VLAN とは — 1 台のスイッチを論理的に分けるレイヤ 2 の分割技術

⏱ 約 5 分 view 29 like 0 LOG_DATE:2026-06-10
目次 / TOC

VLAN (Virtual LAN) は、1 台の物理スイッチを論理的に複数のネットワークへ分割する技術。同じスイッチに挿さっていても、VLAN が違えば互いに直接は通信できず、ブロードキャストも届かない。配線を増やさずに「部署ごと」「サーバ用」「来客 Wi-Fi 用」「IoT 用」といった分離を実現でき、セキュリティ・性能・運用の柔軟性を一度に底上げできる。本稿では VLAN の目的 / アクセスとトランク / 802.1Q タグ / VLAN 間通信にルータが要る理由 / セキュリティ論点までを扱う。

01

VLAN とは — 物理は 1 つ、論理で分ける #

ふつうスイッチに繋がった機器は全員が同じ「ブロードキャストドメイン」に属し、互いに丸見え。VLAN は、そのスイッチのポートをグループ分けし、別グループ同士を「あたかも別のスイッチ」のように切り離す。

▸ かみ砕いて言うと — 「1 棟のビルをフロアで仕切る」

物理ビル (スイッチ) は 1 つだが、内装の壁 (VLAN) で「営業フロア」「経理フロア」「来客フロア」に仕切る。同じフロアの人同士はすぐ話せるが、別フロアへ行くにはエレベーターと受付 (ルータ) を通る必要がある。壁はソフトウェア設定だけで動かせるので、レイアウト変更が一瞬。

02

なぜ使うか — 分離・性能・柔軟性 #

セキュリティ (分離)
来客 Wi-Fi や IoT を社内サーバと同じ L2 に置かない。VLAN で隔離すれば、侵害された端末から横展開 (ラテラルムーブメント) されにくい。
性能 (ブロードキャスト抑制)
ブロードキャストは VLAN 内にしか飛ばない。巨大な 1 つのドメインを小さく割ることで、無駄なトラフィックと輻輳を減らせる。
柔軟性 (物理に縛られない)
席替えや組織変更も、ケーブルを挿し替えずポートの VLAN 設定を変えるだけ。離れた階の人を同じ VLAN にまとめることもできる。
03

アクセスポートとトランクポート #

VLAN を理解する鍵は、スイッチのポートに 2 種類あること。

種類役割タグ
アクセスポートPC やプリンタなど1 つの VLAN に属する端末を繋ぐなし (untagged)
トランクポートスイッチ間 / スイッチ–ルータを繋ぎ、複数 VLAN をまとめて運ぶあり (802.1Q tagged)

端末は自分が VLAN に属していることを知らない (普通の Ethernet を喋るだけ)。VLAN を意識するのはスイッチで、アクセスポートで受けたフレームに「これは VLAN 10 ですよ」という印を付けてトランクへ流す。

04

IEEE 802.1Q タグ — フレームに VLAN ID を埋める #

複数 VLAN を 1 本のトランクで運ぶには、各フレームが「どの VLAN のものか」を示す必要がある。それが IEEE 802.1Q タグ。Ethernet フレームの送信元 MAC の直後に 4 バイト挿入され、その中の 12 ビットが VLAN ID (1〜4094)

802.1Q タグの挿入位置
# 通常の Ethernet フレーム [ 宛先MAC | 送信元MAC | EtherType | ペイロード | FCS ]

# 802.1Q タグ付き (トランク上) [ 宛先MAC | 送信元MAC | 802.1Q tag (4B) | EtherType | ペイロード | FCS ] └ TPID 0x8100 + PCP/DEI + VLAN ID(12bit)

トランクの出口でないアクセスポートから端末へ出すときはタグを外すので、端末側は普通のフレームしか見ない。なお、トランク上でタグを付けない 1 つの VLANを「ネイティブ VLAN」と呼ぶ (後述のセキュリティ論点に関わる)。

05

VLAN 間通信 — 別ネットワークなのでルータが要る #

ここが頻出の勘違いポイント。VLAN が違う = 別の IP ネットワーク (別サブネット)。L2 では絶対に直接通信できない。VLAN 10 (192.168.10.0/24) と VLAN 20 (192.168.20.0/24) を繋ぐには、L3 の機器 (ルータ or レイヤ 3 スイッチ) が必要。

Router on a stick
1 本のトランクでルータに繋ぎ、VLAN ごとにサブインターフェースを切ってそれぞれのデフォルトゲートウェイ役にする。安価だが帯域がトランクに集中。
レイヤ 3 スイッチ (SVI)
スイッチ自身が VLAN ごとの仮想インターフェース (SVI) を持ち、内部で高速にルーティング。業務環境の定番。

VLAN 間に必ずルータ (= フィルタを掛けられる地点) が挟まるからこそ、「VLAN を分けてから、その間の通信を ACL / ファイアウォールで絞る」というセグメント設計が成立する。

06

セキュリティ — VLAN ホッピングと分割設計 #

VLAN は分離の道具だが、設定を誤ると越境される。代表が VLAN ホッピング

攻撃手口対策
スイッチスプーフィング端末が自らトランクをネゴシエートし全 VLAN を覗くDTP 無効化・アクセスポートを明示
ダブルタギングタグを 2 重に付け、ネイティブ VLAN を悪用して別 VLAN へ送り込むネイティブ VLAN を未使用 ID に・トランクで全タグ必須化
▸ 「VLAN = 完全な壁」ではない

VLAN は便利な論理分離だが、設定ミスや L2 攻撃で破られうる。本当に強い分離が要る境界 (例: DMZ と内部、OT と IT) は、VLAN だけに頼らず物理分離やファイアウォールを併用する。VLAN 間にルータがある利点を活かし、必要な通信だけを ACL で許可するのが基本姿勢。

ゼロトラスト的な発想では、VLAN によるマイクロセグメンテーション(細かく割って通信を最小許可にする)が侵害時の被害拡大を抑える要になる。[[arp]] スプーフィングのような L2 攻撃も、VLAN を小さく割るほど影響範囲を限定できる。

07

まとめ — 押さえる 5 点 #

  • VLAN は 1 台のスイッチを論理的に分割し、別 VLAN を別ネットワークとして隔離する L2 技術。
  • ポートは アクセス (1 VLAN・タグなし)トランク (複数 VLAN・802.1Q タグあり) の 2 種類。
  • 802.1Q は Ethernet フレームに 4 バイト挿入し、12 ビットの VLAN ID (1〜4094) を運ぶ。
  • VLAN が違えば別サブネット。通信にはルータ / L3 スイッチが必須 (router on a stick / SVI)。
  • VLAN ホッピングに注意。強い境界は VLAN 単独に頼らず FW・物理分離を併用する。
𝕏 ポスト B! はてブ