VLANとは何ですか?彼らはどのような問題を解決しますか?
友人が小さな会社の唯一のシステム管理者になったので、友人が基本的なネットワークを学ぶのを手伝っています。私は彼に、さまざまなネットワーキングトピックに関連するServerfaultに関するさまざまな質問と回答を指摘してきましたが、ギャップに気づきました。VLANが何であるかを第一原理から説明する回答はないようです。 どのようにサブネット化が機能するか の精神で、ここで標準的な回答のある質問があると便利だと思いました。
回答でカバーするいくつかの潜在的なトピック:
編集:明確にするために、私はVLANがどのように機能するかすでに知っています-私はServerfaultがこれらの質問をカバーする答えを持つべきだと思います。時間の許す限り、私も自分の答えを提出します。
仮想LAN(VLAN)は、単一の物理ネットワークが複数の並列物理ネットワークの機能をエミュレートできるようにするための抽象概念です。複数の並列物理ネットワークの機能が必要だが、並列ハードウェアの購入にお金をかけたくない場合があるので、これは便利です。この回答では、イーサネットVLANについて説明します(他のネットワークテクノロジーがVLANをサポートできる場合でも)。すべてのニュアンスについて詳しく説明することはしません。
純粋に不自然なシナリオの例として、テナントにリースするオフィスビルを所有していると想定します。リースの利点として、各テナントはオフィスの各部屋にライブイーサネットジャックを取得します。各フロアのイーサネットスイッチを購入し、それらをそのフロアの各オフィスのジャックに配線し、すべてのスイッチをまとめて配線します。
最初に、2つの異なるテナントにスペースをリースします。1つは1階に、もう1つは2にあります。これらの各テナントは、静的IPv4アドレスでコンピューターを構成します。両方のテナントは異なるTCP/IPサブネットを使用しており、すべてが正常に動作しているようです。
その後、新しいテナントが3階の半分を賃借し、これらの新しい複雑なDHCPサーバーの1つを立ち上げます。時間の経過とともに、1階のテナントもDHCPバンドワゴンにジャンプすることにしました。これは、物事がうまくいかなくなるポイントです。 3階のテナントは、一部のコンピュータがDHCPサーバーではないマシンから「おかしな」IPアドレスを取得していると報告しています。すぐに、1階のテナントが同じことを報告します。
DHCPは、イーサネットのブロードキャスト機能を利用して、クライアントコンピューターがIPアドレスを動的に取得できるようにするプロトコルです。テナントはすべて同じ物理イーサネットネットワークを共有しているため、同じブロードキャストドメインを共有します。ネットワーク内の任意のコンピューターから送信されたブロードキャストパケットは、すべてのスイッチポートを他のすべてのコンピューターにフラッディングします。 1階と3階のDHCPサーバーは、IPアドレスリースのすべての要求を受信し、事実上、最初に誰が応答できるかを確認します。これは明らかにあなたがあなたのテナントに体験させたい行動ではありません。ただし、これはVLANなしの「フラット」イーサネットネットワークの動作です。
さらに悪いことに、2階のテナントがこの「Wireshark」ソフトウェアを取得し、時々、聞いたことのないコンピュータとIPアドレスを参照するスイッチからのトラフィックが発生することを報告しています。従業員の1人は、自分のPCに割り当てられたIPアドレスを192.168.1.38から192.168.0.38に変更することで、これらの他のコンピューターと通信できることさえわかっています。おそらく、彼は他のテナントの1つに対して「無許可の無料システム管理サービス」を実行することからほんの数歩の距離にあります。良くない。
解決策が必要です!床の間のプラグを引くだけで、不要な通信がすべて遮断されます。うん!それがチケットです...
exceptは、地下室の半分と3階の空いている半分を借りる新しいテナントがいることを意味します。3階のスイッチと地下のスイッチの間に接続がない場合新しいテナントは、両方のフロアに広がるコンピューター間の通信を取得できません。プラグを抜くことは答えではありません。さらに悪いことに、新しいテナントはまだ導入していますanotherこれらのDHCPサーバーの1つ!
テナントごとに物理的に別々のイーサネットスイッチのセットを購入するという考えに気を取られますが、建物には30階があり、そのうちの4階まで細かく分割できるため、床から床までのケーブルがネズミの巣になる可能性があります。膨大な数のパラレルイーサネットスイッチは、言うまでもなく高価です。単一の物理イーサネットネットワークを、それぞれが独自のブロードキャストドメインを持つ複数の物理イーサネットネットワークのように機能させる方法があったとしても。
VLANは、この厄介な問題に対する答えです。 VLANを使用すると、イーサネットスイッチを論理的に異なる仮想イーサネットスイッチに分割できます。これにより、単一のイーサネットスイッチが、複数の物理イーサネットスイッチであるかのように動作できます。たとえば、細分化された3階の場合、下位24ポートが特定のVLAN(ここではVLAN 12と呼びます)にあり、上位24ポートがより高くなるように48ポートスイッチを構成できます。 24個のポートが特定のVLANにあります(これをVLAN 13と呼びます)。スイッチにVLANを作成するときは、いくつかのタイプのVLANの名前または番号を割り当てる必要があります。ここで使用している数字はほとんど任意なので、どの数字を選択するかを気にする必要はありません。
フロア3スイッチをVLAN 12と13に分割すると、新しいフロア3テナントはDHCPサーバーをVLAN 13に割り当てられたポートの1つに接続でき、PCは割り当てられたポートに接続されます。 VLAN 12は新しいDHCPサーバーからIPアドレスを取得しません。優秀な!問題が解決しました!
ああ、ちょっと待ってください。どのようにしてVLAN 13のデータを地下まで届けますか?
ハーフフロア3とハーフ地下室のテナントは、地下室のコンピューターをフロア3のサーバーに接続したいと考えています。フロア3のVLANに割り当てられたポートの1つからケーブルを直接接続することができます。地下室と生活はいいですよね?
VLAN(802.1Q以前の標準)の初期の段階では、まさにそれを行う可能性があります。地下スイッチは「給電」されるため、地下スイッチ全体は、事実上、VLAN 13(3階と地下の新しいテナントに割り当てることを選択したVLAN)の一部になります。 VLANに割り当てられている3階のポートによって13。
このソリューションは、地下室の他の半分を1階のテナントに賃貸するまで機能します。1階のテナントも1階と地下のコンピューター間の通信を希望しています。 VLAN(たとえば、VLAN 2と13)を使用して地下スイッチを分割し、地下1階から地下のVLAN 2に割り当てられたポートまでケーブルを配線できますが、より適切な判断で、ケーブルのネズミの巣になる(そして悪化するだけです)。 VLANを使用してスイッチを分割することは適切ですが、別のVLANのメンバーであるポートに他のスイッチから複数のケーブルを実行する必要があるのは面倒です。確かに、地下階のスイッチを4方向に、高層階にもスペースがあるテナント間で分割する必要がある場合、地下のスイッチの4つのポートを使用して、2階のVLANからの「フィーダー」ケーブルを終端するだけです。
これで、1つのケーブル上のスイッチ間で複数のVLANからトラフィックを移動するある種の一般化された方法が必要であることは明らかです。異なるVLAN間の接続をサポートするためにスイッチ間にケーブルを追加するだけでは、スケーラブルな戦略ではありません。最終的に、十分なVLANがあると、これらのVLAN間/スイッチ間接続でスイッチのすべてのポートを使い果たしてしまいます。必要なのは、複数のVLANからのパケットを単一の接続(スイッチ間の「トランク」接続)に沿って運ぶ方法です。
ここまでは、これまでに説明したすべてのスイッチポートを「アクセス」ポートと呼びます。つまり、これらのポートは単一のVLANへのアクセス専用です。これらのポートに接続されたデバイス自体には、特別な構成はありません。これらのデバイスは、VLANが存在することを「認識」していません。クライアントデバイスが送信するフレームはスイッチに配信され、スイッチがフレームに入るポートに割り当てられたVLANのメンバーとして割り当てられたポートにのみフレームが送信されるようにします。 VLAN 12のメンバーとして割り当てられたポートでスイッチにフレームが入る場合、スイッチはVLAN 12のメンバーであるポートからのみフレームを送信します。スイッチはVLANを「認識」します>]フレームを受信するポートに割り当てられた番号で、同じVLANのポートからのみこのフレームを配信することがわかっています。
スイッチが特定のフレームに関連付けられたVLAN番号を他のスイッチと共有する方法があった場合、他のスイッチは適切な宛先ポートにのみそのフレームの配信を適切に処理できます。これは、802.1Q VLANタギングプロトコルが行うことです。 (802.1Q以前は、一部のベンダーがVLANタグ付けとスイッチ間トランキングの独自の標準を作成していたことは注目に値します。ほとんどの場合、これらの先行標準の方法はすべて802.1Qに取って代わられています。)
2つのVLAN対応スイッチが相互に接続されていて、それらのスイッチが相互にフレームを適切なVLANに配信するようにしたい場合は、「トランク」ポートを使用してそれらのスイッチを接続します。これには、各スイッチのポートの構成を「非常に基本的な構成で」「アクセス」モードから「トランク」モードに変更することが含まれます。
ポートがトランクモードで構成されている場合、スイッチがそのポートを送信する各フレームには、フレームに「VLANタグ」が含まれます。この「VLANタグ」は、クライアントが送信した元のフレームの一部ではありませんでした。むしろ、このタグは、トランクポートからフレームを送信する前に、送信スイッチによって追加されます。このタグは、フレームの発信元のポートに関連付けられたVLAN番号を示します。
受信スイッチはタグを調べて、フレームがどのVLANから発信されたかを判断し、その情報に基づいて、発信VLANに割り当てられているポートのみにフレームを転送します。 「アクセス」ポートに接続されたデバイスは、VLANが使用されていることを認識していないため、アクセスモードで構成されたポートに送信する前に、「タグ」情報をフレームから取り除く必要があります。このタグ情報の除去により、VLANトランキングプロセス全体がクライアントデバイスから隠されます。これは、デバイスが受信するフレームにVLANタグ情報が含まれないためです。
実際にVLANを構成する前に、テストスイッチでポートをトランクモードに構成し、スニファー(Wiresharkなど)を使用してそのポートから送信されるトラフィックを監視することをお勧めします。別のコンピューターからサンプルトラフィックを作成し、アクセスポートに接続すると、トランクポートを離れるフレームが、実際にはテストコンピューターが送信するフレームよりも大きくなることがわかります。 WiresharkのフレームにVLANタグ情報が表示されます。スニファーで何が起こるか実際に見る価値があると思います。 802.1Qタグ付け標準について読むことも、この時点で行うのが適切です(特に、「ネイティブVLAN」や二重タグ付けなどについて話していないため)。
建物に賃貸するスペースが増えるにつれて、VLANの数が増えます。新しいVLANを追加するたびに、ますます多くのイーサネットスイッチにログオンして、そのVLANをリストに追加する必要があることがわかります。そのVLANを単一の構成マニフェストに追加して、各スイッチのVLAN構成を自動的に設定できる方法があったら、すばらしいと思いませんか。
シスコ独自の「VLAN Trunking Protocol」(VTP)や標準ベースの「Multiple VLAN Registration Protocol」(MVRP-以前はGVRP)と同様のプロトコルがこの機能を果たします。これらのプロトコルを使用するネットワークでは、単一のVLAN作成または削除エントリにより、ネットワーク内のすべてのスイッチにプロトコルメッセージが送信されます。そのプロトコルメッセージは、VLAN構成の変更を残りのスイッチに伝え、スイッチはVLAN構成を変更します。 VTPおよびMVRPは、特定のポートが特定のVLANのアクセスポートとして構成されているかどうかには関係ありませんが、VLANの作成または削除をすべてのスイッチに通知するのに役立ちます。
VLANに慣れてきたら、おそらく戻って、VTPやMVRPなどのプロトコルに関連付けられている「VLANプルーニング」について読みたくなるでしょう。今のところ、それほど気にする必要はありません。 ( WikipediaのVTP記事 には、VLANプルーニングとそれによる利点を説明する素晴らしい図があります。)
先に進む前に、不自然な例ではなく実際の生活について考えることが重要です。ここで別の回答のテキストを複製する代わりに、あなたに紹介します 私の回答re:VLANを作成する場合 。これは必ずしも「初心者レベル」ではありませんが、不自然な例に戻る前に簡単に参照するつもりなので、今から見ておく価値があります。
"tl; dr"群衆(とにかく、この時点ですべての読み取りが停止している)の場合、上記のリンクの要点は次のとおりです。VLANを作成して、ブロードキャストドメインを小さくするか、特定の理由(セキュリティ)のためにトラフィックを分離する場合、ポリシーなど)。 VLANを使用する正当な理由は他にありません。
この例では、VLANを使用してブロードキャストドメインを制限しています(DHCPなどのプロトコルを正しく機能させるため)。次に、さまざまなテナントのネットワーク間の分離が必要なためです。
一般的に、VLANとIPサブネットの間には、分離を容易にするため、およびARPプロトコルの機能のため、通常、VLANとIPサブネットの間に1対1の関係があります。
この回答の冒頭で見たように、同じ物理イーサネット上で2つの異なるIPサブネットを問題なく使用できます。 VLANを使用してブロードキャストドメインを縮小する場合、ARPと他のブロードキャストトラフィックを組み合わせるため、同じVLANを2つの異なるIPサブネットと共有することはできません。
セキュリティまたはポリシー上の理由でVLANを使用してトラフィックを分離している場合は、分離の目的を無効にするため、同じVLAN内の複数のサブネットを組み合わせたくない場合もあります。
IPは、ブロードキャストベースのプロトコルであるアドレス解決プロトコル(ARP)を使用して、IPアドレスを物理(イーサネットMAC)アドレスにマップします。 ARPはブロードキャストベースであるため、1つのVLAN内のホストは他のVLAN内のホストからARP応答を受信できないため、同じIPサブネットの異なる部分を異なるVLANに割り当てると問題が発生します。 VLAN間で転送されます。この「問題」はプロキシARPを使用して解決できますが、最終的には、IPサブネットを複数のVLANに分割する必要がある本当に正当な理由がない限り、そうしない方がよいでしょう。
最後に、VLANは優れたセキュリティデバイスではないことに注意してください。多くのイーサネットスイッチにはバグがあり、1つのVLANから発信されたフレームを別のVLANに割り当てられたポートに送信できます。イーサネットスイッチの製造元はこれらのバグを修正するために一生懸命取り組んできましたが、完全にバグのない実装が行われることは疑わしいです。
私たちの不自然な例の場合、別のテナントに無料のシステム管理「サービス」を提供することから少し離れている2階の従業員は、トラフィックをVLANに分離することによって、そうすることを阻止される可能性があります。彼はまた、スイッチファームウェアのバグを悪用して、トラフィックが別のテナントのVLANに「漏洩」することを許可する方法を見つけることもあります。
メトロイーサネットプロバイダーは、VLANタグ付け機能とスイッチが提供する分離にますます依存しています。 VLANを使用することでnoセキュリティが提供されると言うのは不公平です。ただし、信頼できないインターネット接続またはDMZネットワークの状況では、信頼できる「背後にある」を伝送するスイッチ上のVLANよりも、物理的に別個のスイッチを使用してこの「微妙な」トラフィックを伝送する方がおそらく良いと言えます。ファイアウォール」トラフィック。
これまでのところ、この回答について述べたことはすべて、レイヤー2イーサネットフレームに関連しています。これにレイヤー3を取り入れ始めたらどうなりますか?
不自然な建物の例に戻りましょう。 VLANを採用して、各テナントのポートを個別のVLANのメンバーとして構成することを選択しました。各フロアのスイッチが元のVLAN番号でタグ付けされたフレームを上下のフロアのスイッチに交換できるようにトランクポートを構成しました。 1つのテナントで複数のフロアにコンピューターを分散させることができますが、熟練したVLAN構成スキルのため、これらの物理的に分散したコンピューターはすべて同じ物理LANの一部であるように見えます。
ITの成果が非常に高いため、テナントにインターネット接続を提供することにしました。太いインターネットパイプとルーターを購入します。すべてのテナントにアイデアを浮かせ、2人はすぐに賛同します。幸い、ルーターには3つのイーサネットポートがあります。 1つのポートをファットインターネットパイプに接続し、別のポートを最初のテナントのVLANへのアクセス用に割り当てられたスイッチポートに、もう1つのポートを2番目のテナントのVLANへのアクセス用に割り当てられたポートに接続します。各テナントのネットワークでIPアドレスを使用してルーターのポートを構成すると、テナントはサービスを通じてインターネットへのアクセスを開始します。収益が増加し、あなたは幸せです。
しかし、すぐに、別のテナントがインターネットサービスに参加することを決定します。ただし、ルーターのポートが不足しています。何をすべきか?
幸いなことに、イーサネットポートでの「仮想サブインターフェイス」の設定をサポートするルータを購入しました。つまり、この機能により、ルーターは発信VLAN番号でタグ付けされたフレームを受信して解釈し、通信する各VLANに適切なIPアドレスで構成された仮想(つまり、非物理)インターフェイスを持つことができます。と。実際には、これにより、ルータ上の単一のイーサネットポートを「多重化」して、複数の物理イーサネットポートとして機能しているように見せることができます。
ルータの1つをスイッチのトランクポートに接続し、各テナントのIPアドレス指定スキームに対応する仮想サブインターフェースを構成します。各仮想サブインターフェースは、各顧客に割り当てられたVLAN番号で構成されます。フレームがスイッチのトランクポートから出てルーターに向かうと、フレームは元のVLAN番号のタグを運ぶ(トランクポートであるため)。ルータはこのタグを解釈し、そのVLANに対応する専用の物理インターフェイスに到着したかのようにパケットを処理します。同様に、ルーターがリクエストに応答してスイッチにフレームを送信すると、スイッチはフレームにVLANタグを追加して、スイッチがどのVLANに応答フレームを配信するかを認識できるようにします。実際には、スイッチとルーター間の単一の物理接続のみを使用しながら、ルーターを複数のVLANの物理デバイスとして「表示」するように構成しました。
仮想サブインターフェイスを使用すると、25以上のイーサネットインターフェイスを備えたルーターを購入しなくても、すべてのテナントにインターネット接続を販売できます。 ITの成果にかなり満足しているため、2人のテナントが新しいリクエストを受け取ったときに積極的に対応します。
これらのテナントはプロジェクトで「パートナー」を選択し、あるテナントのオフィス(あるVLAN)のクライアントコンピューターから他のテナントのオフィス(別のVLAN)のサーバーコンピューターへのアクセスを許可したいと考えています。それらは両方ともインターネットサービスの顧客であるため、コアインターネットルーター(これらのテナントのVLANごとに構成された仮想サブインターフェイスが存在する)のACLをかなり単純に変更して、トラフィックをVLAN間でフローさせることができます。 VLANからインターネットへも同様です。変更を加えて、途中でテナントを送ります。
翌日、1つのオフィスのクライアントコンピューターから2番目のオフィスのサーバーへのアクセスが非常に遅いという両方のテナントから苦情を受け取りました。サーバーとクライアントのコンピューターはどちらもスイッチへのギガビットイーサネット接続を備えていますが、ファイルは約45Mbpsでしか転送されません。これは、コアルーターがスイッチに接続する速度の約半分です。明らかに、送信元VLANからルーターに流れ、ルーターから宛先VLANに戻るトラフィックは、ルーターのスイッチへの接続によってボトルネックになっています。
コアルーターを使ってVLAN間でトラフィックをルーティングできるようにしたことは、一般的に「ルーターオンスティック」と呼ばれています(おそらく愚かな風変わりな冒涜)。この戦略はうまく機能しますが、トラフィックは、スイッチとルーターの接続の容量までのVLAN間でのみ流れることができます。どういうわけか、ルーターをイーサネットスイッチ自体の「根拠」と結合できれば、トラフィックをさらに高速にルーティングできます(イーサネットスイッチ自体は、製造元の仕様書によると、2 Gbpsのトラフィックを切り替えることができるため)。
「レイヤー3スイッチ」は、論理的に言えば、内部に埋め込まれたルーターを含むイーサネットスイッチです。レイヤー3スイッチは、小さくて高速なルーターがスイッチ内に隠れていると考えると、非常に役立ちます。さらに、ルーティング機能を、レイヤー3スイッチが提供するイーサネットスイッチング機能とは明確に別の機能と考えることをお勧めします。レイヤー3スイッチは、すべての目的と目的で、2つの異なるデバイスを1つのシャーシにまとめたものです。
レイヤ3スイッチの組み込みルータは、通常、ワイヤ速度またはそれに近い速度でVLAN間でパケットをルーティングできる速度でスイッチの内部スイッチングファブリックに接続されます。 「スティック上のルーター」で構成した仮想サブインターフェースと同様に、レイヤー3スイッチ内のこの組み込みルーターは、各VLANへの「アクセス」接続であるように「見える」仮想インターフェースで構成できます。 VLANからレイヤー3スイッチ内の組み込みルーターへのこれらの論理接続は、仮想サブインターフェースと呼ばれるのではなく、スイッチ仮想インターフェース(SVI)と呼ばれます。実際、レイヤー3スイッチ内の組み込みルーターには、スイッチ上の任意のVLANに「プラグイン」できる「仮想ポート」がいくつかあります。
組み込みルーターは、物理ルーターと同じように機能しますが、物理ルーターと同じ動的ルーティングプロトコルまたはアクセス制御リスト(ACL)機能をすべて備えているわけではありません(ただし、本当に素敵なレイヤー3を購入した場合を除きます)。スイッチ)。ただし、組み込みルーターには非常に高速であり、接続されている物理スイッチポートに関連するボトルネックがないという利点があります。
ここで「パートナー」のテナントを使用する例の場合、レイヤー3スイッチを取得し、トランクポートにプラグインして、両方のカスタマーVLANからのトラフィックが到達するようにし、IPアドレスとVLANを使用してSVIを構成します。両方のカスタマーVLANに「現れる」ようなメンバーシップ。これが完了したら、コアルーターとレイヤー3スイッチの埋め込みルーターのルーティングテーブルを微調整するだけで、テナントのVLAN間を流れるトラフィックがレイヤー3スイッチ内の埋め込みルーターと「スティック上のルーター」。
レイヤー3スイッチを使用しても、スイッチを相互接続するトランクポートの帯域幅に関連するボトルネックが発生しないというわけではありません。ただし、これはVLANが対応する問題とは正反対の問題です。 VLANは帯域幅の問題とは何の関係もありません。通常、帯域幅の問題は、高速のスイッチ間接続を取得するか、リンク集約プロトコルを使用して複数の低速接続を仮想高速接続に「結合」することで解決されます。後の3スイッチ内の組み込みルーターによってルーティングされるフレームを作成するすべてのデバイス自体が、レイヤー3スイッチのポートに直接接続されていない限り、スイッチ間のトランクの帯域幅について心配する必要があります。レイヤ3スイッチは万能薬ではありませんが、通常、「スティックルーター」よりも高速です。
最後に、一部のスイッチには、動的VLANメンバーシップを提供する機能があります。特定のポートを特定のVLANのアクセスポートとして割り当てるのではなく、デバイスの接続時にポートの構成(アクセスまたはトランク、およびそのVLAN)を動的に変更できます。ダイナミックVLANはより高度なトピックですが、機能が存在することを知っていると役立ちます。
機能はベンダーによって異なりますが、通常は、接続されたデバイスのMACアドレス、デバイスの802.1X認証ステータス、独自の標準ベースのプロトコル(CDPおよびLLDPなど)に基づいて動的VLANメンバーシップを構成できます。 IP電話が音声トラフィックのVLAN番号を「検出」できるようにする)、クライアントデバイスに割り当てられたIPサブネット、またはイーサネットプロトコルタイプ。
VLANは「仮想ローカルエリアネットワーク」です。以下は私の理解です-私のバックグラウンドは主にシステムエンジニアリングと管理で、OOプログラミングと多くのスクリプト作成の側面があります。
VLANは、複数のハードウェアデバイス間で分離されたネットワークを作成することを目的としています。昔の伝統的なLANは、特定のネットワーク専用の単一のハードウェアデバイスがある場合にのみ存在する可能性があります。そのネットワークデバイス(履歴時間枠に応じてスイッチまたはハブ)に接続されているすべてのサーバー/デバイスは、通常、LAN間で自由に通信できます。
A VLANは異なるため、複数のネットワークデバイスを相互接続し、サーバーをVLANにグループ化することで分離されたネットワークを作成できるため、単一のLANに「専用」のネットワークデバイスを用意する必要がありません。構成可能なVLANとサポートされるサーバー/デバイスの数は、ネットワークデバイスの製造元によって異なります。
繰り返しになりますが、ベンダーにもよりますが、同じVLANに属するためにすべてのサーバーが同じサブネット上にある必要があることはthinkしません。レガシーネットワーク構成ではそうだったと思います(ネットワークエンジニアはここに修正を挿入します)。
VLAN VPNと異なるのは、「プライベート」を表す「P」の文字です。通常、VLANトラフィックは暗号化されません。
お役に立てば幸いです。