VLAN(Virtual LAN)は、物理的に1台のスイッチや1本の配線を共有しながらも、論理的には複数の別ネットワークとして振る舞わせる技術です。1998年にIEEEが802.1Qとして標準化し、Ethernetフレームに4バイトのタグを挿入してVLAN ID(最大4094個)を識別する方式が業界共通になりました。それ以前はCiscoのISL(Inter-Switch Link)など各社独自タグが乱立していましたが、802.1Q以降は相互接続が一気に進み、オフィスのフロア分割、サーバとユーザ端末の隔離、IP電話用の音声VLANなど、企業ネットワークの基本設計手段として定着しました。
この記事の目次
- 802.1Qタグの構造
- ISLから802.1Qへの統一
- 企業ネットでの主な使い方
- VXLANやMPLS L2VPNとの位置関係
- まとめ
802.1Qタグの構造
IEEE 802.1Qで定義されるVLANタグは、EthernetフレームのMACアドレス直後に挿入される4バイトのフィールドです。最初の2バイトはTPID(Tag Protocol Identifier)で値は0x8100に固定、続く2バイトのTCIにPCP(Priority Code Point, 3bit)、DEI/CFI(1bit)、VID(VLAN Identifier, 12bit)が格納されます。VIDは0から4095までの値を取り得ますが、0と4095は予約のため実利用は1〜4094の4094個になります。
PCPフィールドは802.1pで定義される8段階のCoS(Class of Service)を示し、音声・映像・データなど通信種別ごとに優先制御を行うために使われます。VIDは異なるVLANを識別するための単純な番号ですが、これだけでEthernetブロードキャストドメインを論理的に分割できます。タグ付きポート(トランクポート)はタグありフレームを扱い、タグなしポート(アクセスポート)は単一VLANに紐付けてタグの付け外しをスイッチが自動で行う、という運用が一般的です。
ISLから802.1Qへの統一
1990年代前半、スイッチが企業ネットワークに普及し始めると、Ciscoは独自のISL(Inter-Switch Link)でフレームをカプセル化してVLANを識別する仕組みを提供しました。他社にも類似のプロプライエタリな方式が複数存在し、異ベンダー機器間ではVLAN相互運用ができないという課題が顕在化していきました。1998年にIEEEが802.1Qを正式に標準化したことで、Ethernetフレームへの直接タグ挿入という統一方式が定着し、ベンダーロックインが大幅に緩和されました。
2000年代に入るとISLは順次廃止され、802.1QはEthernetの基盤機能として実装が進みました。VLANは企業のフロア分割、サーバゾーンとユーザゾーンの隔離、IP電話のための音声VLAN、ゲスト用WiFiの分離など、現場の標準ツールとして定着します。2010年代にはISP向けの多重タグ仕様であるIEEE 802.1ad(QinQ)が普及し、サービス事業者は顧客VLANの上にさらにサービス用VLANタグを重ねて、数万顧客の論理隔離を1本のキャリアEthernet回線上で実現できるようになりました。
企業ネットでの主な使い方
企業の現場では、VLANはまず「部署単位の論理分割」の道具として使われます。経理・営業・開発のような部署ごとにVLANを切り、ブロードキャストドメインを分けつつ、L3スイッチやファイアウォールで経由経路を制御することで、セキュリティ境界を物理配線から切り離せる利点があります。サーバゾーンも本番・開発・DMZのようにVLAN分けし、用途ごとにアクセス制御を施すのが定石です。
音声VLAN(Voice VLAN)は、IP電話を専用VLANに収容してPCトラフィックと分離し、PCPでQoSを与える典型例です。Wi-FiもSSIDごとに別VLANに割り当てるのが一般的で、社員用と来客用、IoT機器用などをタグVLANで束ねてLAN側に流す構成が定着しています。スイッチ・ルータ自身を管理するための管理VLANを別に確保し、本番トラフィックの障害が運用面に波及しない設計も基本です。近年は「マイクロセグメンテーション」の文脈で、VLANに加えてSGT(Security Group Tag)やNSX・EVPNなどの上位概念と組み合わせる例も増えています。
VXLANやMPLS L2VPNとの位置関係
VLANの弱点は、12ビットのVIDが4094個しか取れない点と、Ethernetの上でしか直接動かない点です。クラウドや大規模データセンタでは1テナント=1 VLANという割当が回らないため、2014年に標準化されたVXLAN(RFC 7348)が広く採用されるようになりました。VXLANは24ビットのVNI(VXLAN Network Identifier)で約1677万個のセグメントを識別でき、L3ネットワークの上にL2を載せられます。QinQはISPなどがVLANを階層化する用途で活躍しています。
広域接続ではMPLS L2VPN(VPLS・EVPL・E-LANなど)が長らく使われ、近年はEVPN(Ethernet VPN, RFC 7432, 2015年)が制御プレーンとして標準化されてVXLANと組み合わせるEVPN-VXLAN構成も主流になっています。ただし、これらは「VLANを置き換える」というよりも「VLANを内包・拡張する」位置付けで、企業内の物理セグメントや小〜中規模オフィスでは現在もVLANが第一選択であり続けています。VLANは数十年使われ続けてきたEthernetの基盤機能として、当面その地位は揺るがないでしょう。
まとめ
VLANは1998年のIEEE 802.1Qで標準化された4バイトタグにより、物理スイッチ上に論理ネットワークを切り出す仕組みです。ISLなどの独自タグを統一し、企業のフロア分割・サーバ隔離・音声VLAN・ゲストWi-Fiといった現場運用の基本手段として定着しました。VXLANやMPLS L2VPN、EVPNといった拡張技術と組み合わせながら、Ethernetネットワークの土台を支える枯れた重要技術であり続けています。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント