VLANの違い

ポートベースVLANとタグVLANの違いが分かりません。

書籍を読むとどちらも同じ用途に使えそうなのですが、使い勝手の点について
「ここが決定的に違う」
という点があれば詳しく教えてください。

私はソフトウェア開発技術者試験の勉強をしているだけの未熟者ですので分かりやすく教えて頂ければ有り難いです。

No.3 ベストアンサー 回答者： cev87700 回答日時： 2007/07/17 09:36

#2です。

ご質問いただきましたので再回答いたします。

ポート…そ、それはいくら初心者といえども自力で調べてほしい…。いくらでも調べられるはずだし、わかりにくくない解説もあるはずですよ…。
確かに物理ポートと論理ポートがありますが、その2つ以外にIT用語で「ポート」ってないので…。
http://www.network-beginner.com/net_yougo2.html
まぁ、質問者様のおっしゃるとおりです。NW機器に付属しているケーブル差込口です。インターネットするために、ご自身のPCにもポートは着いているはずです。（無線LANだと話は別ですが…）

-VLANを通過させるということ-
VLAN設定時にVLANとIPアドレスを対応付けます。
VLAN10＝10.10.10.0/255.255.255.0　、VLAN20＝192.168.15.0/255.255.255.0…てな具合です。
で、VLANを通過させるということは、そのVLAN番号に対応付けられたNWの通信を通過させるということで、逆に言えばVLANの通過設定が入っていない場合、そのNWの通信はポートで拒否されてしまうことになります。

上のVLAN例でSWの16番ポートにVLAN10を許可していたとすると、16番ポートに、10.10.10.0のネットワークのIP（10.10.10.1～10.10.10.254）のPCが接続されれば通信はできますが、それ以外のネットワークについては通信できなくなります。

タグVLANは一つのポートに複数のVLANを設定できるので、VLAN10と20を通過させることができると、そのポートにはVLANに対応付けられた複数のNWに所属するIPアドレスを送信元・送信先とする通信を通過させることができるというわけです。

この回答へのお礼

よく分かりました。
回答ありがとうございます。

お礼日時：2007/07/18 11:37

No.2 回答者： cev87700 回答日時： 2007/07/16 20:47

一つのポートに一つのVLANしか通過させられないか、複数のVLANを通過させられるかの違いが最も大きな違いです。

普通PCは一つのIPアドレスしか持ちません、言い換えればPCにつながっているポートはVLANひとつだけ通過できればよく、セキュリティ上複数設定する必要はありません。
では一つのポートに複数VLANを設定する状況は？というと、その先に複数のIPアドレス＝VLANがつながっている状況、つまりはPCではなく別のスイッチなどのネットワーク（NW）機器が接続されている状況でNW機器同士をつなぐポートに設定します。

営業部＝VLAN10、IT部＝VLAN34だったとしましょう。ビルの1階～5階に営業部とIT部のPCがある場合、どうやって同じVLANとして認識させましょう？
まさか1階のスイッチ（SW）から長～いケーブルを2～5階まで引っ張るのは非効率です。
まぁ、不可能ではないですけど。
ルータにポートがたくさんあれば、ルータのポート一つに各フロアSWを接続すればよいですが、ルータのポートって多くて4つですので、どこかでSW同士を接続しなければなりません。
SW同士をポートVLANでつないでしまうと、営業部かIT部のどちらかしかVLANが通りません。一つのポートで複数のVLANを通す必要性がここで出てきます。
タグVLANが設定されているポートにPCつなぐこともできますけど、前述のとおりセキュリティ上好ましくありません。
ですので、SW同士を接続しないで済むような小規模なNWではタグVLANは使わないことも十分ありえます。

あと、一般的にルータはポートが少ない割に価格が高いこと。ネットワークの出口にいるため、内から外への通信の制御に加え、外から入ってくる様々なパケットを受けとめて選別する仕事で負荷が高くLAN内のパケット転送まで担当させたくないため、ルータと一般PCをつなぐSWの間にLAN内の転送用のSWを置く構成をとることが多い、という情報も足しになりますか？
こんなところでいかがでしょう？

この回答へのお礼

平易な文章で非常に分かりやすかったです。
ありがとうございます。

しかし一般的用語なのでしょうが、分からなかった箇所があります。
＞一つのポートに一つのVLANしか通過させられないか
ＶＬＡＮを「通過」させるとはどういうことなのでしょうか？

あと、そもそも「ポート」というのはＬＡＮケーブルが突き刺さる部分のことでしょうか？

初歩的なことで申し訳ありませんが教えていただけたらありがたいです。

お礼日時：2007/07/17 01:13

No.1 回答者： leone_blu 回答日時： 2007/07/16 19:48

ポートベースVLAN（ポートＶＬＡＮ）は、ＨＵＢの複数のポートを同一のブロードキャストドメインとする設定です。

普通のレピータＨＵＢは当然、有無も言わさず一つのブロードキャストドメインになりますが、ＶＬＡＮ機能を有したスイッチングＨＵＢ（レイヤ２スイッチ）では、複数のブロードキャストドメインに分割できます。
ＨＵＢが複数のブロードキャストドメインを持ち、複数のＩＰネットワーク（ＩＰサブネット）に分割できても、ＩＰネットワーク間を中継する為にはＩＰルータ機能（レイヤ３スイッチ）が必要です。
このポートＶＬＡＮで複数のブロードキャストドメインを持つレイヤ２スイッチとレイヤ３スイッチを、１本のケーブルで接続した時、レイヤ３スイッチから見てレイヤ２スイッチに複数のＩＰネットワークがある様に見える為には、その１本のケーブル＝インタフェース上にＶＬＡＮが設定されなければいけません。それでＭＡＣヘッダ上にＶＬＡＮを識別するためのタグフィールド（４バイト）を挿入します。それがタグＶｌａｎ（802.1q-Tag-VLAN）です。
ポートＶＬＡＮとタグＶＬＡＮは、同じＶＬＡＮ番号を付与し、レイヤ２スイッチはＭＡＣヘッダ上に存在するタグを解いて、同一ＶＬＡＮ番号のポートＶＬＡＮにパケットを中継します。
タグＶＬＡＮ－－ポートＶＬＡＮ間の中継は、ＭＡＣヘッダ上の４バイトのタグフィールドを削除する事も重要な役割となります。

ポートＶＬＡＮ＝複数ポートを１つに束ねる
　　　　　　　→ネットワーク機器と端末機器間の接続に使用
タグＶＬＡＮ＝１ポートを複数ポートに見せる
　　　　　　→ネットワーク機器間で使用

この回答へのお礼

大変詳しい解説でありがたいのですが、実地ではなく参考書からしか情報の知識がないので少し言葉が難しかったです。

でも一番大事なところは
ポートＶＬＡＮ＝複数ポートを１つに束ねる
　　　　　　　→ネットワーク機器と端末機器間の接続に使用
タグＶＬＡＮ＝１ポートを複数ポートに見せる
　　　　　　→ネットワーク機器間で使用

というところなのですね。
この部分は大変参考になりました。

回答ありがとうございます。

お礼日時：2007/07/17 01:07