◯ VLANは大規模ネットワークだけのものじゃない、4つの「使い方」を解説する。
VLANをどのように使うべきなのか。企業ネットワークでVLANを使う場合に参考にしたい構成の「型」を4つ紹介しよう。
構成1、VLAN運用キホンのキ 管理用セグメントを分割。
まずはVLANを使う上で基本となる構成を紹介する。ネットワーク機器を管理するためのVLANセグメントと、社員などが一般に利用するVLANセグメントを分ける構成だ(図1)。
例えば部署A用にVLAN10、部署B用にVLAN20を構築している場合、ネットワーク機器管理用としてVLAN1など別のVLANセグメントを用意する。管理用のVLANセグメントには、第3回で紹介した通りネーティブVLANを使うのが一般的だ。
この構成のポイントは、「管理用のVLANセグメントには、部署用のVLANセグメントから接続できないように設定しておく」ことだ。ネットワーク機器の設定を担当者以外が変更できないようにするのが目的だ。例えば「ルーターなどでアクセス制御ポリシーを設定し、端末がアクセスできる範囲を限定する」(ネットワンシステムズの權氏)。
以降に紹介する構成でも、基本的にはネットワーク機器管理用のVLANセグメントを社員や来客(ゲスト)用のVLANセグメントとは別に設定しておくのが望ましい。
またVLANセグメントをつくる際の基本的な考え方として、各VLANセグメントが管理する情報の機密性なども考慮する。例えば社外に漏洩させてはいけない情報を抱える開発部門を別のVLANセグメントで独立させて、営業部門や経理部門のVLANセグメントとは通信をさせないといったことも考えるべきだ。
基本的には1つのVLANセグメントに収容する端末の台数は255台程度*1が望ましい。端末の台数が多過ぎると、第1回で紹介したLANを分割するメリットが薄れてしまうためだ。多くても1023台程度*2がよいだろう。これは以降に紹介するいずれのケースにおいても共通する。
構成2、接続するVLANをSSIDで変更 ゲスト用のWi-Fiを分ける。
次に無線LANとVLANを組み合わせる際の、基本的な構成を紹介しよう。オフィスに来客があったときなどのために、ゲスト専用の無線LAN(ゲストWi-Fi)を用意している企業は多い。このようなケースで社員用のネットワークとゲスト用のネットワークを分けるために、VLANが活躍する(図2)。
この構成のポイントは、「SSID(Service Set Identifier)*3ごとにVLANセグメントを設定し、SSIDに応じて接続するVLANセグメントを変える」(GMOインターネットグループの小島慶一アーキテクトチームリーダー)ことだ。無線LANアクセスポイント(無線AP)に設定するSSIDと、接続先のVLANセグメントのVLAN IDを1対1でひも付ける。
例えば社内に2つの部署があり、1階と2階にまたがって仕事をしているとする。ゲストを迎える会議室は1階にあり、会議室に無線APを設置する。構築するVLANセグメントは部署A用と部署B用、ゲスト用の3つで、部署Aと部署Bの社員はオフィスに設置したL2スイッチあるいは無線APを使ってVLANセグメントに接続する。会議室にはゲストだけでなく社員も出向くため、会議室の無線APからはそれぞれのVLANセグメントに接続できる。
無線APには、社員向けのSSIDとゲスト用のSSIDの両方を登録しておくとよいだろう。こうしておけば、利用者が社内を移動しても無線LANの接続を維持できる。無線LANを使ってVLANセグメントに接続するため、それぞれの無線APとL2スイッチにはタグVLANで接続する。
ゲストがインターネットに接続でき、かつ社内ネットワークにアクセスできないようにルーターなどで制御する必要がある。具体的には、インターネットに接続するVLANセグメントにのみルーティングを設定するといった具合だ。
構成3、ダイナミックVLANを活用 認証でVLANを切り替え。
次は「ダイナミックVLAN*4」と呼ばれる、認証に基づいて接続するVLANセグメントを変える仕組みを使う例だ。複数の部署や企業などが共通の無線APやL2スイッチを使う場合を想定する(図3)。
ダイナミックVLANは、無線LANを使ったフリーアドレスの実現に便利だ*5。
例えばA社とその関連会社のB社が共存するオフィスでは、互いに情報アクセスが制限できることが望ましい。手段の1つとして、それぞれ別のVLANセグメントを利用する。だが座席を固定していない場合は、接続する無線APによってVLANセグメントを分けることはできない。
このケースで用意するVLANセグメントはA社専用とB社専用に加え、両社で共通して利用する共用VLANセグメントの3つだ。この構成のポイントは、「端末が接続するVLANセグメントは、端末やユーザーIDの情報を基にして自動で振り分ける」(NTTデータのネットワークソリューション事業部に所属する善田翔氏)ことだ。その上でユーザー認証後、そのIDなどに基づいて接続できるVLANセグメントを決定する仕組みが必要だ。
VLAN IDは各社ごとに複数割り当てる。例えばA社用にはVLAN IDを100から150までを10刻みに割り当てた6つのVLANセグメントを構築する。同様にB社用は6つ、共用は3つつくる。
VLAN IDを割り当てたそれぞれのVLANセグメントは、フロアや社員数などに応じて無線APがつながるL2スイッチに振り分ける*6。その上でA社の社員はA社用の全VLANセグメントと共用VLANセグメントに接続でき、B社の社員はB社用の全VLANセグメントと共用VLANセグメントにそれぞれ接続できるよう設定する。
接続するVLANセグメントの振り分けは、認証サーバーが担う。認証サーバーはA社社員もB社社員もアクセスできるよう共用VLANセグメントに置く*7。
構成4、L2スイッチでアクセス制御 小規模でも機密を保護。
VLANは大規模ネットワークだけで使う技術ではない。中小規模のネットワークでもセグメントを分けたい場合はある。例えば機密性が高い情報を扱うセグメントを分けたい場合だ。しかしポートVLANとタグVLANで分けると、ネットワーク構成が複雑になってしまう。
そこでL2スイッチが備えるアクセス制御機能を使う手がある。アライドテレシスやバッファローなどが「マルチプルVLAN*8」と呼ぶ機能だ(図4)。
特徴は「L2スイッチでアクセス制御を実施する。厳密にはVLANではないが、事実上VLANとして使える」(大塚商会の松林秀幸テクニカルソリューションセンターテクニカルエンジニア)ことだ。全体で1つのネットワークアドレスを使うが、アクセス制御によってフレームが届かないようにする。例えば営業部のネットワークと基幹システムのネットワークを分けて互いにアクセスできないようにするなどの使い方ができる。
マルチプルVLANは、ポート単位でアクセス制御する。L2スイッチのポートを、ルーターと接続するアップリンク側と、端末と接続するダウンリンク側に分ける。ダウンリンク側に接続した端末は、全てアップリンクを経由してインターネットにアクセスできる。だがダウンリンク側のポート同士は通信できないよう制御する*9。
マルチプルVLANのメリットは、「社員20~30人ほどの小規模な企業で、ネットワーク設計をせずに導入できる」(松林テクニカルエンジニア)ことだ。
一方で、気を付けるポイントもある。L2スイッチのアップリンク側のサーバーが乗っ取られると、社内システム全体に影響を受けることだ。社内システムとアップリンク側のサーバーは、ルーターを介さずにアクセスできる。言うまでもないが、マルチプルVLANを使う場合はファイアウオールなど適切な防御を施す必要があることに留意したい。
サブネットマスクが/24のネットワークになる。サブネットマスクとは、IPアドレスと組み合わせて接続するネットワークのアドレスを見つけるための制御情報のこと。
サブネットマスクが/22のネットワークになる。
端末と無線APをひも付けるための識別子。通信するには、端末と無線APで同じSSIDを設定する必要がある。
認証VLANとも呼ばれる。
単にフリーアドレスにするだけならば、規模によっては1つのVLANセグメントにしてしまう手もある。ただし1つのオフィスに複数の関連会社が入居している場合はVLANが必要だ。
各フロアに設置するL2スイッチに、A社用、B社用、共用のVLANセグメントそれぞれを割り振る。例えば1階のL2スイッチにはA社用のVLAN100とVLAN110、B社用のVLAN200とVLAN210、共用のVLAN300を割り当てておくと、フリーアドレスでも社員の所属に応じて別のVLANセグメントに接続できる。
認証後も端末が接続する無線APは変わらないため、無線APとL2スイッチ、L2スイッチとL3スイッチの間はいずれもタグVLANで結ぶ。
ネットワーク機器ベンダーごとに呼び方が違う。例えば米Cisco Systems(シスコシステムズ)は似た機能として「プライベートVLAN」を提供している。
社内で複数社員が共用する複合機などは、アップリンク側に接続する。
