いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ
Webエンジニア向けプログラミング解説動画をYouTubeで配信中!
▶ チャンネル登録はこちら

PVLAN(ピーブイラン)とは | 意味や読み方など丁寧でわかりやすい用語解説

PVLAN(ピーブイラン)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

読み方

日本語表記

プライベートVLAN (プライベートヴイラン)

英語表記

PVLAN (ピーバン)

用語解説

PVLAN(Private VLAN)は、レイヤ2スイッチング環境において、通常のVLAN(Virtual LAN)では実現できない、よりきめ細かい通信分離を可能にする技術である。主に、同一のVLANおよびIPサブネットに属するデバイス間での相互通信を制限し、セキュリティを強化する目的で利用される。一般的なVLANが、異なるVLAN間の通信をルーティングを介して分離するのに対し、PVLANは同じVLAN内でありながら、特定のポート間での直接的な通信を抑制する点が大きな特徴となる。システムエンジニアを目指す初心者がVLANの概念を理解した上で、さらに高度なネットワーク設計を学ぶ上で重要な概念である。

通常のVLANでは、同じVLANに属するすべてのポートは、デフォルトで相互に通信できる。これは、企業内の部署や特定の機能ごとにネットワークを論理的に分割する際には非常に有効である。しかし、例えばデータセンターで複数の顧客の仮想マシンを同一のL2セグメントに収容する場合や、ISP環境で多数のユーザーを同じVLANに配置する場合、あるいはホテルや公共のWi-Fiサービスで利用者の端末を接続する場合など、同一VLAN内のポート間での通信を制限したい状況がある。このような状況で通常のVLANのみを利用すると、顧客やユーザーごとにVLANを割り当てる必要があり、VLAN IDの枯渇やIPアドレスの非効率な利用、ルーティング設定の複雑化といった問題が生じる可能性がある。PVLANはこれらの問題を解決するために考案された。

PVLANは、プライマリVLANとセカンダリVLANという2つの階層的なVLANを組み合わせることで機能する。すべてのPVLANポートは論理的にプライマリVLANに所属し、そこからさらに、通信の分離レベルに応じてセカンダリVLANに割り当てられる。セカンダリVLANには「分離VLAN(Isolated VLAN)」と「コミュニティVLAN(Community VLAN)」の2種類が存在する。

分離VLANは、最も厳格な通信制限を提供する。この分離VLANに属するポート(分離ポート)は、同じ分離VLANに属する他の分離ポートや、同じプライマリVLAN内の他のセカンダリVLAN(コミュニティVLAN)に属するポートとは、レイヤ2レベルで一切通信できない。分離ポートが通信できるのは、プライマリVLANに属するプロミスキャスポートのみである。これにより、例えばデータセンターで互いに独立した仮想マシンを同じVLAN内に収容し、それぞれの仮想マシンが他の仮想マシンから完全に隔離された状態を保ちながら、ゲートウェイとなるルータやファイアウォールとは通信できる環境を構築できる。

一方、コミュニティVLANは、特定のグループ内での通信は許可しつつ、他のグループや分離ポートとは通信を分離したい場合に利用される。このコミュニティVLANに属するポート(コミュニティポート)は、同じコミュニティVLANに属する他のコミュニティポートとは相互に通信できる。しかし、異なるコミュニティVLANに属するポートや、分離VLANに属するポートとは通信できない。コミュニティポートも分離ポートと同様に、プライマリVLANに属するプロミスキャスポートとは通信可能である。例えば、データセンター内で同一顧客に属する複数の仮想マシン間での通信は許可しつつ、他の顧客の仮想マシンとは分離するといった用途に適している。

そして、PVLANにおける重要な役割を担うのがプロミスキャスポートである。プロミスキャスポートはプライマリVLANに所属し、PVLAN構成内のすべてのセカンダリVLAN(分離VLANおよびコミュニティVLAN)に属するポートと相互に通信できる唯一のポートタイプである。通常、このプロミスキャスポートは、インターネットへの接続を提供するルータ、ファイアウォール、ロードバランサなどの共有サービスを提供するデバイスに設定される。これにより、分離された各デバイスが外部ネットワークや共有サービスにアクセスするための経路が確保される。

PVLANの動作原理は、スイッチがフレームを転送する際のMACアドレステーブルの学習と関連する。PVLANが設定されたスイッチでは、通常のVLANとは異なり、同一セカンダリVLAN内でのポート間通信が明示的に抑制される、または特定の転送ルールが適用される。特に分離VLANの場合、分離ポートから発信されたフレームは、基本的にプロミスキャスポート以外のレイヤ2ポートへは転送されない。これにより、レイヤ2レベルでのブロードキャストドメイン内の通信を細かく制御し、セキュリティを高めることができる。

PVLANの導入により、セキュリティの向上、IPアドレスの効率的な利用、VLAN IDの節約といったメリットが得られる。同一のサブネット内でデバイスを論理的に分離できるため、別々のVLANを多数作成する必要がなくなり、ネットワーク設計の柔軟性が増す。特に、クラウド環境や大規模な共有ホスティング環境において、テナント間の分離や多層防御の一環として非常に有効である。ただし、通常のVLANと比較して設定が複雑になり、トラブルシューティングも難しくなる傾向があるため、正確な設計と深い理解が必要となる。すべてのレイヤ2スイッチがPVLAN機能をサポートしているわけではない点も留意すべきである。

関連コンテンツ

関連IT用語