Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

VLAN(仮想ローカル エリア ネットワーク)とは、ネットワーク内のトラフィックを分離するものです。VLAN は、トポロジ内の共有リンクとデバイスを通過する、別のネットワークからのトラフィックを分離します。VLAN タギングとも呼ばれるこのプロセスは、ブロードキャスト ネットワーク トラフィックを制限し、ネットワーク セグメントを保護するために有益です。 VLAN タギングはあらゆる規模のネットワークで不可欠であり、MX セキュリティ アプライアンスMR アクセス ポイント、MS シリーズ スイッチでサポートされています。VLAN タギングは、データと管理トラフィックでそれぞれ個別に実行することができます。

共通用語

VLAN:仮想ローカル エリア ネットワーク。ネットワークを分離するための論理識別子

トランク ポート:VLAN タギングに対応したポート

アクセス ポート:タギングを行わず、単一の VLAN のみ受け付けるポート

カプセル化:追加情報を含めるためにデータのフレームを変更するプロセス

802.1Q:VLAN タギングで最も一般的なカプセル化方法。 Meraki デバイスではこの方法が使用されます。

ネイティブ VLAN:トランク上のすべてのタグなしトラフィックに関連付けられている VLAN

ベスト プラクティス

VLAN 対応ポートは一般的に、タグ付きまたはタグなしのいずれかに分類されます。これらはそれぞれ、「トランク」または「アクセス」と呼ばれる場合もあります。タグ付きまたは「トランク」ポートは、複数の VLAN に対するトラフィックを通過させることを目的とし、タグなしまたは「アクセス」ポートは、1 つの VLAN に対するトラフィックのみ受け付けます。一般的に、トランク ポートはスイッチにリンクされ、アクセス ポートはエンド デバイスにリンクされます。

トランク ポートのほうが、トランクとしてネゴシエートするまでの手順が多くなります。

リンクの両端で次のものが必要になります。

  • カプセル化
  • 許可 VLAN
  • ネイティブ VLAN

許可 VLAN またはネイティブ VLAN が一致しないリンクが確立される場合もありますが、リンクの両端の設定が同一であることがベスト プラクティスになります。 ネイティブ VLAN または許可 VLAN が一致しないリンクが確立されると、予期しない結果が生ずる可能性があります。ネイティブ VLAN とは、タグなしトラフィックに関連付けられている VLAN です。トランクの反対側に一致しないネイティブ VLAN があると、気づかないうちに「VLAN ホッピング」が作成される可能性があります。VLAN ホッピングは、ネットワークへの侵入を目的とした攻撃に多く使用される、オープンなセキュリティ リスクです。次に示す例と図で確認します。

VLAN 1 アクセス ポートにプラグインされているクライアントが、VLAN 1 サブネット(192.168.1.0/24)上の DHCP サーバにアドレスを要求します。2 つのスイッチ間のトランク リンクでネイティブ VLAN が一致していないため、クライアントが適切なアドレスを受け取ることができません。ネイティブ VLAN が 1 であるため、アクセス VLAN 1 ポートからスイッチ上のトランクに到達した DHCP 要求は、タグなしトラフィックになります。トラフィックがトランクの反対側のスイッチに到達すると、ネイティブ VLAN は 10 になります。右側のスイッチからのタグなしトラフィックは、左側のスイッチで VLAN 10 として処理されます。DHCP サーバは VLAN 10(192.168.10.0/24)に対する DHCP 要求に応答し、アドレスをクライアントに返信します。この場合も、VLAN 10 が左側のスイッチでタグなしであるためネイティブ VLAN が一致せず、右側のスイッチで VLAN 1 として処理され、クライアントは最終的に誤ったサブネットのアドレスを取得することになります。

 

VLAN は、トラフィックが通過するネットワーク全体のパスで、他のすべてのトランク設定と一致している必要があります。たとえば、VLAN 100 上のクライアントとゲートウェイ間にスイッチが 3 つある場合、VLAN 100 は、リンクを接続するすべてのスイッチを通じてトランキングされる必要があります(以下を参照)。

d40542f3-7d27-464d-94a6-93eb3f8e40d0

VLAN は、ネットワーク セグメントを分離してブロードキャスト トラフィックを制限するために有効ですが、多くの場合、VLAN によって分離されたサブネット間の通信が必要になります。これは、VLAN 間のルーティングが可能なレイヤ 3 対応デバイスによってのみ実現されます。 両方の VLAN が 1 つのデバイスに存在する場合でも、レイヤ 3 ルーティング デバイスを中継しない限り、トラフィックは分離されます。