スイッチの設定画面で tagged と untagged を見た瞬間、手が止まった経験はありませんか。
どちらもVLANに関わる設定なのは分かる。
けれど、何がどう違って、どこで使い分けるのかが曖昧なままだと、構成は一気に不安定になります。
本記事では、VLANタグの仕組みから taggedポートと untaggedポートの役割、現場でよく使うパターン、つまずきがちな罠までをまとめます。
派手な話ではありません。でもここを押さえると、配線も設定も、驚くほど筋が通るようになります。
VLANタグとは何か?
VLANは、1台のスイッチの中に複数のネットワークを作る考え方です。
部署ごと、用途ごとに通信を分離できるので、無駄なブロードキャストを減らし、セキュリティ上の境界も作れます。
このVLANを現場で運用する際に重要なのが、フレームにVLANの所属情報を載せるタグの存在です。
IEEE 802.1Qという標準で、Ethernetフレームに4バイト分の情報を差し込み、VLAN IDなどを運びます。
タグがあることで、1本の物理リンクに複数VLANを同居させても、どのVLANの通信かを見分けられます。
タグがあると何がいいのか?
もしタグが無い世界で複数VLANをスイッチ間で運びたいなら、VLANごとに専用のポートとケーブルを用意する必要が出ます。
VLANが10個なら10本。
現実的ではありません。
タグがあると、複数のVLANを1本のリンクにまとめられます。
スイッチ間の上り回線がすっきりし、ポートも配線も節約できますよね。
Taggedポートとは
taggedポートは、VLANタグ付きのフレームを通すポートです。
一般的にはトランクポートと呼ばれます。
複数のVLANを同じポートで運ぶために使います。
Taggedが使われる代表的な場面
- スイッチ同士を接続して、複数VLANをまとめて流したい
- ルータやファイアウォールに複数VLANを収容したい
- 複数SSIDを扱う無線LANアクセスポイントで、SSIDごとにVLANを分けたい
- 仮想化サーバなど、1台で複数VLANを扱う機器と接続したい
Taggedポートの動き方
taggedポートでは、フレームにVLANタグが付いた状態でやり取りします。
スイッチはそのタグを見て、どのVLANの通信かを判断します。
許可されていないVLANのタグが付いていれば、基本的にフレームは破棄されます。
つまり taggedポートは、複数のレーンがある高速道路のようなものです。
車には行き先の札が付いていて、料金所が札を見て正しいレーンに通す。
そんなイメージが近いです。
Untaggedポートとは
untaggedポートは、VLANタグが付かないフレームを通すポートです。
一般的にはアクセスポートと呼ばれます。
多くの場合、PCやプリンタ、カメラなど、VLANを意識しない端末を接続します。
Untaggedが使われる代表的な場面
- PCやプリンタなど、一般端末を特定のVLANに所属させたい
- タグを理解しない機器を安全に収容したい
- 運用をシンプルにして、現場の誤接続リスクを減らしたい
Untaggedポートの動き方
untaggedポートに入ってくるフレームはタグ無しです。
スイッチは、どのポートから来たかで所属VLANを判断します。たとえばポート10がVLAN20のuntaggedなら、ポート10から来たタグ無しフレームはすべてVLAN20として扱われます。
端末から見れば、タグの存在を一切意識しません。
普通のLANとして繋がっているだけです。
だからこそ運用は楽で、事故も減ります。
TaggedとUntaggedの違いを一言で言うと
違いはシンプルです。
- taggedは、複数VLANを運ぶためにフレームにタグを付ける
- untaggedは、端末にタグを見せず特定VLANに収容する
そして現場の基本形は、末端はuntagged、幹線はtaggedです。
エッジでは分かりやすさを優先し、バックボーンでは効率を優先する。
ネットワークの設計思想そのものがここに表れます。
複数VLAN環境での使い分けの定番パターン
たとえばVLAN10を社内、VLAN20を来客用とします。
フロアごとにスイッチがあり、社内PCとゲスト用APが配置されるような構成です。
スイッチ間リンクはTagged
スイッチ同士を接続するリンクには、VLAN10とVLAN20の両方を流したいので tagged で設定します。
これがトランクです。
タグを付けたままスイッチ間を渡り、受け側はタグを見て正しいVLANへ振り分けます。
端末を挿すポートはUntagged
PCはVLAN10のuntagged、ゲストAPはVLAN20のuntagged、といった具合に割り当てます。
端末はタグを扱えない前提で問題ありません。
スイッチが裏側で帳尻を合わせてくれます。
1ポートに複数Untaggedは基本できない
タグ無しフレームには、どのVLANかを区別する情報がありません。
だから untagged は基本的に1ポート1VLANです。
複数VLANを1ポートで扱いたいなら、taggedを使い、接続先もタグを理解できる必要があります。
ネイティブVLANとPVIDで混乱しやすいところ
トランクに見えるポートでも、タグ無しフレームを受け入れる設定がある場合があります。
これがネイティブVLANの考え方です。タグ無しで流れてきたフレームを、特定のVLANとして扱うルールです。
ネイティブVLAN不一致は地味に危険
トランクの両端でネイティブVLANが一致していないと、タグ無しフレームの解釈がズレます。
片側はVLAN10、もう片側はVLAN1として扱う、といったズレが起きると、意図しないVLANへフレームが混ざる可能性があります。
症状が分かりやすく出ないことも多く、調査が長引きがちです。
だからこそ、ネイティブVLANは両端で必ず合わせる。
ここはルールとして固めた方が安全です。
よくあるトラブルと現場での対策
アクセスポートにすべき所をトランクにしてしまう
PCを挿したのに通信できない。
実はポートが tagged のままになっていたというのは、あるあるです。
端末はタグ付きフレームを想定していないので、会話が成立しません。
対策は単純で、端末ポートは原則untaggedに統一し、例外だけを明確に管理することです。
トランクで必要なVLANを許可し忘れる
VLAN10だけ通らない、VLAN20は通る。
こういう症状は、トランクの許可VLAN漏れが疑いどころです。
トランクは何でも通るわけではなく、許可したVLANだけが通過するようにしている構成が多いからです。
対策は、トランク設定のテンプレート化と、両端の設定比較です。人間の記憶より、仕組みで守った方が強いです。
ネイティブVLANの不一致
通信が時々揺れる、妙なブロードキャストが見える、STPが落ち着かない。
こうした時はネイティブVLANの不一致も疑います。
構成資料にネイティブVLANの方針が残っていない現場ほど起きやすいです。
対策は、トランク間のネイティブVLANを統一すること。
可能なら運用上使わないVLANに揃え、意図しないタグ無しフレームが流れても影響を最小化する設計にします。
VLANを作ったつもりで作れていない
ポート割り当てはしたのにVLAN自体が未作成だった、というミスもあります。
機器やメーカーによっては、VLANを明示的に作らないと動作しません。
対策は、VLAN一覧の確認と、設定の流れを手順化することです。
小さな確認が、大きな夜更かしを減らします。
(まとめ)タグの有無は、ネットワークの美しさを決める
- taggedは、複数VLANを1ポートで運ぶためにタグ付きで流す設定
- untaggedは、端末にタグを見せず、特定VLANに収容する設定
- 基本形は、末端はuntagged、スイッチ間の幹線はtagged
- トランクの許可VLAN漏れ、ネイティブVLAN不一致はトラブルの温床
- 例外を減らし、設定の方針を揃えるほど運用は静かに安定する
タグは小さな情報です。でもその小ささが、ネットワークを整然と分け、必要な場所へだけ運びます。
配線の先にあるのは、ただの通信ではなく、安心して使える環境です。
tagged と untagged を味方につけると、ネットワークは少しだけ凛としますね。
コメントを投稿する