Show Table of Contents
第7章 802.1Q VLAN タグの設定
VLAN を作成するには、親インターフェース と呼ばれるインターフェースの上に別のインターフェースを作成します。VLAN インターフェースは、パケットがインターフェースを通過する際に VLAN ID でタグ付けし、返信パケットの場合はタグを外します。VLAN インターフェースは他のインターフェースと同様に設定することができます。親インターフェースはイーサネットインターフェースである必要はありません。802.1Q VLAN タグインターフェースは、ブリッジ、ボンド、およびチームインターフェースの上に作成することができますが、以下の点に注意してください。
- ボンド上に VLAN を作成した場合は、ボンドにスレーブがあり、VLAN インターフェースをアクティブにする前にそれらが「アクティブ」になっていることが重要です。スレーブのないボンドに VLAN インターフェースを追加しても機能しません。
- VLAN スレーブはボンド上で
fail_over_mac=followオプションを使って設定することができません。これは、VLAN の仮想デバイスが MAC アドレスを変更して親の新 MAC アドレスに合致させることができないためです。この場合、トラフィックは間違ったソースの MAC アドレスで送信されます。 - VLAN のタグ付けがされたパケットをネットワークスイッチ経由で送信するには、スイッチを適切に設定する必要があります。たとえば、複数の VLAN からタグ付けされたパケットを受け付けるには、Cisco スイッチ上のポートは 1 つの VLAN に割り当てられているか、トランクポートになるように設定されている必要があります。一部ベンダーのスイッチでは、トランクポートが ネイティブ VLAN のタグ付けされていないフレームを処理することが許されます。一部のデバイスでは、ネイティブ VLAN を有効または無効にすることができますが、他のデバイスでは、デフォルトでは無効になっています。この相違が原因となり、異なる 2 つのスイッチ間で ネイティブ VLAN の誤設定が生じ、セキュリティーリスクが発生する可能があります。以下にその例を示します。あるスイッチは ネイティブ VLAN 1 を使用し、他のスイッチは ネイティブ VLAN 10 を使用するとします。タグが挿入されずにフレームの通過が許可されると、攻撃者は VLAN 間をジャンプすることができます。この一般的なネットワーク侵入方法は、VLAN ホッピング とも呼ばれています。セキュリティーリスクを最小限に抑えるためには、インターフェースを以下のように設定します。
- スイッチ
- 必要でない限り、トランクポートを無効にする。
- トランクポートが必要な場合は、タグ付けされていないフレームが許可されないように ネイティブ VLAN を無効にする。
- Red Hat Enterprise Linux サーバー
- nftables または ebtables ユーティリティーを使用して、着信フレームのフィルタリングでタグ付けされていないフレームをドロップする。
- 古いネットワークインターフェースカードやループバックインターフェース、Wimax カードや InfiniBand デバイスのなかには、VLAN 非対応 といって、VLAN をサポートできないものもあります。これは通常、これらのデバイスがタグ付けされたパケットに関連する VLAN ヘッダーや大きい MTU サイズに対応できないためです。
注記
Red Hat では、VLAN 上へのボンディング設定をサポートしていません。詳細については、Red Hat ナレッジベースの記事『Whether configuring bond on top of VLAN as slave interfaces is a valid configuration?』を参照してください。
7.1. VLAN インターフェース設定方式の選択
- NetworkManager のテキストユーザーインターフェースである nmtui を使用して VLAN インターフェースを設定するには、「テキスト形式のユーザーインターフェース nmtui を使った 802.1Q VLAN タグの設定」に進みます。
- NetworkManager のコマンドラインツールである nmcli を使用して VLAN インターフェースを設定するには、「コマンドラインツール nmcli を使った 802.1Q VLAN タグの設定」に進みます。
- ネットワークインターフェースを手動で設定するには、「コマンドラインを使った 802.1Q VLAN タグの設定」に進みます。
- グラフィカルユーザーインターフェースツールを使ってネットワークを設定するには、「GUI を使った 802.1Q VLAN タグの設定」に進みます。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.