ネットワーク

ネイティブVLANとは?VLAN設定の基礎とネットワークセキュリティの向上方法

ネイティブVLANは、IEEE802.1Qトランクポートでタグなしフレームを送受信する際に使用されるデフォルトのVLANです。

VLAN設定の基礎として、ネットワークを論理的に分割し、各ポートを適切なVLANに割り当て、トランクリンクを設定します。

ネットワークセキュリティを向上させるためには、VLANを活用して機密トラフィックを分離し、不要な通信を制限することで、内部からの脅威やVLANジャンピング攻撃を防止します。

目次から探す
  1. ネイティブVLANとは
  2. VLAN設定の基礎
  3. ネットワークセキュリティの向上方法
  4. 実践的な設定例
  5. まとめ

ネイティブVLANとは

ネイティブVLANは、IEEE 802.1Q規格に基づき、タグ付けされていないイーサネットフレームが送受信される際に適用される仮想LAN(VLAN)です。

通常、スイッチポートがトランクモードに設定されている場合、複数のVLAN間でデータを転送する際に各フレームにはVLAN識別子(タグ)が付与されます。

しかし、タグが存在しないトラフィックはネイティブVLANに所属すると見なされます。

この仕組みにより、古い非対応デバイスとの互換性を保ちつつ、VLANのセグメンテーションを実現できます。

ネイティブVLANの役割

  • 管理トラフィックの処理:スイッチ間の管理用トラフィックやプロトコル(例:CDP、VTP)がネイティブVLANを通じて送信されます。
  • 互換性の維持:タグ未対応のデバイスからのトラフィックを特定のVLANに割り当てることで、トランクポートの互換性を保持します。

セキュリティ上の懸念

ネイティブVLANは利便性を提供する一方で、セキュリティリスクも伴います。

特に、デフォルトのネイティブVLAN(通常はVLAN1)が攻撃者に悪用されやすいため、適切な設定と管理が求められます。

例えば、ネイティブVLANを変更し、不要なトラフィックを制限することで、VLANホッピング攻撃のリスクを低減できます。

VLAN設定の基礎

VLAN(Virtual Local Area Network)は、物理的なネットワークインフラを論理的に分割し、異なるネットワークセグメント間のトラフィックを分離する技術です。

VLANの設定は、ネットワークの効率性やセキュリティを向上させるために不可欠です。

以下に、基本的なVLAN設定のステップを示します。

VLANの設計

  • VLANの目的の定義:業務部門ごと、セキュリティレベルごと、またはその他の基準でVLANを設計します。
  • アドレス割り当ての計画:各VLANに異なるIPアドレスサブネットを割り当てます。

スイッチの設定

VLANの作成

VLANを作成し、名前を付けることで管理しやすくします。

switch# configure terminal
switch(config)# vlan 10
switch(config-vlan)# name Sales
switch(config-vlan)# exit
switch(config)# vlan 20
switch(config-vlan)# name Marketing
switch(config-vlan)# exit

ポートの割り当て

  • アクセスポート設定:特定のVLANに属するデバイスを接続するためにポートを設定します。
switch(config)# interface FastEthernet0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan 10
switch(config-if)# exit
  • トランクポート設定:スイッチ間で複数のVLANを通過させるためにポートをトランクモードに設定します。
switch(config)# interface GigabitEthernet0/1
switch(config-if)# switchport mode trunk
switch(config-if)# switchport trunk native vlan 99
switch(config-if)# switchport trunk allowed vlan 10,20,99
switch(config-if)# exit

ネイティブVLANの設定

トランクポートにおいてネイティブVLANを設定します。

セキュリティ上、デフォルトのVLAN(通常は1)から変更することが推奨されます。

switch(config)# interface GigabitEthernet0/1
switch(config-if)# switchport trunk native vlan 99
switch(config-if)# exit

同様に、相手側のスイッチでも同じネイティブVLANを設定する必要があります。

VLAN間ルーティング(必要に応じて)

異なるVLAN間で通信を行うためには、レイヤ3デバイス(ルーターまたはレイヤ3スイッチ)を用いてVLAN間ルーティングを設定します。

router# configure terminal
router(config)# interface GigabitEthernet0/0.10
router(config-subif)# encapsulation dot1Q 10
router(config-subif)# ip address 192.168.10.1 255.255.255.0
router(config-subif)# exit
router(config)# interface GigabitEthernet0/0.20
router(config-subif)# encapsulation dot1Q 20
router(config-subif)# ip address 192.168.20.1 255.255.255.0
router(config-subif)# exit

設定の確認

VLANの設定が正しく行われたかを確認します。

switch# show vlan brief
switch# show interfaces trunk
router# show ip interface brief

ネットワークセキュリティの向上方法

VLANを活用することで、ネットワークセグメンテーションを実現し、セキュリティを向上させることが可能です。

以下に、具体的なセキュリティ向上策を示します。

ネイティブVLANのセキュリティ強化

  • ネイティブVLANの非使用推奨:可能な限りネイティブVLANを使用しないか、タグ付けが必須となるように設定します。
  • ネイティブVLANの変更:デフォルトのVLAN1から別の専用VLAN(例:VLAN99)に変更し、不要なトラフィックを防ぎます。

VLAN間アクセスの制御

  • ACL(アクセス制御リスト)の適用:VLAN間のトラフィックに対して厳格なアクセス制御を実施し、不要な通信を遮断します。
  • ファイアウォールの導入:重要なVLAN間の通信に対してファイアウォールを配置し、セキュリティポリシーを適用します。

スイッチポートのセキュリティ設定

  • ポートセキュリティの有効化:特定のMACアドレスのみがポートを通過できるように設定し、不正アクセスを防ぎます。
switch(config)# interface FastEthernet0/1
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 2
switch(config-if)# switchport port-security violation restrict
switch(config-if)# switchport port-security mac-address sticky
switch(config-if)# exit
  • 不要なVLANのシャットダウン:使用していないVLANを無効化し、攻撃の対象となる可能性を減らします。

プロトコルのセキュリティ設定

  • VTP(VLAN Trunking Protocol)の設定:VTPドメインの認証を設定し、不正なVLAN情報の伝達を防ぎます。
switch(config)# vtp domain ExampleDomain
switch(config)# vtp password SecurePassword
  • DTP(Dynamic Trunking Protocol)の無効化:不要なトランクポートの自動生成を防ぎ、セキュリティリスクを低減します。
switch(config)# interface FastEthernet0/1
switch(config-if)# switchport nonegotiate
switch(config-if)# exit

監視とログ管理

  • ネットワーク監視ツールの導入:VLANごとのトラフィックを監視し、異常な活動を早期に検出します。
  • ログの定期的な確認:スイッチやルーターのログを定期的に確認し、不正アクセスや設定ミスを迅速に対応します。

ネイティブVLANの VLAN Hopping攻撃対策

ネイティブVLANを標的としたVLAN Hopping攻撃を防ぐために、以下の対策を講じます:

  • ネイティブVLANの管理:ネイティブVLANに重要なデータトラフィックを流さないように設計します。
  • トランクポートの制限:必要最低限のトランクポートのみを設定し、不必要なポートはいずれにせよアクセスを制限します。

実践的な設定例

ここでは、実際のネットワーク環境におけるネイティブVLANの設定例を紹介します。

以下は、Ciscoスイッチを使用した設定手順です。

シナリオ

  • VLAN10(営業部門)
  • VLAN20(マーケティング部門)
  • ネイティブVLAN99(管理用)
  • スイッチ間はトランクポートで接続

設定手順

VLANの作成

まず、必要なVLANを作成し、名前を付けます。

switch# configure terminal
switch(config)# vlan 10
switch(config-vlan)# name Sales
switch(config-vlan)# exit
switch(config)# vlan 20
switch(config-vlan)# name Marketing
switch(config-vlan)# exit
switch(config)# vlan 99
switch(config-vlan)# name Management
switch(config-vlan)# exit

ポートの割り当て

  • アクセスポートの設定

各部門のデバイスを接続するポートを特定のVLANに割り当てます。

switch(config)# interface FastEthernet0/2
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan 10
switch(config-if)# exit
switch(config)# interface FastEthernet0/3
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan 20
switch(config-if)# exit
  • トランクポートの設定

スイッチ間を接続するポートをトランクモードに設定し、ネイティブVLANを指定します。

switch(config)# interface GigabitEthernet0/1
switch(config-if)# switchport mode trunk
switch(config-if)# switchport trunk native vlan 99
switch(config-if)# switchport trunk allowed vlan 10,20,99
switch(config-if)# exit

ネイティブVLANの設定

ネイティブVLANとしてVLAN99を設定し、スイッチ間の管理トラフィックを専用VLANに分離します。

VLAN間ルーティングの設定

ルーターにサブインターフェースを作成し、各VLANにIPアドレスを割り当てます。

router# configure terminal
router(config)# interface GigabitEthernet0/0.10
router(config-subif)# encapsulation dot1Q 10 native
router(config-subif)# ip address 192.168.10.1 255.255.255.0
router(config-subif)# exit
router(config)# interface GigabitEthernet0/0.20
router(config-subif)# encapsulation dot1Q 20
router(config-subif)# ip address 192.168.20.1 255.255.255.0
router(config-subif)# exit

セキュリティ設定

アクセスリストを適用し、VLAN間の不要な通信を制限します。

router(config)# access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
router(config)# access-list 100 permit ip any any
router(config)# interface GigabitEthernet0/0.10
router(config-if)# ip access-group 100 in
router(config-if)# exit

設定の確認

  • VLAN設定の確認
switch# show vlan brief
  • トランクポートの確認
switch# show interfaces trunk
  • ルーティングの確認
router# show ip interface brief
router# show running-config

設定のポイント

  • ネイティブVLANの専用化:VLAN99をネイティブVLANとして設定することで、管理トラフィックを他の部門のVLANから隔離し、セキュリティを強化します。
  • アクセスリストによる制御:VLAN10とVLAN20間の不要な通信をアクセスリストで遮断し、内部ネットワークのセキュリティを確保します。
  • ポートセキュリティの適用:各ポートに対してポートセキュリティを設定し、不正なデバイスの接続を防ぎます。

この設定例では、ネイティブVLANとしてVLAN99を使用し、管理トラフィックを専用に分離することで、ネットワーク全体のセキュリティを向上させています。

また、アクセスリストを活用してVLAN間の不要な通信を制限することで、内部からの不正アクセスを防止しています。

まとめ

ネイティブVLANの理解と基本的な設定方法について詳しく解説しました。

これにより、ネットワークセグメンテーションの実現やセキュリティの強化が可能であることが明らかになりました。

今後のネットワーク運用において、この記事で紹介した手法を積極的に取り入れ、より安全な環境を構築してください。

関連記事

コンバージェンスとは?ネットワーク機器の効率的な通信方法と技術

コリジョンドメインとは?ネットワークトラフィック管理とパフォーマンス向上

コネクションとは?ネットワーク通信における接続の基本と管理方法

コアスイッチとは?企業ネットワークの中核を担うスイッチの選び方と設定方法

ステルスモードとは?セキュリティ強化のためのネットワーク設定方法

スヌーピングとは?ネットワーク監視技術の基礎とセキュリティ対策

タイムアウトとは?ネットワーク通信における接続切断の基礎と設定方法

カスケード接続とは?ネットワークデバイスの階層的接続方法とメリット

ダイバーシティアンテナとは?無線通信の信号品質向上技術と利点

オンラインとは?ネットワーク接続の基本とその活用方法

Back to top button