VLAN タギング
英語表記: VLAN Tagging
概要
VLAN タギングは、一つの物理ネットワーク接続(ケーブル)上で、複数の仮想ローカルエリアネットワーク(VLAN)のトラフィックを識別・多重化するための技術です。特に、仮想化技術(VMware, Hyper-V, KVM)を用いた環境において、単一の物理ネットワークインターフェースカード(NIC)を効率的に利用しつつ、多数の仮想マシン(VM)のネットワークを論理的に分離・管理するために不可欠な「仮想ネットワーキング」の基盤技術です。このタギングによって、異なる部署や顧客に属するVMが、まるで専用の物理ネットワークに接続されているかのように安全に通信できるようになります。
詳細解説
仮想化環境におけるVLANタギングの目的
VLANタギングが仮想化の周辺技術として重要視される最大の理由は、「リソースの効率化とセキュリティの確保」の両立です。
大規模な仮想化環境、特にクラウドサービスプロバイダ(IaaS)のように多くのテナント(顧客)が同じ物理サーバーリソースを共有する場合を想像してみてください。もしVLANタギングがなければ、テナントごとに物理NICやケーブルを用意する必要があり、サーバーラックはケーブルでごちゃごちゃになり、コストも膨大になります。
VLANタギング(主にIEEE 802.1Q規格に基づく)を用いることで、一つの物理NICを「トランクポート」として設定し、複数のVLANのトラフィックをまとめて送受信できます。これにより、物理インフラはシンプルに保たれながらも、各VMは所属するVLAN IDに基づいて厳密に分離されます。これは、仮想化技術が持つリソース集約のメリットをネットワーク面で最大限に引き出すための重要な手法なのです。
動作原理と主要コンポーネント
VLANタギングの核となるのは、データフレーム(イーサネットフレーム)に「VLAN ID」を含む4バイトのタグ情報を追加するプロセスです。このタグ付けの処理を担う主要なコンポーネントは、ホストサーバー上で動作する仮想スイッチ(vSwitch)です。
- タグの付与(送信時): 仮想マシン(VM)がデータを送信する際、そのデータはまず仮想スイッチに到達します。仮想スイッチは、そのVMがどのVLANに所属するかを認識しており、物理NICを通じて外部ネットワークへ送出する直前に、フレームに該当するVLAN ID(タグ)を付与します。
- タグの識別と転送(受信時): 外部の物理スイッチからデータがホストサーバーの物理NICに到達すると、そのデータにはVLANタグが付いています。仮想スイッチはこのタグを読み取り、タグに示されたVLAN IDに所属するVMに対してのみデータを転送します。
- タグの除去: 最終的にVMへデータが渡される直前に、仮想スイッチはVLANタグを除去します。これにより、VMは自身がVLANという論理的な境界内にいることを意識することなく、通常のイーサネットフレームとしてデータを受信できます。
この一連の動作により、異なるVLANに所属するVM同士は、同じ物理サーバー上で動いていても、ネットワーク的には完全に隔離された状態を維持できるのです。仮想化の文脈では、この仮想スイッチの設定(トランクポートの設定、VMポートへのVLAN IDの割り当て)が、ネットワーク管理者の重要な業務となります。
仮想ネットワーキングにおける位置づけ
VLANタギングは、仮想化環境における「仮想ネットワーキング」の基礎中の基礎と言えます。VMwareのvSphereやHyper-Vの仮想スイッチ管理機能など、KVMを含むすべての主要な仮想化プラットフォームで、この802.1Qタギング機能が標準でサポートされています。仮想化技術が提供する「柔軟性」と「スケーラビリティ」は、このVLANタギングによって初めてネットワークレベルで実現可能になる、と言っても過言ではありません。
具体例・活用シーン
1. クラウド環境でのテナント分離
IaaS(Infrastructure as a Service)を提供するクラウド事業者にとって、VLANタギングは必須の技術です。
- 状況: ある物理サーバー上に、顧客A社のVM(VLAN ID 10)と顧客B社のVM(VLAN ID 20)が混在しています。
- タギングの役割: 顧客A社のVMから出たトラフィックにはVLAN ID 10が付与され、外部の物理ネットワークへ送られます。物理スイッチもこのタグを認識し、ID 10のネットワーク外にはデータが漏れないように制御します。これにより、A社とB社のデータが誤って混ざり合うことは絶対にありません。
- 仮想化のメリット: 物理的な配線を増やすことなく、論理的な境界線(VLAN)を数百、数千と柔軟に設定できます。これは、仮想化技術が目指す「リソースの動的な提供」を支える重要な仕組みです。
2. アナロジー:集合住宅の郵便仕分けシステム
VLANタギングの仕組みは、大規模な集合住宅(マンション)における郵便物の仕分けに似ています。
- 集合住宅(ホストサーバー): 多くの住人(VM)が暮らしています。
- 郵便配達員(物理NIC/ケーブル): 外部から荷物(データフレーム)を運びます。
- 部屋番号(VLAN ID): 荷物には必ず部屋番号(タグ)が書かれています。
- 管理人(仮想スイッチ): 郵便配達員が持ってきた大量の荷物を受け取ります。管理人は荷物に書かれた部屋番号(タグ)を見て、正しい住人(VM)のメールボックスに届けます。逆に、住人が外部へ出す郵便物には、管理人が正確な差出人情報(タグ)を付けて外部へ送出します。
もし、部屋番号(タグ)がなければ、管理人はどの荷物を誰に渡せばよいか分からず、プライバシーも守れません。VLANタギングは、この「部屋番号」の役割を果たし、一つの玄関(物理NIC)を通じて安全かつ正確にデータをやり取りするための、仮想ネットワーキングにおけるルールブックなのです。
資格試験向けチェックポイント
VLANタギング、特に仮想化環境での利用は、基本情報技術者試験や応用情報技術者試験で頻出するテーマです。ITパスポートでは概念理解が問われることがあります。
| 試験レベル | 重点項目 | 出題パターンと対策 |
| :— | :— | :— |
| ITパスポート | ネットワークの論理的分離、VLANの基本概念 | VLANの目的(セキュリティ向上、ブロードキャストドメインの分割)を問う問題が多いです。「物理的な構成を変えずに論理的にネットワークを分ける技術は何か」といった形式で出題されます。 |
| 基本情報技術者 | IEEE 802.1Q、トランキング、仮想スイッチ | VLANタギングの具体的な規格名(802.1Q)は必ず覚えてください。また、仮想スイッチ(vSwitch)がこのタグ付け・タグ除去の処理を担う役割を理解しておく必要があります。トランクポートとアクセスポートの違いも重要です。 |
| 応用情報技術者 | 仮想化環境の設計、セキュリティ、ネットワーク構成図の読解 | 仮想化技術と連携したネットワーク設計のケーススタディとして出題されます。例えば、「クラウド環境でテナント間のセキュリティを確保するために、仮想スイッチと物理スイッチ間でどのような設定(トランキング)が必要か」といった、具体的な構成やセキュリティ上のメリットを問う問題が出されます。 |
重要キーワードの整理:
- IEEE 802.1Q: VLANタギングの標準規格です。この規格に基づき、フレームに4バイトのタグ情報が追加されます。
- トランキング (Trunking): 複数のVLANのトラフィックを一つの物理リンクで通過させるための設定です。仮想化環境では、ホストサーバーの物理NICと物理スイッチ間の接続がトランク接続となります。
- 仮想スイッチ (vSwitch): 仮想化技術(VMware, Hyper-Vなど)のコアコンポーネントであり、VLANタギングの処理を実行する主体です。
VLANタギングは、仮想化技術における「ネットワークの効率的な統合と論理的な分離」という二律背反を解決する、非常に賢い技術だと感心しますね。
関連用語
- 情報不足
