VLANは1台のスイッチを論理的に複数のネットワークに分割する技術です。企業ネットワーク・クラウド・Dockerのネットワーク設計で必須の概念です。
VLANとは何か?
VLAN(Virtual LAN)は、物理的なケーブル接続に関わらず、スイッチのポートを論理的にグループ化してネットワークを分割する技術です。同じスイッチに繋がっていても、異なるVLANに属する機器は直接通信できません。
VLANを使う理由
| 目的 | 内容 | 例 |
|---|---|---|
| セキュリティ | 部署やシステムを分離して不正アクセスを防ぐ | 経理・開発・ゲストWi-Fiを分離 |
| パフォーマンス | ブロードキャストドメインを分割して帯域節約 | 映像配信用ネットワークを分離 |
| 管理性 | 論理的なグルーピングで管理しやすくする | フロアをまたいで同じVLANに |
タグVLAN(IEEE 802.1Q)
スイッチ間でVLAN情報を伝達するために、イーサネットフレームに「VLANタグ(4バイト)」を付加します。VLANタグにはVLAN ID(1〜4094)が含まれます。
# LinuxでVLANインターフェースを作成(8021q モジュールが必要)
sudo modprobe 8021q
# eth0にVLAN ID 10のサブインターフェースを作成
sudo ip link add link eth0 name eth0.10 type vlan id 10
sudo ip addr add 192.168.10.1/24 dev eth0.10
sudo ip link set eth0.10 up
# 確認
ip link show
cat /proc/net/vlan/configクラウド・Dockerとの関係
AWSのVPCサブネット・DockerのネットワークもVLANと同じ「論理的なネットワーク分離」の考え方が元になっています。パブリックサブネット・プライベートサブネットの分離はVLANによるセグメント分割と本質的に同じ概念です。
Dockerを使い始めたとき「bridge・host・overlay」というネットワークモードが出てきて混乱しました。VLANの概念を知っていると「bridgeは独立したLAN、hostはホストのNICを共有、overlayは複数ホストをまたぐVXLAN」と理解しやすくなります。
hobbyshift管理人
まとめ
- VLANは物理スイッチを論理的に分割してネットワークを分離する技術
- セキュリティ・パフォーマンス・管理性の向上が主な目的
- IEEE 802.1QのタグVLANでスイッチ間のVLAN情報を伝達する
- AWSのVPCサブネット・DockerのネットワークもVLANと同じ分離の概念が元になっている
コメント