Virtual Local Area Network

Virtual Local Area Network (バーチャル・ローカル・エリア・ネットワーク、仮想かそうLAN、バーチャルLAN)・VLAN (ブイラン)は、物理ぶつり的てきな接続せつぞく形態けいたいとは別べつに、仮想かそう的てきに分割ぶんかつされたLAN接続せつぞくのこと。レイヤ2スイッチの機能きのうの1つで、通信つうしん帯域たいいきの有効ゆうこう利用りようや情報じょうほうセキュリティの向上こうじょうなどを目的もくてきとする。

様々さまざまな方式ほうしきがあるが、IEEE 802.1Qで標準ひょうじゅん化かされたタグVLANが広ひろく使つかわれている。

LANでは一般いっぱんに、ケーブルまたは無線むせん電波でんぱなどでスイッチに接続せつぞくされている範囲はんい内ないは、すべてレイヤ2レベル(データリンク層そう)での通信つうしんが可能かのうである。これを「ブロードキャストドメイン」と呼よぶ。

VLANでは、このような物理ぶつり的てきな接続せつぞくを切きり離はなさなくても、スイッチ内部ないぶの処理しょりによってトラフィックを分割ぶんかつすることができる。これによりブロードキャストドメインを制限せいげんすることができ、相互そうごに通信つうしんできる端末たんまつを小ちいさい範囲はんい内ないにサブグループ化かできる^[1]。

VLANを構成こうせいする目的もくてきは主おもに以下いかのものがある。

• ネットワークの大だい規模きぼ化かに対たいしてブロードキャストドメインを分割ぶんかつすることで通信つうしん帯域たいいきを確保かくほする
• VLAN間あいだのアクセスを制限せいげんすることでネットワークセキュリティを確保かくほする
• LAN構成こうせいに必要ひつようなネットワーク機器ききの台数だいすうを減へらす

通常つうじょうのLAN同様どうよう、VLAN間あいだはレイヤ3スイッチなどを用もちいてルーティングすることでトラフィックを疎通そつうさせることができる。

VLAN機能きのうを持もつスイッチでは様々さまざまな設定せってい方法ほうほうでLANセグメントの分離ぶんりが実現じつげんされた。方法ほうほうは大おおきく分わけて2つあり、接続せつぞくポートによるものと受信じゅしんデータによるものとがある。

• ポートベースVLAN

  接続せつぞくポートによりLANセグメントを分離ぶんりする方式ほうしき^[2]。ポート1・2間あいだとポート3・4間あいだは相互そうご通信つうしんできるが、それぞれの組くみ以外いがいのポートとは切きり離はなされている、などの構成こうせいが可能かのうとなる。

• マルチプルVLAN

  ポートベースVLANの機能きのうの1つで、「マルチプルポート」と呼よばれるポートを設定せっていできるもの^[3]。マルチプルポートではポートベースVLANで設定せっていした全すべてのVLANグループと通信つうしん可能かのうである。ポート1-4は相互そうご通信つうしんできないが、マルチプルポートにあたるポート5とだけはそれぞれ通信つうしんできるなどの構成こうせいが可能かのうとなり、アップリンクとの接続せつぞくに使つかわれる。タグVLANに似にているが、アップリンクの接続せつぞく先さきがVLAN非ひ対応たいおうの端末たんまつでも使用しようできる。

• プライベートVLAN

  ポートベースVLANの機能きのうの1つで、VLAN内ないの通信つうしんをさらに細分さいぶん化かするもの^[4]。ポート1を単独たんどくポート、ポート2-4を相互そうご通信つうしん可能かのうなポートとしてグループ分わけし、ポート1もポート2-4もグループ外がいとは通信つうしんできないがアップリンクに相当そうとうするポート5とは通信つうしんできる、などの構成こうせいが可能かのうとなる。この例れいでは、ポート1-5をプライマリVLAN、このグループ分わけをセカンダリVLANと呼よび、ポート1はIポート(isolated)、ポート2-4はCポート(community)、ポート5はPポート(promiscuous)と呼よぶ^[5][6]。

なお、これらの方式ほうしきはタグVLANの一部いちぶとして実装じっそうされることがあり、同おなじ名称めいしょうで製品せいひんやメーカによって異ことなる機能きのうを指さす場合ばあいがある。

• タグVLAN

  イーサネットフレームに挿入そうにゅうされる識別しきべつ用ようのタグ(VLANタグ)によりLANを分離ぶんりする方式ほうしき。詳細しょうさいは#タグVLANの節ふしを参照さんしょう。

• MACベースVLAN

  接続せつぞくされる機器ききのMACアドレスにより所属しょぞくするLANセグメントを分離ぶんりする方式ほうしき。受信じゅしんフレームの送信そうしん元もとMACアドレスを見みて転送てんそう先さきポートを決定けっていする。

• サブネットベースVLAN

  接続せつぞくされる機器ききのIPアドレスのサブネットによりLANセグメントを分離ぶんりする方式ほうしき。受信じゅしんパケットのIPアドレスおよびサブネットマスクを見みて転送てんそう先さきポートを決定けっていする。

• プロトコルベースVLAN

  ネットワークプロトコルによりLANセグメントを分離ぶんりする方式ほうしき。受信じゅしんフレームのEtherTypeを見みてIP、IPX、AppleTalkなどを判別はんべつし、転送てんそう先さきポートを決定けっていする。

• 認証にんしょうVLAN (ユーザベースVLAN)

  端末たんまつのログイン情報じょうほうを取得しゅとくしてLANセグメントを分離ぶんりする方式ほうしき。登録とうろくされたユーザであることが確認かくにんできたときのみアップリンクに転送てんそうする、などの構成こうせいが可能かのうとなる。IEEE 802.1Xで標準ひょうじゅん化かされ^[7]、EAPやRADIUSサーバと組くみ合あわせて使つかわれる。

タグVLANは、VLANの代表だいひょう的てきな実装じっそうの1つで、主おもにイーサネットフレーム内うちにどのLANに所属しょぞくする通信つうしんかを表あらわすタグを付加ふかして、LAN間あいだの通信つうしんを混在こんざい・識別しきべつさせる方式ほうしき。1998年ねんにIEEE 802.1Qで規定きていされており、その実装じっそう方式ほうしきを明示めいじするためにしばしば「Dot-1Q VLAN」と呼よばれる。

タグVLANでは一般いっぱんに、複数ふくすうのスイッチにわたってVLANを構成こうせいしており、送信そうしんする側がわがフレーム内ないにタグを挿入そうにゅうし、受信じゅしんする側がわがそのタグを見みて所属しょぞくするLANを識別しきべつする。これにより、一ひとつの通信つうしんポートで複数ふくすうの異ことなるVLANを混在こんざいさせて通信つうしんすることができる。タグVLAN対応たいおうのスイッチでは、VLANの混在こんざいの有無うむで以下いかのように接続せつぞくポートを呼よび分わける。

• アクセスポート : 1つのLANに属ぞくするポート。端末たんまつなどを接続せつぞくする。
• トランクポート : 複数ふくすうのLANを混在こんざいさせるポート。タグを処理しょりできるスイッチ・ルータ・サーバなどを接続せつぞくする。

下図したずのように、社内しゃないネットワークが階かいをまたいでおり、両方りょうほうの階かいに開発かいはつ部署ぶしょ・企画きかく部署ぶしょの作業さぎょう部屋へやがそれぞれあるような場合ばあいを考かんがえる。上下じょうげ階かいをつなぐ物理ぶつり接続せつぞくが単一たんいつであっても、部署ぶしょごとの論理ろんりネットワークに分離ぶんりし、一方いっぽうの部署ぶしょのトラフィックがもう一方いっぽうの部署ぶしょからは観測かんそくできないようにすることができる。

この例れいでは、各階かくかいのエッジスイッチにVLAN設定せっていを入いれ、スイッチ間あいだの接続せつぞくポートを「トランクポート」、各かく部署ぶしょ内ないの接続せつぞくポートを「アクセスポート」として扱あつかう。部署ぶしょごとに一意いちいのVLAN番号ばんごう(VLAN IDまたはVID)を割わり当あてて、トランクポートには各部かくぶ署しょからの全ぜんフレームに適切てきせつなVLANタグを挿入そうにゅうするよう設定せっていする。タグつきのフレームがトランクポートから送信そうしんされると、受信じゅしんした宛先あてさき階かいのエッジスイッチはそのタグを見みて転送てんそう先さきを決きめ、部署ぶしょ内ないに転送てんそうする際さいにVLANタグを除去じょきょする。このような方法ほうほうで、いずれの部署ぶしょも上下じょうげ階かいの自分じぶんの部署ぶしょのみを同おなじLANとして扱あつかうことができる。

VLANタグは、送信そうしん元もとMACアドレスとイーサタイプのフィールドの間あいだに、以下いかのような書式しょしきの4バイト(32ビット)を挿入そうにゅうする^[8]。

VLANタグ(4バイト)の書式しょしき

TPID	TCI (Tag Control Information)
16 ビット	3 ビット	1 ビット	12 ビット
TPID 0x8100	PCP 0-7	DEI 0-1	VID 0-4094

TPID (Tag Protocol Identifier)

16ビット値ち0x8100で、VLANタグ付つきフレームであることを示しめす。フレーム全体ぜんたいがタグによりカプセル化かされ、形式けいしき上じょうはこの値ねがEtherType、以降いこうのデータがペイロードとなる。

PCP (Priority Code Point)

優先ゆうせん度ど(CoS; Class of Service)を指定していする。3ビット値ちで0～7のいずれかを示しめし、7が最さい優先ゆうせんとなる。各種かくしゅトラフィック（音声おんせい・動画どうが・データなど）の優先ゆうせん順位じゅんい付づけに使つかう。

DEI (Drop Eligible Indicator)

0か1を指定していし、輻輳ふくそう発生はっせい時じに破棄はきしてもよい場合ばあいに1を示しめす。PCPと組くみ合あわせて判定はんていに使つかうこともできる。

VID (VLAN Identifier)

12ビット値ちで、そのフレームが属ぞくするVLANを指定していする^[9]。

1～4094 (0x001～0xFFE)の値ねはVLANの識別子しきべつしとして使つかうことができ、最大さいだい4094個このVLANを扱あつかえる。

VID=0は、どのVLANにも属ぞくしていないことを意味いみし、PCP・DEIを通知つうちするための優先ゆうせん度どタグとして使つかわれる。

VID=1 は、無むタグフレーム受信じゅしん時じにスイッチ内部ないぶで処理しょりされるVIDであり、これをPVID (ポートVLAN ID)と呼よぶ。PVIDのデフォルト設定せってい値ちとして1が規定きていされているが、変更へんこうも可能かのう。

VID=2 は、SRP (Stream Reservation Protocol)用途ようとのPVIDで、こちらもデフォルト値ちであり変更へんこう可能かのう。

VID=4095 (0xFFF)はシステム内部ないぶのエントリ検索けんさくなどに用もちいる予約よやく値ちで、フレーム送信そうしんに使つかうことはできない。

VLANタグ挿入そうにゅうにより最大さいだいフレームサイズが4バイト増加ぞうかするため、トランクポートから発行はっこうする際さいはフレーム全体ぜんたいのFCSを再さい計算けいさんする必要ひつようがある。 また、1998年ねんのIEEE 802.3acではフレーム長ちょうの最大さいだい値ちが従来じゅうらいの1518バイトからタグの分ぶんを増加ぞうかした1522バイトに変更へんこうされており、タグ付つきフレームを中継ちゅうけいするだけの機器ききでもこのフレーム長ちょうに対応たいおうしていなければならない。

DEIの領域りょういきは、初期しょきにはCFI (Canonical Format Indicator)の名称めいしょうで規定きていされ、トークンリングなどイーサネットのフレーム書式しょしきではないことを示しめすものだった^[10]。イーサネットポートでCFIを受信じゅしんした場合ばあい、そのフレームは無むタグのポートへは転送てんそうされない。後ごの改版かいはんでイーサネットでの動作どうさが前提ぜんていとなったためDEIに変更へんこうされた。

IEEE 802.2のSNAPフレームによるカプセル化かにも対応たいおうしていた。このフレームでSNAPヘッダはOUIとプロトコルIDの値ねから成なる。OUI=00-00-00の場合ばあいはイーサネットでないフレームであり、このときプロトコルIDの値ねは0x8100と設定せっていされ、SNAPヘッダの後うしろにVLANタグの4バイトが配置はいちされた。

二に重じゅうタグは、イーサネットフレーム内ないに2つのタグを挿入そうにゅうしたもの。2つのタグをそれぞれサービスタグ「S-TAG」とカスタマータグ「C-TAG」と呼よぶ^[11]。2005年ねんにIEEE 802.1adで規定きていされ、2011年ねんにIEEE 802.1Qに取とり込こまれた^[12]。「Q-in-Q VLAN」「VLANトンネリング」とも呼よぶ。

インターネットサービスプロバイダでの用途ようとを意図いとしたもので、既すでにVLANタグの付ついた加入かにゅう者しゃのトラフィックを混合こんごうさせつつ、プロバイダが内部ないぶで独自どくじにVLANタグを使用しようすることができる。S-TAG（プロバイダのVLANタグ）を外側そとがわにあたる先さきに置おき、C-TAG（加入かにゅう者しゃのVLANタグ）を内側うちがわにあたる後のちに置おく。このときS-TAGのTPIDは0x88a8, 0x88a7が規定きていされている^[13]が、0x9100, 0x9200, 0x9300などの値ねを使つかうこともある。

1. ^ Stallings, William (2016). Foundations of modern networking : SDN, NFV, QoE, IoT, and Cloud. Florence Agboma, Sofiene Jelassi. Indianapolis, Indiana. ISBN 978-0-13-417547-8. OCLC 927715441. https://www.worldcat.org/oclc/927715441 
2. ^ “日経にっけい xTECH: ポートVLANとタグVLANの違ちがいとは？” (2018年ねん2月がつ20日はつか). 2023年ねん11月14日にち閲覧えつらん。
3. ^ “IT用語ようご辞典じてん: マルチプルVLAN 【multiple VLAN】” (2021年ねん12月17日にち). 2023年ねん11月14日にち閲覧えつらん。
4. ^ “IT用語ようご辞典じてん: プライベートVLAN 【PVLAN】” (2021年ねん12月17日にち). 2023年ねん11月14日にち閲覧えつらん。
5. ^ “Private VLANs | Junos OS | Juniper Networks”. www.juniper.net. 2023年ねん11月8日にち閲覧えつらん。
6. ^ “Catalyst 4500 Series Switch Cisco IOS Software Configuration Guide, 12.2(25)EW - Configuring Private VLANs [Cisco Catalyst 4500 Series Switches]” (英語えいご). Cisco. 2023年ねん11月8日にち閲覧えつらん。
7. ^ “802.1X Task Group”. 2023年ねん11月14日にち閲覧えつらん。
8. ^ IEEE 802.1Q-2022, Clause 9.4 TPID formats
9. ^ IEEE 802.1Q-2022, Table 9-2
10. ^ IEEE 802.1Q-2022, Clause 9.6, NOTE 2
11. ^ IEEE 802.1Q-2022, Clause 9.5, Tag Protocol identification
12. ^ “IEEE 802.1Q-2011” (2011年ねん8月がつ31日にち). 2023年ねん11月14日にち閲覧えつらん。
13. ^ IEEE 802.1Q-2022, Table 9-1

• 中嶋なかじま章あきら『図解ずかい入門にゅうもん　よくわかる　最新さいしんネットワーク技術ぎじゅつの基本きほんと仕組しくみ』（初版しょはん）秀和しゅうわシステム、2016年ねん10月がつ3日にち。ISBN 978-4-7980-4764-5。 
• IEEE Std. 802.1Q-2005, Virtual Bridged Local Area Networks. ISBN 0-7381-3662-X. http://standards.ieee.org/getieee802/download/802.1Q-2005.pdf 
• ISL & 802.1q Frame Formats

• レイヤ2スイッチ
• レイヤ3スイッチ
• 仮想かそうネットワーク
• アクセス制御せいぎょリスト (ACL)
• VLANホッピング
• Shortest Path Bridging (IEEE 802.1aq) - タグVLANを拡張かくちょうしたもので、4096^2個このVLANを扱あつかえる
• SDN
• Virtual Extensible LAN (VXLAN)
• Virtual private network (VPN)
• VLAN Trunking Protocol (VTP) - シスコシステムズ独自どくじのVLAN管理かんりプロトコル