VLANを活用したいけれど、「メリットやデメリットが良く分からない」、「具体的な用途がイメージできない」などお悩みの方も多いと思います。
この記事では、VLANのメリットとデメリット、および活用事例について説明します。
目次
VLANの活用メリット・デメリットとは?よくあるVLAN活用ケースも紹介
VLANをうまく活用すれば、ネットワークの管理作業軽減やセキュリティの向上、ネットワークのパフォーマンス向上が期待できます。
しかしながら、VLANのメリットやデメリット、活用例をうまくイメージできないという方もいらっしゃることでしょう。
この記事では、まずVLANについて簡単に説明し、メリットとデメリットについて理解していただきます。その後、具体的なVLANの導入例について説明します。
VLANとは?
ネットワークは通常、ネットワーク機器(スイッチ)によって複数のセグメントに分割できます。
ただネットワーク機器の物理的な配置に依存するため、管理上柔軟性に欠ける場合があり、作業の負荷が増えてしまうこともあります。
これを解決するのが、仮想的にネットワークを分割できる「VLAN」(Virtual LAN)です。
VLANでは、VLANのID(識別子)、接続しているデバイスの情報、デバイスを使用しているユーザーの情報などをもとにして、論理的にネットワークセグメントを分割できます。
そのため、組織のネットワーク構成や管理ポリシーに応じて、柔軟にネットワークセグメントを分割し、管理できます。
VLANには実装方法によっていくつかの種類があり、それぞれメリットやデメリットがあります。詳しくは、関連記事を参照してください。
関連記事:【エンジニア入門】VLANでできることと仕組み、導入メリット
VLANのメリット
スイッチの物理構成に依存せず、ネットワークを論理的に複数のセグメントに分割できるのがVLANです。
VLANを導入すると、主に以下のようなメリットがあります。
- 1. ネットワークの柔軟性が向上する
- 2. セキュリティレベルが向上する
- 3. ネットワークの混雑を軽減できる
それぞれのメリットについて、詳しく説明していきます。
≪メリット1.ネットワークの柔軟性が向上する≫
VLANを導入すると、ネットワークを柔軟に管理できるようになります。
ネットワーク機器の物理的な配置から解放され、組織の実情に合わせたネットワークの構築、管理、拡張が容易になります。
スイッチへの物理的な接続によりネットワークセグメントを分割する場合、スイッチの物理的な配置にセグメントの分け方が依存してしまいます。
VLANでは、デバイスの情報(MACアドレスやIPアドレス)や、デバイスを使用するユーザーの認証情報を利用して、ネットワークに接続するデバイスを、それぞれ別のネットワークセグメントに参加させられます。
ネットワーク機器の事情ではなく、そこに接続するデバイスの属性によりセグメントを分割できるため、ネットワークをより柔軟に管理できるのです。
≪メリット2.セキュリティレベルが向上する≫
VLANでネットワークセグメントを分割すると、ネットワークのセキュリティレベルが向上します。
組織では、部署ごとにそれぞれ異なるセキュリティーポリシーが適用されるのが普通です。
扱う情報の機密レベルも異なりますし、セキュリティインシデントが発生した場合の影響度や、その対応も違ってくるためです。
ここでVLANを使用して、デバイスやユーザーの属性に合わせたネットワークセグメントに分割することで、部署ごとに応じた、適切なセキュリティ対策を行えるようになります。
具体的には、PCから直接アクセス可能なネットワーク範囲を限定したり、マルウェアの被害が影響を及ぼす範囲を限定したりできるようになります。
≪メリット3.ネットワークの混雑を軽減できる≫
VLANにより、ネットワークを適切な範囲に区切ることで、ネットワークの混雑を軽減させることができます。
ネットワークをセグメントに分割する目的の1つに、ブロードキャストフレームの転送範囲を限定することがあります。別のセグメントにブロードキャストフレームを流さないことで、ネットワーク全体が混雑することを防ぎます。
部署に所属するデバイスの数や、使用しているアプリケーションにより、ネットワークの混雑状況は異なります。
VLANによって、使用状況に応じて適切にネットワークセグメントを区切ることで、ネットワーク全体の混雑を軽減でき、パフォーマンスを最適化できます。
VLANのデメリット
いいことづくめに見えるVLANですが、その運用においては、いくつかデメリットもあります。
VLANを運用する際には、以下のデメリットも念頭に置いておくべきでしょう。
- 1. 構成方法の専門知識や経験が必要
- 2. VLAN間の通信にはルーティングが必要
- 3. 論理構成が複雑化する
それぞれのデメリットについて、詳しく説明していきます。
≪デメリット1.構成方法の専門知識や経験が必要≫
VLANを設定して効果的に運用するには、ネットワークやセキュリティについての、高度な専門知識と経験が必要になります。
VLANを使用しない場合には、L2スイッチを用意して、そこに参加させるデバイスを接続すればネットワークセグメントの分割が完了します。特に専門知識やスキルは必要ありません。
しかしVLANを使用する場合は、ネットワークセグメントを分割する時点で、高度なネットワーク関連の知識が必要になります。
ネットワーク管理の専任者や情報システム部などが存在せず、既存のスタッフが兼任している場合は、スタッフにネットワークの専門知識を教育するコストが必要になってきます。新しくネットワーク技術者を雇用する場合でも、その分の人件費がかかります。
またVLANの管理と運用には、組織の実情や業務内容などの把握が必要です。結局、そこで追加のコストが必要になります。
≪デメリット2.VLAN間の通信にはルーティングが必要≫
別々のVLANに所属するデバイス同士で通信を行う場合には、L3スイッチやルーターが別途必要になることにも、注意が必要です。
同じVLANに所属するデバイス間では、ARPによるアドレス解決が可能なため、L2スイッチ上で特に問題なく通信が可能です。
ただ、別のVLANに所属するデバイスに対しては、ARPリクエストが届きません。ブロードキャストドメインが異なるためです。
別途、ルーターやL3スイッチを用意して、ルーティングを行う必要があります。
≪デメリット3.論理構成が複雑化する≫
ネットワークを柔軟にきめ細かく管理できるVLANのメリットは、そのまま、論理構成が複雑になり、可視化しにくいというデメリットになります。
例えば、1本のLANケーブルで2台のスイッチが接続されていたとします。
物理的にはごく単純な構成に見えますが、実はそのLANケーブルは複数のVLANを接続しているトランクリンクかもしれません。その場合、論理的にはずっと複雑なネットワークが構成されていることでしょう。
VLANを使用しているネットワークの全容を把握するには、VLANのコンフィグ設定を読み解いていく必要があり、少し時間がかかります。
この追加の時間が、トラブル発生時には、問題解決までのリードタイムに影響をあたえるかもしれません。
よくあるVLANの活用ケース
ここまでVLANとはどんな技術なのかを説明し、メリットとデメリットについても簡単に説明しました。
ここでは、よくあるVLANの活用ケースとして、ECサイトの構築と、来客用ネットワーク環境の構築をご紹介します。
どちらのケースでも、VLANによりセキュリティを向上させることができます。
ケース1.ECサイトの構築
ECサイトでは、顧客の氏名や住所、クレジットカード情報などの個人情報を取り扱います。個人情報漏洩などの事故を防ぐため、高いセキュリティが求められます。
VLAN機能を使うと、顧客情報を保管するデータベースサーバーを、ECサイトのウェブサーバーとは別のネットワークに分離できます。
インターネットとの情報のやりとりは、ウェブサーバーが担当します。
顧客情報を管理するデータベースサーバーへは、インターネットから直接アクセスできないようにします。
仮にウェブサーバーに対してインターネットから攻撃を受けても、別のネットワークセグメントにあるデータベースサーバーには、直接攻撃が届きません。
ケース2.来客用ネットワーク環境を構築
来客用にインターネットアクセスを提供している組織は多いと思います。
ただ通常の業務用ネットワークに、来客者のPCをそのまま接続させるのは、セキュリティ上好ましくありません。
そこでVLANを使用して、来客者がアクセスするためのネットワークセグメントと、業務用のデバイスが使用する通常のネットワークセグメントとを分離しておきます。
来客者は、来客用のネットワークセグメントにあるアクセスポイント経由でインターネットにアクセスしてもらいます。
インターネットにはアクセスできますが、VLANが異なるので、業務用のネットワークセグメントにはアクセスできません。
このようにセキュリティレベルに応じて、VLANにより適切にネットワークセグメントを区切ることで、利便性とセキュリティを両立できます。
まとめ
論理的にネットワークを複数のセグメントに分割できるVLANには、ネットワーク柔軟性の向上、
セキュリティレベルの向上、ネットワークの混雑軽減などのメリットがあります。
ただVLANの運用にあたっては、専門知識教育などのコストが追加で必要だったり、論理構成が複雑化するというデメリットもあり、なかなか導入に踏み切れない場合もあるかもしれません。
そうした場合は、VLANを簡単に導入できるクラウドサーバーとして、ALTUS Isolateシリーズをお勧めします。
