VLAN | 2bit Seeker

NW初心者向け：L3スイッチでサクッと理解するVLANのキホンと使いどころ
VLANって結局なに？NW運用がラクになる理由
構成方式の違い：ポートVLANとタグVLAN
1. ポートVLAN（Port-based VLAN）
2. タグVLAN（IEEE 802.1Q）
L3スイッチで進める「VLAN間通信（ルーティング）」の考え方
1. SVIでシンプルにインターフェースを用意
2. 本社-支社のケース：情報漏えいを防ぎつつ柔軟運用
設計のコツ：NW視点で押さえておきたいポイント

NW初心者向け：L3スイッチでサクッと理解するVLANのキホンと使いどころ

VLANって結局なに？NW運用がラクになる理由

「NW（ネットワーク）」の設計でよく登場するVLAN（Virtual LAN）は、同じ物理ネットワーク上に論理的な“区画”を作る仕組みです。L2機能（スイッチング）とL3機能（ルーティング）の接続性を拡張し、LAN設計の物理的な制約を解放してくれます。たとえば、本社と支社がルータで結ばれていて、営業部と開発部が同じブロードキャストドメインにいると、互いの通信をキャプチャできてしまうことがあります。これは、部外秘情報が混在する環境では好ましくありません。
ここでL3スイッチ＋VLANの出番。VLAN IDによって営業部と開発部を異なるVLANとして扱えば、営業部用VLANの通信は開発部用VLANのポートへは転送されません（逆も同様）。しかも、IPアドレス体系を変えずにネットワークを分割・統合できるため、NW運用の柔軟性がぐっと上がります。

構成方式の違い：ポートVLANとタグVLAN

ポートVLAN（Port-based VLAN）

ポートVLANは、スイッチのポートに属するVLANを固定する方式。シンプルで分かりやすく、初期導入や小規模構成に向きます。ただし物理結線に依存するため、ユーザーや機器の配置替えが多い環境では柔軟性に欠けます。たとえば、営業部の端末を別フロアに移動するたびに、該当ポートのVLAN設定や結線変更が必要になりがちです。運用コストが読みにくくなるのが課題。

タグVLAN（IEEE 802.1Q）

タグVLANは、MACフレームにVLANタグ（ID）を付与して論理的にVLANを識別する方式です。これにより、1つの物理ポートが複数VLANへ参加できたり、結線を変えずに参加VLANを変更できたりします。NWの自由度が高く、マルチテナントや拠点間のセグメント維持、VoIP用の音声VLANなどにも有効。トランクポートでVLANタグを複数通せば、スイッチ間でVLANを横断的に拡張可能です。日々のレイアウト変更や機器追加にも強いのが魅力。

L3スイッチで進める「VLAN間通信（ルーティング）」の考え方

SVIでシンプルにインターフェースを用意

VLAN間の通信（インタVLANルーティング）には、L3スイッチのSVI（Switch Virtual Interface）を使うのが定番です。各VLANに仮想インターフェース（例：VLAN10にSVI 10.0.10.1/24）を割り当て、端末のデフォルトゲートウェイをそのSVIに向ければOK。こうすることで、同じスイッチ上で高速にL3転送でき、ルータ外出しよりもレイテンシを抑えやすく、配線もすっきりします。

本社-支社のケース：情報漏えいを防ぎつつ柔軟運用

営業部（VLAN10）と開発部（VLAN20）が同一ブロードキャストドメインにいた場合、通信可視性の問題が出ます。L3スイッチでVLAN10/20を分割し、SVIを設定すれば、部門間はルーティングを経由する形になります。アクセス制御（ACL）で必要なプロトコルのみ許可すれば、情報漏えいリスクを大幅に低減。さらに、先に存在するノード（端末やサーバ）にもVLAN IDを割り当てられるため、大規模なIP再設計なしで段階的な移行が可能です。

設計のコツ：NW視点で押さえておきたいポイント

ブロードキャストドメインの適正化

VLANはブロードキャストを部門・用途単位で閉じ込めるための仕組みとも言えます。端末数やトラフィックの性質を見て、適度なサイズに分割しましょう。ログ基盤や認証サーバは専用VLANにして、不要なブロードキャストを遮断するのがセオリーです。

タグ設計とトランクの整合性

タグVLANを使う場合、スイッチ間のトランクで通過させるVLAN一覧（allowed VLAN）を明確に管理します。どのVLANがどこまで延びるべきか、配線図と設定の両面で一貫性を保つことが重要。ミスがあると「VLANは作ったのに到達しない」という典型的トラブルを招きます。

L3スイッチの役割分担とACL

インタVLANルーティングはL3スイッチが担当しますが、どの通信を許可・遮断するかはACLで細かく制御しましょう。営業部と開発部の相互参照が不要なら、双方向に制限。必要なときだけ特定のポート・プロトコルを開けることで、セキュリティと運用性のバランスを保てます。

まとめ：VLANはNW運用の自由度を高める必須テック。ポートVLANはシンプル、タグVLAN（IEEE 802.1Q）は柔軟。L3スイッチとSVIを組み合わせれば、IP体系を大きく変えずに部門間を分離しつつ必要な通信だけ通せます。本社-支社構成でも、営業部/開発部の情報を守りながら運用効率アップ。まずはブロードキャストドメインの適正化、トランクの整合、ACLの粒度からチェックして、あなたのNWに最適なVLAN設計を進めましょう。