マルチプルVLAN | 基礎知識
マルチプルVLANとは
マルチプルVLANは、パケットフィルタなどの機能を使用せずに、容易に各スペース間のセキュリティを確保し、インターネットや共用サーバーへの接続を可能にする機能です。
マルチプルVLANは、各スイッチポートにクライアントとアップリンクを設定し、クライアント間の通信は制限、クライアントとアップリンク間の通信を許可することで、セキュリティを保ちながら、設計の柔軟性を向上させます。
- ホテルやマンション、病院の病室向けサービスなど、各スペース間のセキュリティを保ちながら、
インターネットや共用リソースへのアクセスを許可したい。
マルチプルVLANの基本
マルチプルVLANには以下のような基本要素と基本動作があります。
基本要素
マルチプルVLANには、二つの基本的なポートがあります。
- プロミスキャスポート(アップリンクポート)
ルーターやスイッチ、サーバーなどの共用リソースへ接続するポート - ホストポート(プライベートポート)
クライアント端末を接続するポート
基本動作
マルチプルVLANは、前述の二つのポート間の通信を、次の二つの基本的なルールに基づいて制御しています。
- クライアント端末A、Bから上位側への通信は、プロミスキャスポートを経由して通信可能
- クライアント端末Aからクライアント端末B、またはその逆方向のように、ホストポート間の通信は不可
ポートベースVLAN・タグVLANとマルチプルVLANの違い
ポートベースVLAN、タグVLANとマルチプルVLANには、基本的に次の図のような違いがあります。
これらの違いを基に、ポートベースVLAN・タグVLANを使用するか、マルチプルVLANを使用するかを検討します。
- ポートベースVLAN・タグVLAN
-
- マルチプルVLAN
-
AlliedWare Plus 版マルチプルVLANの特徴
AlliedWare PlusのマルチプルVLANは、プライマリーVLAN(アップリンク用VLAN)とセカンダリーVLAN(クライアント端末接続用VLAN)で構成します。また、セカンダリーVLANはアイソレートVLANとコミュニティーVLAN の二つに分かれます。
- マルチプルVLANは、一つのプライマリーVLANと、
一つ以上のセカンダリーVLANで構成する。 - プライマリーVLANは、プロミスキャスポートを
収容する。 - セカンダリーVLANは、ホストポートを収容する。
- プライマリーVLANとアイソレートVLAN間の
通信は可能 - アイソレートVLAN内のクライアント端末間通信は
不可 - 同じコミュニティーVLAN内のクライアント端末間通信は
可能 - 異なるコミュニティーVLANのクライアント端末間通信は
不可 - アイソレートVLANとコミュニティーVLANのクライアント端末間通信は不可
エンハンストプライベートVLAN(マルチプルVLANとタグVLANの併用)
マルチプルVLANには、VLANタグを使用できるエンハンストプライベートVLANがあります。マルチプルVLANを使いながら、アップリンクやダウンリンクをタグVLANにする場合や、QoSを使う場合などに有効です。
また、リンクアグリゲーション機能(LAG)を併用することもでき、ネットワークの冗長化や高速化を行うことができます。
- エンハンストプライベートVLANは、一つのプロミスキャスポート(アップリンク用ポート)と、一つ以上のセカンダリーポート(ダウンリンク用ポート)で構成する。
- エンハンストプライベートVLANのセカンダリーポートは、アイソレートVLANとしてのみ使用可能。
マルチプルVLAN構成例
- 構成例1.インターネットアパート
-
マルチプルVLANにより居室間の通信を遮断することで、インターネットサービスだけを安全に提供することが可能になります。不特定多数へインターネット環境を提供する際に最適な機能です。
設計コンセプト
- 各居室はインターネットを利用する。
- 居室間の通信を遮断し、セキュリティを保つ。(コンピューターウィルスの感染拡大を防ぐことも可能)
設計のポイント
- 各居室をアイソレートVLANのホストポートに設定。
- インターネット回線をプライマリーVLANのプロミスキャスポートに設定。
- 構成例2.大規模マンション・ホテル・病院内インターネットサービス
-
マルチプルVLANは、大規模マンションなどのような環境でも居室間の通信を遮断し、セキュリティを保つことができます。
※ 規模によっては居室あたりのインターネット回線速度が著しく低下してしまうため、インターネット回線の増強なども併せてご検討ください。
設計コンセプト
- 各居室はインターネットを利用する。
- 居室間の通信を遮断し、セキュリティを保つ(コンピューターウィルスの感染拡大を防ぐことも可能)。
設計のポイント
- フロアスイッチの各居室をアイソレートVLANのホストポートに設定。
- フロアスイッチのメインスイッチと接続するスイッチポートをプライマリーVLANのプロミスキャスポートに設定。
- メインスイッチのフロアスイッチと接続するスイッチポートをアイソレートVLANのホストポートに設定。
- メインスイッチのインターネットへの接続をプライマリーVLANのプロミスキャスポートに設定。
- 構成例3.スクールネットワーク
-
生徒と先生のネットワークをマルチプルVLANで分離することにより、生徒には必要最低限のネットワークを提供し、管理者である先生には全てのネットワークサービスを提供できます。
設計コンセプト
- 生徒間の通信を許可する。
- 生徒は生徒用サーバーとインターネットを利用する。
- 生徒用サーバーとインターネットへの接続をプライマリーVLANのプロミスキャスポートに設定。
設計のポイント
- 生徒をコミュニティーVLAN Aのホストポートに設定。
- 先生と先生用サーバーをコミュニティーVLAN Bのホストポートに設定。
- 生徒用サーバーとインターネットへの接続をプライマリーVLANのプロミスキャスポートに設定。
- 構成例4.企業ネットワーク
-
マルチプルVLANのアイソレートVLANとコミュニティーVLANを組み合わせることで、フリースペースからはインターネット接続のみを許可し、社内サーバーへは部門ネットワークからのみ接続することができるといったセキュリティを、複雑なパケットフィルタリング機能などを使わずに実現できます。
設計コンセプト
- フリースペースからはインターネットのみを利用する。
- 部門内の通信を許可する。
- 部門間の通信を遮断する。
- 各部門から全社サーバーとインターネットを利用する。
設計のポイント
- フリースペースをアイソレートVLANのホストポートに設定。
- 営業部の端末と営業部サーバーをコミュニティーVLAN Aのホストポートに設定。
- 開発部の端末と開発部のサーバーをコミュニティーVLAN Bのホストポートに設定。
- 全社サーバーとインターネットへの接続をプライマリーVLANのプロミスキャスポートに設定。
- インターネットへのプロミスキャスポートとアイソレートVLAN、コミュニティーVLAN A/Bを関連付ける。
- 全社サーバーへのプロミスキャスポートとコミュニティーVLAN A/Bを関連付ける。
- 構成例5.ネットカフェ
-
マルチプルVLANにより居室間の通信を遮断することで、インターネットサービスだけを安全に提供することが可能になります。また、高機能なスイッチ製品を導入することで、不正端末の接続防止(セキュリティのさらなる強化)や、各居室の通信帯域を平等に割り当てる(帯域保証)ことによる安定したインターネット接続サービスの提供が可能になります。
設計コンセプト
- 各居室はインターネットを利用する。
- 居室間の通信を遮断し、セキュリティを保つ(コンピューターウィルスの感染拡大を防ぐことも可能)。
- 不正端末からの通信を遮断する。
- 各居室の通信帯域を平等に割り当てる(帯域保証)。
設計のポイント
- 各居室をコミュニティーVLAN A/B/Cのホストポートに設定。
- 管理端末をコミュニティーVLAN Dのホストポートに設定。
- DHCPサーバーとインターネットへの接続をプライマリーVLANのプロミスキャスポートに設定。
- DHCPサーバーおよびインターネットへのプロミスキャスポートとコミュニティーVLAN A/B/C/Dを関連付ける。
- メインスイッチでアクセスリストを設定し、許可したクライアント端末以外からの通信を遮断する。
- メインスイッチで各居室のQoS設定(帯域制御)を行う。