVLAN(802.1Q) | ポートVLAN |
|---|---|---|
| 別名 | トランクVLAN・タグドVLAN | アクセスVLAN・アンタグドVLAN |
| VLANタグ | フレームにVLANタグを付与する | フレームにタグは付与しない |
| 1ポートのVLAN数 | 複数(最大4094) | 1つ |
| 接続先 | スイッチ間・ルーター間(トランク) | PCやサーバーなどのエンド端末 |
| 端末の対応 | VLAN対応NICが必要な場合もある | 通常のNICで接続可能 |
| 主な用途 | 複数VLANを1本の回線で伝送 | 端末をVLANに所属させる |
一般的なネットワーク設計では、端末接続ポートはアクセスポート(ポートVLAN)、スイッチ間接続ポートはトランクポート(タグVLAN)として設定するのが基本です。
アクセスポートとトランクポートの設定イメージ
スイッチのポートは大きく「アクセスポート」と「トランクポート」の2種類に設定されます。
【アクセスポートの設定例(Cisco IOS)】
interface GigabitEthernet0/1
switchport mode access ← アクセスモードに設定
switchport access vlan 10 ← このポートをVLAN10に所属させる
【トランクポートの設定例(Cisco IOS)】
interface GigabitEthernet0/24
switchport mode trunk ← トランクモードに設定
switchport trunk allowed vlan 10,20,30 ← VLAN10,20,30のタグドフレームを許可
トランクポートでは「switchport trunk allowed vlan」で許可するVLAN IDを明示的に制限することがセキュリティのベストプラクティスです。
すべてのVLANを許可するデフォルト設定のままでは、不要なVLANのトラフィックが流れてしまいセキュリティリスクが高まります。
タグVLANの設定方法と実践的な構成例
続いては、タグVLANの具体的な設定方法と実践的なネットワーク構成例について確認していきます。
CiscoスイッチでのタグVLAN設定の全体フロー
【CiscoスイッチでのVLAN設定の基本フロー】
① VLANデータベースの作成
vlan 10
name Sales
vlan 20
name Development
② アクセスポートの設定(端末接続用)
interface range GigabitEthernet0/1-10
switchport mode access
switchport access vlan 10
③ トランクポートの設定(スイッチ間接続用)
interface GigabitEthernet0/24
switchport mode trunk
switchport trunk allowed vlan 10,20
④ 設定確認
show vlan brief ← VLAN情報の確認
show interfaces trunk ← トランクポートの確認
この設定により、VLAN10の端末はVLAN10内でのみ通信でき、VLAN20の端末はVLAN20内でのみ通信できるネットワーク分離が実現します。
Inter-VLAN RoutingとVLAN間通信
VLANはネットワークを論理的に分離する仕組みであるため、デフォルトでは異なるVLAN間での通信はできません。
VLAN10の端末からVLAN20の端末に通信したい場合、「Inter-VLAN Routing(VLAN間ルーティング)」が必要です。
実現方法として、主にレイヤー3スイッチ(L3スイッチ)を使う方法と、ルーターを使う「Router-on-a-Stick(一本足ルーティング)」の2種類があります。
【Router-on-a-Stickの設定イメージ】
ルーターの1つの物理インターフェースを複数のサブインターフェースに分割し、
各サブインターフェースに異なるVLAN IDと対応するIPアドレスを割り当てる
interface GigabitEthernet0/0.10
encapsulation dot1Q 10 ← VLAN10のタグ付きフレームを処理
ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
L3スイッチを使ったInter-VLAN Routingは、追加のルーター機器が不要でスイッチ内で完結するため、中規模以上のネットワークでは標準的な構成です。
ネイティブVLANとは
トランクポートには「ネイティブVLAN(Native VLAN)」という概念があります。
ネイティブVLANとは、トランクポートでVLANタグが付いていないフレーム(アンタグドフレーム)が所属するVLANのことです。
CiscoスイッチのデフォルトネイティブVLANはVLAN1です。
セキュリティのベストプラクティスとして、ネイティブVLANをVLAN1から別のVLAN ID(使用しない専用VLAN)に変更することが推奨されています。
これは「VLAN Hopping攻撃」(攻撃者がネイティブVLANを悪用して他のVLANにアクセスする攻撃)のリスクを低減するためです。
まとめ
本記事では、タグVLANの意味・802.1Qの仕組み・ポートVLANとの違い・トランクポート・VLAN ID・スイッチでの設定方法・Inter-VLAN Routingまで幅広く解説しました。
タグVLANとは802.1Q規格に基づき、フレームにVLAN IDタグを付与することで1本の回線で複数VLANのトラフィックを流す技術です。
ポートVLANは端末接続ポートへのVLAN割り当て(アクセスポート)、タグVLANはスイッチ間接続(トランクポート)で使われます。
Ciscoスイッチでは、VLANデータベースの作成・アクセスポートの設定・トランクポートの設定という順序で構築します。
タグVLANとポートVLANを適切に組み合わせることが、セキュアで効率的なネットワーク設計の基礎です。
本記事を参考に、VLANの仕組みへの理解を深め、ネットワーク設計・構築に活かしてください。
