VLANを調べていると、「ポートVLANとタグVLANは何が違うのか」「MACベースVLANやユーザーベースVLANはいつ使うのか」といった疑問にぶつかりがちです。
しかも、メリットだけを見て導入すると、設定ミスや管理負荷の増加でかえって運用が複雑になる事もあります。
本記事では、ポートVLAN・タグVLAN・MACベースVLAN・ユーザーベースVLAN・サブネットベースVLANの違いを、メリット・デメリットと合わせて分かり易く解説します。
VLANとは何か
VLANはネットワークを分けるための仕組み
VLANとは、会社や学校などで使うネットワークを、見えない線でいくつかのグループに分ける仕組みです。
正式には「Virtual LAN」と呼ばれます。
日本語にすると「仮想的なLAN」という意味です。
例えば、同じ会社の中に「総務部」「営業部」「開発部」「来客用Wi-Fi」があるとします。
もし全員が同じネットワークにつながっていると、来客用のパソコンから社内の大事なデータに近付けてしまうかもしれません。
また、関係の無い通信が社内全体に広がって、ネットワークが重くなる事もあります。
そこで使われるのがVLANです。
VLANを使うと、同じスイッチや同じLANケーブルを使っていても、「営業部用のネットワーク」「開発部用のネットワーク」「来客用のネットワーク」の様に分ける事が出来ます。
物理的には同じ場所につながっていても、ネットワークの中では別々の部屋に分かれている様なイメージです。
分かり易く言うと、VLANは「同じ建物の中に、見えない壁を作る技術」です。
壁があるので、必要な人だけが必要な場所に入れます。
ネットワークでも同じで、必要な通信だけを通し、関係の無い通信を分ける事が出来ます。
パナソニックEWネットワークスの解説でも、VLANは物理的な接続に関係なく、ネットワークを仮想的なグループに分ける仕組みとして説明されています。
VLANを使うと通信の範囲を小さく出来る
VLANを使う大きな理由のひとつは、通信が広がり過ぎるのを防ぐ事です。
ネットワークの中では、ある端末が「この相手はどこにいますか?」と周りに尋ねる様な通信を出す事があります。
この様な通信は、同じネットワークにいる多くの機器に届きます。
端末が少ない内は問題になりませんが、パソコンやスマートフォン、プリンター、カメラなどが増えると、関係の無い通信が増えてネットワークが混雑し易くなります。
VLANを使うと、この通信の届く範囲を小さく出来ます。
例えば、営業部VLANの中で発生した通信は、基本的に営業部VLANの中だけで扱われます。
開発部VLANや来客用VLANには広がりにくくなります。
これは、学校のクラスを分けるのに似ています。
全校生徒に向けて毎回連絡するより、1年1組に関係する連絡は1年1組だけに伝えた方が効率的です。
VLANも同じで、関係のあるグループの中だけで通信をやり取りし易くします。
この仕組みによって、ネットワークのムダな通信を減らし易くなります。
また、来客用のネットワークと社内用のネットワークを分ければ、セキュリティ面でも安心し易くなります。
ただし、VLANを分けただけで完全に安全になる訳ではありません。
違うVLAN同士で通信させる場合は、ルーターやL3スイッチ、ファイアウォールなどを使って「どの通信を通すか」を決める必要があります。
VLANはあくまでネットワークを分けるための土台であり、安全に使うにはルール作りも大切です。
VLANの主な種類
ポートVLANとは
ポートVLANとは、スイッチの差し込み口ごとにVLANを決める方法です。
スイッチにはLANケーブルを差すポートがあります。
そのポートごとに「このポートは営業部用」「このポートは開発部用」「このポートは来客用」と決めておくのがポートVLANです。
例えば、スイッチの1番から8番までを営業部VLAN、9番から16番までを開発部VLAN、17番から20番までを来客用VLANにするとします。
この場合、営業部のパソコンを1番ポートに差せば営業部VLANに入り、開発部のパソコンを9番ポートに差せば開発部VLANに入ります。
ポートVLANの良いところは、とても分かり易い事です。
「どのポートに差すか」で所属するVLANが決まるので、ネットワークに詳しくない人でもイメージし易いです。
小さな会社や、席替えが少ない職場では特に使い易い方法です。
一方で、弱点もあります。
パソコンを別の席に移動して、違うポートに差すと、別のVLANに入ってしまう事があります。
例えば営業部の人が会議室で作業するために別のポートに接続したら、開発部VLANに入ってしまうかもしれません。
また、複数のスイッチを使う場合、ポートVLANだけではケーブルやポートの数が増え易くなります。
タグVLANとは
タグVLANとは、通信データに「これはどのVLANの通信か」を示す目印を付ける方法です。
この目印のことを「タグ」と呼びます。
例えば、1本のLANケーブルの中に、営業部VLAN、開発部VLAN、来客用VLANの通信をまとめて流したいとします。
このとき、通信データに何も目印がないと、スイッチはどの通信がどのVLANのものか分かりません。
そこで、通信データにVLAN IDという番号をつけます。
これにより、スイッチは「これは営業部VLANの通信」「これは来客用VLANの通信」と判断出来ます。
タグVLANの大きなメリットは、1本のケーブルで複数のVLANの通信を運べる事です。
例えば、1階と2階にスイッチがある場合、営業部用、開発部用、来客用でケーブルを何本も用意するのは大変です。
しかしタグVLANを使えば、1本のケーブルで複数のVLANをまとめて運べます。
この様に、複数のVLANを通すポートを「トランクポート」と呼びます。
反対に、パソコンやプリンターなどをつなぐ、基本的に1つのVLANだけを使うポートは「アクセスポート」と呼ばれる事があります。
ただし、タグVLANは設定を間違えるとトラブルが大きくなり易いです。
どのVLANを通して良いか、どのポートをトランクにするか、タグなし通信をどう扱うかなどを正しく決める必要があります。
便利な反面、ポートVLANよりも設計や管理が少し難しくなります。
MACベースVLANとは
MACベースVLANとは、端末ごとに決まっている「MACアドレス」を見て、どのVLANに入れるかを決める方法です。
MACアドレスとは、パソコンやスマートフォン、ネットワーク機器が持っている識別番号の様な物です。
人で言えば、名前や学生番号の様な物と考えると分かり易いです。
ポートVLANでは「どの差し込み口につながったか」でVLANが決まりますが、MACベースVLANでは「どの端末がつながったか」でVLANが決まります。
この方法の良いところは、端末が移動しても同じVLANに入り易い事です。
例えば、営業部のノートパソコンを自分の席ではなく会議室のLANポートにつないだとしても、そのパソコンのMACアドレスが登録されていれば、営業部VLANに入れる事が出来ます。
フリーアドレスのオフィスや、席替えが多い学校、工場、研究室などでは便利です。
パソコンを別の場所に移動するたびに、スイッチのポート設定を変えなくても良いからです。
ただし、MACベースVLANにも注意点があります。
端末のMACアドレスをきちんと管理しなければなりません。
パソコンを買い替えたり、LANアダプターを交換したりすると、MACアドレスが変わる事があります。
その場合は、登録情報を更新する必要があります。
ユーザーベースVLANとは
ユーザーベースVLANとは、「どの人が使っているか」をもとに、入るVLANを決める方法です。
端末の場所やポートではなく、ログインした人や認証された人によってネットワークを分けます。
例えば、同じ会議室のLANポートを使っていても、社員がログインしたときは社内VLANに入り、来客がログインした時は来客用VLANに入る、という使い方が出来ます。
つまり、場所ではなく「人」に合わせてネットワークを分けられるのです。
この方式は、セキュリティを重視する会社で役に立ちます。
人事部、経理部、情報システム部、外部スタッフ、来客など、人によって見られる情報や使えるシステムを変えたい場合に便利です。
例えば、経理部の人だけが会計システムにアクセス出来る様にしたいとします。
この時、ユーザーベースVLANを使えば、経理部の人がどの席から接続しても、経理部用のネットワークに入れるように出来ます。
ただし、ユーザーベースVLANは少し準備が大変です。
ユーザーを認証するための仕組みが必要になります。
IDとパスワード、認証サーバー、証明書などを用意しなければならない場合があります。
サブネットベースVLANとは
サブネットベースVLANとは、端末のIPアドレスを見て、どのVLANに入れるかを決める方法です。
IPアドレスとは、ネットワーク上の住所の様な物です。
例えば「192.168.10.15」の様な番号で、どのネットワークにいる機器なのかを判断するために使われます。
サブネットベースVLANでは、このIPアドレスの範囲をもとにVLANを決めます。
例えば、192.168.10.0から始まるIPアドレスは営業部VLAN、192.168.20.0から始まるIPアドレスは開発部VLAN、192.168.30.0から始まるIPアドレスは来客用VLAN、という様に分けられます。
この方法の良いところは、IPアドレスの設計とVLANの設計を合わせやすい事です。
会社では、部署や用途ごとにIPアドレスの範囲を分けている事があります。
その様な場合、サブネットベースVLANを使うと、今あるIPアドレスのルールに合わせてVLANを作り易くなります。
また、端末を入れ替えても、同じIPアドレスの範囲を使っていれば設定を変えずに済む場合があります。
ただし、IPアドレスの管理がバラバラな会社では注意が必要です。
誰かが勝手にIPアドレスを変えたり、同じIPアドレスを別の端末で使ってしまったりすると、正しくVLANを分けられなくなる事があります。
5種類のVLANを比較
方式別のメリット・デメリット比較表
ここまで紹介した5種類のVLANは、それぞれ得意な事が違います。
どれか1つが絶対に正しい訳ではありません。
大切なのは、「何を基準にネットワークを分けたいのか」を考える事です。
| VLANの種類 | 何を基準にするか | メリット | デメリット | 向いている場面 |
|---|---|---|---|---|
| ポートVLAN | LANポート | 分かりやすく管理しやすい | 端末の移動に弱い | 小さな会社、固定席 |
| タグVLAN | VLANタグ | 1本のケーブルで複数VLANを通せる | 設定が少し難しい | 複数スイッチ、無線AP |
| MACベースVLAN | MACアドレス | 端末が移動しても同じVLANにしやすい | MACアドレスの管理が必要 | フリーアドレス、端末移動が多い職場 |
| ユーザーベースVLAN | ユーザー認証 | 人ごとに使えるネットワークを変えられる | 認証の仕組みが必要 | セキュリティ重視の会社 |
| サブネットベースVLAN | IPアドレス | IP設計と合わせやすい | IP管理が乱れると危険 | IPアドレスをきれいに管理している環境 |
ポートVLANは、最もシンプルです。
小さなオフィスや、席の移動が少ない環境なら使いやすいです。
タグVLANは、複数のスイッチをつなぐ時に便利です。
MACベースVLANは、端末を基準にしたい時に向いています。
ユーザーベースVLANは、人を基準にしたい時に向いています。
サブネットベースVLANは、IPアドレスの範囲を基準にしたい時に向いています。
つまり、VLAN選びは「ポートで分けたいのか」「端末で分けたいのか」「人で分けたいのか」「IPアドレスで分けたいのか」を決める作業です。
ここをはっきりさせると、どの方式を選べば良いかが見えてきます。
どのVLANを選ぶべきかの判断基準
VLANを選ぶ時は、まずネットワークを使う場所や人の動きを考えましょう。
例えば、小さな会社で、社員の席がほとんど変わらないなら、ポートVLANで十分な場合があります。
ポートと部署を対応させるだけなので、設定も管理も分かり易いからです。
一方で、複数のフロアや複数のスイッチを使う場合は、タグVLANが必要になる事が多いです。
1階と2階、又は本社と別拠点で同じVLANを使いたい場合、1本のケーブルで複数のVLANを通せるタグVLANが便利です。
端末の移動が多いなら、MACベースVLANが向いています。
フリーアドレスの職場では、毎日違う席でパソコンを使う事があります。
その度にスイッチの設定を変えるのは大変です。
MACベースVLANなら、端末のMACアドレスを見てVLANを決められるため、場所が変わっても同じVLANに入り易くなります。
セキュリティを特に重視するなら、ユーザーベースVLANを考えます。
これは「誰が使っているか」でネットワークを分ける方法なので、人事部や経理部、外部スタッフ、来客などでアクセス範囲を変えたい場合に役立ちます。
IPアドレスの設計がきちんと整理されているなら、サブネットベースVLANも選択肢になります。
部署ごとにIPアドレスの範囲を分けている会社では、IPアドレスとVLANを合わせて管理し易くなります。
迷った時は、次の様に考えると分かり易いです。
小さく始めたいならポートVLAN。
複数の機器をつなぎたいならタグVLAN。
端末を基準にしたいならMACベースVLAN。
人を基準にしたいならユーザーベースVLAN。
IPアドレスを基準にしたいならサブネットベースVLANです。
VLANを導入するメリット
セキュリティ向上につながる
VLANを使う大きなメリットは、ネットワークを分ける事で安全性を高め易くなる事です。
例えば、社内のパソコン、来客用Wi-Fi、監視カメラ、サーバー、プリンターが全て同じネットワークに入っているとします。
この状態では、来客用Wi-Fiにつながった端末から、社内の大事な機器に近付けてしまうかもしれません。
しかし、VLANで分けておけば、来客用Wi-Fiはインターネットだけ使えるようにし、社内サーバーには近付けないように出来ます。
社員用のネットワークと来客用のネットワークを分けるだけでも、危険をかなり減らせます。
これは、学校で「職員室」「教室」「体育館」「保健室」を分けるのに似ています。
全員がどこにでも自由に入れると困る場所があります。
ネットワークでも同じで、誰でもどこにでもアクセス出来る状態は安全ではありません。
VLANは、このように「入れる場所」と「入れない場所」を分けるために役立ちます。
勿論、VLANだけで完璧に守れる訳ではありません。
大事な情報を守るには、ファイアウォール、パスワード、認証、ログの確認なども必要です。
それでも、VLANでネットワークを分けておく事は、セキュリティの基本としてとても大切です。
ネットワークの中を整理しておけば、もし問題が起きた時にも、被害が広がりにくくなります。
通信を整理し易くなる
VLANを使うと、ネットワークの中を流れる通信を整理し易くなります。
ネットワークには、必要な通信だけでなく、周りの機器に呼びかけるような通信も流れています。
端末が少ない時はあまり気になりませんが、会社の中にパソコン、スマートフォン、プリンター、防犯カメラ、サーバーなどが沢山あると、通信が増えてネットワークが混み易くなります。
VLANを使えば、通信をグループごとに分けられます。
営業部の通信は営業部VLANの中、開発部の通信は開発部VLANの中、来客用Wi-Fiの通信は来客用VLANの中、という様に整理出来ます。
これにより、関係の無い通信が別のグループに広がりにくくなります。
結果として、ネットワーク全体を見易く、管理し易く出来ます。
例えば、監視カメラの映像データは通信量が多くなり易いです。
これを社員のパソコンと同じネットワークに入れていると、業務用の通信に影響する事があります。
そこで、監視カメラ用のVLANを作って分けておけば、影響を小さく出来ます。
また、トラブルが起きた時にも原因を探し易くなります。
全ての機器が同じネットワークにいると、どこで問題が起きているのか分かりにくくなります。
VLANで分けておけば、「営業部VLANだけ遅い」「来客用VLANだけつながらない」といった形で、原因を絞り易くなります。
物理的な配線にしばられにくくなる
VLANを使うと、LANケーブルやスイッチの場所に縛られにくくなります。
例えば、営業部の人が1階と2階に分かれて座っているとします。
普通に考えると、同じ部署なら同じ場所にまとめた方がネットワークを作り易いです。
しかし、実際の会社では、座席や部屋の都合で部署が分かれる事があります。
VLANを使えば、物理的に離れた場所にいても、同じ営業部VLANに入れる事が出来ます。
逆に、同じスイッチにつながっていても、営業部と来客用を別々のVLANに分ける事も出来ます。
特にタグVLANを使うと、1本のLANケーブルで複数のVLANをまとめて運べます。
これは、1本の道路に「バス専用レーン」「自転車レーン」「一般車線」を分けて作る様なイメージです。
同じ道路を使っていても、通る場所やルールが分かれています。
タグVLANも同じように、同じケーブルの中で複数の通信を分けて運びます。
ただし、便利になる分、設定内容が見えにくくなる事もあります。
ケーブルを見ただけでは、どのVLANが通っているのか分からないからです。
そのため、どのポートにどのVLANを通すのか、きちんとメモや管理表に残しておく事が大切です。
VLANのデメリット・注意点
設定ミスで通信出来なくなる事がある
VLANは便利ですが、設定を間違えると通信出来なくなる事があります。
例えば、営業部のパソコンを営業部VLANに入れるつもりだったのに、間違えて来客用VLANに入れてしまったとします。
この場合、社内サーバーにアクセス出来なくなるかもしれません。
逆に、来客用の端末を社内VLANに入れてしまうと、安全面で大きな問題になります。
ポートVLANでは、ポート番号の管理ミスが起きやすいです。
「このポートは何用だったか」が分からなくなると、間違った端末をつないでしまう事があります。
タグVLANでは、更に注意が必要です。
複数のVLANを1本のケーブルで通すため、どのVLANを通して良いかを正しく設定する必要があります。
設定がずれていると、通信が届かなかったり、想定していないVLANに通信が流れたりする可能性があります。
対策としては、VLAN ID、VLAN名、使う目的、接続するポート、通して良いVLANを一覧にしておく事が大切です。
変更する時も、いきなり本番環境で作業するのではなく、作業前に確認し、作業後にも通信テストを行いましょう。
VLANは「なんとなく設定する」と危険です。小さな設定ミスが、大きな通信トラブルにつながる事があります。
違うVLAN同士で通信するには別の設定が必要
VLANを分けると、違うVLAN同士は基本的にそのままでは通信出来ません。
これはメリットでもあります。
例えば、来客用VLANから社内サーバーにアクセス出来ない様にするのは、安全のために大切です。
しかし、業務で必要な通信まで止まってしまうと困ります。
例えば、営業部VLANのパソコンから、サーバーVLANにあるファイルサーバーを使いたい場合があります。
また、社員用VLANからプリンターVLANにあるプリンターを使いたい場合もあります。
この様な時は、VLAN同士をつなぐための設定が必要です。
この役割をするのが、ルーターやL3スイッチ、ファイアウォールです。
簡単に言うと、違うVLAN同士の間に立って、「この通信は通してよい」「この通信は止める」と判断する機器です。
VLANを作るときは、「分ける事」だけでなく、「どことどこは通信させるのか」まで考えなければなりません。
ここを考えずにVLANだけ作ると、「インターネットは使えるけれど社内システムにつながらない」「プリンターだけ使えない」といった問題が起きます。
大事なのは、必要な通信を事前に書き出す事です。
営業部はどのサーバーを使うのか、来客用Wi-Fiはインターネットだけで良いのか、管理者だけが使うネットワークはどれか。
このような事を整理してからVLANを作ると、失敗しにくくなります。
VLANだけでは安全とは言い切れない
VLANを使うとネットワークを分けられるため、安全性は高めやすくなります。
しかし、VLANを作っただけで完全に安全になる訳ではありません。
例えば、不要なVLANが残ったままになっていたり、トランクポートに必要の無いVLANまで通していたりすると、思わぬ危険が生まれます。
また、初期設定のまま使っているVLANがあると、攻撃や設定ミスの原因になる事があります。
VLANに関する攻撃として、「VLANホッピング」や「ダブルタグ」と呼ばれる物があります。
VLANホッピングは、本来入れないはずのVLANに不正に入ろうとする攻撃です。
ダブルタグは、VLANタグを二重につける性質を悪用して、別のVLANへ不正な通信を送ろうとする攻撃です。
対策としては、使っていないポートを無効にする事が大切です。
また、使っていないVLANは削除し、トランクポートには必要なVLANだけを通すようにします。
ネイティブVLANを初期設定のままにしない事も重要です。
更に、VLANだけに頼らず、ファイアウォール、認証、アクセス制御、ログ確認なども組み合わせましょう。
VLANは安全なネットワークを作るための大事な部品ですが、それだけで全部を守れる訳ではありません。
ポートVLANとタグVLANの違い
アクセスポートとトランクポートの違い
ポートVLANとタグVLANを理解するには、「アクセスポート」と「トランクポート」の違いを知ると分かり易くなります。
アクセスポートとは、基本的に1つのVLANだけを使うポートです。
パソコンやプリンター、監視カメラなどをつなぐ時に良く使われます。
例えば、営業部のパソコンをつなぐポートなら、営業部VLANだけを使うアクセスポートにします。
一方、トランクポートとは、複数のVLANを通すポートです。
主にスイッチ同士をつなぐ時に使います。
例えば、1階のスイッチと2階のスイッチをつなぐ場合、営業部VLAN、開発部VLAN、来客用VLANなど、複数のVLANをまとめて通す必要があります。
この時に使うのがトランクポートです。
例えるなら、アクセスポートは「1つのクラス専用の教室」です。
営業部VLANなら営業部だけ、来客用VLANなら来客だけが使います。
トランクポートは「色々なクラスの人が通る廊下」の様な物です。
複数のVLANの通信が通るため、どの通信がどのVLANの物かをタグで見分けます。
注意点として、トランクポートには必要なVLANだけを通すようにしましょう。
何でも通せる状態にすると、管理が難しくなり、セキュリティ面でも不安が残ります。
小規模構成と複数スイッチ構成での使い分け
ポートVLANとタグVLANは、どちらか一方だけを選ぶ物ではありません。
実際のネットワークでは、両方を組み合わせて使う事が多いです。
小さな会社で、スイッチが1台だけなら、ポートVLANだけでも十分な場合があります。
例えば、1番から8番ポートは社員用、9番から12番ポートは来客用、という様に分ければ、シンプルに管理出来ます。
しかし、スイッチが複数台になると、タグVLANが必要になる事が多くなります。
1階と2階にスイッチがあり、どちらの階でも営業部VLANや来客用VLANを使いたい場合、スイッチ同士をつなぐケーブルに複数のVLANを通す必要があるからです。
つまり、端末をつなぐところではポートVLANを使い、スイッチ同士をつなぐところではタグVLANを使う、という考え方が基本です。
例えば、社員のパソコンをつなぐポートは営業部VLANのアクセスポートにします。
そして、そのスイッチから上位のスイッチにつなぐポートは、営業部VLANや開発部VLAN、来客用VLANをまとめて通すトランクポートにします。
この様に使い分ければ、端末側はシンプルに管理でき、機器同士の接続は効率良く出来ます。
MAC・ユーザー・サブネットベースVLANの使い分け
端末移動が多いならMACベースVLAN
端末を色々な場所で使うなら、MACベースVLANが便利です。
例えば、フリーアドレスの会社では、社員が毎日違う席で仕事をすることがあります。
昨日は窓側の席、今日は会議室、明日は別フロアというように、パソコンをつなぐ場所が変わる事もあります。
この時、ポートVLANだけで管理していると、つなぐ場所によって入るVLANが変わってしまう可能性があります。
営業部の人が会議室のポートにつないだら、別のVLANに入ってしまうかもしれません。
MACベースVLANなら、端末のMACアドレスを見てVLANを決めます。
そのため、端末がどのポートにつながっても、登録されたVLANに入れ易くなります。
ただし、MACベースVLANは、端末の情報をきちんと管理する必要があります。
パソコンを買い替えた場合や、USBのLANアダプターを使った場合、MACアドレスが変わる事があります。
登録されていないMACアドレスだと、正しいVLANに入れないかもしれません。
そのため、MACベースVLANを使うなら、端末台帳を整えておく事が大切です。
どの端末が誰のものか、どのMACアドレスを持っているか、どのVLANに入れるべきかを管理しましょう。
認証を重視するならユーザーベースVLAN
人ごとにネットワークの使い方を変えたいなら、ユーザーベースVLANが向いています。
例えば、同じ会社の中でも、人事部や経理部は大事な情報を扱います。
外部スタッフや来客が、同じ様にその情報へアクセス出来てしまうと危険です。
そこで、ユーザーごとに入れるVLANを変える事で、安全性を高めます。
ユーザーベースVLANでは、ネットワークに接続する時に認証を行います。
認証とは、「あなたは誰ですか?」を確認する事です。
IDとパスワードを使ったり、認証サーバーを使ったりします。
認証に成功すると、その人に合ったVLANへ入る事が出来ます。
例えば、経理部の人がログインすれば経理部VLANに入り、外部スタッフがログインすれば外部スタッフ用VLANに入る、というように出来ます。
場所ではなく、人の役割に合わせてネットワークを分けられるのが強みです。
ただし、ユーザーベースVLANは準備が必要です。
認証サーバーやユーザー情報の管理が必要になるため、ポートVLANよりも運用が難しくなります。
認証システムが止まった時にどうするかも考えておかなければなりません。
安全性を高めやすい方式ですが、その分、きちんとした設計と運用が必要です。
IP設計と連動させるならサブネットベースVLAN
IPアドレスのルールに合わせてVLANを分けたいなら、サブネットベースVLANが向いています。
例えば、会社の中で次のようにIPアドレスを分けているとします。
営業部は192.168.10.0台、開発部は192.168.20.0台、来客用は192.168.30.0台。
このように部署や用途ごとにIPアドレスの範囲が決まっているなら、サブネットベースVLANで管理し易くなります。
サブネットベースVLANでは、端末のIPアドレスを見て、どのVLANに入るかを決めます。
ポートではなくIPアドレスを基準にするため、IPアドレスの設計がしっかりしている環境では便利です。
ただし、IPアドレスの管理がきちんと出来ていないと、サブネットベースVLANは使いにくくなります。
例えば、同じIPアドレスを複数の端末で使ってしまったり、部署ごとのIPアドレスがバラバラだったりすると、正しくVLANを分けられません。
そのため、サブネットベースVLANを使う前には、IPアドレス表を整理する事が大切です。
どの部署がどのIPアドレスの範囲を使っているのか、どのサーバーやプリンターがどのIPを使っているのかを確認しましょう。
IP設計が綺麗に整っている会社なら、サブネットベースVLANはとても分かり易い方式になります。
VLAN設計で失敗しないポイント
VLAN ID・名前・IPアドレスを整理する
VLANを作る時は、いきなりスイッチに設定を入れるのではなく、まず整理する事が大切です。
最初に決めるべきなのは、VLAN IDです。
VLAN IDとは、VLANを区別するための番号です。
例えば、VLAN10は営業部、VLAN20は開発部、VLAN30は来客用、VLAN99は管理用、という様に決めます。
次に、VLAN名を決めます。
番号だけでは分かりにくいので、「SALES」「DEV」「GUEST」「MGMT」など、用途が分かる名前にしておくと便利です。
日本語で管理表を作る場合は、「営業部」「開発部」「来客用」「管理用」と書いても良いでしょう。
更に、IPアドレスの範囲も決めます。
例えば、営業部VLANは192.168.10.0/24、開発部VLANは192.168.20.0/24、来客用VLANは192.168.30.0/24の様にすると、VLAN IDとIPアドレスの関係が分かり易くなります。
大切なのは、ルールを決めて、それを表に残す事です。
頭の中だけで覚えていると、担当者が変わった時や、設定を追加する時に混乱します。
VLANの管理表には、少なくとも次の様な情報を書いておくと安心です。
VLAN ID、VLAN名、用途、IPアドレスの範囲、使うポート、通すトランクポート、関係するサーバーやプリンターなどです。
VLAN設計は、設定作業よりも前の準備が大切です。
準備がしっかりしていれば、設定ミスや通信トラブルを減らせます。
ネイティブVLANや未使用VLANを放置しない
タグVLANを使うときに注意したいのが、ネイティブVLANです。
ネイティブVLANとは、タグが付いていない通信をどのVLANとして扱うかを決めるものです。
少し難しく聞こえますが、簡単に言うと「目印がない通信を、とりあえずどのグループに入れるか」という設定です。
このネイティブVLANを初期設定のまま使い続けると、セキュリティ上の不安が残ることがあります。
また、使っていないVLANや使っていないポートを放置するのも危険です。
誰かが空いているLANポートに勝手に端末をつなぐと、社内ネットワークに入れてしまうかもしれません。
対策として、使っていないポートは無効にしておきましょう。
どうしても有効にしておく必要がある場合は、重要なネットワークではなく、隔離用のVLANに入れておく方法もあります。
また、昔作ったけれど今は使っていないVLANも定期的に見直しましょう。
不要な設定が残っていると、トラブルの原因になります。
VLANは作るだけでなく、要らなくなった物を消す事も大切です。
ネットワークは、長く使うほど設定が増えていきます。
だからこそ、定期的に整理して、今必要なVLANだけを残すようにしましょう。
運用ルールと管理表を整備する
VLANを安全に使い続けるには、運用ルールと管理表が必要です。
良くある失敗は、「設定した人しか分からない状態」になる事です。
最初に設定した担当者は内容を覚えていても、時間が経つと忘れてしまいます。
担当者が変われば、更に分からなくなります。
そのため、VLANを作ったら必ず管理表に残しましょう。
VLAN ID、VLAN名、用途、IPアドレス、接続ポート、トランクポート、許可している通信などを書いておきます。
また、変更する時のルールも決めておくと安心です。
例えば、VLANを追加する前に申請する、作業前にバックアップを取る、作業後に通信確認をする、管理表を更新する、といった流れです。
特に大切なのは、作業後の確認です。
VLANを変更したら、インターネットに接続出来るか、社内サーバーにアクセス出来るか、プリンターが使えるか、来客用ネットワークから社内ネットワークに入れないかなどを確認しましょう。
VLANは、設定した瞬間だけ正しければ良い物ではありません。
会社の人数が増えたり、部署が変わったり、新しい機器が増えたりすると、VLANの見直しも必要になります。
ネットワークを安定して使うためには、「誰が見ても分かる状態」にしておく事が大切です。
綺麗な管理表と分かり易いルールがあれば、トラブルが起きた時も落ち着いて対応出来ます。
まとめ
VLANは、会社や学校などのネットワークを、使う人や目的ごとに分けるための便利な仕組みです。
物理的には同じスイッチやLANケーブルを使っていても、ネットワークの中では「社員用」「来客用」「サーバー用」「管理者用」の様に分ける事が出来ます。
VLANを使う一番のメリットは、ネットワークを整理し易くなる事です。
例えば、来客用Wi-Fiと社内パソコンを同じネットワークに入れてしまうと、外部の人が社内の大事な情報に近づいてしまう危険があります。
しかし、来客用VLANと社内用VLANを分けておけば、来客はインターネットだけを使えるようにし、社内のサーバーやパソコンに近付けない様に出来ます。
つまり、VLANはネットワークの中に「入って良い場所」と「入ってはいけない場所」を作るための仕組みです。
VLANにはいくつかの種類があります。
ポートVLANは、スイッチの差し込み口ごとにVLANを決める方法です。
仕組みが分かり易く、小さな会社や席の移動が少ない環境に向いています。
一方、タグVLANは、通信データにVLAN IDという目印をつけて、1本のケーブルで複数のVLANの通信を運ぶ方法です。
この2つは、どちらか一方だけを使う物ではありません。
実際のネットワークでは、パソコンやプリンターをつなぐ場所ではポートVLANを使い、スイッチ同士をつなぐ場所ではタグVLANを使うことが良くあります。
また、端末の移動が多い場所ではMACベースVLANが役立ちます。
これは、パソコンやスマートフォンなどが持っているMACアドレスを元に、どのVLANに入れるかを決める方法です。
フリーアドレスのオフィスのように、毎日違う席で仕事をする環境では便利です。
ユーザーベースVLANは、「どの人が使っているか」をもとにVLANを決める方法です。
例えば、経理部の人がログインしたら経理部用VLANに入り、来客がログインしたら来客用VLANに入る、といった使い方が出来ます。
人ごとにアクセス出来る範囲を変えたい会社では、とても役に立つ方法です。
サブネットベースVLANは、IPアドレスの範囲をもとにVLANを決める方法です。
例えば、営業部は192.168.10.0台、開発部は192.168.20.0台、来客用は192.168.30.0台のように、IPアドレスを綺麗に分けている環境では使い易い方式です。
ただし、VLANは便利な反面、注意点もあります。
設定を間違えると、必要な通信が出来なくなったり、逆に本来つながってはいけないネットワークにつながってしまったりします。
特にタグVLANでは、どのVLANを通すのか、トランクポートをどう設定するのか、ネイティブVLANをどう扱うのかを正しく決める必要があります。
また、VLANを分けただけで完全に安全になるわけではありません。
VLANホッピングやダブルタグ攻撃のように、本来入れないはずのVLANへ不正に入ろうとする攻撃もあります。
そのため、VLANを使うときは、ただ設定するだけではなく、管理表を作る事が大切です。
VLAN ID、VLAN名、使う目的、IPアドレスの範囲、接続するポート、通してよいVLANなどを分かり易くまとめておきましょう。
頭の中だけで覚えていると、担当者が変わった時や、トラブルが起きた時に困ります。
VLANを選ぶ時は、「何を基準にネットワークを分けたいのか」を考えると分かり易くなります。
ポートで分けたいならポートVLAN、複数のスイッチをつなぎたいならタグVLAN、端末で分けたいならMACベースVLAN、人で分けたいならユーザーベースVLAN、IPアドレスで分けたいならサブネットベースVLANが向いています。
VLANは、ネットワークを安全で使い易くするための大切な仕組みです。
しかし、使い方を間違えると、通信トラブルやセキュリティの問題につながる事もあります。
だからこそ、メリットだけでなくデメリットも理解し、自分たちの環境に合った方法を選ぶ事が大切です。
まずは、今のネットワークで「誰が」「何を」「どこまで使えるべきか」を整理してみましょう。
その上で、部署ごと、用途ごと、ユーザーごとにVLANを分ければ、ネットワークはぐっと管理し易くなります。
VLANは難しそうに見えますが、考え方はとてもシンプルです。
必要な人が、必要な場所だけにアクセス出来る様にする。
そのための仕組みがVLANなのです。
コメント