VLAN(Virtual Local Area Network)の略で仮想ローカルエリアネットワークは、ネットワーク内で物理的な接続に依存せず、論理的にネットワークを分割する技術です。これにより、同じ物理ネットワーク内のデバイスを複数の異なるセグメントに分離することができます。
1.VLANの特徴
1-1 ネットワークの分離
VLANを使用することによって物理的に同じスイッチに接続されているデバイスを論理的に異なるネットワークに分離することができます。これによって会社などでは異なる部門や使用用途ごとにネットワークを分離することが可能となります。
1-2 セキュリティの向上
VLANは異なるVLAN間での直接通信を防止することが可能となりますのでネットワークのセキュリティを向上させることになります。これによってデータの流出や不正アクセスのリスクの低減になります。
1-3 ネットワークの効率化
VLANはブロードキャストドメインを縮小することで、ネットワークトラフィックを減少させ全体のパフォーマンスを向上させることが可能となります。これによって帯域幅の使用効率が改善されます。
(*)ブロードキャスト
同じネットワーク内にある通信機器全体と通信することを言います。このブロードキャストが送信される範囲をブロードキャストドメインと言います。
1-4 柔軟なネットワーク管理
VLANはネットワークの構造を柔軟に管理・変更するのに役立ちます。物理的なケーブル配線を変更する必要が無いのでネットワークの再構築や拡張を行う事が容易にできます。
1-5 QoS(Quality of Service)の向上
VLANを使用することにより特定のトラフィックに対して優先順位を設定し重要度の高いデータの品質を保証することが可能となります。
2.VLANの構成方法
2-1 ポートベースVLAN( Port-based VLAN)
最も一般的なVLANです、各スイッチを特定のVLANに割り当てる方法です。物理ポートごとにVLANが決定されます。
・メリット:設定が容易でわかりやすい
・デメリット:ポートの物理的な配置に依存するので、変更が発生すると再設定が必要になります。
2-2 タグベースVLAN(Tagged-based VLAN)
トラフィックにVLANタグを付与して管理する方法となります。このタグによって異なるスイッチ間でもVLAN情報を共有することが可能となります。
(IEEE802.1q規格で定められています)
・メリット:複数のVLANをひとつの物理リンクでトランクすることができて柔軟性が高い。 ・デメリット:設定が複雑で、誤設定が発生しやすい。
2-3 MACベースVLAN(MAC-based VLAN)
端末1台毎に割り付けられているMACアドレスをベースにして、ネットワークごとに割り振りを行う方式です。MACアドレスはその各々の機器の購入時に付与されている識別番号でデータの受け渡し先を特定する際に使用されます。
メリット:デバイスがどのポートを使用しても同じVLANに所属させることが可能です。
デメリット:デバイスのMACアドレスが変更となった場合再設定が必要となります。
2-4 プロトコルベースVLAN(Protocol-based VLAN)
使用する通信ネットワークプロトコルに基づいてVLANの設定行う方法です。
(*)ネットワークプロトコル
コンピュータなどの通信機器同士で通信を行う為に取り決められた約束ごとです。
IPv4・IPv6・AppleTalkなどがあります。
メリット:特定のプロトコルごとにトラフィックを分離することができる。
デメリット:設定が複雑で特定環境でしか有効とならない場合がある。
2-5 ユーザベースVLAN
ネットワークを使うユーザの認証情報によって識別する方式です。認証されたユーザによって、どのネットワークにその通信機器が所属するかが決定します。
3.VLANのデメリットについて
VLANには数多くのメリットがありますが、デメリットもありますのでこちらもよく理解しておく必要があります。
3-1 設定と管理が複雑
VLANの設定や管理は複雑です、特に大きな規模のネットワークではその複雑さが増加します。管理責任者はVLANの設定を正しく行う必要があります。誤った設定を行うとトラフックの問題やセキュリティの問題を発生することになります。
3-2 トラブルシューティングが難しい
複数のVLANが存在する環境でのネットワーク上のトラブルの原因を特定する事は困難な事があります。特にVLAN間のルーティングやタグ付けのトラブルが発生すると、問題の原因特定を行って問題解決をするのに時間(費用)を要することがあります。
3-3 ハードウエア上の制約
VLANを構築(サポート)するには、使用するハードウエアすなわちスイッチ・ルータがVLAN機能に対応している必要があります。特に昔から使用している古いネットワーク機器や安価で購入したスイッチなどはVLAN機能に対応していない場合がありますのでこれらのネットワーク機器の更新(アップグレード)が必要となります。
3-4 VLAN間のルーティングの必要性
異なるVLAN間で通信を行う為にはレイヤ3デバイス(例えばルータやレイヤ3スイッチ)が必要となります。これによってハードウエアの追加とその設定が必要となりますので、コストと管理負担増となります。
(*)レイヤ3デバイス:
ネットワークの中継機器にひとつです、プロトコル階層でいいますとネットワーク層(第3層)とリンク層(第2層)の制御情報に基づいてデータの転送先の決定を行います。
3-5 スケーラビリティの問題(拡張性)
大規模ネットワークで多くのVLANを構築しますと、VLAN ID の管理が複雑になることがあります。特にVLAN IDの最大数に達する場合はさらなるVLAN IDの追加が困難になります。
(*)VLAN ID:
規格(IEEE802.1Q)では12ビット符号なしの整数値と定義されています。0と4095を除く1~4094の自然数が使用できます。
3-6 セキュリティリスク:
VLANの設定で誤設定を行うとセキュリティリスクが存在します。VLANホッピング攻撃などがあります。適切なセキュリティ対策を講じないと、VLANを使用してもセキュリティが担保されない場合があります。
(*)VLANホッピング攻撃:
攻撃者が一つのVLANから別のVLANに不正アクセスを行う攻撃
3-7 コストの増加
VLANを有効利用するためには、管理機能を備えたマネージドスイッチやルータなどの高機能なネットワーク機器が必要となります。これによって初期導入コストが増加することがあります。
3-8 VLANのデメリットに対す対策
①トレーニングと教育:
ネットワーク管理者に対する適切なトレーニング(教育)を実施することでVLANの設定や管理のスキルアップを行います。
②ドキュメント化:
VLANの設定や構成の内容をドキュメント化して、変更やトラブル発生時にその内容を参照できるようにしておきます。
③セキュリティ対策:
VLANホッピング攻撃を防ぐ対策を講じます。
例:ダブルタグ防止設定・トランクボールトの厳密な管理など
④適切なハードウエア選定:
VLAN機能をサポートした高性能な管理機能を装備したネットワーク機器の選定を行います。
⑤ネットワークモニタリング
ネットワークの状態を常にモニタリングし異常が発生した場合には迅速な対応ができる体制を構築することです。 VLANのデメリットを理解することが適切な対策を講じることにつながります。