VLANとは何か — 仕組み・設定・運用の完全ガイド

はじめに — VLANの概要

VLAN（Virtual Local Area Network）は、物理的なネットワーク機器の接続構成に依存せずに論理的にネットワークを分割する技術です。これにより、同一スイッチや異なるスイッチに接続された端末を、セグメントごとに分離してブロードキャストドメインを制御できます。VLANはセキュリティ、トラフィック分離、運用の柔軟性、スケーラビリティ向上などの観点から企業ネットワークで広く採用されています。

基本概念 — VLAN IDとブロードキャストドメイン

VLANは通常、識別子としてVLAN ID（一般に1〜4094）を持ちます。各VLANは独立したブロードキャストドメインを形成するため、VLAN間ではレイヤ3（IP）ルーティングが必要です。VLANを設定することで、同じ物理セグメント上でも論理的に異なるネットワークとして扱えます。

802.1Qタグ（VLANタグ付け）の仕組み

IEEE 802.1Qは、Ethernetフレームに4バイトのタグヘッダを挿入してフレームのVLAN所属を示す標準です。タグにはTPID（Tag Protocol Identifier、0x8100）とTPIDの直後に続くTCI（Tag Control Information）が含まれ、TCIにVLAN ID（12ビット）が格納されます。タグ付けにより、スイッチ間のリンク（トランク）で複数のVLANのトラフィックを1本の物理回線で運搬できます。

AccessポートとTrunkポート

スイッチポートは主に2種類に分類されます。

• Accessポート: 単一のVLANに所属するエンドホスト向け。受信フレームはタグなしで扱い、スイッチ内部でそのポートに割り当てたVLAN IDを付与して処理します。
• Trunkポート: 複数VLANのフレームを通すためタグ付きフレームを扱うポート。スイッチ間やスイッチとルータ間で使用されます。

Native VLAN（ネイティブVLAN）と互換性

Ciscoなど一部ベンダでは、トランク上でタグ付けしないVLANをネイティブVLANと呼びます。これは歴史的互換性のための機能ですが、誤設定によりVLANホッピング（意図しないVLAN間通信）などのセキュリティリスクを招くことがあります。ネイティブVLANは明示的に管理し、可能ならばデフォルトのまま（VLAN 1）を避ける、異なるネイティブVLANに設定しない、あるいはネイティブVLANを使用しない設計が推奨されます。

VLANとレイヤ3ルーティング（Inter-VLAN Routing）

各VLANは独立したサブネットを持つため、VLAN間通信にはルーティングが必要です。実装方法は主に次の二つです。

• ルータオンアスティック（Router-on-a-Stick）: 1本の物理インターフェースでサブインターフェースを用い、802.1Qタグで複数VLANを区別してルーティングする方式。小規模やテスト環境で使われる。
• L3スイッチ（SVI: Switch Virtual Interface）: L3スイッチ上にVLANごとの仮想インターフェース（SVI）を作成し、スイッチ内部で高速にルーティングする方式。企業ネットワークで一般的。

拡張機能 — Private VLAN、Q-in-Q、VLANマッピング

プロバイダや大規模環境で使われる拡張技術には以下があります。

• Private VLAN（PVLAN）: 同一プライマリVLAN内でセカンダリVLANに分け、ホスト間の直接通信を制限する仕組み。ホスティングやマルチテナント環境で有用です。
• Q-in-Q（802.1ad）: 顧客VLANタグをサービスプロバイダ側のタグでカプセル化することでVLAN空間を二重化し、大量の顧客VLANを運ぶ仕組みです。
• VLANマッピング/翻訳: 受信タグを別のタグに変換して透過的に運用する機能で、異なるドメイン間のVLAN整合性を保つのに使われます。

セキュリティ考慮点

VLAN自体は隔離を提供しますが、万能ではありません。主な注意点は以下の通りです。

• VLANホッピング: 不正なタグ付きフレームやネイティブVLANの誤設定により、攻撃者が他VLANのトラフィックにアクセスする可能性があります。
• MACテーブル汚染: 大量の偽MACを送ることでスイッチをフォールバックさせ、ブロードキャストを全ポートに流す攻撃。
• 管理VLANの保護: スイッチ管理用のVLAN（management VLAN）はアクセス制御を行い、管理ポートを専用にする。Telnetの代わりにSSH、SNMPv3など安全な管理プロトコルを使用する。
• ポートセキュリティの活用: 学習するMAC数の制限や固定MACの設定により、不正デバイスの接続を防止する。

パフォーマンスとMTUの注意点

802.1Qタグは4バイトのオーバーヘッドを生じさせます。トンネリング（Q-in-Q）や複数のヘッダを扱う場合、フレームサイズが増加するため、ネットワーク機器やリンクのMTU設定（jumbo frame含む）に注意が必要です。MTU不整合はパケット断片化やパケットロスの原因になります。

運用上のベストプラクティス

運用を安定させるための推奨事項:

• VLAN設計を文書化し、VLAN IDと用途（管理、サーバー、クライアント、VoIPなど）を明確にする。
• デフォルトVLAN（例: VLAN 1）は最小限の用途に限定し、管理VLANを別にする。
• トランクポートは必要最小限にし、許可するVLANを明示的に指定（VLAN pruning）。
• ネイティブVLANを使う場合は一致を保証し、異なるネイティブVLANを避ける。可能ならネイティブVLANを未使用にする設計を検討。
• ポートセキュリティ、BPDUガード、Root Guardなどスパニングツリーと連携した保護機能を有効化する。
• 定期的なACL/セグメントレビューとログ監視を実施する。

トラブルシューティングの流れとコマンド例

トラブル時の一般的なチェック項目と確認コマンド例（Cisco系の例）:

• 物理接続とポート状態: show interfaces status
• VLAN設定の確認: show vlan brief
• トランクの状態確認: show interfaces trunk（許可VLAN, ネイティブVLAN, モードなど）
• MACアドレステーブルの確認: show mac address-table | include <MAC>
• ルーティング経路の確認: show ip route / show ip interfaces brief / show ip interface
• パケットがどこで落ちるか: pingやtracerouteをVLAN内外で実行、必要に応じてパケットキャプチャ

導入・移行時の設計例（考慮点）

導入や大規模マイグレーションでは次を検討してください: VLAN命名規則とID設計、VLAN数の上限、ルーティングポイントの設計（分散型L3スイッチか集中型ルータか）、アクセス制御（ファイアウォール/ACL）、VoIPや無線のための専用VLAN、運用管理（監視・ログ・バックアップ）など。特に無線LANやVoIPはトラフィック特性が異なるため、QoSポリシーや優先付けを合わせて設計する必要があります。

まとめ

VLANはネットワーク分離と運用効率を高める重要な技術です。しかし、誤設定や運用不足はセキュリティリスクや接続障害を招くため、設計・導入・運用の各フェーズでの注意が必要です。802.1Qの理解、トランク/アクセスの適切な設定、管理VLANの保護、そして定期的な監査とログ監視が安定運用の鍵となります。

参考文献

• Wikipedia: Virtual LAN
• IEEE 802.1Q 標準（IEEE）
• Cisco: What is a VLAN?
• Cisco: VLAN configuration guide
• Juniper: VLANs overview
• Wikipedia: IEEE 802.1ad (QinQ)
• RFC（関連参考）およびベンダーホワイトペーパー

投稿者プロフィール

エバープレイ編集部

最新の投稿

• ビジネス2025.12.20決算報告書の読み方と活用法：基礎から深掘り分析まで徹底解説
• ビジネス2025.12.20財務報告書の読み方と活用法：経営・投資で差がつく深堀ガイド
• ビジネス2025.12.20プレゼン資料の作り方とデザイン最適化ガイド：説得力あるスライド作成術
• ビジネス2025.12.20ビジネスガイドラインの作り方と運用：企業価値を高める実践的プロセス