確かな情報です! VLANの基本の概要

VLANとは何ですか?

VLAN (Virtual LAN) は、中国語に翻訳すると「仮想ローカルエリアネットワーク」を意味します。 LAN は、数台の家庭用コンピュータで構成されるネットワーク、または数百台のコンピュータで構成される企業ネットワークになります。 VLAN が指す LAN は、具体的にはルーターによって分割されたネットワーク、つまりブロードキャスト ドメインを指します。まず、ブロードキャスト ドメインの概念を確認しましょう。ブロードキャストドメインとは、ブロードキャストフレーム（宛先MACアドレスがすべて1）を送信できる範囲、つまり直接通信が可能な範囲を指します。厳密に言えば、ブロードキャスト フレームだけでなく、マルチキャスト フレームや不明なユニキャスト フレームも同じブロードキャスト ドメイン内を妨げられることなく移動できます。

[[248217]]

VLAN を使用する理由は何ですか?

1999 年、IEEE は VLAN 実装ソリューションを標準化するために 802.1Q プロトコル標準ドラフトを発行しました。 VLAN テクノロジーの登場により、管理者は実際のアプリケーションのニーズに基づいて、同じ物理 LAN 内の異なるユーザーを論理的に異なるブロードキャスト ドメインに分割できるようになりました。各 VLAN には、同じニーズを持つコンピュータ ワークステーションのグループが含まれており、物理的に形成された LAN と同じプロパティを持ちます。

物理的にではなく論理的に分割されるため、同じ VLAN 内のワークステーションは同じ物理範囲に制限されません。つまり、これらのワークステーションは異なる物理 LAN セグメントに存在できます (1 つの VLAN を 1 つの IP サブネットに対応させることをお勧めします。異なる VLAN に同じ IP サブネットを使用したり、1 つの VLAN を複数の IP サブネットに対応させたりすることは誤りです)。 VLAN の特性から、VLAN 内のブロードキャスト トラフィックとユニキャスト トラフィックは他の VLAN に転送されないことがわかります。これにより、トラフィックの制御、機器投資の削減、ネットワーク管理の簡素化、ネットワーク セキュリティの向上に役立ちます。

VLAN の利点は何ですか?

1. 柔軟性と拡張性の向上

スイッチ ポートまたはユーザーをスイッチ上の VLAN グループまたは接続されたスイッチ グループに割り当てることで、物理的な場所に関係なく、ブロードキャスト ドメインにアクセスする必要があるユーザーのみを追加できます。

2. ネットワーク上の放送を制御する

VLAN は、スイッチング ネットワークでの過剰なブロードキャストを防ぐためのファイアウォールを確立するためのメカニズムを提供できます。 VLAN を使用すると、スイッチング ポートまたはユーザーを特定の VLAN グループに割り当てることができます。 VLAN グループは、スイッチング ネットワーク内または複数のスイッチにまたがって存在できます。 VLAN 内のブロードキャストは VLAN 外部に送信されません。同様に、隣接ポートは他の VLAN によって生成されたブロードキャストを受信しません。これにより、ブロードキャスト トラフィックが削減され、ユーザー アプリケーションの帯域幅が解放され、ブロードキャストの生成が削減されます。

3. セキュリティの強化

デフォルトでは、同じスイッチ上の異なる VLAN 内のユーザーは相互に通信できません。ネットワーク リソースへの不正アクセスがあった場合に、ネットワーク管理ステーションに直ちに通知するように設定できます。

VLAN分割方式

1. ポート分割に基づくVLAN

これは最も一般的に使用されている VLAN 分割方法であり、最も広範囲かつ効果的です。現在、ほとんどの VLAN プロトコル スイッチはこの VLAN 構成方法を提供しています。この VLAN 分割方法は、イーサネット スイッチのスイッチング ポートに基づいています。 VLAN スイッチ上の物理ポートと VLAN スイッチ内の PVC (*** 仮想回線) ポートを複数のグループに分割します。各グループは仮想ネットワークを構成し、独立した VLAN スイッチと同等になります。

2. MACアドレスに基づいてVLANを分割する

この VLAN 分割方法は、各ホストの MAC アドレスに基づいています。つまり、MAC アドレスを持つ各ホストは、どのグループに属するかが設定されます。実装されるメカニズムは、各ネットワーク カードが一意の MAC アドレスに対応し、VLAN スイッチが VLAN MAC のアドレスを追跡するというものです。このタイプの VLAN を使用すると、ネットワーク ユーザーは物理的な場所から別の場所に移動しても、VLAN のメンバーシップを自動的に保持できます。

3. ネットワーク層プロトコルに基づいてVLANを分割する

VLAN はネットワーク層プロトコルによって分割され、IP、IPX、DECnet、AppleTalk、Banyan などの VLAN ネットワークに分けられます。ネットワーク層プロトコルで構成されるこの VLAN により、ブロードキャスト ドメインを複数の VLAN スイッチにまたがらせることができます。これは、特定のアプリケーションやサービスごとにユーザーを整理したいネットワーク管理者にとって非常に魅力的です。さらに、ユーザーはネットワーク内を自由に移動できますが、VLAN メンバーシップは変更されません。

4. IPマルチキャストに基づいてVLANを分割する

IP マルチキャストは実際には VLAN の定義であり、つまり、IP マルチキャスト グループは VLAN と見なされます。この分割方法は、VLAN を広域ネットワークに拡張するため、柔軟性が高く、ルーターを介して拡張しやすいという特徴があります。これは主に、同じ地理的範囲にいない LAN ユーザーが VLAN を形成するのに適しています。主に効率が低いため、LAN には適していません。

5. 戦略別にVLANを分割する

ポリシーベースの VLAN は、VLAN スイッチ ポート、MAC アドレス、IP アドレス、ネットワーク層プロトコルなど、さまざまな割り当て方法を実装できます。ネットワーク管理者は、独自の管理モデルとユニットのニーズに基づいて、選択する VLAN のタイプを決定できます。

6. ユーザー定義と非ユーザー認証でVLANを分割する

ユーザー定義と非ユーザー認証に基づく VLAN 分割とは、特別な VLAN ネットワークに適応するために、特定のネットワーク ユーザーの特別な要件に従って VLAN が定義および設計されることを意味します。 VLAN グループ以外のユーザーは VLAN にアクセスできますが、ユーザー パスワードを入力する必要があり、VLAN 管理によって認証された後にのみ VLAN に参加できます。

VLANの使い方

1. ローカルVLAN

VLAN は 1 つのラックに集中しているため、障害の分析と特定、トラフィックの管理が容易になります。使用をお勧めします。

① データフローが予測可能

② 冗長パス

③ 高可用性

④ 限定された障害領域

⑤ スケーラビリティ

2. エンドツーエンドVLAN

設備は物理的に柔軟に分散されており、トラフィックは不合理であり、障害の特定が困難です。推奨されません。

VLAN メンバーシップ

1. 静的VLAN

VLAN は通常、管理者によって作成され、管理者は各 VLAN にスイッチ ポートを割り当てます。このタイプの VLAN は静的 VLAN と呼ばれます。

スイッチ(config)#vlan ? 
 
 #グローバルモードでVLANを作成、削除、変更します。 
 
 <1-1005> 
 
 ISL VLAN ID 1-1005

#このスイッチは基本的な VLAN 作成のみをサポートできることを示します。拡張 VLAN の範囲は 0 ～ 4096 です。このうち、0、4095、1006 ～ 1024 はシステム用に予約されており、表示も使用もできません。 1 は管理 VLAN (ネイティブ VLAN) であり、表示および使用はできますが、削除することはできません。 1002 ～ 1005 は、FDDI およびトークン リング用の Cisco デフォルト VLAN であり、ユーザーが削除することはできません。また、VTP バージョン 2 では基本 VLAN の同期のみがサポートされることにも注意してください。

スイッチ(config)#vlan 2 
 
スイッチ(config-vlan)#名前セールス
 
 #覚えやすいようにこの VLAN に名前を付けます。 （オプション構成） 
 
スイッチ(config-vlan)#インターフェースfa0/1 
 
 #インターフェースモードに入ります。 
 
スイッチ(config-if)#スイッチポートモードアクセス
 
 #ポートをアクセス ポート (アクセス レイヤー ポート) として定義します。 
 
スイッチ(config-if)#switchport access vlan 2 
 
 #このポートを特定の VLAN に静的に割り当てます。

2. ダイナミックVLAN

ダイナミック VLAN は、ノードの VLAN 割り当てを自動的に決定できます。インテリジェントな管理ソフトウェアを使用することで、ハードウェア アドレス、プロトコル、さらにはアプリケーションに基づいて動的 VLAN を作成できます。ここでは、VLAN 管理ポリシー サーバー (VMPS) サービスを使用して、VLAN の動的アドレス指定に使用できる MAC アドレス データベースを構築できます。 VMPS データベースは、MAC アドレスを VLAN に自動的にマッピングできます。

3. 検査

スイッチ#VLANを表示
 
 #VLAN情報を表示
 
スイッチ#インターフェイスVLANを表示[VLAN_ID] 
 
 #特定のVLANの詳細情報を表示する
 
スイッチ#VLAN概要を表示
 
 #スイッチ上に作成された VLAN とスイッチ ポートの関係を表示します。 
 
スイッチ#スパニングツリーVLAN IDを表示
 
 # VLAN のスパニングツリーを表示します。

注: デフォルトでは、スイッチの VLAN ファイルは config.text に保存されないため、スタートアップ コンフィギュレーションをクリアした後でも、VLAN 情報を確認できます。 Cisco スイッチは、VLAN 情報をフラッシュ (vlan.dat) に保存します。このファイルを削除するだけで、VLAN 情報を完全に削除できます。コマンドは次のとおりです。

スイッチ#フラッシュを表示
 
 #showコマンドを使用してvlan.datファイルがあるかどうかを確認します
 
スイッチ# flash:vlan.datを削除します
 
 #deleteコマンドを使用してvlan.datファイルを削除します

ブロードキャストドメインセグメンテーションとVLANの必要性

ブロードキャストドメインを分割する場合、通常はルーターが必要になります。ルーターを使用すると、ルーター上のネットワーク インターフェース (LAN インターフェース) に基づいてブロードキャスト ドメインを分割できます。

ただし、通常、ルーター上のネットワーク インターフェイスの数はそれほど多くなく、その数は 1 ～ 4 程度です。ブロードバンド接続の普及に伴い、ブロードバンド ルーター (または IP シェアラー) がより一般的になっています。ただし、LAN 側に接続されたネットワーク インターフェースが複数 (通常 4 個程度) あるにもかかわらず、実際にはルーターに内蔵されたスイッチであり、ブロードキャスト ドメインを分割できない点には注意が必要です。

さらに、ルーターを使用してブロードキャスト ドメインを分割する場合、分割できる数はルーターのネットワーク インターフェイスの数に完全に依存するため、ユーザーが実際のニーズに応じてブロードキャスト ドメインを自由に分割することはできません。

ルーターと比較すると、レイヤー 2 スイッチには通常、複数のネットワーク インターフェイスがあります。したがって、ブロードキャストドメインを分割するために使用できれば、そのアプリケーションの柔軟性は間違いなく大幅に向上します。

レイヤー 2 スイッチ上でブロードキャスト ドメインをセグメント化するために使用されるテクノロジーは VLAN です。 VLAN を使用することで、ブロードキャストドメインの構成を自由に設計でき、ネットワーク設計の自由度が向上します。