プライベートVLAN ぷらいべーとぶいらん
簡単に言うとこんな感じ!
同じマンションの住人が「廊下(共有スペース)は使えるけど、お隣の部屋には入れない」状態を作る仕組みだよ!同じネットワークの中にいるのに、機器どうしが直接しゃべれないようにできるんだ。ホテルや共用サーバー環境でよく使われてるよ!
プライベートVLANとは
プライベートVLAN(Private VLAN / PVLAN) とは、1つのVLAN(仮想ネットワーク)内をさらに細かく分割し、ポート(機器の接続口)どうしの通信を制限できる技術です。通常のVLANは「同じVLAN内の機器は自由に通信できる」のが前提ですが、プライベートVLANを使うと同じIPサブネット・同じVLAN内であっても、特定のポートどうしの直接通信を遮断できます。
たとえばホテルのWi-Fiを想像してください。宿泊客は全員インターネット(=上位ルーター)にはアクセスできますが、隣の部屋のPCには接触できません。これをネットワーク機器のレイヤー2(スイッチレベル)で実現するのがプライベートVLANです。IPアドレス体系を変えずにポート間の隔離ができるため、サブネットを無駄に増やさなくてよいというメリットがあります。
データセンターや共用ホスティング環境、クラウドの物理基盤、ホテル・病院の無線LANなど、「同じネットワークにいる利用者どうしを隔離したい」場面で広く活用されています。CiscoではPVLAN、他ベンダーではポートアイソレーションや保護ポートと呼ぶこともあります。
プライベートVLANの構造と仕組み
プライベートVLANは「プライマリVLAN」と「セカンダリVLAN」の2層構造になっています。
| VLANの種類 | 役割 |
|---|---|
| プライマリVLAN | 全体をまとめる親のVLAN。外部(ルーター等)との通信はここを経由する |
| セカンダリVLAN(アイソレーテッド) | 完全隔離。同じVLAN内の他ポートとも通信不可 |
| セカンダリVLAN(コミュニティ) | グループ内は通信可能。グループ外のポートとは通信不可 |
ポートの種類も3種類あります。
| ポートの種類 | 通信できる相手 | 典型的な用途 |
|---|---|---|
| プロミスカスポート | すべてのポートと通信可 | ルーター・デフォルトGW・共有サーバー |
| アイソレーテッドポート | プロミスカスポートのみ | ホテル客室・一般エンドユーザー端末 |
| コミュニティポート | 同グループ+プロミスカスポート | 部門別サーバー群・テナント単位の機器 |
覚え方
「プロは全員と話せる、アイソレートは番長(プロミスカス)としか話せない、コミュニティは仲間うちと番長だけ」と覚えると整理しやすいです。
典型的な構成例
[ルーター] ← プロミスカスポート(全員と通信可)
|
[L2スイッチ]
|----[客室A] アイソレーテッドポート(隔離)
|----[客室B] アイソレーテッドポート(隔離)
|----[社内グループ1-1] コミュニティポート(グループ内通信可)
|----[社内グループ1-2] コミュニティポート(グループ内通信可)歴史と背景
- 1990年代後半〜2000年代初頭 — VLANが普及するにつれ、「同一VLAN内の機器どうしを隔離したい」ニーズが浮上。特にISP(インターネットサービスプロバイダー)やホスティング事業者から要望が強まった
- 2001年頃 — Ciscoが自社スイッチ向けに Private VLAN 機能を実装・公開。Catalyst シリーズで広く使われるようになる
- 2006年 — IETFが RFC 5517 として「Cisco Systems’ Private VLANs」を情報提供RFCとして公開。業界標準に近い位置づけになる
- 2010年代 — データセンター・クラウド基盤の拡大とともに、テナント間の隔離技術として再注目。VXLANなど新しい技術との組み合わせでも使われるように
- 現在 — ホテル・病院・教育機関のWi-Fiインフラ、パブリッククラウドの物理スイッチ層など、エンドユーザー隔離が必要なあらゆる場面で標準的な技術として定着
通常のVLANとの比較・SVG図解
通常のVLANとプライベートVLANでは、同じサブネット内の通信制御の粒度がまったく異なります。
ポートアイソレーション(簡易版)との違い
一部のスイッチには「ポートアイソレーション」や「保護ポート(Protected Port)」という機能があります。これはプライベートVLANの「アイソレーテッドポート」に近い動作をしますが、コミュニティ(グループ内通信)の概念がなく、単純に「指定ポートどうしの通信を全遮断」するだけの簡易版です。
| 比較項目 | プライベートVLAN | ポートアイソレーション |
|---|---|---|
| グループ内通信 | コミュニティポートで可能 | 不可 |
| 設定の複雑さ | やや複雑 | シンプル |
| 対応機器 | エンタープライズ向けスイッチ | 多くのL2スイッチ |
| スケーラビリティ | 高い | 限定的 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 5517 | Cisco Systems’ Private VLANs: Scalable Security in a Multi-Client Environment(情報提供RFC) |
| IEEE 802.1Q | VLANタギングの基本規格。プライベートVLANはこの上位に位置づけられる |
関連用語
- VLAN — ネットワークを論理的に分割する仮想LAN技術。プライベートVLANの土台となる概念
- レイヤー2スイッチ — プライベートVLANを実装するネットワーク機器
- トランクポート — 複数VLANの通信をまとめて転送するポート設定
- アクセスポート — 単一VLANに所属する端末接続用ポート
- ネットワークセグメンテーション — ネットワークを用途・信頼度で分割するセキュリティ設計の考え方
- マイクロセグメンテーション — より細粒度で通信を制御する現代的な隔離技術
- ファイアウォール — レイヤー3以上で通信を制御するセキュリティ装置
- VXLAN — データセンター向けにVLANを拡張するトンネリング技術