VLANについて分かりやすく解説【ネットワークスペシャリスト・情報処理安全確保支援士・CCNA】

VLANについて説明していきます。

対応試験区分は


ネットワークスペシャリスト
情報処理安全確保支援士
ベンダー資格のCCNA などです 

VLAN技術【情報処理安全確保支援士・ネットワークスペシャリスト・CCNA対応】

VLANとは

VLANはVirtual LANの略でL2スイッチの内部で仮想的にネットワークを分割する技術になります。

以前の動画で、フラッディングについて説明しましたよね?
フラッディングは受信したポート以外のポート全てからフレームを送出する動作になります。

また、宛先MACアドレスに全てFの(FF-FF-FF-FF)全宛先を意味する宛先を指定するとこれも受信したポート以外全てからフレームを送出します。
この 全宛先を意味するフレームはブロードキャストフレームといいます。

スイッチの特性上このブロードキャストを分割することができずに、すべてのポートから出力してしまいます。

ブロードキャストが届く範囲をブロードキャストドメインといいます。

スイッチはスイッチのポート毎にコリジョンドメイン(つまり送信データがぶつかる範囲)を分割することはできますが、
ブロードキャストドメインを分割することはできません。

これってセキュリティ的に問題有ると思いませんか?

例えばパソコンAとBが経営企画部、CとDが外部者向け一次端末だった場合に
Aから送られた情報に機密情報があった場合、CとDにもフレームが届くことがあるので、参照しようと思えばデータを見れてしまいます。

物理的にスイッチ2台買えばいいじゃんと思われるかもしれませんが
お金と管理の都合でそうできない場合も多々あります。

そこで、この問題を解決するための技術がVLANになります。

論理的にブロードキャストドメインを分割 つまりネットワークの分割ができるのです。

VLANはスイッチのポートに設定するタイプとタグをつけるタイプの大きく2種類があります。

ポートベースVLAN

まず、ポートに設定するタイプを説明します。

経営企画部のPCがつながっているポートにVLANのグループ番号である 10 を設定します。

外部者向けのポートにはVLANグループ番号として20を設定します。

パソコンAからブロードキャストしたフレームは受信したVLANに所属するポートからしか送出されません。
フラッディングも同じです。

物理的には1つのスイッチでも、論理的にスイッチを2台購入したようなイメージになります。

セキュリティ面のメリットはこれまで話した通りですが、
むだなブロードキャストが流れる範囲が狭まるのでトラフィックの負荷の軽減も利点として挙げられます。

ポートに対して1つのVLANに所属しているポートを「アクセスポート」といいます。

アクセスポートに接続されたケーブル(つまりリンク)をアクセスリンクといいます。

ポートに対してVLANを割り当てる方法を「ポートベースVLAN」または「スタティックVLAN」といいます。

ーーーーーーーーーーーーーーーー

ただ、この方法だと問題が出てきます。

2台以上のスイッチを接続して
同一VAN番号が割り振られている場合、スイッチAとBの間にはVLAN10と20の情報が行き来することになります。

ポートベースVLANだとポートに対して1つのVLAN番号しか指定できないのでスイッチを跨った通信に支障がでます。

スイッチ同士を2本のケーブルでつないで それぞれにVLAN10と20を割り振れば通信できないことないですが、、
VLANが増えた場合、その分ケーブルを増やすことになるので現実的ではありませんよね、、

トランクポート

ここで複数VLANにポートを所属させることができる技術を使います。

今回はスイッチAとBとをつないでいるポートに対してVLAN10と20に所属させます。
複数VLANに対応しているポートをトランクポートといいます。

このトランクポートにつながっていて、複数のVANの通信が通過できるリンクを「トランクリンク」といいます。

トランクポートでどのようにVLANの番号をやりとりするかというと
フレームにタグを付与して相手側のスイッチに送付します。

その技術として
国際標準のIEEE802.1Qと シスコ独自のISL があります。

ISLはイーサーネットフレームの形はそのままのこして
その前後に
ISLヘッダとISL FCS(チェック用)を付与する形になります。

情報処理技術者試験ではベンダーに特化しない技術を問われるのが基本なので
IEEE802.1Qの形で出題されます。

IEEE802.1QはイーサーネットフレームにVLANタグの情報を追加する感じになります。

EthernetⅡフレームの送信元MACアドレスの後ろに タグ情報として4バイトの情報が追加されます。
内訳は2バイトのTPIDと2バイトのTCIを挿入する感じになります。

このTCIの部分にVLAN番号等の情報が含まれます。

スイッチAとBとをつなぐポートでA→Bにフレームを送付する場合

スイッチAトランクリンクを送出する際にタグが付与され、スイッチBで受取りタグを参照します。

そこで送出するアクセスポートが分かるので、アクセスポートから出すときにタグを外してフレームを送出します。


ネイティブVLAN

IEEE802.1QにはネイティブVLANというものがあります。
多くの場合、VLAN番号1がネイティブVLANのデフォルト値で変更することも可能です。

VLAN設定していない場合はこのVLAN番号1のネイティブVLANに全ポート所属しています。

トランクポートではネイティブVLAN番号のアクセスポートからデータ送信があった場合は
タグを付与せずにフレームを送出します。

受け取った側もタグがないことからネイティブVLANだと判断します。
なのでスイッチ同士でネイティブVLAN番号を合わせておく必要があります。

シスコ機器ではDTPというプロトコルを使って、スイッチ間でポートの情報を同期することが可能となっています。

EthernetⅡフレームの最大サイズは1518バイトと決まっています。
ただ、今回タグを付与することで1518バイト+4バイトで1522バイトになってしまいました。

イーサーネットフレームの最大サイズより大きなフレームで1600バイトまでのフレームを
ベビージャイアントフレームといいます。
1600バイトより大きいフレームをジャンボフレームと言います。

コメント