Q-in-Q(IEEE802.1ad)

同じVLAN IDを利用している複数の組織が、同じネットワークを利用するためには、どうしたら良いでしょうか?

本項では、Q-in-Q(VLANトンネル)について説明します。

Q-in-Qの概要

 部署Aが、VLAN10と20を使っていたとします。スイッチ間はタグVLANを利用しています。

 そこに、部署Bが同じネットワークを利用する計画が浮上しましたが、部署BでもVLAN10と20を使っています。同じVLAN IDを使っているため、このままでは2つの部署間で通信が可能になってしまいます。

同一VLANを使うネットワーク結合の問題点

 どちらかの部署のVLANを変えればいいのですが、スイッチが沢山あると時間がかかって簡単ではありません。又、フィルタリングにより部署間の通信が出来ないようにしてもいいのですが、同じIPアドレスを使っている等、困難な事もあります。

 このような時、Q-in-Qを利用すると簡単に部署間の通信を分断出来ます。

Q-in-Qを利用したネットワークのグループ分け

 Q-in-Qは、2重にタグを付ける事でVLANを更にグループ分けしています。これまで説明してきたIEEE802.1qで規定されたタグはカスタマータグ(C-TAG)と言い、2重に付けるタグをサービスタグ(S-TAG)と言います。

 上の図では、S-TAGが100の時は部署A、200の時は部署Bとの間だけ通信が可能になります。例えば、S-TAGが100、C-TAGが10のフレームは、部署AのVLAN10に接続された機器とだけ通信可能です。

 Q-in-Qは、IEEE802.1adで規定されました。

WANでの利用

 広域イーサネット等では、Q-in-Qにより顧客が付与したタグ(C-TAG)に更にタグ(S-TAG)を付与し、顧客の通信をグループ分けしています。

広域イーサネットでのQ-in-Q利用方法

 Q-in-Qを利用する事で、ネットワークを共有して同じVLAN IDを利用していても、顧客間の通信が出来ないようになります。

 S-TAGを付与するのは、広域イーサネットを貸し出すキャリア側で、利用する側はC-TAG付与、若しくはタグ無しで送信します。つまり、Q-in-Qにより他組織とネットワークが分断され、セキュリティが確保された仮想的な専用線として利用出来ますが、利用する側はQ-in-Qを意識した設定は不要です。

  • このエントリーをはてなブックマークに追加