ネットワークスイッチのポートを設定する際に「トランクポートとアクセスポートのどちらを使うべきか」という判断は、VLAN設計の基本として必ずマスターすべき知識です。
この2種類のポートの違いを正確に理解することで、正しいネットワーク構成が実現できます。
本記事では、トランクポートとアクセスポートの違い・機能の比較・VLAN設定・設定方法・タグ付きフレームとタグなしフレームの扱いを詳しく解説していきます。
ネットワークエンジニア・インフラエンジニア・CCNA学習者の方はもちろん、ネットワーク基礎を固めたい方にぜひ参考にしていただける内容です。
2種類のポートの使い分けを理解することで、VLANを使った適切なネットワーク設計の判断力が身につきます。
設定コマンド例も含めて解説しますので、実際のスイッチ設定にも役立てていただければ幸いです。
アクセスポートとトランクポートの根本的な違い:何が異なるのか
それではまず、アクセスポートとトランクポートの根本的な違いについて解説していきます。
スイッチポートのモードは主に「アクセスポート」と「トランクポート」の2種類があり、それぞれ異なる役割を持ちます。
アクセスポートは「一つのVLANだけに属するポート」です。
PCやサーバーなどのエンドデバイスを接続するために使われます。
トランクポートは「複数のVLANのトラフィックを転送できるポート」です。
スイッチ間やスイッチとルーター間を接続するために使われます。
「エンドデバイスにはアクセスポート、スイッチ間にはトランクポート」という使い分けが基本の原則です。
| 比較項目 | アクセスポート | トランクポート |
|---|---|---|
| 所属VLAN数 | 1つのVLANのみ | 複数のVLANが通過可能 |
| VLANタグ | タグなし(送受信ともタグなしフレーム) | タグあり(802.1Qタグ付きフレーム) |
| 接続対象 | PC・サーバー・プリンタなどのエンドデバイス | 他のスイッチ・ルーター・仮想化サーバー |
| 設定の複雑さ | シンプル(VLANを一つ指定するだけ) | やや複雑(許可VLANの管理が必要) |
| エンドデバイスのVLAN認識 | 不要(エンドデバイスはVLANを意識しない) | 必要(802.1Q対応が必要) |
アクセスポートに接続されたエンドデバイスはVLANの存在を意識せずに通信でき、スイッチがVLANの管理を透過的に行います。
これによりエンドユーザーはネットワーク分割の仕組みを知らなくても、各自のVLANの中で通常通りに通信できます。
アクセスポートの動作とタグなしフレームの処理
続いては、アクセスポートの動作とタグなしフレームの処理について確認していきます。
アクセスポートでは、VLANタグの付加・除去をスイッチが透過的に処理します。
【アクセスポートでのフレーム処理の流れ】
受信時(エンドデバイス→スイッチ):
①エンドデバイスがタグなしの通常Ethernetフレームを送信する
②スイッチはフレームを受信し、そのポートに設定されたVLAN IDのタグを内部的に付加する
③スイッチ内部でVLANに基づいて転送先を決定する
送信時(スイッチ→エンドデバイス):
①スイッチがVLANタグ付きのフレームをアクセスポートから送信する際、タグを除去する
②エンドデバイスはタグなしの通常Ethernetフレームとして受信する
このタグの付加・除去をスイッチが自動的に行うため、エンドデバイスはVLANを意識しない設定(通常のNIC設定)のままで問題ありません。
アクセスポートのこの透過的なタグ処理が、エンドユーザーに対してVLAN分割を意識させずにネットワーク分離を実現できる仕組みの核心です。
アクセスポートとトランクポートの設定方法:Cisco IOSコマンド例
続いては、アクセスポートとトランクポートの具体的な設定方法についてCisco IOSのコマンド例を使って確認していきます。
【アクセスポートの設定例(Cisco IOS)】
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode access (アクセスモードに設定)
Switch(config-if)# switchport access vlan 10 (VLAN10に所属させる)
Switch(config-if)# spanning-tree portfast (エンドデバイス接続時に推奨)
【トランクポートの設定例(Cisco IOS)】
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# switchport mode trunk (トランクモードに設定)
Switch(config-if)# switchport trunk encapsulation dot1q (802.1Qを指定)
Switch(config-if)# switchport trunk allowed vlan 10,20,30 (許可VLANを指定)
Switch(config-if)# switchport trunk native vlan 99 (ネイティブVLANを変更)
【設定確認コマンド】
Switch# show vlan brief (VLAN情報の概要表示)
Switch# show interfaces trunk (トランクポートの状態確認)
Switch# show interfaces GigabitEthernet0/1 switchport (ポートのモード確認)
「show vlan brief」と「show interfaces trunk」は、VLAN設定のトラブルシューティングで最初に確認すべき基本コマンドです。
ポートが期待通りのモードに設定されているか・許可VLANが正しいかを定期的に確認することが安定したネットワーク運用につながります。
ポートモードの自動ネゴシエーション:DTP(Dynamic Trunking Protocol)の仕組み
続いては、ポートモードの自動ネゴシエーションを行うDTPの仕組みについて確認していきます。
Ciscoスイッチには「DTP(Dynamic Trunking Protocol)」という、ポートのモードを自動でネゴシエーションする機能があります。
| DTPモード | 動作 | 用途 |
|---|---|---|
| dynamic auto | 相手がtrunk/desirableならトランクになる | デフォルト設定 |
| dynamic desirable | 積極的にトランクネゴシエーションを行う | トランクにしたい場合 |
| trunk | 常にトランクとして動作する | スイッチ間接続に推奨 |
| access | 常にアクセスとして動作する | エンドデバイス接続に推奨 |
| nonegotiate | DTPネゴシエーションを無効にする | セキュリティ強化時 |
セキュリティ上の観点から、エンドデバイスを接続するポートは「switchport mode access」で固定し、DTPを無効化することが推奨されます。
DTPを無効化しないと、悪意ある攻撃者がDTPネゴシエーションを利用してアクセスポートをトランクポートに変換し、他のVLANのトラフィックに不正アクセスする「VLAN Hopping攻撃」が可能になります。
本番ネットワークでは「switchport mode access」または「switchport mode trunk」で明示的にモードを固定する設計が推奨されます。
まとめ
アクセスポートは一つのVLANに所属してエンドデバイスに接続するポートであり、トランクポートは複数のVLANのトラフィックを転送してスイッチ間などを接続するポートです。
アクセスポートはタグなしフレームを扱いエンドデバイスがVLANを意識しなくていい仕組みを提供し、トランクポートは802.1QタグでVLANを識別します。
Cisco IOSでは「switchport mode access/trunk」でモードを設定し、show vlan briefとshow interfaces trunkで確認します。
セキュリティ上の理由から、エンドデバイス接続ポートはアクセスモードに固定してDTPを無効化することが推奨されます。
アクセスポートとトランクポートの違いを正確に理解して、適切なVLAN設計とネットワーク構成を実現していただければ幸いです。
