Ethernet Vlansがタグ付けされる理由と方法は?
VLANタグという言葉を耳にしますが、その概念がよくわかりません。 トランクはネイティブVLANを設定しないとタグ無しのパケットを受け入れられないし、アクセスポートはタグ無しのパケットしか受け入れられないことは知っています。 しかし、なぜパケットにタグを付けたり外したりする必要があるのかがわかりません。 どのような目的で使われるのでしょうか?
80
3
1つのポートに複数のVLANが存在する場合(トランクポート)、どのパケットが相手側のどのVLANに属するかを知るための方法が必要です。これを実現するために、パケットにVLANタグ(あるいはVLANヘッダ)を付けています。実際にはVLANタグは次のようにイーサネットフレームに挿入されます。
802.1Q(dot1q, VLAN)タグには、VLAN-IDをはじめ、802.1Q Standardで説明されている内容が含まれています。最初の16ビットは、8100である"Tag Protocol Identifier" (TPID)を含んでいます。これは、VLANを理解していない機器のために、EtherType 0x8100としても機能します。
タグ付きパケットにはVLANの情報が含まれていますが、タグなしパケットにはVLANの情報は含まれていません。典型的な使用例としては、ルーターからスイッチへのポートが1つあり、そこに複数の顧客が接続されている場合が挙げられます。
この例では、顧客"Green"がVLAN10、顧客"Blue"がVLAN20を持っています。スイッチとカスタマーの間のポートは"untagged"であり、カスタマーにとっては到着したパケットは通常のイーサネットパケットです。
ルーターとスイッチの間のポートはトランクポートとして設定されており、どのパケットがどの顧客のVLANに属しているかをルーターとスイッチの両方が知ることができます。このポートでは、イーサネットフレームに802.1Qタグが付けられています。
VLANのカプセル化プロトコルとしては、802.1Q (dot1.q)がデファクトとなっています。 このプロトコルの最も基本的な機能は、スイッチ間でVLANを保持することです。 VLANはスイッチのローカルな意味を持っているので、近くのスイッチに行くフレームに_tag_を付けて、そのフレームがどの論理グループに属しているかを知らせる必要があります。
デフォルトではNative VLANがデフォルトのVLANとなりますが、トランクポートは複数のVLANを伝送してルーターやスイッチにトラフィックをルーティングすることができます。VLANはレイヤー2のプロトコルで、レイヤー2のネットワークをセグメント化し、ルーターやレイヤー3スイッチなどのレイヤー3のデバイスでのみ通信が可能です。
ネイティブVLANは、タグのないフレームがルーターを介さずに通信できるように使用されます。switchport trunk native vlan のように、デフォルト/ネイティブVLANを別のVLANに変更することが、セキュリティ上の最善策となります。
CiscoスイッチはIEEE 802.1Qカプセル化とISLをサポートしています。