マルチプルVLAN | 基礎知識

マルチプルVLANとは

マルチプルVLANは、パケットフィルタなどの機能を使用せずに、容易に各スペース間のセキュリティを確保し、インターネットや共用サーバーへの接続を可能にする機能です。
マルチプルVLANは、各スイッチポートにクライアントとアップリンクを設定し、クライアント間の通信は制限、クライアントとアップリンク間の通信を許可することで、セキュリティを保ちながら、設計の柔軟性を向上させます。

  • ホテルやマンション、病院の病室向けサービスなど、各スペース間のセキュリティを保ちながら、
    インターネットや共用リソースへのアクセスを許可したい。

マルチプルVLANの基本

マルチプルVLANには以下のような基本要素と基本動作があります。

基本要素

マルチプルVLANには、二つの基本的なポートがあります。

  • プロミスキャスポート(アップリンクポート)
    ルーターやスイッチ、サーバーなどの共用リソースへ接続するポート
  • ホストポート(プライベートポート)
    クライアント端末を接続するポート

基本動作

マルチプルVLANは、前述の二つのポート間の通信を、次の二つの基本的なルールに基づいて制御しています。

  • クライアント端末A、Bから上位側への通信は、プロミスキャスポートを経由して通信可能
  • クライアント端末Aからクライアント端末B、またはその逆方向のように、ホストポート間の通信は不可

ポートベースVLAN・タグVLANとマルチプルVLANの違い

ポートベースVLAN、タグVLANとマルチプルVLANには、基本的に次の図のような違いがあります。
これらの違いを基に、ポートベースVLAN・タグVLANを使用するか、マルチプルVLANを使用するかを検討します。

ポートベースVLAN・タグVLAN

マルチプルVLAN

AlliedWare Plus 版マルチプルVLANの特徴

AlliedWare PlusのマルチプルVLANは、プライマリーVLAN(アップリンク用VLAN)とセカンダリーVLAN(クライアント端末接続用VLAN)で構成します。また、セカンダリーVLANはアイソレートVLANとコミュニティーVLAN の二つに分かれます。

  • マルチプルVLANは、一つのプライマリーVLANと、
    一つ以上のセカンダリーVLANで構成する。
  • プライマリーVLANは、プロミスキャスポートを
    収容する。
  • セカンダリーVLANは、ホストポートを収容する。
  • プライマリーVLANとアイソレートVLAN間の
    通信は可能
  • アイソレートVLAN内のクライアント端末間通信は
    不可
  • 同じコミュニティーVLAN内のクライアント端末間通信は
    可能
  • 異なるコミュニティーVLANのクライアント端末間通信は
    不可
  • アイソレートVLANとコミュニティーVLANのクライアント端末間通信は不可

エンハンストプライベートVLAN(マルチプルVLANとタグVLANの併用)

マルチプルVLANには、VLANタグを使用できるエンハンストプライベートVLANがあります。マルチプルVLANを使いながら、アップリンクやダウンリンクをタグVLANにする場合や、QoSを使う場合などに有効です。
また、リンクアグリゲーション機能(LAG)を併用することもでき、ネットワークの冗長化や高速化を行うことができます。

  • エンハンストプライベートVLANは、一つのプロミスキャスポート(アップリンク用ポート)と、一つ以上のセカンダリーポート(ダウンリンク用ポート)で構成する。
  • エンハンストプライベートVLANのセカンダリーポートは、アイソレートVLANとしてのみ使用可能。

マルチプルVLAN構成例

構成例1.インターネットアパート

マルチプルVLANにより居室間の通信を遮断することで、インターネットサービスだけを安全に提供することが可能になります。不特定多数へインターネット環境を提供する際に最適な機能です。

設計コンセプト

  • 各居室はインターネットを利用する。
  • 居室間の通信を遮断し、セキュリティを保つ。(コンピューターウィルスの感染拡大を防ぐことも可能)

設計のポイント

  • 各居室をアイソレートVLANのホストポートに設定。
  • インターネット回線をプライマリーVLANのプロミスキャスポートに設定。
構成例2.大規模マンション・ホテル・病院内インターネットサービス

マルチプルVLANは、大規模マンションなどのような環境でも居室間の通信を遮断し、セキュリティを保つことができます。

※ 規模によっては居室あたりのインターネット回線速度が著しく低下してしまうため、インターネット回線の増強なども併せてご検討ください。

設計コンセプト

  • 各居室はインターネットを利用する。
  • 居室間の通信を遮断し、セキュリティを保つ(コンピューターウィルスの感染拡大を防ぐことも可能)。

設計のポイント

  • フロアスイッチの各居室をアイソレートVLANのホストポートに設定。
  • フロアスイッチのメインスイッチと接続するスイッチポートをプライマリーVLANのプロミスキャスポートに設定。
  • メインスイッチのフロアスイッチと接続するスイッチポートをアイソレートVLANのホストポートに設定。
  • メインスイッチのインターネットへの接続をプライマリーVLANのプロミスキャスポートに設定。
構成例3.スクールネットワーク

生徒と先生のネットワークをマルチプルVLANで分離することにより、生徒には必要最低限のネットワークを提供し、管理者である先生には全てのネットワークサービスを提供できます。

設計コンセプト

  • 生徒間の通信を許可する。
  • 生徒は生徒用サーバーとインターネットを利用する。
  • 生徒用サーバーとインターネットへの接続をプライマリーVLANのプロミスキャスポートに設定。

設計のポイント

  • 生徒をコミュニティーVLAN Aのホストポートに設定。
  • 先生と先生用サーバーをコミュニティーVLAN Bのホストポートに設定。
  • 生徒用サーバーとインターネットへの接続をプライマリーVLANのプロミスキャスポートに設定。
構成例4.企業ネットワーク

マルチプルVLANのアイソレートVLANとコミュニティーVLANを組み合わせることで、フリースペースからはインターネット接続のみを許可し、社内サーバーへは部門ネットワークからのみ接続することができるといったセキュリティを、複雑なパケットフィルタリング機能などを使わずに実現できます。

設計コンセプト

  • フリースペースからはインターネットのみを利用する。
  • 部門内の通信を許可する。
  • 部門間の通信を遮断する。
  • 各部門から全社サーバーとインターネットを利用する。

設計のポイント

  • フリースペースをアイソレートVLANのホストポートに設定。
  • 営業部の端末と営業部サーバーをコミュニティーVLAN Aのホストポートに設定。
  • 開発部の端末と開発部のサーバーをコミュニティーVLAN Bのホストポートに設定。
  • 全社サーバーとインターネットへの接続をプライマリーVLANのプロミスキャスポートに設定。
  • インターネットへのプロミスキャスポートとアイソレートVLAN、コミュニティーVLAN A/Bを関連付ける。
  • 全社サーバーへのプロミスキャスポートとコミュニティーVLAN A/Bを関連付ける。
構成例5.ネットカフェ

マルチプルVLANにより居室間の通信を遮断することで、インターネットサービスだけを安全に提供することが可能になります。また、高機能なスイッチ製品を導入することで、不正端末の接続防止(セキュリティのさらなる強化)や、各居室の通信帯域を平等に割り当てる(帯域保証)ことによる安定したインターネット接続サービスの提供が可能になります。

設計コンセプト

  • 各居室はインターネットを利用する。
  • 居室間の通信を遮断し、セキュリティを保つ(コンピューターウィルスの感染拡大を防ぐことも可能)。
  • 不正端末からの通信を遮断する。
  • 各居室の通信帯域を平等に割り当てる(帯域保証)。

設計のポイント

  • 各居室をコミュニティーVLAN A/B/Cのホストポートに設定。
  • 管理端末をコミュニティーVLAN Dのホストポートに設定。
  • DHCPサーバーとインターネットへの接続をプライマリーVLANのプロミスキャスポートに設定。
  • DHCPサーバーおよびインターネットへのプロミスキャスポートとコミュニティーVLAN A/B/C/Dを関連付ける。
  • メインスイッチでアクセスリストを設定し、許可したクライアント端末以外からの通信を遮断する。
  • メインスイッチで各居室のQoS設定(帯域制御)を行う。
Language