第7章 802.1Q VLAN タグの設定

VLAN を作成するには、親インターフェース と呼ばれるインターフェースの上に別のインターフェースを作成します。VLAN インターフェースは、パケットがインターフェースを通過する際に VLAN ID でタグ付けし、返信パケットの場合はタグを外します。VLAN インターフェースは他のインターフェースと同様に設定することができます。親インターフェースはイーサネットインターフェースである必要はありません。802.1Q VLAN タグインターフェースは、ブリッジ、ボンド、およびチームインターフェースの上に作成することができますが、以下の点に注意してください。
  • ボンド上に VLAN を作成した場合は、ボンドにスレーブがあり、VLAN インターフェースをアクティブにする前にそれらがアクティブになっていることが重要です。スレーブのないボンドに VLAN インターフェースを追加しても機能しません。
  • VLAN スレーブはボンド上で fail_over_mac=follow オプションを使って設定することができません。これは、VLAN の仮想デバイスが MAC アドレスを変更して親の新 MAC アドレスに合致させることができないためです。この場合、トラフィックは間違ったソースの MAC アドレスで送信されます。
  • VLAN のタグ付けがされたパケットをネットワークスイッチ経由で送信するには、スイッチを適切に設定する必要があります。たとえば、複数の VLAN からタグ付けされたパケットを受け付けるには、Cisco スイッチ上のポートは 1 つの VLAN に割り当てられているか、トランクポートになるように設定されている必要があります。一部ベンダーのスイッチでは、トランクポートが ネイティブ VLAN のタグ付けされていないフレームを処理することが許されます。一部のデバイスでは、ネイティブ VLAN を有効または無効にすることができますが、他のデバイスでは、デフォルトでは無効になっています。この相違が原因となり、異なる 2 つのスイッチ間で ネイティブ VLAN の誤設定が生じ、セキュリティーリスクが発生する可能があります。以下にその例を示します。
    あるスイッチは ネイティブ VLAN 1 を使用し、他のスイッチは ネイティブ VLAN 10 を使用するとします。タグが挿入されずにフレームの通過が許可されると、攻撃者は VLAN 間をジャンプすることができます。この一般的なネットワーク侵入方法は、VLAN ホッピング とも呼ばれています。
    セキュリティーリスクを最小限に抑えるためには、インターフェースを以下のように設定します。
    スイッチ
    • 必要でない限り、トランクポートを無効にする。
    • トランクポートが必要な場合は、タグ付けされていないフレームが許可されないように ネイティブ VLAN を無効にする。
    Red Hat Enterprise Linux サーバー
    • nftables または ebtables ユーティリティーを使用して、着信フレームのフィルタリングでタグ付けされていないフレームをドロップする。
  • 古いネットワークインターフェースカードやループバックインターフェース、Wimax カードや InfiniBand デバイスのなかには、VLAN 非対応 といって、VLAN をサポートできないものもあります。これは通常、これらのデバイスがタグ付けされたパケットに関連する VLAN ヘッダーや大きい MTU サイズに対応できないためです。

注記

Red Hat では、VLAN 上へのボンディング設定をサポートしていません。詳細については、Red Hat ナレッジベースの記事Whether configuring bond on top of VLAN as slave interfaces is a valid configuration?を参照してください。

7.1. VLAN インターフェース設定方式の選択