VLANはいたるところにあります。適切に構成されたネットワークを備えたほとんどの組織でそれらを見つけることができます。はっきりしない場合は、VLANは「仮想ローカルエリアネットワーク」の略であり、小さな家庭や非常に小さなオフィスネットワークのサイズを超えた最新のネットワークに遍在しています。
いくつかの異なるプロトコルがあり、その多くはベンダー固有ですが、基本的に、すべてのVLANはほぼ同じことを行い、ネットワークのサイズと組織の複雑さが増すにつれてVLANスケールの利点が得られます。
これらの利点は、VLANがあらゆる規模の専門家ネットワークに大きく依存している理由の大きな部分です。実際、ネットワークがないと、ネットワークを管理または拡張することは困難です。
VLANの利点とスケーラビリティは、VLANが現代のネットワーク環境で非常に普及している理由を説明しています。 VLANのユーザーを使用して、適度に複雑なネットワークを管理または拡張することは困難です。
VLANとは何ですか?
さて、あなたは頭字語を知っていますが、VLANとは正確には何ですか?基本的な概念は、仮想サーバーを使用したり使用したりしたことのある人なら誰でも知っているはずです。
仮想マシンがどのように機能するかを少し考えてみてください。複数の仮想サーバーが、オペレーティングシステムとハイパーバイザーを実行している1つの物理ハードウェア内に存在し、単一の物理サーバー上で仮想サーバーを作成して実行します。仮想化により、単一の物理コンピューターを、それぞれが個別のタスクとユーザーが使用できる複数の仮想コンピューターに効果的に変換できます。
仮想LANは、仮想サーバーとほぼ同じように機能します。 1つ以上のマネージドスイッチがソフトウェア(ハイパーバイザーソフトウェアと同様)を実行し、スイッチが1つの物理ネットワーク内に複数の仮想スイッチを作成できるようにします。
各仮想スイッチは、独自の自己完結型ネットワークです。仮想サーバーと仮想LANの主な違いは、仮想LANは、トランクと呼ばれる指定されたケーブルを使用して、複数の物理的なハードウェアに分散できることです。
使い方
成長する中小企業向けのネットワークを運営し、従業員を追加し、別々の部門に分割し、より複雑で組織化されていると想像してみてください。
これらの変更に対応するために、ネットワーク上の新しいデバイスに対応するために24ポートスイッチにアップグレードしました。
新しいデバイスのそれぞれにイーサネットケーブルを接続し、完了したタスクを呼び出すことを検討するかもしれませんが、問題は、各部門で使用されているファイルストレージとサービスを別々に保持する必要があることです。 VLANはそれを行うための最良の方法です。
スイッチのWebインターフェイス内で、部門ごとに1つずつ、3つの個別のVLANを構成できます。それらを分割する最も簡単な方法は、ポート番号によるものです。ポート1〜8を最初の部門に割り当て、ポート9〜16を2番目の部門に割り当て、最後にポート17〜24gを最後の部門に割り当てることができます。これで、物理ネットワークが3つの仮想ネットワークに編成されました。
スイッチ上のソフトウェアは、各VLANのクライアント間のトラフィックを管理できます。すべてのVLANは独自のネットワークとして機能し、他のVLANと直接対話することはできません。現在、各部門には独自の小さく、雑然とした、より効率的なネットワークがあり、同じハードウェアですべてを管理できます。これは、ネットワークを管理するための非常に効率的で費用効果の高い方法です。
部門が相互作用できるようにする必要がある場合は、ネットワーク上のルーターを介して相互作用させることができます。ルーターは、VLAN間のトラフィックを規制および制御し、より強力なセキュリティルールを適用できます。
多くの場合、部門は協力して相互作用する必要があります。ルーターを介して仮想ネットワーク間の通信を実装し、セキュリティルールを設定して、個々の仮想ネットワークの適切なセキュリティとプライバシーを確保できます。
VLANとサブネット
VLANとサブネットは実際には非常に似ており、同様の機能を果たします。サブネットとVLANの両方が、ネットワークとブロードキャストドメインを分割します。どちらの場合も、サブディビジョン間の相互作用はルーターを介してのみ発生します。
それらの違いは、実装とネットワーク構造の変更方法にあります。
IPアドレスサブネット
サブネットは、ネットワーク層であるOSIモデルの層3に存在します。サブネットはネットワークレベルの構造であり、ルーターで処理され、IPアドレスを中心に編成されます。
ルーターはIPアドレスの範囲を切り分け、それらの間の接続をネゴシエートします。これにより、ネットワーク管理のすべてのストレスがルーターにかかります。ネットワークのサイズと複雑さが拡大すると、サブネットも複雑になる可能性があります。
VLAN
VLANは、OSIモデルのレイヤー2にホームを見つけます。データリンクレベルはハードウェアに近く、抽象的ではありません。仮想LANは、個々のスイッチとして機能するハードウェアをエミュレートします。
ただし、仮想LANは、ルーターに接続し直すことなくブロードキャストドメインを分割できるため、ルーターの管理負担の一部が軽減されます。
VLANは独自の仮想ネットワークであるため、ルーターが組み込まれているように動作する必要があります。その結果、VLANには少なくとも1つのサブネットが含まれ、複数のサブネットをサポートできます。
VLANはネットワーク負荷を分散します。複数のスイッチがルーターを使用せずにVLAN内のトラフィックを処理できるため、システムの効率が向上します。
VLANの利点
これまでに、VLANがテーブルにもたらすいくつかの利点をすでに見てきました。 VLANの機能だけで、VLANには多くの価値のある属性があります。
VLANはセキュリティに役立ちます。トラフィックをコンパートメント化すると、ネットワークの一部への不正アクセスの機会が制限されます。また、悪意のあるソフトウェアがネットワークに侵入した場合に、その拡散を阻止するのにも役立ちます。潜在的な侵入者は、Wiresharkなどのツールを使用して、仮想LAN以外の場所でパケットを盗聴することはできず、その脅威も制限されます。
ネットワークの効率は重要です。 VLANを実装することで、ビジネスに数千ドルの節約またはコストをかけることができます。ブロードキャストドメインを分割すると、一度に通信に関与するデバイスの数が制限されるため、ネットワーク効率が大幅に向上します。 VLANは、ネットワークを管理するためにルーターを展開する必要性を減らします。
多くの場合、ネットワークエンジニアは、サービスごとに仮想LANを構築し、ストレージエリアネットワーク(SAN)やVoice over IP(VOIP)などの重要なトラフィックやネットワークを集中的に使用するトラフィックを分離することを選択します。一部のスイッチでは、管理者がVLANに優先順位を付けて、より要求が厳しく、重要でないトラフィックにより多くのリソースを提供することもできます。
トラフィックを分離するために独立した物理ネットワークを構築する必要があるのはひどいことです。変更を加えるために戦わなければならない複雑なケーブルのもつれを想像してみてください。それは、ハードウェアのコストと消費電力の増加については言うまでもありません。また、非常に柔軟性がありません。 VLANは、単一のハードウェア上で複数のスイッチを仮想化することにより、これらすべての問題を解決します。
VLANは、便利なソフトウェアインターフェイスを介して、ネットワーク管理者に高度な柔軟性を提供します。 2つの部門がオフィスを切り替えるとします。 ITスタッフは、変更に対応するためにハードウェアを移動する必要がありますか?いいえ。スイッチのポートを正しいVLANに再割り当てするだけです。一部のVLAN構成では、それも必要ありません。彼らは動的に適応します。これらのVLANには、割り当てられたポートは必要ありません。代わりに、MACアドレスまたはIPアドレスに基づいています。いずれにせよ、スイッチやケーブルをシャッフルする必要はありません。物理ハードウェアを移動するよりも、ネットワークの場所を変更するソフトウェアソリューションを実装する方が、はるかに効率的で費用対効果が高くなります。
静的VLANと動的VLAN
VLANには、マシンの接続方法によって分類された2つの基本的なタイプがあります。各タイプには長所と短所があり、特定のネットワーク状況に基づいて考慮する必要があります。
静的VLAN
静的VLANは、割り当てられたポートに接続することでデバイスが参加するため、ポートベースVLANと呼ばれることがよくあります。このガイドでは、これまでの例として静的VLANのみを使用してきました。
静的VLANを使用してネットワークをセットアップする場合、エンジニアはスイッチをポートで分割し、各ポートをVLANに割り当てます。その物理ポートに接続するデバイスはすべて、そのVLANに参加します。
静的VLANは、ソフトウェアにあまり依存することなく、非常にシンプルで簡単にネットワークを構成できます。ただし、個人はプラグインするだけなので、物理的な場所内でのアクセスを制限することは困難です。静的VLANでは、ネットワーク上の誰かが物理的な場所を変更した場合に備えて、ネットワーク管理者がポートの割り当てを変更する必要もあります。
ダイナミックVLAN
ダイナミックVLANはソフトウェアに大きく依存しており、高度な柔軟性を実現します。管理者は、MACアドレスとIPアドレスを特定のVLANに割り当てることができるため、物理空間での邪魔にならない移動が可能になります。動的仮想LAN内のマシンは、ネットワーク内のどこにでも移動でき、同じVLAN上にとどまることができます。
ダイナミックVLANは、適応性の点では無敵ですが、いくつかの重大な欠点があります。ハイエンドスイッチは、VLAN管理ポリシーサーバー(VMPS(ネットワーク上の他のスイッチにアドレス情報を保存して配信するため)と呼ばれるサーバーの役割を担う必要があります。VMPSは、他のサーバーと同様に、定期的な管理とメンテナンスが必要です。ダウンタイムが発生する可能性があります。
攻撃者はMACアドレスをスプーフィングし、動的VLANにアクセスして、別の潜在的なセキュリティ上の課題を追加する可能性があります。
VLANの設定
何が必要
1つまたは複数のVLANを設定するために必要な基本的な項目がいくつかあります。前に述べたように、いくつかの異なる標準がありますが、最も普遍的なものはIEEE802.1Qです。これが、この例が従うものです。
ルーター
技術的には、VLANを設定するためにルーターは必要ありませんが、複数のVLANを相互作用させる場合は、ルーターが必要になります。
最近のルーターの多くは、何らかの形でVLAN機能をサポートしています。ホームルーターはVLANをサポートしていないか、限られた容量でしかサポートしていない可能性があります。 DD-WRTのようなカスタムファームウェアはそれをより完全にサポートします。
カスタムと言えば、仮想LANを操作するために既製のルーターは必要ありません。カスタムルーターファームウェアは通常、LinuxやFreeBSDなどのUnixライクなOSに基づいているため、これらのオープンソースオペレーティングシステムのいずれかを使用して独自のルーターを構築できます。
必要なルーティング機能はすべてLinuxで利用でき、特定のニーズに対応するようにルーターを調整するようにLinuxインストールをカスタム構成できます。より機能が充実しているものについては、pfSenseを調べてください。 pfSenseは、堅牢なオープンソースルーティングソリューションとして構築されたFreeBSDの優れたディストリビューションです。 VLANをサポートし、仮想ネットワーク間のトラフィックをより適切に保護するためのファイアウォールが含まれています。
どちらのルートを選択する場合でも、必要なVLAN機能をサポートしていることを確認してください。
マネージドスイッチ
スイッチはVLANネットワーキングの中心です。彼らは魔法が起こる場所です。ただし、VLAN機能を利用するには、マネージドスイッチが必要です。
文字通り、物事をより高いレベルにするために、利用可能なレイヤー3マネージドスイッチがあります。これらのスイッチは、一部のレイヤー3ネットワークトラフィックを処理でき、状況によってはルーターの代わりに使用できます。
これらのスイッチはルーターではなく、機能が制限されていることに注意してください。レイヤ3スイッチは、ネットワーク遅延の可能性を減らします。これは、非常に低遅延のネットワークを持つことが重要な一部の環境で重要になる可能性があります。
クライアントネットワークインターフェイスカード(NIC)
クライアントマシンで使用するNICは、802.1Qをサポートする必要があります。可能性はありますが、先に進む前に調査する必要があります。
基本構成
これが難しい部分です。ネットワークを構成する方法には、何千もの異なる可能性があります。 1人のガイドですべてをカバーすることはできません。基本的に、ほぼすべての構成の背後にある考え方は同じであり、一般的なプロセスも同じです。
ルーターの設定
いくつかの異なる方法で始めることができます。ルーターを各スイッチまたは各VLANに接続できます。各スイッチのみを選択する場合は、トラフィックを区別するようにルーターを構成する必要があります。
次に、VLAN間を通過するトラフィックを処理するようにルーターを構成できます。
スイッチの構成
これらが静的VLANであると仮定すると、Webインターフェイスを介してスイッチのVLAN管理ユーティリティに入り、さまざまなVLANへのポートの割り当てを開始できます。多くのスイッチは、ポートのオプションをチェックできるテーブルレイアウトを使用しています。
複数のスイッチを使用している場合は、ポートの1つをすべてのVLANに割り当て、トランクポートとして設定します。各スイッチでこれを行います。次に、これらのポートを使用してスイッチ間を接続し、VLANを複数のデバイスに分散させます。
クライアントの接続
最後に、ネットワーク上にクライアントを配置することは、かなり自明です。クライアントマシンを、必要なVLANに対応するポートに接続します。
自宅でのVLAN
論理的な組み合わせとは見なされないかもしれませんが、VLANは実際には、ホームネットワークスペースであるゲストネットワークで優れたアプリケーションを備えています。自宅にWPA2Enterpriseネットワークをセットアップして、友人や家族のログインクレデンシャルを個別に作成したくない場合は、VLANを使用して、ホームネットワーク上のファイルやサービスへのゲストのアクセスを制限できます。
多くのハイエンドホームルーターとカスタムルーターファームウェアは、基本的なVLANの作成をサポートしています。独自のログイン情報を使用してゲストVLANを設定し、友達がモバイルデバイスに接続できるようにすることができます。ルーターがそれをサポートしている場合、ゲストVLANは、友人のウイルスに感染したラップトップがクリーンネットワークを台無しにするのを防ぐための優れた追加セキュリティレイヤーです。