CCNA勉強 VLANをわかりやすく

VLANとは？

実際の接続ではなく、仮想的にセグメントを分割することができる。論理的にLANセグメントを分割するために利用する。
1～4094のVLAN IDを利用してスイッチ上のどのポートがどのVLANに所属しているかを判断する。

同じサブネットのIPアドレスが割り当てられていたとしても、VLANが異なればARP要求は届かない。

VLANのメリット

物理的に配線を繋ごうとすると面倒だし、設定変更によってコストがかかる。
論理的に繋ぐVLANを利用することによって、柔軟に変更ができる。
ブロードキャストドメインを分割することによって、一つのネットワークに対するトラフィック量を分散して減らすことができる。＝帯域幅を効果的に利用できる。
セグメントを分割することによって、開発部のトラフィック・営業部のトラフィックを分配することができ、他の部署に情報が漏れないようになる（セキュリティ面の向上）
他のスイッチと連携を取ることができる。

いろいろな種類のVLAN

ポートVLAN　

ポートに基づいて分割を行う。　例えば、ポート１につないでいるデバイスはVLAN1に、ポート２につないでいるデバイスはVLAN２に。

タグVLAN　

データにタグをつけて、そのタグによって所属するネットワークを判断する。

MACベースVLAN

　 MACアドレスで分割を行う。

ユーザーベースVLAN

ユーザーによって分割する方法。ネットワークを利用する際に、ユーザー認証を行なう。使う人によって使うネットワークが異なるということ。

サブネットベースVLAN

使用するIPアドレスによって分割する方法。

音声VLAN

IP PhneとPCのデータを別々のVLANに分離する機能。音声トラフィックとデータトラフィックを分離することによって音声トラフィックを優先的に処理することができる。
ポートはアクセスポートにしなければならない。
アクセスポート上にswitchport voice vlanコマンドを使用することで、音声VLANを作成することができる。 １、インターフェースをアクセスポートにする。 ２、インーフェースにVLANを割り当てる。 3、switchport voice vlanコマンドを使用する 音声VLANで使用する主なコマンド

(config-if)#switchport mode access 音声VLANを使用する場合、ポートはアクセスポートにする。

(config-if)#switchport voice vlan {VLAN_ID} 音声用のVLANを指定する。ここで設定された音声用のVLANは、CDPによってCisco IP Phoneに通知される。

(config-if)#switchport access vlan {VLAN_ID} インターフェースとVLANを関連づける

セキュリティ面の向上

VLANを利用するメリットとしてセキュリティ面の向上が大きい。
VLANを利用しない場合、ARPをバケットキャプチャし、クライアントPCのIPアドレスをそのセグメントに変えてしまえば、そのセグメントと通信できてしまう。（セキュリティ面で危険）
営業部の人間が、バケットキャプチャ（ネット上にあるデータの詳細を知ることができる。悪用されている）によって幹部のセグメント「IPアドレス」の存在を確認し、自身のIPアドレスを変更することによって幹部のPCにアクセスできてしまう。

VLANの作成

グローバルコンフィグレーションモードで行う。
(config)# vlan 2
(config-vlan)# name goadbul 　　この設定は必須ではない

VLANの情報が保存されるタイミング　:　意外にも他のモードに移動したとき。
豆知識：どこのモードでも『doコマンド』を利用することで、#(特権モード)のコマンドが利用できる。

VLAN ID

0 - 4095 イーサネットで使用できるのは1 - 1001,1006 -　4095
1002 - 1005　はデフォルトVLANなので、作成・変更・削除することができない。

スイッチポートにVLANを割り当てる

(config-if)switchport access vlan (vlanのID)
アクセスポートに割り当てられているVLANを変更するのに使用する。

スイッチポートに割り当てられているVLANを確認する

・show runnning-config
・show vlan
・show interfaces switchport
・show interface status

スイッチ間をトランクリンクで接続した場合

アクセスリンクの場合は、スイッチ間の接続数がVLANの数だけ必要だが、トランクリンクの場合は、１本のみで十分。
トランクリンクの場合、フレームの中にタグ(IEEE802.1Qタグ)と呼ばれるVLAN識別情報を付与する。

DTP

ネゴシエーションプロトコルと呼ばれている。
対向のスイッチとネゴシエーションして、トランクポートかアクセスポートかを決定するプロトコル
ネゴシエーションでトランクプロトコルも決定する。（IEEE802.1QかISL）
DTPフレームは、トランクリンク上にネイティブVLANで送信される。
DTPを無効化するには、静的にアクセスポートを設定すればいい。また次のコマンドを実行すれば無効になる。
構文　 (config-if)#switchport nonegociate

インターフェイスのトランク設定を確認するコマンド

#show interfaces trunk
#show interfaces fastEthernet0/3 switchport

#show vlanでも、指定のポートが『port』の部分に表示されていなければ、トランクポートになっていることがわかる。

ネイティブVLAN

トランクリンク上でタグをつけないVLANのこと。ネイティブVALNのVALN IDをトランクリンクの両端で一緒にする必要がある。
CDPを含む制御トラフィックはデフォルトでネイティブVLAN上で流れる。

トランクプロトコル

トランクのリンク上で流れるVLANフレームを制御するプロトコル
IEEE 802.1Q IEEE標準。タグをつける。
ISL シスコ独自。互換性が低く、フレーム容量が大きくなってしまうので、あまり使われない。
トランクプロトコルの割り当て　　　構文 　(config-if)#encapsulation dot1q {vlan-id}

IEEE 802.1Q

IEEE標準。ループを回避するスパニングツリー規格。タグをつける。最大通信速度が10Mbpsのインターフェースで利用可能。ネイティブVLANも対応している。 ４バイトのタグ(VLAN識別情報)の中に12ビットのVLAN IDを入れる。
FCSはIEEE 802.1Qのタグを含めた時に再計算される。 サポートしているVLAN数　4096
トランクプロトコルの設定
(config-if)sitchport trunk encapsulation { isl | dotlq | negotiate }
(config-if)sitchport mode trunk

show vlanコマンド

ポート部にトランクポートは表示されない。

無駄なくVLANフレームを送りたい

トランクはデフォルトの全てのVLANにフレームを送ってしまうため、非効率。特定のポートしか使わないように設定すると効率よく帯域幅が使えます。
allowed VLAN　　特定のポートのみに送信を許可する機能
構文 　(config-if)#switchport trunk allowed vlan {vlan-id}

トランクポートから特定のVLANを削除する方法 構文 (config-if)#switchport trunk allowed vlan remove {vlan-id}

ネイティブVLANにしたい 構文 　(config-if)#switchport trunk native vlan {vlan-id}
全てのVLANにタグをつけたい 構文 　(config)#vlan dot1q tag native

サブインターフェース

１つの物理インターフェースを論理的に複数に分割したもの
複数のVLANと相互接続する際に使用する。

Router on Stick

異なるVLAN間と通信するための構成。基本的にVLAN間では通信ができないことになっているので次のような設定が必要。サブインターフェースを作成する必要がある。
VLANがトランクリンクして、他のVLANにアクセスする方法の他にL3スイッチがルーティングする方法がある。

Router on Stick構成に必要なルータの設定
①サブインターフェースの作成
②トランクプロトコルとVLAN IDの設定
③サブインターフェースにIPアドレスの割り当て

SVI

VLANに関連づけられた仮想インターフェース。L3スイッチにあるVLANとの接点。VLANのデフォルトゲートウェイになる。

VTP

VTP(VLAN Trunking Protocol) はスイッチ間でVLAN情報を交換するためのプロトコル。
大きなネットワークになると、一個一個スイッチを設定するのはめんどくさいので、伝言ゲームのように自動で設定する方式。

サーバモード VLAN情報を同期するモード。VLANの作成と削除が可能
クライアントモード VLAN情報を同期するモード。VLANの作成と削除はできない
トランスペアレントモード VTPアドバタイズメントを受信しても、同期しない（他のスイッチに自分のVLANデータベースを転送しない）が他のスイッチへ転送する。「集団には馴れ合わないよモード」。VLANの作成と削除は可能
VTPモードの設定　　　構文 　(config)#vtp mode{ server | client | transparent }

VTPアドバタイズメント

アドバタイズメント＝アドバイスという意味。
スイッチが「〇〇の宛フレームはいらないよ」とVTPアドバタイズメンとを出すと、指定したスイッチにフレームを送らなくなる。 VTPアドバタイズメントというメッセージを送信して、スイッチネットワーク全体でVLAN情報の設定をする。（一回でOK）
VTPアドバタイズメントはトランクポートからデフォルトで300秒ごとに送信される（自動で定期検査してくれる）

VTPアドバタイズメントに含まれている情報

１、VTPドメイン名
２、VTPパスワード
３、VLAN情報
４、コンフィグレーションリビジョン番号

コンフィグレーションリビジョン番号

VTPアドバタイズメントで通知されたVLAN情報が最新であるのかを確認するための情報。初期値が０で変更されるたびに１が加算されていく。

VTPプルーニング

トランクリンク上で不要なVLANトラフィックの送信を止める機能。



コメントや要望があれば、下記のツイッターにDMをください。
Tweets by wallofmind2