今回は、VLAN導入の障壁が比較的低い、IP電話と業務ネットワークを分離するケースと、来客用に用意したインターネット接続環境を安全に運用するケースを取り上げる。

 どちらも、VLANと相性が良い事例だ。VLAN同士のルーティングを考えなくて済む分、設計しやすい。

音声パケットを優先させる

 企業がIP電話を導入する場合、既存のネットワークを利用すれば、新規にネットワークインフラを追加しなくて済む。ただ、IP電話をパソコンと同じように従来のネットワークにつないでしまうと、ネットワークの混雑によって音声が途切れたり、通話が切れてしまったりする恐れがある。こうした問題も、VLANで解決できる。

 IP電話では、音声パケットがスムーズに流れるようにする必要がある。その対策として有効なのが、(1)パソコンのネットワークとIP電話用ネットワークを分離する、(2)音声パケットの転送を優先させるようにする、などだ。(1)と(2)のどちらも、VLANを使って実現できる。

 (1)は、パソコンのネットワークとIP電話用ネットワークをVLANを使って分離する。分離することで、パソコンのネットワークを流れるブロードキャストパケットがIP電話機に届かなくなり、混雑の影響を受けにくくなる。

 (2)には、VLANタグが備える優先度を使う。VLANタグの優先度で、遅延などがあってもあまり問題にならないパソコンの通信よりも、IP電話の通信の優先度を高くしておくのだ。こうすれば、音声パケットが遅延しにくくなる。

業務用ネットワークとIP電話用ネットワークを分割する
[画像のクリックで拡大表示]

 優先度は、スイッチの管理画面で設定できる。IP電話機をつなぐ物理ポートをアクセスポートに設定して、VLAN IDと優先度を設定すればよい。

スイッチ内蔵のIP電話機も

 IP電話機の中には、VLAN対応のレイヤー2スイッチ機能を内蔵する製品もある。こうした製品には、IP電話機をネットワーク側のレイヤー2スイッチに接続するための物理ポートのほかに、従業員のパソコンをIP電話機につなぐための物理ポートも備えられている。こうしたIP電話機を使えば、ネットワーク側のレイヤー2スイッチの物理ポートを消費せずにIP電話を導入できる。

パソコンを接続できるIP電話機を使う
[画像のクリックで拡大表示]

 スイッチ内蔵のIP電話機は、レイヤー2スイッチのトランクポートに接続する。パソコンはIP電話機とつなぎ、パソコンとIP電話機の間は通常のイーサネットフレームでパケットをやり取りする。一方、IP電話機とレイヤー2スイッチの間は、パソコンの通信はパソコンのVLAN IDを記述したタグフレームで、IP電話の通信はIP電話用のVLAN IDを記述したタグフレームでやり取りする。パソコンのVLAN IDと、IP電話機のVLAN IDや優先度は、IP電話機の管理画面で設定する。

 スイッチ内蔵のIP電話機には、IP電話用のVLAN IDや優先度を設定できても、パソコンの通信にはVLAN IDを設定できない製品がある。この場合は、IP電話機をつないだレイヤー2スイッチで、物理ポートに届く通常のフレームにVLAN IDを割り当てるポートVLANの設定を追加する。

来客用のVLANを作って分離

 来客用にインターネットに接続できる無線LAN環境や、従業員が業務用ネットワークにつなぐ無線LAN環境を用意する企業が増えている。こうしたケースで、来客用のインターネット接続環境を、業務用ネットワークにそのままつなぐのは危険だ。こうした場合、VLANを使ってネットワークを分離するとよいだろう。

 まず来客用と従業員用で無線LANアクセスポイント(AP)もしくはSSIDを分けて設置する。そして、来客用のAPはインターネットだけに接続するための来客用ネットワーク(例えばVLAN10)につなぎ、従業員用のAPは業務用ネットワーク(同VLAN20)につなぐ。

来客用と業務用の無線LANネットワークを分割する
[画像のクリックで拡大表示]

 VLAN10とVLAN20を接続する必要がなければ、ルーティング機能を用意する必要はない。このようにVLANで分離しておけば、悪意を持つ第三者が来客用のAPから業務用ネットワークにアクセスしようとしてもアクセスできないので安心だ。