IT用語集 2023/10/20

VLANとは？わかりやすく10分で解説

コラム

ネットワークが大きくなるほど、「どの端末がどの通信をしてよいのか」「どこまで同じネットワークとして扱うのか」という線引きが重要になります。VLANは、その線引きを“物理配線に依存せず”に実現するための基本技術です。本記事では、VLANの考え方から仕組み、設定の要点、運用時の落とし穴までを、現場で判断できる粒度で整理します。

VLANとは何か

VLANは、1本の物理ネットワークを用途や管理方針ごとに論理分割するための基本技術です。社内端末・ゲスト端末・IoT機器・管理系ネットワークを分けたいとき、配線を引き直さずに通信範囲を区切れるため、運用設計の土台になります。本記事では、まず「VLANで何ができて、何は別設計が必要なのか」を押さえたうえで、仕組み、設定、利用シーン、セキュリティ上の注意点まで順に整理します。

VLANの定義

VLAN、またはVirtual Local Area Networkは、物理的なネットワーク（配線・スイッチの接続）を、複数の独立した論理的なネットワークに分割して運用する技術です。スイッチの設定により、同じスイッチに刺さっている端末でも別ネットワークとして扱えますし、逆に離れた場所にある端末同士でも「同じVLAN」に所属させることで、同一ネットワークとして通信させることが可能になります。

ここで重要なのは、VLANが「レイヤ2（Ethernet）」の単位でネットワークを分ける仕組みである点です。IPアドレス設計（サブネット）やルーティング（レイヤ3）と組み合わせて使うことで、通信の境界を明確にし、管理・運用の単位を整えやすくなります。

VLANとサブネットの違い

混同しやすいのが、VLANとサブネットの違いです。VLANはスイッチ側でレイヤ2の到達範囲を分ける仕組みで、サブネットはIPアドレスをどう分けるかというレイヤ3の設計単位です。実務では「1つのVLANに1つのサブネットを対応させる」設計が多いものの、両者は同じ意味ではありません。VLANで分けただけではVLAN間通信の制御までは完結せず、逆にサブネットを分けてもレイヤ2の収容設計が自動で整理されるわけではないため、役割を分けて理解することが重要です。

なぜVLANが必要なのか？

ネットワークが成長するにつれて、管理やセキュリティの複雑さも増してきます。VLANを使わずに端末を同一のレイヤ2ネットワークに収容すると、ARPなどのブロードキャストが広範囲に届きやすくなり、不要なトラフィックや障害影響の波及が起こりやすくなります。また、組織変更や席替え、端末追加のたびに「配線や物理構成を変える」運用になりがちで、現場負荷が高くなります。

VLANで収容範囲を分けると、管理単位を揃えやすくなり、通信の境界も明確になります。例えば、部署ごとやプロジェクトごとにVLANを分ければ、アクセス制御や通信経路の設計を分けて考えやすくなります。加えて、次のような設計も現実的になります。

社内端末（業務用PC）と来客用Wi-Fi端末を分離し、社内資産への到達範囲を制限する
監視カメラやプリンタなど、管理方針が異なる機器群を別VLANに分け、更新・監視・遮断ルールを切り替えやすくする
フロアや拠点をまたいでも「同じ用途は同じVLAN」に揃え、運用ルールを一貫させる

ただし、VLANは「分けたつもり」で終わると危険です。VLAN間通信（Inter-VLAN）を許可する経路が開いていれば、実態としては自由に行き来できてしまいます。VLANはあくまで境界の“作り方”であり、実際のアクセス制御はレイヤ3の制御（ACLやFW）や認証（802.1Xなど）と組み合わせて初めて強度が上がる、という前提を押さえておく必要があります。

VLANの歴史と発展

現在広く使われる802.1QベースのVLANは、IEEE 802.1Q-1998の承認と1999年の公開を経て標準化が進み、複数メーカー間でも共通の方式で扱いやすくなりました。その後、企業ネットワークで広く使われる中で、セグメンテーション、運用整理、セキュリティ設計の土台として定着していきました。

特に、IEEE 802.1Qにより「VLANタグ（タグVLAN）」の標準が整備されたことで、複数メーカーのスイッチ間でもVLANを運べる（トランクでVLANを中継できる）ようになり、設計の自由度が大きく向上しました。現在では、クラウド環境やIoTの普及に伴い、VLANの重要性はさらに高まっています。加えて、EVPN/VXLANなどのオーバーレイ技術が普及しても、現場ではVLANがアクセス層の基本単位として使われ続けるケースが多く、「VLANを理解していること」はネットワーク設計の土台になっています。

VLANの仕組み

VLANは設定画面だけ見ると単純に見えますが、実際にはタグの扱い、トランクの設計、VLAN間ルーティング、機器の既定動作など、理解しておくべき点がいくつもあります。仕組みを押さえると、どこでタグが付き、どこで外れ、どこで通信が分かれるのかを設計しやすくなります。

仮想LANの仕組み

VLANは、フレームに付くVLAN情報を基に転送先を分けることで動作します。複数VLANを運ぶトランクポートでは、一般にIEEE 802.1Qタグを用いてフレームの所属VLANを識別します。一方、アクセスポートでは1つのVLANに属する端末を収容し、端末から見える通信は通常タグなしです。

運用上よく出てくるのが「アクセスポート」と「トランクポート」の違いです。アクセスポートは端末を接続する想定のポートで、端末から見れば通常“タグなし”で通信します（端末側がVLANタグを意識しないことが多いためです）。一方、トランクポートはスイッチ間や上位機器へVLANを運ぶためのポートで、複数VLANのフレームをタグ付きで通します。

また、タグが付かないフレームをどのVLANとして扱うか（PVIDやネイティブVLANの概念）は機器設定に依存し、誤設定があると「意図しないVLANへ混ざる」「通信が突然通らなくなる」といったトラブルにつながります。タグ付けの動作を“なんとなく”で扱わず、どの区間でタグが付き、どの区間で外れるのかを設計図として把握しておくことが重要です。

ブロードキャストの範囲制限とは

通常、ブロードキャストはネットワーク内のすべてのデバイスに送信されます。例えばARP要求は同一レイヤ2ネットワークに広く届くため、端末数が多いほど、ブロードキャストによる負荷や「ブロードキャストストームの影響範囲」が大きくなりがちです。

VLANを使用すると、ブロードキャストの範囲（ブロードキャストドメイン）をVLAN単位で制限することができます。これにより、ネットワークのトラフィックを効率的に管理し、パフォーマンスの向上や障害影響の局所化が期待できます。セキュリティの観点でも、同一VLANに置く端末同士はレイヤ2で直接到達しやすいため、不要に広いVLANを作らないこと自体がリスク低減につながります。

ただし、ブロードキャストを分けても「必要な通信が通らなくなる」ことがあります。代表例がDHCPです。端末とDHCPサーバが別VLANにある場合、DHCPリレー（IP helper等）が必要になります。VLANを分けるときは、ARP/DHCP/DNSなど基盤系の流れがVLAN境界でどう扱われるかを一緒に確認すると、後戻りが減ります。

レイヤ2とレイヤ3スイッチの役割

ネットワークにおけるスイッチングは、主にレイヤ2とレイヤ3で行われます。レイヤ2スイッチは、MACアドレスを基にフレームの転送を行い、VLANの割り当て、タグ付けや解除（アクセスポート/トランクポートの動作）を担当します。ここでは「同一VLAN内の転送」が中心で、VLANをまたいだ通信は基本的にできません。

一方、レイヤ3スイッチは、IPアドレスを基にパケットのルーティングを行い、異なるVLAN間の通信（Inter-VLAN）を可能にします。実装としては、VLANごとにSVI（Switched Virtual Interface：VLANインターフェース）を作り、それを各VLANのデフォルトゲートウェイとして運用する形がよく使われます。小規模環境ではルータ側でVLANトランクを受け、サブインターフェースを切る（いわゆるrouter-on-a-stick）構成も一般的です。

これらのスイッチの適切な組み合わせと設定により、効率的なネットワーク環境を構築することができます。逆に言えば、VLANを分けたのにVLAN間ルーティングが“無制限”になっていると、分割の意味が薄れます。VLANを境界として何を許可し、何を拒否するのか（ACL/ファイアウォール/セグメンテーションポリシー）をセットで設計することが、運用の納得感につながります。

VLANの設定方法

ネットワークの効率やセキュリティを向上させるためには、VLANの適切な設定が不可欠です。VLANは「作る」こと自体は簡単でも、設計ルールがないとVLAN番号が増え続けたり、どこで何が通っているのか分からなくなったりします。このセクションでは、設定手順そのものだけでなく、「何を決めてから作るべきか」という設計前提も含めて整理します。

設定前に決めること

設定画面を開く前に、少なくとも「何を分離したいのか」「VLAN間通信をどこまで許可するのか」「どのポートがアクセスポートで、どの区間がトランクになるのか」を決めておく必要があります。加えて、VLAN IDの採番ルール、命名規則、デフォルトゲートウェイの置き場所、DHCPリレーの要否まで先に整理しておくと、後からACLや監視設定を追加するときにも破綻しにくくなります。

基本的なVLANの設定ステップ

VLANの設定は、ネットワーク機器の管理インターフェース（CLI/Web GUI）を使用して行います。まず、VLAN（VLAN IDと名称）を作成し、その後で所属するポートを指定します。端末接続用ポートはアクセスポートとしてVLANを割り当て、スイッチ間・上位機器接続用ポートはトランクポートとして扱う、という切り分けが基本です。

次に、VLANに名前を付けることで、運用時の見通しが良くなります。名前は「部署名」だけでなく、「用途（例：corp-user / guest / iot / mgmt）」のように目的が伝わる命名にすると、組織変更があっても破綻しにくくなります。

最後に、タグ付けやアンタグ付けの設定を行い、正確な通信を確保します。特にトランクでは「許可VLAN（allowed VLAN）」を絞り込み、必要なVLANだけを通すことが重要です。デフォルト設定のまま全VLANを許可すると、意図せず別VLANが遠方まで伸びてしまい、障害やセキュリティの影響範囲が広がります。

加えて、運用面では「どのポートがどのVLANか」を追跡できるよう、ポート説明（description）や配線台帳、構成図を整備しておくとトラブル対応が速くなります。VLANは構成管理が弱いほど破綻しやすい領域です。

VLAN IDとは

VLAN IDは、VLANを一意に識別するための番号です。このIDは、スイッチ内でフレームに付与されるタグに含まれ、VLANの区別や通信の制御に使用されます。VLAN IDは通常、1から4094の範囲で設定されます（802.1QのVIDは12ビットで、0および4095は予約値として扱われるのが一般的です）。そのため、特定のIDは予約されているため使用することができません。

設計上のポイントは、「番号のルール」を決めておくことです。例えば、10番台は社内端末、20番台は来客、30番台はIoT、90番台は管理、といったように用途別に整理しておくと、機器更改や拠点追加の際にも判断がぶれにくくなります。逆に、思いつきでVLANを増やしていくと、VLAN間ルーティングやACLの管理が難しくなり、結果として“全部通す”運用に戻りがちです。

異なるスイッチ間でのVLAN設定

大規模なネットワーク環境では、複数のスイッチが使用されることが一般的です。異なるスイッチ間でVLANを設定する場合、トランクリンクを使用してVLAN情報を共有します。このトランクリンクを通じて、複数のVLAN情報が転送され、異なるスイッチ間でも同じVLANに所属するデバイスが通信することが可能となります。

このとき、実務で重要なのは次の3点です。

トランクで許可するVLANを明示し、不要なVLANを通さない（allowed VLANの絞り込み）
ネイティブVLAN（タグなし扱い）の扱いを統一し、意図しない混線を防ぐ
スイッチ間でVLAN定義（VLAN作成・名称）が揃っているか確認する（機器によっては自動伝搬の有無が異なる）

また、運用中にありがちなトラブルとして「片側だけトランク設定」「片側だけ許可VLANから漏れている」「どこかの区間でタグなしになっている」などがあります。VLANは“両端一致が前提”の設定が多いため、障害時は区間を分けてタグの有無・許可VLAN・ポートモードを確認する手順を持っておくと復旧が早くなります。

VLANはどんな場面で使うか

VLANは、部署単位の分離だけでなく、端末種別や管理方針に応じて通信範囲を切り分けたい場面で効果を発揮します。オフィス、大規模ネットワーク、家庭内ネットワークでは、それぞれ分ける目的も注意点も変わります。

オフィス環境でのVLANの利点

オフィスでは、部署や業務ごとに扱う情報や必要な通信が異なります。VLANで収容先を分ければ、人事部門と開発部門のように、同じフロアにあっても到達範囲を切り分けられます。情報の種類が異なる部署を異なるVLANに分けておくと、アクセス制御や障害時の切り分けもしやすくなります。

加えて、次のような分け方も現場ではよく使われます。

端末種別（社給PC、個人端末、来客端末、会議室機器）ごとに分け、許可通信を用途に合わせて最小化する
管理系（ネットワーク機器管理、監視、ログ収集）を別VLANにし、管理アクセス経路を制御しやすくする
プリンタや複合機など共有機器を別VLANにし、印刷経路だけを許可する

こうした設計は、ゼロトラストの考え方（「内部だから安全」ではなく、到達範囲を最小化する）とも整合しやすく、後からルールを強化するときの土台にもなります。

大規模ネットワークでのVLANの活用

キャンパスネットワークや複数拠点を持つ企業では、VLANの設計が運用負荷に直結します。建物やフロアをまたいで用途別に端末を収容するとき、VLANを使えば通信範囲を整理しやすくなり、障害時の影響範囲も読みやすくなります。

一方で、規模が大きいほど「VLANを伸ばしすぎる」ことのデメリットも増えます。VLANを広域に延伸すると、障害が広範囲に波及しやすく、原因切り分けも難しくなりがちです。そのため、設計では「どこまで同一VLANを伸ばすのか」「拠点間はL3で分けるのか」「拠点ごとに同じ用途でも別VLANにするのか」といった判断が必要です。

また、無線LANではSSIDとVLANを紐づけ、認証結果（社員/ゲスト/端末種別）に応じて動的にVLANを割り当てる設計も一般的です。こうした場合、スイッチ側・無線コントローラ側・認証基盤側の設定が連動するため、どこでVLANを決めているのか（SSID固定か、RADIUS属性で動的か）を設計段階で明確にしておくと、運用時の混乱が減ります。

ホームネットワークとVLAN

家庭内ネットワークでもVLANの利用が増えてきています。例えば、家庭内のエンターテインメントデバイスと仕事用のデバイスを分けることで、プライバシーやセキュリティを保護することができます。また、ゲスト用のWi-Fiと家族用のWi-Fiを異なるVLANに設定することで、ネットワークの安全性を高めることができます。

家庭用途では、「ゲストVLANはインターネットのみ許可」「IoTはクラウド向けの必要最小限だけ許可」「仕事用端末は社内VPNや業務サービスの通信を優先」といった考え方が分かりやすい整理になります。機器によってはVLANよりも「ゲストネットワーク機能」や「SSID分離機能」として提供されますが、裏側の思想はVLANによる分離と近いものです。

VLANのセキュリティ

VLANは通信範囲を区切るうえで有効ですが、それだけで安全が確保されるわけではありません。設定や運用が甘いと、かえって到達範囲の誤設定や横移動の足がかりを残します。ここでは、VLANをセキュリティ設計に組み込むときに押さえたい考え方と、代表的な注意点を整理します。

VLANホッピングとは

VLANホッピングは、攻撃者が本来所属していないVLANへ不正にアクセスする攻撃手法（技術）です。代表的には、スイッチのトランク設定が不適切であったり、ネイティブVLANや許可VLANの扱いが甘かったりすることで、意図しないVLANへ到達できてしまうケースが問題になります。

VLANホッピングを防ぐためには、トランクポートの適切な設定（不要VLANを許可しない、トランク自動交渉の無効化など）や、未使用ポートの閉塞、不要なVLANの削除・無効化といった基本対策が重要です。加えて、端末が勝手にスイッチとして振る舞うことを前提にしない（＝ポートをアクセスポート固定にする）といった運用も効果があります。

VLANのセキュリティベストプラクティス

VLAN運用でまず徹底したいのは、「何となくつながる状態」を残さないことです。デフォルトVLANに端末を置きっぱなしにせず、必要なVLANだけを作り、設定変更の履歴や構成図も更新し続ける必要があります。あわせて、ネットワーク機器のファームウェアやソフトウェアを定期的に更新し、既知の脆弱性を放置しないことも重要です。

これに加えて、現場で効きやすい観点をいくつか挙げます。