VLANはどこにでもあります。 適切に構成されたネットワークを持つほとんどの組織でそれらを見つけることができます。 明白ではない場合、VLANは「仮想ローカルエリアネットワーク」の略であり、小さなホームネットワークや非常に小規模なオフィスネットワークの規模を超えた現代のネットワークではどこにでもあります。
いくつかの異なるプロトコルがあり、その多くはベンダー固有ですが、そのコアでは、ネットワークの規模と組織の複雑さが増すにつれて、すべてのVLANがほぼ同じことを行い、VLANスケールの利点があります。
これらの利点は、あらゆる規模のプロフェッショナルネットワークがVLANに非常に大きく依存している理由の大きな部分です。 実際、ネットワークなしでネットワークを管理または拡張することは困難です。
VLANの利点とスケーラビリティは、最新のネットワーク環境でVLANが広く普及している理由を説明しています。 VLANのユーザーで中程度に複雑なネットワークでさえ、管理またはスケーリングすることは困難です。
VLANとは
クイックリンク
- VLANとは
- 使い方
- VLANとサブネット
- IPアドレスサブネット
- VLAN
- VLANとサブネット
- VLANの利点
- 静的VLANと動的VLAN
- 静的VLAN
- ダイナミックVLAN
- VLANのセットアップ
- あなたが必要なもの
- ルーター
- マネージドスイッチ
- クライアントネットワークインターフェイスカード(NIC)
- 基本設定
- ルーターのセットアップ
- スイッチの構成
- クライアントを接続する
- あなたが必要なもの
- 自宅のVLAN
さて、頭字語は知っていますが、VLANとは正確には何ですか? 基本的な概念は、仮想サーバーを使用した、または仮想サーバーを使用したことがある人なら誰でも知っているはずです。
仮想マシンの仕組みを少し考えてみてください。 複数の仮想サーバーが、オペレーティングシステムとハイパーバイザーを実行している1つの物理ハードウェア内に存在し、単一の物理サーバー上で仮想サーバーを作成および実行します。 仮想化により、1つの物理コンピューターを複数の仮想コンピューターに効率的に変換し、それぞれが個別のタスクとユーザーに使用できるようにすることができます。
仮想LANは、仮想サーバーとほぼ同じように機能します。 1つ以上の管理対象スイッチがソフトウェアを実行し(ハイパーバイザーソフトウェアと同様)、1つの物理ネットワーク内に複数の仮想スイッチを作成できます。
各仮想スイッチは、独自の自己完結型ネットワークです。 仮想サーバーと仮想LANの主な違いは、トランクと呼ばれる指定ケーブルを使用して、複数の物理ハードウェアに仮想LANを分散できることです。
使い方
成長する中小企業のためにネットワークを運営し、従業員を追加し、別々の部門に分割し、より複雑で組織化されていると想像してください。
これらの変更に対応するために、ネットワーク上の新しいデバイスに対応するために24ポートスイッチにアップグレードしました。
新しいデバイスのそれぞれにイーサネットケーブルを接続してタスクを呼び出すことを検討することもできますが、問題は、各部門で使用されるファイルストレージとサービスを別々に保つ必要があることです。 これを行うには、VLANが最適な方法です。
スイッチのWebインターフェイス内で、3つの個別のVLANを各部門に1つずつ設定できます。 それらを分割する最も簡単な方法は、ポート番号によるものです。 ポート1〜8を最初の部門に割り当て、ポート9〜16を2番目の部門に割り当て、最後にポート17〜24 gを最後の部門に割り当てます。 これで、物理ネットワークを3つの仮想ネットワークに整理できました。
スイッチ上のソフトウェアは、各VLANのクライアント間のトラフィックを管理できます。 すべてのVLANは独自のネットワークとして機能し、他のVLANと直接対話することはできません。 現在、各部門には独自の小規模で混雑のない、より効率的なネットワークがあり、同じハードウェアですべてを管理できます。 これは、ネットワークを管理するための非常に効率的で費用対効果の高い方法です。
部門が相互作用できるようにする必要がある場合は、ネットワーク上のルーターを介して相互作用させることができます。 ルーターは、VLAN間のトラフィックを規制および制御し、より強力なセキュリティルールを適用できます。
多くの場合、部門は連携して相互作用する必要があります。 ルーターを介して仮想ネットワーク間の通信を実装し、個々の仮想ネットワークの適切なセキュリティとプライバシーを確保するためのセキュリティルールを設定できます。
VLANとサブネット
VLANとサブネットは実際には非常に似ており、同様の機能を果たします。 サブネットとVLANの両方がネットワークとブロードキャストドメインを分割します。 どちらの場合も、サブディビジョン間の相互作用はルーターを介してのみ発生します。
それらの違いは、実装の形式と、ネットワーク構造の変更方法にあります。
IPアドレスサブネット
サブネットは、OSIモデルのレイヤー3、ネットワークレイヤーに存在します。 サブネットはネットワークレベルの構造であり、ルーターで処理され、IPアドレスを中心に整理されます。
ルーターはIPアドレスの範囲を切り分け、それらの間の接続をネゴシエートします。 これにより、ネットワーク管理のすべてのストレスがルーターにかかります。 ネットワークの規模と複雑さが拡大すると、サブネットも複雑になる可能性があります。
VLAN
VLANは、OSIモデルのレイヤー2でホームを見つけます。 データリンクレベルはハードウェアに近く、抽象度は低くなります。 仮想LANは、個々のスイッチとして機能するハードウェアをエミュレートします。
ただし、仮想LANは、ルーターに接続し直すことなくブロードキャストドメインを分割することができるため、管理の負担の一部をルーターから取り除くことができます。
VLANは独自の仮想ネットワークであるため、組み込みのルーターがあるように動作する必要があります。 その結果、VLANには少なくとも1つのサブネットが含まれ、複数のサブネットをサポートできます。
VLANはネットワーク負荷を分散します。 複数のスイッチがルーターを介さずにVLAN内のトラフィックを処理できるため、システムの効率が向上します。
VLANの利点
これまでに、VLANがテーブルにもたらす利点をいくつか見てきました。 VLANの機能により、VLANには多くの貴重な属性があります。
VLANはセキュリティに役立ちます。 トラフィックを区画化すると、ネットワークの一部への不正アクセスの機会が制限されます。 また、悪意のあるソフトウェアの拡散を阻止するのに役立ちます(ネットワークに侵入した場合)。 潜在的な侵入者は、Wiresharkなどのツールを使用して、自分がいる仮想LAN以外の場所でパケットを盗聴することはできず、その脅威も制限されます。
ネットワークの効率は重要です。 VLANを実装するには、ビジネスに数千ドルを節約または費用をかけることができます。 ブロードキャストドメインを分割すると、一度に通信に関与するデバイスの数が制限されるため、ネットワークの効率が大幅に向上します。 VLANは、ネットワークを管理するためにルーターを展開する必要性を減らします。
多くの場合、ネットワークエンジニアは、サービスごとに仮想LANを構築することを選択し、ストレージエリアネットワーク(SAN)やVoice over IP(VOIP)などの重要なトラフィックまたはネットワーク集約型のトラフィックを分離します。 また、一部のスイッチでは、管理者がVLANに優先順位を付けて、より要求の厳しい、欠落している重要なトラフィックにより多くのリソースを割り当てることができます。
トラフィックを分離するために独立した物理ネットワークを構築する必要があるのはひどいでしょう。 変更を行うために戦わなければならない複雑なケーブルのもつれを想像してください。 それは、ハードウェアのコストと消費電力の増加については言うまでもありません。 また、非常に柔軟性に欠けます。 VLANは、単一のハードウェアで複数のスイッチを仮想化することにより、これらの問題をすべて解決します。
VLANは、便利なソフトウェアインターフェイスを通じて、ネットワーク管理者に高度な柔軟性を提供します。 2つの部門がオフィスを切り替えたとします。 ITスタッフは、変更に対応するためにハードウェアを移動する必要がありますか? いいえ。スイッチのポートを正しいVLANに再割り当てするだけです。 一部のVLAN構成では、その必要さえありません。 彼らは動的に適応します。 これらのVLANは、割り当てられたポートを必要としません。 代わりに、MACまたはIPアドレスに基づいています。 いずれにしても、スイッチやケーブルをシャッフルする必要はありません。 物理ハードウェアを移動するよりも、ネットワークの場所を変更するソフトウェアソリューションを実装する方がはるかに効率的で費用対効果が高くなります。
静的VLANと動的VLAN
VLANには2つの基本的なタイプがあり、マシンの接続方法によって分類されています。 それぞれのタイプには、特定のネットワーク状況に基づいて考慮すべき長所と短所があります。
静的VLAN
静的VLANは、デバイスが割り当てられたポートに接続することで参加するため、ポートベースVLANと呼ばれることがよくあります。 このガイドでは、静的VLANのみを例として使用しています。
静的VLANを使用してネットワークを設定する場合、エンジニアはポートでスイッチを分割し、各ポートをVLANに割り当てます。 その物理ポートに接続するデバイスはすべて、そのVLANに参加します。
静的VLANは、ソフトウェアに過度に依存することなく、非常にシンプルで簡単にネットワークを構成できます。 ただし、個人が簡単にプラグインできるため、物理的な場所内のアクセスを制限することは困難です。静的VLANでは、ネットワーク上の誰かが物理的な場所を変更した場合にネットワーク管理者がポート割り当てを変更する必要もあります。
ダイナミックVLAN
ダイナミックVLANはソフトウェアに大きく依存しており、高度な柔軟性を実現しています。 管理者は、特定のVLANにMACアドレスとIPアドレスを割り当てることができ、物理的な空間での邪魔にならない移動を可能にします。 動的仮想LAN内のマシンは、ネットワーク内のどこにでも移動でき、同じVLANにとどまります。
ダイナミックVLANは適応性の点では無敵ですが、重大な欠点がいくつかあります。 ハイエンドスイッチは、VLAN Management Policy Server(VMPS(ネットワーク上の他のスイッチにアドレス情報を格納および配信するために使用されます。VMPSは、他のサーバーと同様に、定期的な管理と保守を必要とします)ダウンタイムが発生する可能性があります。
攻撃者はMACアドレスをスプーフィングし、動的VLANにアクセスできるため、潜在的なセキュリティ上の課題が追加されます。
VLANのセットアップ
あなたが必要なもの
VLANまたは複数のVLANをセットアップするために必要な基本的な項目がいくつかあります。 前述したように、さまざまな標準がありますが、最も普遍的なものはIEEE 802.1Qです。 それがこの例が従うものです。
ルーター
技術的には、VLANを設定するためにルーターは必要ありませんが、複数のVLANを相互作用させたい場合は、ルーターが必要になります。
最近のルーターの多くは、何らかの形でVLAN機能をサポートしています。 ホームルーターはVLANをサポートしていないか、限られた容量でのみサポートしている場合があります。 DD-WRTのようなカスタムファームウェアは、より完全にサポートしています。
カスタムといえば、仮想LANで動作する既製のルーターは必要ありません。 カスタムルーターファームウェアは通常、LinuxやFreeBSDなどのUnixライクなOSに基づいているため、これらのオープンソースオペレーティングシステムのいずれかを使用して独自のルーターを構築できます。
必要なルーティング機能はすべてLinuxで利用でき、特定のニーズに合わせてルーターをカスタマイズするようにLinuxインストールをカスタム構成できます。 より機能が完全なものについては、pfSenseをご覧ください。 pfSenseは、堅牢なオープンソースルーティングソリューションとして構築されたFreeBSDの優れたディストリビューションです。 VLANをサポートし、仮想ネットワーク間のトラフィックをより安全に保護するファイアウォールが含まれています。
どちらのルートを選択する場合でも、必要なVLAN機能をサポートしていることを確認してください。
マネージドスイッチ
スイッチはVLANネットワークの中心にあります。 彼らは魔法が起こる場所です。 ただし、VLAN機能を利用するには管理対象スイッチが必要です。
物事をレベルを上げるために、文字通り、利用可能なレイヤー3管理スイッチがあります。 これらのスイッチは、一部のレイヤー3ネットワークトラフィックを処理でき、状況によってはルーターの代わりになります。
これらのスイッチはルーターではなく、機能が制限されていることに注意してください。 レイヤー3スイッチは、非常に低遅延のネットワークを持つことが重要な一部の環境で重要となるネットワーク遅延の可能性を減少させます。
クライアントネットワークインターフェイスカード(NIC)
クライアントマシンで使用するNICは802.1Qをサポートする必要があります。 可能性はありますが、前進する前に検討する必要があります。
基本設定
ここが難しい部分です。 ネットワークの構成方法には、数千の異なる可能性があります。 1つのガイドですべてを網羅することはできません。 基本的に、ほぼすべての構成の背後にある考え方は同じであり、一般的なプロセスも同じです。
ルーターのセットアップ
いくつかの異なる方法で開始できます。 ルーターを各スイッチまたは各VLANに接続できます。 各スイッチのみを選択する場合、トラフィックを区別するようにルーターを構成する必要があります。
次に、VLAN間のトラフィックの受け渡しを処理するようにルーターを構成できます。
スイッチの構成
これらが静的VLANであると仮定すると、Webインターフェイスを介してスイッチのVLAN管理ユーティリティに入り、異なるVLANへのポートの割り当てを開始できます。 多くのスイッチは、ポートのオプションをチェックオフできるテーブルレイアウトを使用します。
複数のスイッチを使用している場合は、ポートの1つをすべてのVLANに割り当てて、トランクポートとして設定します。 各スイッチでこれを行います。 次に、これらのポートを使用してスイッチ間を接続し、VLANを複数のデバイスに分散します。
クライアントを接続する
最後に、ネットワーク上でクライアントを取得することは、一目瞭然です。 クライアントマシンを必要なVLANに対応するポートに接続します。
自宅のVLAN
論理的な組み合わせとはみなされないかもしれませんが、VLANは実際にはホームネットワークのスペースであるゲストネットワークに優れたアプリケーションを持っています。 自宅でWPA2 Enterpriseネットワークを設定し、友人や家族のログイン資格情報を個別に作成したくない場合は、VLANを使用して、ゲストがホームネットワーク上のファイルやサービスにアクセスするのを制限できます。
多くのハイエンドホームルーターとカスタムルーターファームウェアは、基本的なVLANの作成をサポートしています。 友人がモバイルデバイスに接続できるように、独自のログイン情報を使用してゲストVLANを設定できます。 ルーターがそれをサポートしている場合、ゲストVLANは、友人のウイルスに感染したラップトップがクリーンなネットワークを破壊するのを防ぐための優れたセキュリティレイヤーです。
