VLAN設定入門|タグVLAN・トランクポートを基礎から

ネットワークの柔軟性とセキュリティを向上させるVLAN設定を、初心者でも実践できるよう基礎から丁寧に解説します。VLANを正しく設定すれば、1つの物理スイッチで複数の独立したネットワークを構築でき、ブロードキャストドメインを分割して通信効率を高められます。この記事では、タグVLANとトランクポートの仕組みから具体的な設定手順、トラブルシューティングまで網羅します。実務で即座に活用できる内容ですので、ぜひ最後までお読みください。

目次

VLANとは何か?基礎知識を整理

VLAN(Virtual Local Area Network)は、物理的なネットワークを仮想的に分割する技術です。従来のネットワークでは、1つのスイッチに接続されたデバイスはすべて同じブロードキャストドメインに属していました。しかしVLANを導入すると、同じスイッチ上のデバイスであっても異なるVLANに属することで、独立したネットワークとして機能させられます。

具体的なメリットは以下の通りです。

メリット説明
セキュリティ向上VLAN間の通信を制限することで、不正アクセスを防止
ブロードキャスト制御不要なブロードキャストトラフィックをVLAN内に封じ込め、ネットワーク効率を向上
柔軟なネットワーク設計物理的な配線を変更せずに、論理的なネットワーク構成を変更可能
コスト削減複数の物理スイッチを購入せずに、1つのスイッチで複数のネットワークを構築

VLANはIEEE 802.1Q規格で標準化されており、ほとんどのネットワーク機器でサポートされています。企業ネットワークでは、部門ごとにVLANを分割することで、セキュリティと運用効率を両立させています。

VLANの基本用語

VLANを理解する上で重要な用語を整理します。

  • ポートベースVLAN(ポートVLAN):スイッチの物理ポートにVLANを割り当てる方式。最もシンプルなVLAN構成です。
  • タグVLAN(802.1Q VLAN):イーサネットフレームにVLANタグを追加して、複数のVLANを1つの物理リンクで伝送する方式。
  • ネイティブVLAN:タグなしのフレームを受け入れるVLAN。通常はVLAN 1がデフォルトで設定されています。
  • VLAN ID(VID):VLANを識別するための番号(1~4094)。1と4095は予約されているため、実際に使用できるのは1~4094です。
  • トランクポート:複数のVLANのトラフィックを伝送するポート。タグVLANで使用されます。
  • アクセスポート:特定のVLANに属するデバイスのみが接続されるポート。通常の端末機器が接続されます。

これらの用語を理解しておくことで、VLAN設定の際に混乱することがなくなります。

VLANの種類と特徴を理解する

VLANには複数の種類があり、用途に応じて使い分ける必要があります。主なVLANの種類とその特徴を解説します。

1. デフォルトVLAN(…

すべてのスイッチポートは初期状態でVLAN 1に属しています。このVLANは管理トラフィックやCDP(Cisco Discovery Protocol)などの制御トラフィックに使用されます。しかしセキュリティ上の理由から、VLAN 1を使用しない設定が推奨されています。

2. データVLAN

一般的なユーザーデータトラフィックを伝送するVLANです。例えば、社内のPCやサーバーが属するVLANがこれに該当します。データVLANは通常、VLAN ID 10~1000の範囲で設定されます。

3. 音声VLAN(Voi…

VoIP(Voice over IP)電話機が使用するVLANです。音声トラフィックは低遅延が要求されるため、専用のVLANで優先制御されます。Ciscoスイッチではswitchport voice vlanコマンドで設定します。

音声VLANの設定例:

interface GigabitEthernet0/1
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 20

4. 管理VLAN

ネットワーク機器(スイッチ、ルーター、ファイアウォールなど)の管理トラフィックを伝送するVLANです。通常、VLAN ID 100~200の範囲で設定されます。管理VLANを使用することで、管理トラフィックを一般のデータトラフィックから分離できます。

5. ゲストVLAN

ゲストユーザー向けのVLANです。インターネットアクセスのみを許可し、社内リソースへのアクセスを制限します。802.1X認証と組み合わせて使用されることが一般的です。

6. 専用VLAN(Pri…

ポート間の通信を制限するVLANです。主にデータセンターやホスティング環境で使用され、同一VLAN内のポート間通信を制御します。専用VLANには以下の3つのタイプがあります。

  • プライマリVLAN:すべてのポートが接続されるVLAN
  • コミュニティVLAN:特定のグループ内でのみ通信可能なVLAN
  • 独立VLAN:他のポートとの通信が完全に制限されたVLAN

専用VLANを使用すると、同一VLAN内のポート間通信を制御できるため、セキュリティを大幅に向上させられます。

VLAN IDの割り当てルール

VLAN IDの割り当てには以下のルールがあります。

  • VLAN ID 1はデフォルトVLANとして予約されています
  • VLAN ID 1002~1005はトークンリングとFDDI用に予約されています
  • VLAN ID 4094は予約済みです
  • 一般的にはVLAN ID 2~1001を使用します
  • VLAN ID 1006~4094は拡張VLANと呼ばれ、より柔軟な設定が可能です

VLAN IDの割り当ては、ネットワーク全体で一貫性を保つことが重要です。そのため、事前にVLAN設計図を作成しておくことを推奨します。

タグVLANとトランクポートの仕組み

VLANを効果的に活用するには、タグVLANとトランクポートの仕組みを理解する必要があります。ここでは、タグVLANの基本概念とトランクポートの動作について詳しく解説します。

タグVLAN(802.1Q…

タグVLAN(IEEE 802.1Q)は、イーサネットフレームにVLANタグを挿入することで、1つの物理リンク上で複数のVLANを伝送する技術です。タグはフレームの宛先MACアドレスと送信元MACアドレスの間に挿入されます。

802.1Qタグの構造は以下の通りです。

フィールドサイズ(ビット)説明
TPID(Tag Protocol Identifier)16常に0x8100。タグが挿入されていることを示す
TCI(Tag Control Information)16VLAN ID(12ビット)とその他の制御情報を含む
VLAN ID12VLANを識別するID(1~4094)

タグが挿入されたフレームは、受信側のスイッチでVLAN IDに基づいて処理されます。タグVLANを使用することで、複数のVLANを1つの物理リンクで伝送できるため、ネットワークの柔軟性が大幅に向上します。

トランクポートの役割

トランクポートは、複数のVLANのトラフィックを伝送するポートです。主にスイッチ間接続やスイッチとルーター間接続で使用されます。トランクポートの主な特徴は以下の通りです。

  • 複数のVLAN IDをタグ付けして伝送可能
  • ネイティブVLAN(タグなしフレーム)を受け入れ可能
  • 通常のアクセスポートとは異なり、VLAN IDでトラフィックを識別

トランクポートの設定には以下の2つのモードがあります。

モード説明使用シナリオ
802.1QIEEE標準のタグVLAN。ほとんどの機器でサポートマルチベンダー環境、一般的なネットワーク
ISL(Inter-Switch Link)Cisco独自のタグ付け方式。現在は非推奨古いCisco機器のみ

現在のネットワークでは802.1Qが標準となっており、ISLはほとんど使用されていません。そのため、本記事では802.1Qに焦点を当てて解説します。

ネイティブVLANの重要性

ネイティブVLANは、タグなしのフレームを受け入れるVLANです。通常、VLAN 1がデフォルトのネイティブVLANとして設定されています。ネイティブVLANの設定には以下の注意点があります。

  • ネイティブVLANは両端のポートで一致している必要があります
  • セキュリティ上の理由から、ネイティブVLANをVLAN 1以外に設定することが推奨されます
  • ネイティブVLANのトラフィックはタグ付けされません

ネイティブVLANの設定例(Ciscoスイッチ):

interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk native vlan 99

ネイティブVLANの設定ミスはセキュリティホールにつながる可能性があるため、慎重に設定する必要があります。

VLAN間ルーティング

異なるVLAN間で通信を行うには、ルーターまたはL3スイッチが必要です。VLAN間ルーティングの仕組みを理解することで、より複雑なネットワーク設計が可能になります。

VLAN間ルーティングには以下の2つの方法があります。

方法説明メリットデメリット
外部ルータールーターの異なる物理インターフェースに各VLANを接続シンプルな構成、コストが低いスケーラビリティに乏しい
L3スイッチスイッチ内でVLAN間ルーティングを実行高いパフォーマンス、スケーラビリティに優れるコストが高い

L3スイッチを使用したVLAN間ルーティングの設定例(Cisco):

interface Vlan10
 ip address 192.168.10.1 255.255.255.0
!
interface Vlan20
 ip address 192.168.20.1 255.255.255.0

VLAN間ルーティングを設定する際は、セキュリティポリシーに基づいてアクセス制御リスト(ACL)を適用することが重要です。

VLAN設定環境の準備

VLANを設定する前に、適切な環境を準備する必要があります。ここでは、VLAN設定に必要な機器とソフトウェア、ネットワークトポロジーの設計について解説します。

必要な機器とソフトウェア

VLANを設定するには以下の機器とソフトウェアが必要です。

カテゴリ必要なもの備考
ネットワーク機器VLAN対応スイッチCisco、Juniper、HPE、DellなどのL2/L3スイッチ
ネットワーク機器ルーターまたはL3スイッチVLAN間ルーティングを行う場合に必要
ネットワーク機器ケーブル(Cat5e以上推奨)Gigabit Ethernet以上の帯域幅を確保
ソフトウェアスイッチOS(IOS、JUNOS、Comwareなど)機器に応じたOSを使用
ソフトウェアターミナルエミュレータ(Tera Term、PuTTY)コンソール接続またはSSH接続に使用
ソフトウェアネットワークシミュレータ(GNS3、Cisco Packet Tracer)テスト環境を構築する場合に使用

VLANを学習する際は、実機がなくてもシミュレータで十分な練習が可能です。しかし実務では実機の設定経験が重要となるため、可能な限り実機で練習することを推奨します。

ネットワークトポロジーの設計

VLANを効果的に活用するには、事前にネットワークトポロジーを設計することが重要です。以下に、一般的なVLAN設計の例を示します。

企業ネットワークのVLAN設計例

VLAN名VLAN ID用途サブネット
管理VLAN100ネットワーク機器の管理192.168.100.0/24
社内PC10社員PC用192.168.10.0/24
サーバー20社内サーバー用192.168.20.0/24
ゲスト30ゲストユーザー用192.168.30.0/24
VoIP40IP電話用192.168.40.0/24
監視カメラ50監視カメラ用192.168.50.0/24

この設計では、各部門や用途ごとにVLANを分割しています。VLAN IDは10~100の範囲で割り当て、将来的な拡張性を考慮しています。

VLAN設計のベストプラク…

効果的なVLAN設計を行うためのベストプラクティスを以下に示します。

  1. 用途別にVLANを分割する
    • 管理トラフィック、データトラフィック、音声トラフィックなど用途別にVLANを分割
    • セキュリティを向上させ、トラフィックの最適化が可能
  2. VLAN IDの割り当てルールを決める
    • VLAN ID 100~200を管理VLAN、200~300をデータVLANなど、一貫性のあるルールを設定
    • 将来的な拡張性を考慮した割り当てを行う
  3. ネイティブVLANを変更する
    • デフォルトのVLAN 1を使用せず、別のVLAN ID(例:VLAN 99)をネイティブVLANとして設定
    • セキュリティホールを防止
  4. VLAN間ルーティングを計画する
    • どのVLAN間で通信を許可するかを事前に決定
    • 不要なVLAN間通信は制限する
  5. 将来の拡張性を考慮する
    • VLAN IDの割り当てに余裕を持たせる
    • 新しい部門やサービスが追加された場合でも柔軟に対応可能

これらのベストプラクティスに従うことで、保守性とセキュリティに優れたVLAN設計が可能になります。

VLAN設定前の確認事項

VLANを設定する前に、以下の事項を確認しておきましょう。

  • 使用するスイッチがVLANに対応しているか(L2スイッチ以上が必要)
  • スイッチのポート数と接続機器の数を確認
  • VLAN間ルーティングが必要かどうかを決定
  • 管理VLANのIPアドレス範囲を決定
  • セキュリティポリシーに基づくアクセス制御の要否を検討

これらの確認事項を整理しておくことで、スムーズなVLAN設定が可能になります。

CiscoスイッチでのVLAN設定手順

Ciscoスイッチは企業ネットワークで広く使用されており、VLAN設定も一般的な作業です。ここでは、Cisco IOSを搭載したスイッチでのVLAN設定手順を詳しく解説します。

Ciscoスイッチの基本設定

VLANを設定する前に、スイッチの基本設定を行います。以下に基本的な設定手順を示します。

enable
configure terminal
hostname SW1
!
interface Vlan1
 ip address 192.168.1.2 255.255.255.0
 no shutdown
!
ip default-gateway 192.168.1.1
!
line vty 0 15
 password 7 0822455D0A16
 login
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

この設定では、以下の項目を設定しています。

  • ホスト名の設定
  • 管理VLAN(VLAN 1)のIPアドレス設定
  • デフォルトゲートウェイの設定
  • VTY(仮想端末)のパスワード設定
  • イネーブルパスワードの暗号化設定

VLANの作成と設定

CiscoスイッチでVLANを作成する手順を解説します。

configure terminal
!
vlan 10
 name Data_VLAN
!
vlan 20
 name Voice_VLAN
!
vlan 30
 name Management_VLAN
!
vlan 40
 name Guest_VLAN
!
end

この設定では、以下のVLANを作成しています。

  • VLAN 10:データVLAN
  • VLAN 20:音声VLAN
  • VLAN 30:管理VLAN
  • VLAN 40:ゲストVLAN

VLAN名は任意の名前を設定できますが、分かりやすい名前を付けることで保守性が向上します。

ポートへのVLAN割り当て

作成したVLANをスイッチポートに割り当てます。ここでは、アクセスポートとトランクポートの設定方法を解説します。

アクセスポートの設定

アクセスポートは、特定のVLANに属するデバイスのみが接続されるポートです。以下に設定例を示します。

interface GigabitEthernet0/1
 switchport mode access
 switchport access vlan 10
 no shutdown
!
interface GigabitEthernet0/2
 switchport mode access
 switchport access vlan 20
 switchport voice vlan 20
 no shutdown

この設定では、以下のポートにVLANを割り当てています。

  • Gi0/1:VLAN 10(データVLAN)
  • Gi0/2:VLAN 20(音声VLAN)

音声VLANを使用する場合は、switchport voice vlanコマンドで音声VLANを指定します。

トランクポートの設定

トランクポートは、複数のVLANのトラフィックを伝送するポートです。主にスイッチ間接続で使用されます。以下に設定例を示します。

interface GigabitEthernet0/24
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,40
 switchport trunk native vlan 99
 no shutdown

この設定では、以下の項目を設定しています。

  • switchport trunk encapsulation dot1q:802.1Qタグ付けを有効化
  • switchport mode trunk:トランクモードに設定
  • switchport trunk allowed vlan:許可するVLANを指定
  • switchport trunk native vlan 99:ネイティブVLANをVLAN 99に設定

トランクポートを設定する際は、両端のポートで同じ設定を行う必要があります。また、許可するVLANを明示的に指定することで、セキュリティを向上させられます。

VLAN間ルーティングの設定

異なるVLAN間で通信を行うには、VLAN間ルーティングを設定します。Ciscoスイッチでは、L3スイッチ機能を使用してVLAN間ルーティングを実行します。

VLAN間ルーティングを設定する手順を解説します。

configure terminal
!
ip routing
!
interface Vlan10
 ip address 192.168.10.1 255.255.255.0
 no shutdown
!
interface Vlan20
 ip address 192.168.20.1 255.255.255.0
 no shutdown
!
interface Vlan30
 ip address 192.168.30.1 255.258.30.0
 no shutdown
!
end

この設定では、以下のVLAN間ルーティングを設定しています。

  • VLAN 10:192.168.10.0/24
  • VLAN 20:192.168.20.0/24
  • VLAN 30:192.168.30.0/24

VLAN間ルーティングを有効化するには、ip routingコマンドを実行する必要があります。また、各VLANインターフェースにIPアドレスを割り当てます。

VLAN設定の確認とトラブ…

VLAN設定が正しく動作しているかを確認するには、以下のコマンドを使用します。

show vlan brief
show vlan id 10
show interfaces trunk
show interfaces switchport
show ip interface brief

これらのコマンドを使用することで、VLANの状態やポートの設定、VLAN間ルーティングの状態を確認できます。

VLAN設定に関する一般的なトラブルとその解決策を以下に示します。

<

この記事を読んでいる方へのおすすめ:

この記事で学んだスキルをさらに深めたい方へ

ネットワークの仕組みを体系的に学べる技術書です。TCP/IPプロトコルの理解を深めましょう。

Amazonアソシエイトプログラムを利用しています。

【編集・制作ポリシー】
本記事はRoute Bloom編集部が公式ドキュメント・技術仕様書の一次情報をもとに作成しています。ITインフラ・技術情報は急速に変化するため、実装前に最新の公式ドキュメントをご確認ください。情報の正確性には万全を期していますが、最新情報は各公式サイトをご確認ください。
【編集・制作ポリシー】
本記事はRoute Bloom編集部が各ベンダー公式ドキュメント・エンジニア監修をもとに作成しています。インフラ・クラウド構築は環境により異なります。本番環境への適用前に必ずテストを実施してください。情報の正確性には万全を期していますが、最新情報は各公式ドキュメントをご確認ください。
【編集・制作ポリシー】
本記事はRoute Bloom編集部が各ベンダー・技術標準の公式ドキュメントをもとに作成しています。 インフラ・クラウド技術に関する最終判断は実際の環境・バージョンで検証のうえ実施してください。 情報の正確性には万全を期していますが、最新情報は各公式ドキュメントをご確認ください。

編集ポリシー:この記事は、Route Bloom の編集チームが最新情報を元に執筆・監修しています。情報の正確性を保つために定期的な見直しを行っています。

ABOUT ME
たから
サラリーマンをしながら開業して経営やってます。 今年、本業で独立・別事業を起業予定です。 ◆経験:IT講師/インフラエンジニア/PM/マネジメント/採用/運用・保守・構築・設計 ◆取得資格:CCNA/CCNP/LPIC-1/AZ-900/FE/サーティファイC言語 ◆サイドビジネス:アパレル事業/複数のWEBメディアを運営
RELATED POST
トラブル原因解決策
VLAN間通信ができないVLAN間ルーティングが設定されていないL3スイッチでVLAN間ルーティングを有効化
特定のVLANのトラフィックが届かないトランクポートで許可されていないVLANがあるトランクポートでswitchport trunk allowed vlanを確認
ネイティブVLANのトラフィックが届かない両端のポートでネイティブVLANが一致していないネイティブVLANを両端で一致させる
ポートがアップしない