VLANの違い

一つのポートに一つのVLANしか通過させられないか、複数のVLANを通過させられるかの違いが最も大きな違いです。 普通PCは一つのIPアドレスしか持ちません、言い換えればPCにつながっているポートはVLANひとつだけ通過できればよく、セキュリティ上複数設定する必要はありません。 では一つのポートに複数VLANを設定する状況は？というと、その先に複数のIPアドレス＝VLANがつながっている状況、つまりはPCではなく別のスイッチなどのネットワーク（NW）機器が接続されている状況でNW機器同士をつなぐポートに設定します。 営業部＝VLAN10、IT部＝VLAN34だったとしましょう。ビルの1階～5階に営業部とIT部のPCがある場合、どうやって同じVLANとして認識させましょう？ まさか1階のスイッチ（SW）から長～いケーブルを2～5階まで引っ張るのは非効率です。 まぁ、不可能ではないですけど。 ルータにポートがたくさんあれば、ルータのポート一つに各フロアSWを接続すればよいですが、ルータのポートって多くて4つですので、どこかでSW同士を接続しなければなりません。 SW同士をポートVLANでつないでしまうと、営業部かIT部のどちらかしかVLANが通りません。一つのポートで複数のVLANを通す必要性がここで出てきます。 タグVLANが設定されているポートにPCつなぐこともできますけど、前述のとおりセキュリティ上好ましくありません。 ですので、SW同士を接続しないで済むような小規模なNWではタグVLANは使わないことも十分ありえます。 あと、一般的にルータはポートが少ない割に価格が高いこと。ネットワークの出口にいるため、内から外への通信の制御に加え、外から入ってくる様々なパケットを受けとめて選別する仕事で負荷が高くLAN内のパケット転送まで担当させたくないため、ルータと一般PCをつなぐSWの間にLAN内の転送用のSWを置く構成をとることが多い、という情報も足しになりますか？ こんなところでいかがでしょう？

ポートベースVLAN（ポートＶＬＡＮ）は、ＨＵＢの複数のポートを同一のブロードキャストドメインとする設定です。普通のレピータＨＵＢは当然、有無も言わさず一つのブロードキャストドメインになりますが、ＶＬＡＮ機能を有したスイッチングＨＵＢ（レイヤ２スイッチ）では、複数のブロードキャストドメインに分割できます。 ＨＵＢが複数のブロードキャストドメインを持ち、複数のＩＰネットワーク（ＩＰサブネット）に分割できても、ＩＰネットワーク間を中継する為にはＩＰルータ機能（レイヤ３スイッチ）が必要です。 このポートＶＬＡＮで複数のブロードキャストドメインを持つレイヤ２スイッチとレイヤ３スイッチを、１本のケーブルで接続した時、レイヤ３スイッチから見てレイヤ２スイッチに複数のＩＰネットワークがある様に見える為には、その１本のケーブル＝インタフェース上にＶＬＡＮが設定されなければいけません。それでＭＡＣヘッダ上にＶＬＡＮを識別するためのタグフィールド（４バイト）を挿入します。それがタグＶｌａｎ（802.1q-Tag-VLAN）です。 ポートＶＬＡＮとタグＶＬＡＮは、同じＶＬＡＮ番号を付与し、レイヤ２スイッチはＭＡＣヘッダ上に存在するタグを解いて、同一ＶＬＡＮ番号のポートＶＬＡＮにパケットを中継します。 タグＶＬＡＮ－－ポートＶＬＡＮ間の中継は、ＭＡＣヘッダ上の４バイトのタグフィールドを削除する事も重要な役割となります。 ポートＶＬＡＮ＝複数ポートを１つに束ねる 　　　　　　　→ネットワーク機器と端末機器間の接続に使用 タグＶＬＡＮ＝１ポートを複数ポートに見せる 　　　　　　→ネットワーク機器間で使用