VLAN、初施行！

ルーターでVLAN概念が長らく分からなかったので今まで放置してたんですが、
ようやく社内ネットワークとゲスト用WiFiの分離を行おうとしているんで、
これを機に、VLANテストしました。

で、下記の話はかなーり不正確で、ざっとわかるような感じで書いてます。
違うところあったら、デリケートな感じで教えてください（笑）

まず、VLANの概念。
VLANも何もない、通常のネットワークはアンタグとかタグ無しとか呼ばれています。
ただしこいつもVLANの一つに加えられています。1つのVLANのみ使用のパターンがこちら。
192.168.1.x一つだけ使っている構成は、アンタグポート環境です。

逆にVLANはタグとかタグ有りとか言われてます。一つのポートに複数のタグIDが乗った通信はこちらになります。
一つのルーターで、192.168.1.ｘ 192.168.2.x 192.168.3.xを管理している場合は
タグポートです。

じゃあ、こいつら混ぜる構成あるのか？と思うところ。
最近ではハイブリットという構成になりますが、他の呼び名ではVLAN ID1だったり、
ネイティブVLANとか呼ばれています。
VLAN非対応機器が繋がった時は基本、このネイティブVLANが使われます。
タグ付は破棄される模様です。
Intel ネットワークアダプタではVLAN使える模様。
この方法を使えば、車内不特定のポートに入れたときにはゲストに繋ぎ、
特定のポート、特定の機器に繋いだ時だけ特定のVLANタグを使える設定にすれば、
セキュリティと利便性が上げられます。
ただ、普通のHUBよりも1.3倍ほど高いの買わないといけないので、
特定の広さのある建物じゃないとそういうできなさそうです。

これに加えて、ポートVLANとタグVLANがあります。
タグVLANに関しては、上記のタグがいくつも束ねた通信になります。
ポートVLANは、上記のVLAN IDによって、特定のポートにタグ無しに変換して通信を流すことが出来ます。
たとえば、ネイティブ・VID:10・VID:20の通信がポート1で通信した場合、
ネイティブ⇛ポート2
VID：10⇛ポート3
VID：20⇛ポート4

という風に、ポート別で分けることが出来ます。
企業向けルーターでは、HUB動作になっているポートを、分離できる方法がありますが、内部的に上記のようなポートVLANになっています。
この事実を知らないで、タグ付きを透過しないようにした場合、最悪通信できなくなるときがあります。注意しましょう。

なお、ポートVLANじゃない機器は、それぞれのLANポートに別々のMACアドレスが振られています。
MACアドレス別でHUBみたいな動作をする場合は、ブリッジ機能を使って、IPルーティングしない方法をとれば、高価なHUBが出来上がります。

シスコでは呼び方が変わって、タグVLANの受け取り口をトランクポート、
タグからポートベースに変わった受け取り口をアクセスポートと読んでたりします。
メーカーによって統一されていないので、できればメーカーと年式を揃えたほうが余計な混乱が減ります。

つまり、一般のPCでVLAN構成通信するには、最終的にポートVLANで振り分けて使用します。
振り分けた後はアンタグポートになるため、通常のHUBで小分けが可能です。

つまり、複数のセグメントを持っているネットワークはほぼVLANです。
ただし、その場合は、デフォルトゲートウェイなしの手動IPアドレスによる独自ネットワーク組ませてたりします。
この場合は、DHCPでセグメント管理が出来ないので、やっぱ終端ルーターでVLAN組むのが一般的になります。
複数のDHCPがあったら、喧嘩して応答の速いDHCPサーバーが選ばれたりと、
二重ルーター問題を起こす場合があります。

なお、YAMAHAの場合は、特別な設定をしない限り、VLANで分離したとしても、
ルーター到達時でルーティングされるため、
セグメントを越えた通信が出来てしまいます。ping飛ばしたら普通に応答するの。
どのルーターも、柔軟性を保つために、基本分離されていませんので、
実装する前にちゃんと調べてから組まないと、ネットワークトラブルが発生します。

YAMAHAルーターは、ポートVLANをLAN分離機能、各ポート通信を分離して各セグメントの通信を防ぐ、ポート分離という機能があります。
ややこしいです。私もまだ混乱中。

私は上記に加えて、ルーターをYAMAHA、HUBをパナソニックと
メーカー非統一、年代もバラバラな構成で行ってました。
いやー、繋がらないかと思った。