対象試験と出題頻度
VLAN(Virtual LAN)は、基本情報技術者・応用情報技術者で出題されるネットワーク分野のテーマです。
「ポートベースVLAN」「タグVLAN」「認証VLAN」の違いや、VLANによるブロードキャストドメインの分割効果を正確に区別できるかが問われます。
詳細をクリックして確認
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
情報処理試験を勉強していると、「VLANって結局何?普通のLANと何が違うの?」と混乱しがちです。
VLAN(Virtual LAN:仮想LAN)とは、一言で言うと
「物理的な配線を変えずに、スイッチの設定だけでネットワークを論理的に分割する技術」
のことです。
イメージとしては、「同じオフィスフロアにいるのに、部署ごとに透明な壁で仕切る」ことです。
物理的には全員が同じフロア(同じスイッチ)に接続されていても、設定によって「営業部のPCからは経理部のPCが見えない」状態を作れる。これがVLANの考え方です。
📊 VLAN(Virtual LAN)の基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Virtual LAN(Virtual Local Area Network) |
| 日本語名 | 仮想LAN |
| 主な実装先 | レイヤ2スイッチ(L2スイッチ)、レイヤ3スイッチ(L3スイッチ) |
| 標準規格 | IEEE 802.1Q(タグVLANの標準) |
解説
従来のLAN環境では、部署やセキュリティレベルごとにネットワークを分けたい場合、物理的にスイッチを分けるかケーブルを引き直す必要がありました。フロアの移動や組織変更のたびに配線工事が発生し、コストと手間がかかります。
この問題を解消するために、スイッチの設定だけで論理的にネットワークを分割するVLANの技術が普及しました。
VLANの主な方式
VLANにはグループ分けの基準によって複数の方式があります。
ポートベースVLAN(スタティックVLAN):スイッチの物理ポート単位でグループを割り当てる方式です。「ポート1〜8は営業部、ポート9〜16は経理部」のように固定設定します。設定がシンプルで最も広く使われています。
タグVLAN(IEEE 802.1Q):フレームにVLAN IDを示すタグを付与し、複数のスイッチ間で同じVLAN情報を共有する方式です。スイッチ同士を接続する「トランクポート」上で複数のVLANのフレームをまとめて伝送できます。
認証VLAN(ダイナミックVLAN):IEEE 802.1X認証やMACアドレス認証でユーザーを識別し、認証結果に応じて所属VLANを動的に割り当てる方式です。フリーアドレス制のオフィスや無線LAN環境で効果を発揮します。
▶ VLANで得られるセキュリティ効果(クリックで展開)
VLANを設定すると、同じスイッチに接続されたPC同士であっても、異なるVLANに属する端末間の通信は遮断されます。これにより、ブロードキャストパケットの到達範囲がVLAN内に限定され、アドレス情報の不要な流出を防ぐことができます。
異なるVLAN間で通信を行いたい場合は、ルータやL3スイッチを経由させる必要があります。
この経路にアクセス制御リスト(ACL)を設定すれば、部署間の通信をきめ細かく制御できます。
ここだけは確実に押さえてください。VLANは「物理構成を変えずに論理的にネットワークを分割できる」点が核心です。
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 VLANの核心を3行で
・スイッチの設定だけで物理配線を変えずにネットワークを論理分割する技術
・ブロードキャストドメインをVLAN単位に限定し、セキュリティと帯域効率を向上させる
・ポートベース・タグ(IEEE 802.1Q)・認証VLANの3方式を区別して覚える
試験ではこう出る!
VLANは、ネットワーク分野のセキュリティ効果やVLAN方式の区別を問う問題として繰り返し出題されています。
出題パターンは大きく3つに分かれます。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP R6秋 午前 問45 |
L3スイッチのVLAN機能でポートをセグメント分けしたときのセキュリティ効果を選ぶ問題。 | ・「ブロードキャストパケットの到達範囲を制限」が正解 ・MACアドレスによる接続可否判定はアドレスベースVLANの話でひっかけ |
| AP R5春 午前 問45 |
フリーアドレス制のオフィスで幹部PCだけを特定サーバにアクセスさせるセキュリティ技術を選ぶ問題。 | ・正解は「認証VLAN」 ・スタティックVLANはポート固定のためフリーアドレスでは使えない点がひっかけ |
| SW H18秋 午前 問59 |
ポートVLANの説明として適切なものを選ぶ問題。AP試験の前身であるSW試験で出題。 | ・「複数のポートを論理グループにまとめ、グループ内だけの通信を可能にする」が正解 ・リンクアグリゲーションの説明がひっかけ |
📝 IPA試験での出題パターン
パターン1:「VLANのセキュリティ効果を選べ」
R6秋APのように、VLANを導入することで得られる効果を4つの選択肢から選ぶ形式。キーワードは「ブロードキャストの到達範囲の制限」。ICMPの遮断やMACアドレスフィルタリングはVLAN固有の効果ではないため不正解になる。
パターン2:「適切なVLAN方式を選べ」
R5春APのように、業務要件に合うVLAN方式を選ばせる形式。フリーアドレス制=ポートで識別不可=認証VLANという流れで判断する。
パターン3:午後問題でのネットワーク構成設計
AP午後 問5(ネットワーク)では、VLAN IDの割り当てやトランクポートの設定を含むネットワーク構成変更がテーマになることがある。R3秋AP午後問5やH31春AP午後問5が該当する。
試験ではここまででOKです。IEEE 802.1Qのフレームフォーマットやタグの詳細構造まで問われることはないので、深追いは不要です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. VLAN機能をもつスイッチでポートをグループ化して複数のセグメントに分けたとき、得られるセキュリティ上の効果として最も適切なものはどれでしょうか?
- A. スイッチがPCのMACアドレスから接続可否を判別するので、不正接続のリスクを低減できる。
- B. スイッチがPCから送出されるICMPパケットを全て遮断するので、マルウェア感染のリスクを低減できる。
- C. スイッチがブロードキャストパケットの到達範囲を同一セグメント内に制限するので、アドレス情報の不要な流出リスクを低減できる。
正解と解説を見る
正解:C
解説:
VLANでポートをグループ化すると、異なるVLAN同士は別セグメントとして扱われ、ブロードキャストパケットは同一VLAN内にしか届きません。これにより、アドレス情報が他のセグメントへ流出するリスクを抑えられます。
選択肢AはMACアドレスによる接続制御の説明であり、これはアドレスベースVLANやMACアドレスフィルタリングの話です。ポートをグループ化するポートベースVLAN固有の効果ではありません。選択肢BはICMPパケットの遮断に言及していますが、VLANはICMPを全て遮断する機能ではなく、L3スイッチの内部ルータを介してICMPは異なるVLAN間でも伝達されます。
よくある質問(FAQ)
Q. VLANとサブネットは何が違いますか?
VLANはOSI参照モデルの第2層(データリンク層)でスイッチのポートやタグを使って論理的にネットワークを分割する技術です。一方、サブネットは第3層(ネットワーク層)でIPアドレスのネットワーク部を区切って分割する概念です。実務では1つのVLANに1つのサブネットを対応させるのが一般的で、両者はセットで運用されることが多いですが、動作する層と分割の基準が異なります。
Q. VLANを設定するとスイッチ1台でも異なる部署のネットワークを分けられますか?
分けられます。1台のスイッチ内でポートごとに異なるVLAN IDを割り当てれば、物理的には同じ機器に接続されていても論理的に別のネットワークとして動作します。ただし、VLAN間で通信を行いたい場合はL3スイッチやルータによるルーティングが必要です。
Q. 「トランクポート」と「アクセスポート」の違いは何ですか?
アクセスポートは1つのVLANだけに所属するポートで、PCやサーバーを接続する際に使います。トランクポートは複数のVLANのフレームをタグ付きでまとめて伝送するポートで、スイッチ同士の接続に使います。IEEE 802.1Qのタグ情報により、どのVLANのフレームかを識別する仕組みです。
Q. VLANと検疫ネットワークはどう関係していますか?
検疫ネットワークの実装方式の一つに「認証VLAN方式」があります。端末がネットワークに接続する際、まず検査用のVLANに隔離してセキュリティチェックを行い、合格した端末だけを業務用VLANに移動させる仕組みです。VLANの論理分割機能を応用した代表的なセキュリティ対策です。
