VLAN
仮想 LAN の一般的な概念。

仮想ローカルエリアネットワークVLAN)は、データリンク層OSI第2層)の仮想ネットワーク内で分割・分離されたローカルエリアネットワークのブロードキャストドメインです。 [ 2 ] [ 3 ] VLANは、他のVLANと論理的に分離したまま、同じ物理構造を共有できる仮想ネットワークスイッチまたはネットワークリンクのように動作します。

VLANは、ブロードキャストドメイン内で転送されるネットワークフレームタグを適用することで機能します。これにより、ネットワークトラフィックが別々のネットワークに分割されているかのように動作し、その外観と機能を実現します。これにより、VLANは、同じ物理ネットワークに接続されていても、ネットワークアプリケーションを分離した状態に保つことができ、複数のケーブルやネットワークデバイスを導入する必要がありません。

VLANを使用すると、ネットワーク管理者はホストが同じネットワークスイッチに直接接続されていない場合でも、ホストをグループ化できます。VLANメンバーシップはソフトウェアで設定できるため、ネットワークの設計と導入が大幅に簡素化されます。VLANがない場合、リソースに基づいてホストをグループ化するには、ノードの再配置やデータリンクの配線変更が必要になります。VLANを使用すると、分離する必要のあるデバイスが物理ネットワークの配線を共有しながらも、相互に直接干渉することを防ぐことができます。この管理された共有により、シンプルさ、セキュリティトラフィック制御、そして経済性が向上します。

多くのインターネットホスティングサービスでは、VLANを使用して顧客のプライベートゾーンを分離することで、データセンター内の個々のサーバーの位置に関係なく、各顧客のサーバーを単一のネットワークセグメントにグループ化しています。特定のVLANからトラフィックが「漏れる」ことを防ぐには、 VLANホッピングと呼ばれる悪用を防ぐために、いくつかの予防措置が必要です。

ネットワークをVLANに分割するには、ネットワーク機器を設定します。よりシンプルな機器では、物理ポートのみを分割し、各VLANを専用のネットワークケーブルで接続します。より高度な機器では、 VLANタグを使用してフレームにマークを付けることができるため、単一の相互接続(トランク)を使用して複数のVLANのデータを転送できます。VLANは帯域幅を共有するため、VLANトランクはリンクアグリゲーションQoS(サービス品質)の優先順位付け、またはその両方を使用してデータを効率的にルーティングできます。

用途

VLANは、スケーラビリティ、セキュリティ、ネットワーク管理といった課題に対処します。ネットワーク設計者は、ネットワークをセグメント化するためにVLANを設定します。VLAN間のルーターは、ブロードキャストトラフィックのフィルタリング、ネットワークセキュリティの強化、アドレス集約の実行、ネットワーク輻輳の緩和などを行います。

サービス検出、アドレス割り当て解決、その他のサービスにブロードキャストを利用するネットワークでは、ネットワーク上のピア数が増加するにつれて、ブロードキャストの頻度も増加します。VLANは、複数のブロードキャストドメインを形成することで、ブロードキャストトラフィックの管理に役立ちます。大規模なネットワークを小さな独立したセグメントに分割することで、各ネットワークデバイスとネットワークセグメントが処理しなければならないブロードキャストトラフィックの量を削減できます。スイッチはVLAN間のネットワークトラフィックをブリッジすることはできません。そうすると、VLANブロードキャストドメインの整合性が損なわれるためです。

VLANは、単一の物理インフラストラクチャ上に複数のレイヤー3ネットワークを構築する際にも役立ちます。VLANはデータリンク層(OSI参照レイヤー2)の構造であり、ネットワーク層(OSI参照レイヤー3)の構造であるインターネットプロトコル(IP)サブネットに類似しています。VLANを使用する環境では、VLANとIPサブネットの間には1対1の関係が確立されることが多いですが、1つのVLANに複数のサブネットが存在することも可能です。

VLAN機能がない場合、ユーザーは地理的な場所に基づいてネットワークに割り当てられ、物理的なトポロジと距離によって制限されます。VLANはネットワークを論理的にグループ化することで、ユーザーのネットワーク上の場所と物理的な場所を切り離すことができます。VLANを使用することで、トラフィックパターンを制御し、従業員や機器の移転に迅速に対応できます。VLANは、ネットワーク要件の変化に柔軟に対応し、管理を簡素化します。[ 3 ]

VLANは、ローカルネットワークを複数の異なるセグメントに分割するために使用できます。例: [ 4 ]

VLANトランク間で共有される共通インフラストラクチャは、比較的低コストで、柔軟性の高いセキュリティ対策を提供できます。QoS(Quality of Service)スキームは、トランクリンク上のトラフィックをリアルタイム(例:VoIP)または低遅延(例:SAN)の要件に合わせて最適化できます。しかし、セキュリティソリューションとしてのVLANは、慎重に実装しないと破られてしまう可能性があるため、細心の注意を払って実装する必要があります。[ 5 ]

クラウドコンピューティングでは、クラウド内のVLAN、IPアドレス、MACアドレスはエンドユーザーが管理できるリソースです。セキュリティ上の問題を軽減するために、クラウドベースの仮想マシンをインターネットに直接配置するよりも、VLAN上に配置することが推奨されます。[ 6 ]

VLAN 機能を備えたネットワーク テクノロジには次のようなものがあります。

歴史

1981年から1984年にかけてVoice over Ethernetの実験に成功した後、W. David Sincoskieはベルコアに入社し、Ethernetネットワークの拡張という課題に取り組み始めました。10MbpsのEthernetは、当時のほとんどの代替手段よりも高速でした。しかし、Ethernetはブロードキャストネットワークであり、複数のEthernetネットワークを接続する適切な方法がありませんでした。そのため、Ethernetネットワークの総帯域幅は10Mbpsに制限され、ノード間の最大距離は数百フィートに制限されていました。

対照的に、既存の電話ネットワークの個々の接続の速度は 56 kbit/s (イーサネットの速度の 100 分の 1 以下) に制限されていましたが、そのネットワークの総帯域幅は 1 Tbit/s (イーサネットの 100,000 倍) と推定されていました。

IPルーティングを使用して複数のイーサネットネットワークを接続することは可能でしたが、コストが高く、比較的低速でした。シンコスキーは、パケットあたりの処理が少ない代替手段を探し始めました。その過程で、彼は現代のイーサネットスイッチで使用されている技術である透過ブリッジングを独自に再発明しました。[ 7 ]しかし、スイッチを使用して複数のイーサネットネットワークをフォールトトレラントな方法で接続するには、そのネットワークに冗長パスが必要であり、そのためにはスパニングツリー構成が必要になります。これにより、ネットワーク上の任意の送信元ノードから任意の宛先へのアクティブなパスが1つだけになります。その結果、中央に配置されたスイッチがボトルネックになり、相互接続されるネットワークが増えるにつれてスケーラビリティが制限されます。

この問題を緩和するために、シンコスキーは各イーサネット フレームにタグを追加する VLAN を考案しました。これらのタグは、赤、緑、青などの色と考えることができます。この方式では、各スイッチを 1 色のフレームを処理するように割り当て、残りを無視することができます。ネットワークは、各色につき 1 つずつ、3 つのスパニング ツリーで相互接続できます。異なる色のフレームを混ぜて送信することで、総帯域幅を向上させることができます。シンコスキーはこれをマルチツリー ブリッジと呼びました。彼とチェイス コットンは、システムを実現可能にするために必要なアルゴリズムを作成し、改良しました。 [ 8 ]このは、現在イーサネット フレームではIEEE 802.1Qヘッダー、または VLAN タグとして知られているものです。VLAN は現代のイーサネット ネットワークで一般的に使用されていますが、ここで最初に想定された方法で使用されるわけではありません。

1998年、イーサネットVLANはIEEE 802.1Q -1998規格の初版で規定されました。[ 9 ]これはIEEE 802.1adで拡張され、プロバイダーブリッジングにおいてネストされたVLANタグの使用が可能になりました。このメカニズムはIEEE 802.1ah-2008で改良されました。

構成と設計の考慮事項

初期のネットワーク設計者は、イーサネットのコリジョンドメインのサイズを縮小し、パフォーマンスを向上させることを目的として、物理LANをセグメント化することが多かった。イーサネットスイッチの登場により(各スイッチポートがコリジョンドメインとなるため)この問題が解消されると、データリンク層のブロードキャストドメインのサイズ縮小に注目が集まった。VLANは、複数のブロードキャストドメインを1つの物理媒体上に分離するために最初に採用された。VLANは、ネットワークの物理トポロジに関係なく、ネットワークリソースへのアクセスを制限するためにも使用できる。[ a ]

VLAN はOSI モデルのデータリンク層で動作します。管理者は多くの場合、VLAN を IP ネットワークまたはサブネットに直接マップするように設定し、ネットワーク層が関与しているように見えます。通常、同じ組織内の VLAN には、重複しない異なるネットワーク アドレス範囲が割り当てられます。これは VLAN の要件ではありません。別々の VLAN で同一の重複アドレス範囲を使用して問題はありません (例: 2 つの VLAN がそれぞれプライベート ネットワーク192.168.0.0/16使用している場合)。ただし、アドレスが重複する 2 つのネットワーク間では、 IP の繊細な再マッピングを行わずにデータをルーティングすることはできません。そのため、VLAN の目的が組織全体の大規模なネットワークのセグメント化である場合は、各個別の VLAN で重複しないアドレスを使用する必要があります。

VLANが設定されていないベーシックスイッチでは、VLAN機能が無効化されているか、デバイス上のすべてのポートをメンバーとするデフォルトVLANによって永続的に有効化されています。 [ 3 ]デフォルトVLANは通常、VLAN識別子1を使用します。このVLANのポートに接続されたすべてのデバイスは、他のどのポートにもパケットを送信できます。ポートをVLANグループに分けると、各グループに別々のスイッチを使用して接続するのとほぼ同じように、トラフィックが分離されます。

スイッチのリモート管理には、管理機能が 1 つ以上の設定済み VLAN に関連付けされている必要があります。

VLANの文脈において、「トランク」という用語は、複数のVLANを伝送するネットワークリンクを指します。これらのVLANは、パケットに挿入されたラベル(またはタグ)によって識別されます。このようなトランクは、VLAN対応デバイスのタグ付きポート間で実行される必要があるため、ホストへのリンクではなく、スイッチ間またはスイッチとルータ間のリンクとなることがよくあります。(「トランク」という用語は、シスコが「チャネル」と呼ぶもの、つまりリンクアグリゲーションまたはポートトランキングにも使用されることに注意してください。)ルータ(レイヤ3デバイス)は、異なるVLAN間を移動するネットワークトラフィックのバックボーンとして機能します。タグ付けは、VLANポートグループを別のデバイスに拡張する場合にのみ使用されます。2つの異なるスイッチ上のポート間の通信は、関連する各スイッチのアップリンクポートを介して行われるため、このようなポートを含むすべてのVLANには、関連する各スイッチのアップリンクポートも含まれている必要があり、これらのポートを通過するトラフィックにはタグが必要です。

スイッチには通常、ワイヤリングクローゼット内で作業する人にVLANとポートの関連付けを示す組み込みの手段がありません。技術者は、デバイスの設定を確認するために管理者権限を持つか、各ワイヤリングクローゼット内のスイッチの横にVLANポート割り当てチャートまたは図表を保管しておく必要があります。

プロトコルと設計

現在、VLANをサポートするために最も一般的に使用されているプロトコルはIEEE 802.1Qです。IEEE 802.1ワーキンググループは、マルチベンダーVLANサポートを提供するために、このVLAN多重化方式を定義しました。802.1Q規格が導入される以前は、CiscoのInter-Switch Link(ISL)や3ComのVirtual LAN Trunk(VLT)など、いくつかの独自プロトコルが存在していました。Ciscoは、IEEE 802.10規格の目的に反して、VLAN情報をIEEE 802.10フレームヘッダー で伝送することで、 FDDI経由でVLANを実装しました。

ISLとIEEE 802.1Qはどちらも明示的なタグ付けを行います。つまり、フレーム自体にVLAN識別子がタグ付けされます。ISLはイーサネットフレームを変更しない外部タグ付けプロセスを使用しますが、802.1Qはタグ付けにフレーム内部フィールドを使用するため、イーサネットフレームの基本構造が変更されます。この内部タグ付けにより、IEEE 802.1Qは標準的なイーサネットハードウェアを使用して、アクセスリンクとトランクリンクの両方で動作できます。

IEEE 802.1Q

IEEE 802.1Qでは、特定のイーサネットネットワークにおけるVLANの最大数は4,094です(12ビットVIDフィールドで提供される4,096の値から、範囲の両端の予約値である0と4,095を差し引いた値)。ただし、1つのVLANに複数のIPサブネットを含めることができるため、この制限はネットワーク内のIPサブネット数には適用されません。IEEE 802.1adは、複数のネストされたVLANタグのサポートを追加することで、サポートされるVLANの数を拡張しています。IEEE 802.1aq(最短パスブリッジング)は、VLANの制限を1600万に拡張しています。これらの改良点はいずれもIEEE 802.1Q規格に組み込まれています。

スイッチ間リンク(ISL)は、シスコ独自のプロトコルであり、スイッチを相互接続し、トランクリンク上のスイッチ間をトラフィックが通過する際にVLAN情報を維持するために使用されます。ISLはIEEE 802.1Qの代替として提供されています。ISLは一部のシスコ機器でのみ利用可能であり、現在は廃止されています。[ 11 ]

Cisco VLAN トランキング プロトコル

VLAN Trunking Protocol(VTP)は、VLANの定義をローカルエリアネットワーク全体に伝播するシスコ独自のプロトコルです。VTPは、ほとんどのCisco Catalystファミリ製品で利用可能です。他のメーカーが使用している同等のIEEE標準規格は、GARP VLAN Registration Protocol(GVRP)、またはより新しいMultiple VLAN Registration Protocol(MVRP)です。

複数VLAN登録プロトコル

マルチVLAN登録プロトコルは、マルチ登録プロトコルの応用であり、ネットワークスイッチ上のVLAN情報の自動設定を可能にします。具体的には、VLAN情報を動的に共有し、必要なVLANを設定する方法を提供します。

メンバーシップ

VLAN メンバーシップは静的または動的に確立できます。

静的VLANはポートベースVLANとも呼ばれます。静的VLAN割り当ては、ポートをVLANに割り当てることで作成されます。デバイスがネットワークに接続すると、デバイスは自動的にそのポートのVLANを使用します。ユーザーがポートを変更し、同じVLANにアクセスする必要がある場合、ネットワーク管理者は新しい接続に対してポートとVLANの割り当てを手動で行う必要があります。

ダイナミックVLANは、ソフトウェアまたはプロトコルによって作成されます。VLAN管理ポリシーサーバ(VMPS)を使用すると、管理者はポートに接続されたデバイスの送信元MACアドレスや、そのデバイスへのログインに使用するユーザー名などの情報に基づいて、スイッチポートをVLANに動的に割り当てることができます。デバイスがネットワークに接続されると、スイッチはデータベースに問い合わせて、そのデバイスが接続されているポートのVLANメンバーシップを取得します。プロトコル方式には、マルチVLAN登録プロトコル(MVRP)と、やや旧式化されたGARP VLAN登録プロトコル(GVRP)があります。

プロトコルベースのVLAN

プロトコルベースVLANをサポートするスイッチでは、トラフィックはプロトコルに基づいて処理されます。基本的に、これはトラフィックの特定のプロトコルに応じてポートからのトラフィックを分離または転送します。他のプロトコルのトラフィックはポートで転送されません。これにより、例えばIPトラフィックとIPXトラフィックをネットワークによって自動的に分離することが可能になります。

VLANクロスコネクト

VLANクロスコネクト(CCまたはVLAN-XC)は、スイッチ型VLANを作成するために使用されるメカニズムです。VLAN CCは、MPLSと同様にSタグをラベルとして使用するIEEE 802.1adフレームを使用します。IEEEは、IEEE 802.1ad-2005のパート6.11で、このようなメカニズムの使用を承認しています。

参照

注記

  1. ^ VLANセキュリティの強度はVLANホッピングによって損なわれる可能性があります。VLANホッピングは適切なスイッチポート設定によって軽減できます。 [ 10 ]

参考文献

  1. ^ 「X.225:情報技術 - 開放型システム間相互接続 - コネクション指向セッションプロトコル:プロトコル仕様」。2021年2月1日時点のオリジナルよりアーカイブ。2023年3月10日閲覧。
  2. ^ IEEE 802.1Q-2011、1 . 概要
  3. ^ a b c IEEE 802.1Q-2011、1.4 VLANの目的と利点
  4. ^ Sharma, Komal; Yadav, Meenu; Pundir, Megha; Malhotra, Isha; Singh, Jaskaran (2013年11月). 「VLANとIPを使用したATM経由のVLAN実装:通信」(PDF) . Discovery Engineering . 2 (8). タミルナドゥ州、インド: Discovery Publication: 106– 7. 2015年6月18日時点のオリジナル(PDF)からアーカイブ。 2024年1月6日閲覧
  5. ^ 「仮想LANセキュリティ:弱点と対策」SANS Institute InfoSec Reading RoomSANS Institute、2017年11月18日時点のオリジナルよりアーカイブ、 2018年5月18日閲覧。
  6. ^ Amies, A.; Wu, CF; Wang, GC; Criveti, M. (2012年6月21日)、「クラウド上のネットワーキング」(PDF)IBM developerWorks2013年11月1日時点のオリジナル(PDF)からアーカイブ
  7. ^ Sincoskie, WD (2002年7月). 「ブロードバンドパケットスイッチング:個人的な視点」. IEEE Communications . 40 (7): 54– 66. Bibcode : 2002IComM..40g..54S . doi : 10.1109/MCOM.2002.1018008 .
  8. ^ Sincoskie, WD; Cotton, CJ (1988年1月). 「大規模ネットワーク向け拡張ブリッジアルゴリズム」 . IEEE Network . 2 (1): 16– 24. doi : 10.1109/65.3233 .
  9. ^ IEEE Std. 802.1Q-1998, Virtual Bridged Local Area Networks . 1998. 2021年1月21日時点のオリジナルよりアーカイブ。 2021年1月14日閲覧
  10. ^ Rik Farrow. 「VLANのセキュリティ不安」 2014年4月21日時点のオリジナルよりアーカイブ
  11. ^ CCNA Exploration LAN スイッチングおよびワイヤレス コース、v 4.0、sec 3.2.3

さらに読む

  • Andrew S. Tanenbaum、2003 年、「コンピュータ ネットワーク」、Pearson Education International、ニュージャージー。
「 https://en.wikipedia.org/w/index.php?title=VLAN&oldid=1322898900」から取得