【Cisco】 VLANの基本

VLAN（Virtual Local Area Network）

物理的なネットワーク上に論理的なネットワークを作成する技術のこと。以下のようなメリットが挙げられる。

セキュリティの向上

異なる部署やグループなど、アクセスを制限したいネットワークを分離する。また、ポートセキュリティを設定することで、不正な接続を防止。

ネットワークの効率化

物理的に別々のネットワークを構築する必要がないため、ネットワーク機器や配線の数を削減することができる。また、VLANを使用することで、ブロードキャストトラフィックを制限し、ネットワークのパフォーマンスを向上させる。

VLANのポート

大きく2つに分けることができる。

アクセスポート

スイッチに接続されるエンドホスト（パソコンやIP電話など）の接続ポートのこと。
アクセスリンクは、アクセスポートが接続されている物理的なリンク。アクセスポートとスイッチの間のリンクであり、VLANに属するエンドホストとスイッチを接続する。

トランクポート

スイッチとスイッチを接続するためのポートであり、そのポートからのトラフィックは、複数のVLANに属する他のポートに転送される。つまり、トランクポートは、複数のVLAN（スイッチやルータ）を跨いで通信を行うためのポート。
トランクリンクは、トランクポートが接続されている物理的なリンクを指す。

出典

また、トランクポートでは各VLANの切り分けを行うためにイーサネットフレームの前にヘッダ（タグ）を追加して識別している。
このタグのことをISL (Inter-Switch Link)と言い、Ciscoが開発したVLANトランキングプロトコルの一つ。VLANタグを付けてトランクポートを通過するトラフィックを識別し、受信側でタグを削除することで、トラフィックを正しいVLANにルーティングしている。
現在では802.1Qが一般的に使用され、VLANタグは固有の仕様があるため、他のベンダーのネットワーク機器との互換性が制限されることがある。

IEEE 802.1Qは、VLANトランキングプロトコルの標準であり、複数のVLANを跨いで通信するために使用される。VLAN IDを含むタグをフレームに挿入することで、トラフィックを正しいVLANにルーティングすることができる。

またネイティブVLANがあり、IEEE 802.1Qトランクポートで転送され、タグが付与されていない。スイッチのトランクポートごとに1つ選択することができる。だが、この場合、両スイッチでネイティブVLANを合わせる必要があり、使用するときに合わせていないと障害になりかねない。

VTP（VLAN Trunking Protocol）

Ciscoのスイッチ間でVLAN情報を自動的に配信するためのプロトコル。複数のスイッチ間で一度に複数のVLANを作成、変更、削除することができ、その情報はトランクリンクからのマルチキャストで伝搬される。
IOSのスイッチでは、vlan.dat のファイル名で保存されており、VLAN標準範囲の1〜1005までとなっている。
また、最新の情報を持つスイッチのデータベースを識別するためのリビジョン番号があり、変更等を行うと番号が加算されるため最も大きい番号が最新と見做される。

VTPは、VLAN情報をVTPドメインと呼ばれる論理的なグループに分類して管理しているので、同期を行う際は同じVTPドメイン名を設定する必要がある。

バージョン

VTPバージョン1
VLAN情報をVTPパケットに含めて転送。VTPパケットにVLAN情報以外の情報を含めることができ、誤ったVTP設定がネットワーク全体に影響を与えることがあるという問題があった。

VTPバージョン2
VTPパケットがVLAN情報のみを含むようになり、VTPパケットのサイズが小さくなった。また、VTPパケットにVTPプラウナーパスワードを含めることができるため、VTP設定のセキュリティが向上した。

VTPバージョン3
VTPバージョン2の改善点に加えて、複数のVTPドメインをサポートするようになり、1つのスイッチで複数の独立したVTPドメインを管理できるようになった。拡張範囲も扱える。

VTPのバージョンは、VTPサーバーの設定で指定できるが、VTPバージョンが異なるスイッチ同士では、VLAN情報を配信できないので注意が必要。

モード

サーバーモード （デフォルト）
VLAN情報を作成、変更、削除することができるモード。VLAN情報が変更されると、VTPメッセージをVTPクライアントおよびVTPリレーモードのスイッチに送信し、ネットワーク全体に新しいVLAN情報が配信される。（アドバタイズ）

クライアントモード
サーバーモードのスイッチからVTPメッセージを受信し、自身のVLAN情報を更新したり、転送を行うモード。VTPクライアントモードのスイッチは、VLAN情報の作成、変更、削除を行えない。

トランスペアレントモード
VLAN情報の作成、変更、削除は可能だが、アドバタイズや同期を行わないモード。転送のみ行い、リビジョン番号は0になる。拡張範囲を取り扱う時はこのモードにする必要がある。

ルーティング

複数のVLANがあるネットワークで、異なるVLAN同士をルーターを使って通信可能にする技術のこと。

サブインタフェース

ルーターの物理インタフェースを複数の論理インタフェースに分割する技術。IPアドレス設定の前にISLかIEEE 802.1Qかを指定する必要があり、複数のVLANに所属することになるのでルータとスイッチ間は必ずトランクポートで繋ぐ必要がある。

サブインタフェース作成時の注意事項

フレームサイズ
各サブインタフェースに対してフレームサイズを設定する必要があるが、各サブインタフェースで設定するフレームサイズは、物理インタフェースのMTUより小さい必要がある。

インタフェース番号
物理インタフェースとは異なるインタフェース番号が必要です。通常、サブインタフェースには、ドット「.」で区切られた番号が割り当てられます。

VLAN ID
各サブインタフェースに対して異なるVLAN IDを割り当てる。

IPアドレス
各サブインタフェースには、異なるIPアドレスとサブネットマスクが必要。

レイヤ3スイッチの場合

レイヤ2スイッチと同様に物理層およびデータリンク層の機能を提供し、ルーティング機能を強化したもの。

IPアドレスの設定

SVI（Switch Virtual Interface）
スイッチ内部にある仮想的なインターフェイスのことで、IPアドレスの設定を行う部分であり、スイッチとルータを接続するための接続口でもある。

ルーテッドポート
物理的なスイッチポートをルーターのポートに割り当てる。レイヤ3デバイスとしての機能を持ち、ルーティングプロトコルを使用して他のネットワークと通信できるため、スイッチ上のルーティングテーブルを使用してトラフィックをルーティングすることができる。

設定コード