物理的な配線地獄から卒業！初心者でもわかるVLANの仕組みと「現場のリアル」

こんにちは、18年目のインフラエンジニア「もっち」です。

新人研修や現場に出たばかりの頃、スイッチの設定を見て「なぜ1つの箱の中に違うネットワークが混ざっているの？」と不思議に思ったことはありませんか？

今回は、インフラエンジニアの必須知識であるVLAN（Virtual LAN）について、物理スイッチを中心に、ステップを追って解説します。

ステップ1：VLANがない時代の「物理ハブ地獄」

まずは、VLANという技術がなかったらどうなるかを考えてみましょう。

営業、総務、技術、経理……部署ごとにネットワークを分けたい場合、かつては部署の数だけ物理的な「ハブ（スイッチ）」を用意する必要がありました。上の図では、それぞれの部署ごとにハブが必要となり、合計8台のハブが稼働しています。

• 課題： ネットワークを1つ増やすたびに新しいハブが必要になり、コストも設置場所もかさみます。配線もスパゲッティのように絡まり、管理が非常に困難でした。

ステップ2：ポートベースVLANで「箱」をまとめる

この物理的な無駄を解消したのがポートベースVLANです。1つのスイッチ内の「穴（ポート）」に対して、「ここは営業用、ここは総務用」と論理的にグループ分けを行います。それぞれのポートにはVLAN IDが設定されており、同じVLAN IDが設定されているポート同士でなければ、接続ができません。

ポートベースVLANを導入することで、複数の部署を1つのスイッチに集約できるようになり、機材コストが激減しました。上の図ではVLAN対応スイッチ2台のみ用意すれば、ネットワークを構成できるようになりました。

• 課題： しかし、オフィスが「1階と2階」に分かれている場合、階をまたぐ配線を部署の数（VLANの数）だけ用意しなければなりません。これではまだ配線の手間が残ります。

ステップ3：タグVLANとTrunk接続で「線」をまとめる

ここで登場するのが、現在の主流であるタグVLANです。データに「これはVLAN10の荷物です」という「タグ（荷札）」を付けることで、1本のLANケーブルの中に複数のネットワークを混在させることができます。

タグVLANを導入したネットワークでは、各ポートは必ず「アクセス」か「トランク」のどちらかの役割を担います。この設定を間違えると、「通信が全く通らない」事態に陥ります。

1. アクセスポート（Access Port）：特定の部署専用の入り口

アクセスポートは、「ただ1つのVLAN ID」だけを受け入れるポートです。

• 主な接続先： PC、プリンタ、IP電話などの「エンドデバイス」。
• 特徴： デバイス（PCなど）はVLANという概念を知りません。そのため、スイッチ側で「このポートから入った通信はVLAN 10として扱う」と決め、デバイスにデータを渡すときはタグを外してあげます。

2. トランクポート（Trunk Port）：複数の部署が通る高速道路

トランクポートは、「複数のVLAN ID」をまとめて通すことができるポートです。

• 主な接続先： スイッチ同士の接続、またはルーターとの接続。
• 特徴： データに「これはVLAN 10」「これはVLAN 20」という「識別票（タグ）」を付けたまま通信します。これにより、1本のLANケーブルで複数の部署のネットワークを隔離したまま運ぶことができます。実務では、このtrunkポートも複数ケーブルで冗長化させて、さらに可用性を高めます。

アクセス vs トランク 比較表

項目	アクセスポート	トランクポート
所属できるVLAN数	1つだけ	複数（たくさん）
主な接続相手	パソコン、プリンタ	他のスイッチ、ルーター
タグ（識別票）の扱い	デバイスに渡す前に外す	タグを付けたままやり取りする
現場での呼び方	「アクセス」「タグなしポート」	「トランク」「タグポート」

もっちの「現場のリアル」：大失敗から学んだ設定の重み

18年も運用リーダーをやっていると、今でも冷や汗をかく瞬間があります。

【失敗談】作業用PCがつながらない！

ある基盤機器のメンテナンス時、作業用PCを接続するポートに「タグVLAN」の設定を入れ忘れる（あるいは間違える）というミスをしました。

PCを繋いでも機器に全くアクセスできず、原因究明に時間を取られ、予定していた作業開始時間が大幅に遅れてしまいました。現場での「VLAN設定1つのミス」は、プロジェクト全体の進行を止める破壊力があるのです。

現場で役立つ「もっち流ルール」

私の職場では、設定ミスを防ぐために「VLAN IDとIPアドレスを連動させる」というルールを徹底しています。

• ルール： サブネットマスク24ビット（255.255.255.0）の運用において、IPアドレスの第3オクテットをVLAN IDと一致させる。
• 例： IPアドレスが 10.20.100.0/24 なら、VLAN IDは 100 に設定。

こうすることで、設計書（パラメータシート）をパッと見ただけで、「このIPならVLAN IDはこれだな」と直感的に判断でき、設定ミスや確認漏れを劇的に減らすことができます。

まとめ：設定書を読み解くポイント

大学院でコンピュータネットワークを専攻し、現在は200台規模の基盤を管理するサービスマネージャーとしてアドバイスすると、設定書を読むときは以下の点に注目してください。

もっちのアドバイス：そのポートの「対向（相手）」は何ですか？

• 相手がPCなら、設定はアクセスポートで、VLAN IDは1つだけ記載されているはずです。
• 相手がスイッチなら、設定はトランクポートで、複数のVLAN ID（または ALL）が許可されているはずです。

もし「相手がスイッチなのにアクセスポート設定になっている」などの矛盾を見つけたら、それはトラブルの火種かもしれません。

まずはこれらを意識することから始めてみましょう。「動いて当たり前」の裏側には、こうした細かな論理構成の積み重ねがあるのです。