VLAN設計と実装
VLANとは
VLAN(Virtual LAN)は、物理的なネットワーク構成に関わらず、スイッチ上で論理的にネットワークを分割する技術です。1台のスイッチを複数の仮想的なスイッチとして使用でき、セキュリティ向上やブロードキャストドメインの縮小に効果があります。
VLANのメリット
- セキュリティの向上:部署やシステムごとにネットワークを分離し、不要なアクセスを遮断
- ブロードキャストの抑制:ブロードキャストの影響範囲をVLAN内に限定
- 柔軟な構成変更:物理的なケーブル変更なしに、ポート設定だけでネットワークを変更可能
- コスト削減:部署ごとにスイッチを用意する必要がない
ポートVLAN(アクセスポート)
ポートVLANは、スイッチの各ポートに1つのVLAN IDを割り当てる最も基本的なVLAN設定です。そのポートに接続された端末は、指定されたVLANに所属します。
📋 具体例
24ポートスイッチのVLAN割り当て例:
・ポート1〜8:VLAN 10(営業部)→ 192.168.10.0/24
・ポート9〜16:VLAN 20(技術部)→ 192.168.20.0/24
・ポート17〜20:VLAN 30(管理部)→ 192.168.30.0/24
・ポート21〜22:VLAN 99(サーバー)→ 192.168.99.0/24
・ポート23〜24:トランクポート(スイッチ間接続用)
タグVLAN(IEEE 802.1Q)
タグVLAN(802.1Q)は、イーサネットフレームにVLAN IDタグ(4バイト)を挿入することで、1本のケーブルで複数のVLANの通信を伝送する技術です。スイッチ間接続やルーター・サーバーへの接続で使用します。
| 用語 | 説明 |
|---|---|
| アクセスポート | 1つのVLANにのみ所属するポート。PC接続用 |
| トランクポート | 複数のVLANの通信を1本のリンクで伝送するポート。スイッチ間接続用 |
| VLAN ID | 1~4094の範囲で設定可能(0と4095は予約済み) |
| ネイティブVLAN | トランクポートでタグなしフレームが属するVLAN(デフォルトはVLAN 1) |
⚠️ 注意
ネイティブVLANをデフォルトのVLAN 1のまま運用すると、VLAN Hopping攻撃(VLANの境界を越えた不正アクセス)のリスクがあります。セキュリティのため、ネイティブVLANを未使用のVLAN ID(例:VLAN 999)に変更し、VLAN 1は使用しないことがベストプラクティスです。
VLAN設計のベストプラクティス
ひとり情シスの視点:中小企業のVLAN設計で推奨される構成パターンを紹介します。
| VLAN ID | 名前 | サブネット | 用途 |
|---|---|---|---|
| 1 | Default | — | 使用しない(セキュリティ対策) |
| 10 | Office | 192.168.10.0/24 | 社員PC・業務端末 |
| 20 | Server | 192.168.20.0/24 | サーバー・NAS |
| 30 | VoIP | 192.168.30.0/24 | IP電話 |
| 40 | Guest | 192.168.40.0/24 | 来客用Wi-Fi |
| 50 | IoT | 192.168.50.0/24 | 複合機・監視カメラ |
| 99 | Management | 192.168.99.0/24 | NW機器管理用 |
| 999 | NativeVLAN | — | ネイティブVLAN(未使用) |
Inter-VLAN ルーティング
VLAN間の通信はL2スイッチだけでは行えず、ルーティングが必要です。Inter-VLANルーティングには以下の3つの方式があります。
| 方式 | 概要 | メリット | デメリット |
|---|---|---|---|
| Router on a Stick | ルーターの1つのインターフェースにサブインターフェースを設定 | ポート数を節約 | 帯域がボトルネックになる |
| L3スイッチ(SVI) | L3スイッチにVLANインターフェースを設定 | 高速・シンプル | 機器コストがやや高い |
| ファイアウォール経由 | FWのインターフェースに各VLANを接続 | セキュリティポリシーを適用可能 | スループットに注意 |
📋 具体例
Yamaha RTX1300でのRouter on a Stick設定例:
vlan port mapping lan1.1 vlan 10
vlan port mapping lan1.2 vlan 20
ip lan1/1 address 192.168.10.1/24
ip lan1/2 address 192.168.20.1/24
Cisco L3スイッチでのSVI設定例:
interface Vlan10
ip address 192.168.10.1 255.255.255.0
interface Vlan20
ip address 192.168.20.1 255.255.255.0
ip routing
ポイント:中小企業ではL3スイッチまたはUTM/ファイアウォール(FortiGateなど)でInter-VLANルーティングを行うのが主流です。FortiGateであればVLAN間のファイアウォールポリシーも同時に適用でき、「来客Wi-FiからはインターネットのみアクセスOK、社内サーバーへはブロック」といった制御が簡単に実現できます。
✅ 完了済み