仮想ローカル エリア ネットワーク (VLAN) について

802.1Q VLAN (仮想ローカル エリア ネットワーク) は、1 つまたは複数の LAN 上のコンピュータの集まりを物理的な場所に関係なく単一のブロードキャスト ドメインにグループ化したものです。これにより、物理的な距離ではなく、トラフィックのパターンに応じてデバイスをグループ化できます。VLAN のメンバ間では、同一の LAN に接続されている場合と同様にリソースを共有できます。また、VLAN を使用してスイッチを複数のセグメントに分割することもできます。たとえば、自社の同一の LAN 上で、正社員と契約社員が作業している場合を想定します。契約社員をフルタイム社員によって使用されるリソースのサブセットに制限し、契約社員に対してより厳格なセキュリティ ポリシーを使用するには、インターフェイスを 2 つの VLAN に分割することができます。

VLAN を使用すると、物理的な構造ではなく、論理的かつ階層的な構造またはグループによってネットワークをグループに分類できます。これを行うと、IT スタッフは、既存のネットワーク設計やケーブル インフラストラクチャの制限から解放されます。VLAN により、ネットワークの設計、実装および管理が容易になります。VLAN は、ソフトウェア ベースであるため、ネットワークに対する追加、再配置、再編成をすばやく簡単に行うことができます。

VLAN では、ブリッジやスイッチが使用されますが、ブロードキャストは VLAN 上のノードにだけ送信され、接続されたすべてのノードには送信されないため、より効率的にブロードキャストができます。これにより、ルータ間のトラフィックが削減され、ルータのレイテンシも短縮されます。VLAN のデバイスの DHCP サーバーとして機能するように 、または別の DHCP サーバーで DHCP 中継を使用するように Firebox を構成することできます。

VLAN を信頼済み、任意、または外部のセキュリティゾーンに指定します。VLAN セキュリティ ゾーンは、インターフェイス セキュリティ ゾーンのエイリアスに対応します。たとえば、信頼済みの VLAN の種類は、送信元または宛先としてエイリアス Any-Trusted を使用するポリシーにより管理されます。ルーティングに基づいたポリシーの設定を行うと 外部インターフェイスのリストにタイプ外部の VLAN が表示されます。

VLAN の要件と制限

  • スパニング ツリー プロトコルが一部の VLAN 構成でサポートされています。
    VLAN に対するスパニング ツリー プロトコルのサポートの詳細については、スパニング ツリー プロトコルについて を参照してください。
  • Firebox がドロップイン モードで構成されている場合は、VLAN を使用することはできません。
  • VLAN インターフェイスは、1 つの信頼済み、任意、またはカスタムの VLAN のみに対してタグなしトラフィックを送受信できます。
    たとえば、VLAN インターフェイスが VLAN-10 に対してタグなしトラフィックを送受信するように構成されている場合、このインターフェイスはその他の VLAN のすべてのタグなし VLAN トラフィックを同時に送受信することはできません。
  • VLAN インターフェイスは、外部 VLAN にタグなしトラフィックを送受信することはできません。
  • 外部 VLAN のタグ付きトラフィックを送受信するように構成されている VLAN インターフェイスも、信頼済み、任意、またはカスタム VLAN のトラフィックを送受信することができません。
  • 複数 WAN 構成設定が VLAN トラフィックに適用されますが、複数 WAN 構成で、物理インターフェイスのみが使用されている場合、帯域幅の管理が簡単になります。
  • 作成可能な VLAN の最大数は、VLAN インターフェイスの最大数 値の Firebox 機能キーで指定されています。
  • パフォーマンスのために、外部インターフェイスで機能する VLAN の数を 10 個以上作成しないことをお勧めします。外部インターフェイスでのVLANが多すぎるとパフォーマンスに影響します。
  • VLAN に追加するすべてのネットワーク セグメントは、VLAN ネットワーク上の IP アドレスを持っている必要があります。
  • ESXi 環境にある FireboxV または XTMv デバイスの単一インターフェイスで複数の VLAN を使用するには、VLAN ID 4095(すべて)を使用するように VLAN インターフェイスの VSwitch を構成します。

タグ付けについて

VLAN を有効化するには、各サイトに VLAN 対応スイッチを配置する必要があります。指定した VLAN の一部として、ネットワークパケットを識別するように、スイッチ インターフェイスによって、データ フレームのレイヤ 2 にタグが挿入されます。イーサネット ヘッダーに 4 バイトのデータを追加するこれらのタグは、フレームが特定の VLAN に属することを特定します。タグは、IEEE 802.1Q 規格によって規定されています。

VLAN 定義には、タグ付きまたはタグなしのデータ フレームの処置方法も含まれています。有効化された各インターフェイスから VLAN がタグ付きデータを受信するか、タグなしデータを受信するか、またはどのデータも受信しないかを指定する必要があります。Firebox は、VLAN 対応スイッチに送信されるパケットにタグを挿入することができます。また、デバイス では、スイッチがない VLAN に属するネットワーク セグメントに送信されるパケットからタグを削除することもできます。

Firebox インターフェイスは、複数のタグ付き VLAN のトラフィックを管理することができます。これにより、インターフェイスが VLAN トランクとして機能します。Firebox は 802.1Q 標準をサポートしています。

VLAN の ID 数について

既定では、構成されていないほとんどの新しいスイッチ上の各インターフェイスは VLAN 1 に属します。それは、デフォルトとして大抵のスイッチのすべてのインターフェースにVLANが存在し、確立があるのは、このVLANが事故的にすべての、あるいは少なくとも大部分のネットワークをスパンした場合に限ります。

Firebox にトラフィックを通す VLAN には、1 以外の VLAN ID 番号を使用することをお勧めします。

関連情報:

新しい VLAN を定義する

共有インターフェイスの設定

ネットワーク セグメンテーションについて