VLANの仕組み

IEEE 802.1Q規格で定義されているVLANは、ブロードキャストドメイン内の場所に関係なく、ネットワークリソースを分割します。 別々のリソース用に別々のスイッチを用意することが不可能な大規模ビルでは、VLANを使用してこれらのリソースを別々に維持することができます。 フレームヘッダーに小さな識別子を追加することによって、802.1Qはスイッチレベルで比類のない制御を可能にします。

レイヤ2とレイヤ3

コンピュータの通信方法を定義するOpen System Interconnectモデルには7つの層があります。 これらのOSI層は、通信プロセスの特定の部分に関連しています。層1は「物理」層で、2つのアダプタ間で電気信号を伝送するために必要なシグナリング規格だけに関連しています。 レイヤ2はスイッチを扱い、同じブロードキャストドメインに直接接続されているネットワークアダプタ間の通信を調整します。 通常、同じ物理スイッチに接続されているすべてのコンピュータは同じブロードキャストドメインに属します。 これらのコンピュータが別のネットワークと完全に通信する場合は、レイヤ3に移行します。ここでは、ルータを使用してホストを見つけるためにIPアドレスが使用されます。 VLANはレイヤ2で動作しますが、レイヤ3ソリューションと統合すると、その有用性が発揮されます。

通常のスイッチ機能

802.1Qがないと、ルータだけが異なるレイヤ2ネットワークを分離できます。 あるコンピュータがブロードキャスト（ブロードキャストドメイン上のすべてのコンピュータ宛てのフレーム）を送信すると、同じスイッチに接続されているすべてのデバイスがそのブロードキャストを受信します。 ブロードキャストは通常​​、利用可能なDHCPサーバーにIPアドレスを要求するなどの便利なサービスに使用されます。 ただし、直接接続されているデバイスも侵入の影響を受けます。

802.1Qタギング

スイッチでVLANが有効になると、各ポートはVLANに割り当てられ、そのポートに接続されているデバイスから送信されたデータには、すべてのデータがVLAN IDで「タグ付け」されます。 デフォルトの「ネイティブ」VLANは「1」です。ポートをVLAN「2」に変更すると、そのスイッチにとって未知の宛先を持つブロードキャストおよびフレームは、他のVLAN「2」ポートおよびVLANトランクにのみ転送されます。 VLANトランクは、他のスイッチまたはルータの接続に必要な、すべてのVLANからの情報を転送するように設定されたポートです。 VLAN 1からVLAN 2へ、またはその逆に送信されたデータは、ルータを通過する必要があります。 ルータは、送信ステーションのレイヤ3（IP）情報に基づいて、通信をブロックまたは許可するように設定されています。 その間、スイッチ自体がデータを交換して、全員が使用可能なすべてのVLANを確実に認識できるようにします。

例

VLANはネットワークの柔軟性と制御を完全に変えます。 あなたが所有する大型の高層ビルを想像してください。 各階には複数の事務所があり、建物の所有者として、データを使用するために各階を中央のデータクローゼットに配線し直していますが、各事務所は異なる会社がリースしています。 すべてのテナントに共有インターネットプランを提供したいとします。 802.1Qタギングがないと、各オフィスに別々のスイッチを用意する必要があり、各スイッチは個別にISPに接続する必要があります。 ただし、802.1Qタギングを使用すると、1つのスイッチと1つのルーターを使用して、各オフィスが相互に通信したり、インターネット接続と通信したりできます。 あるオフィスが後に隣のオフィスをリースする場合は、単にそれらのポートのVLAN IDを変更する必要があります。