エンタープライズネットワーク用のVLANを設定する方法
仮想LanまたはVlanは、ネットワークリンク上のトラフィックを分離して優先順位を付けます。 これらは、同じ物理LAN上にあるかどうかに関係なく、特定のデバイスが一緒に動作することを可能にする分離されたサブネットを作成します。
企業はvlanを使用してトラフィックを分割および管理します。 たとえば、エンジニアリング部門のデータトラフィックを会計部門のトラフィックから分離しようとしている企業は、部門ごとに個別のVlanを作成で 同じサーバー上で実行される複数のアプリケーションは、要件が異なる場合でもリンクを共有できます。 スループットとレイテンシの要件が厳しいビデオまたは音声アプリケーションでは、重要性の低いパフォーマンス要件を持つア
Vlanはどのように機能しますか?
個々のVlan上のトラフィックは、各VLANに割り当てられたアプリケーションにのみ配信され、セキュリティレベルが提供されます。 各VLANは個別のコリジョンドメインであり、ブロードキャストは単一のVLANに制限されます。 ブロードキャストが他のVlanに接続されているアプリケーションに到達するのをブロックすると、それらのアプリケーショ
Vlanは、レイヤ2のリンクレイヤで動作し、レイヤ2スイッチに接続することにより、単一の物理リンクに制限するか、複数の物理リンクにまたがって拡 各VLANは衝突ドメインであり、レイヤ3スイッチは衝突ドメインを終了するため、vlanセグメントをルータで接続することはできません。 基本的に、単一のVLANは複数のサブネットにまたがることはできません。
サブネットセグメントはスイッチを介して接続します。 複数のサーバーで実行されているアプリケーションのコンポーネントを、単一のVLANとサブネットに配置して接続するのが一般的です。 たとえば、単一のサブネットとVLANを会計部門専用にすることができますが、部門のメンバーが単一のイーサネットケーブルでは離れすぎている場合、スイッチはVLANとサブネットを運ぶ異なるイーサネットリンクを接続し、VLANルーターはサブネットをネットワークの残りの部分に接続します。
VLANトランクリンクには複数のVLANが伝送されるため、トランク上のパケットにはVLANを識別するための追加情報が伝送されます。 アクセスリンクには単一のVLANが伝送され、この情報は含まれません。 アクセスリンクに接続されたパケットからビットが削除されるため、接続されたポートは標準のイーサネットパケットだけを受信します。
VLANの設定方法
VLANの設定は複雑で時間がかかる場合がありますが、vlanはセキュリティの向上など、企業ネットワークに大きな利点をもたらします。 VLANを設定する手順は次のとおりです。
1. VLANを運ぶすべてのスイッチはそのVLANのために設定される必要があります。 チームがネットワーク設定を変更するたびに、スイッチ設定を更新したり、スイッチを交換したり、追加のVLANを追加したりするように注意する必要があ
2. ネットワークに接続されている各ユーザに付与されるアクセスを規制するAclは、Vlanにも適用されます。 具体的には、VLAN Acl(Vacl)は、スイッチにまたがる場所、またはパケットがVLANに出入りする場所であれば、VLANへのアクセスを制御します。 Vaclの設定は複雑な場合が多いため、ネットワークチームはvaclを設定する際に細心の注意を払う必要があります。 Vaclの構成または変更時にエラーが発生すると、ネットワークセキュリティが侵害される可能性があります。
3. コマンドラインインターフェイスの適用
3. コマンドラインインターフェイスの適用
各OSおよびスイッチベンダは、製品のVlanを設定および変更するためのCLIコマンドのセットを指定します。 一部の管理者は、これらのコマンドを含むファイルを作成し、構成を変更するために必要なときにそれらを編集します。 コマンドファイル内の単一のエラーにより、1つまたは複数のアプリケーションが失敗する可能性があります。
4. 管理パッケージを検討する
機器ベンダーや第三者は、作業を自動化および簡素化し、エラーの可能性を減らす管理ソフトウェアパッケージを提供しています。 これらのパッケージは、多くの場合、構成設定の各セットの完全な記録を保持するため、エラーが発生した場合に、最後に動作していた構成をすばやく再
タグ付けによるVlanの識別
IEEE802.1Q標準では、Vlanの識別方法が定義されています。
宛先および送信元メディアアクセス制御アドレスはイーサネットパケットの先頭に表示され、32ビットVLAN識別子フィールドは次のようになります。
タグプロトコル識別子
TPIDはVLANフレームの最初の16ビットを構成します。 TPIDには、パケットをVLANパケットとして識別する16進値8100が含まれています。 VLANデータのないパケットには、パケット位置にEtherTypeフィールドが含まれています。
タグ制御情報
16ビットTCIフィールドはTPIDの後に続きます。 これには、3ビットpcpフィールド、シングルビットdrop eligable indicator(DEI;ドロップ適格インジケータ)、および12ビットVLAN識別子(VID)フィールドが含まれています。
PCPフィールドは、VLANを共有するアプリケーションが必要とするサービス品質を指定します。 IEEE802.1p規格では、これらのレベルは次の値として定義されています。:
- 値0は、ネットワークが配信するために最善の努力をするパケットを示します。
- 値1はバックグラウンドパケットを識別します。
- 値2から値6は、ビデオパケットまたは音声パケットを示す値を含む他のパケットを識別します。
- 優先度の最も高い値7は、ネットワーク制御パケット用に予約されています。
シングルビットDEIはPCPフィールドの後に続き、さらに情報をPCPフィールドに追加します。 DEIフィールドは、混雑したネットワーク内でドロップできるパケットを識別します。
VIDフィールドは、ネットワークがサポートできる4,096個のVlanのいずれかを識別する12ビットで構成されます。イーサネットベースのVlanは、VLAN対応アクセスポイント(AP)を使用してWi-Fiに拡張できます。 これらのApは、各VLANに関連付けられたサブネットアドレスを使用して着信有線トラフィックを分離します。 エンドノードは、構成されたサブネット上のデータのみを受信します。
無線でのセキュリティは、有線のように強制することはできません。 ゲストネットワークなど、必要に応じて、異なるパスワードを持つサービスセット識別子またはSsidが使用されます。
Vlanは、ブロードキャストを制限し、トラフィックの優先順位を設定するために、ネットワーク技術の進化の初期に開発されました。 ネットワークのサイズと複雑さが増加しているので、それらは有用であることが証明されています。