ネットワークの仮想化とセグメント化を支える技術のひとつに「VLAN(Virtual LAN)」があります。
しかし、より広域で複雑なネットワーク構成に対応するためには、単一のVLANタグでは限界があります。
そこで登場するのが「QinQ(IEEE 802.1ad)」です。
これは、Ethernetフレームに2つのVLANタグを重ねて設定できる技術であり、大規模ネットワーク環境、特に通信事業者レベルでの利用が進んでいます。
本記事では、QinQの仕組み、IEEE 802.1Qとの違い、実際の活用シナリオ、セキュリティ上の注意点まで、ITインフラ担当者に向けてわかりやすく解説します。
<h1>QinQとは何か?</h1>
<h2>QinQの基本定義</h2>
**QinQ(キューインキュー)**とは、「IEEE 802.1ad」として標準化された拡張VLAN技術で、1つのEthernetフレームに2つのVLANタグを付与することで、VLANを多層的に構築できるようにします。
別名:
-
二重タギング(Double Tagging)
-
Q-in-Q
-
IEEE 802.1Qトンネリング
<h2>IEEE 802.1Qとの違い</h2>
IEEE 802.1Qでは、VLANタグは1つしか付与できず、タグ数にも4096個(12bit)の制限があります。
一方、QinQはこの制限を突破する手段として、1つのフレームに2つの異なるVLANタグを挿入します。
-
内側のタグ:Customer VLAN(C-Tag)
-
外側のタグ:Service VLAN(S-Tag)
この構造により、通信事業者ネットワークと顧客ネットワークを論理的に分離かつ統合的に運用できます。
<h1>QinQの仕組み</h1>
<h2>タグのネスト構造</h2>
QinQの本質は、**VLANタグの入れ子構造(ネスト構造)**にあります。
-
S-Tagは通信事業者が管理
-
C-Tagは顧客ネットワークが自由に使用可能
これにより、複数の顧客が同じVLAN番号を内部で使っていても衝突を避けることができます。
<h2>トンネリングとしての利用</h2>
QinQは「VLAN over VLAN」として、顧客のVLANをトンネリングする技術とも捉えられます。
通信事業者のネットワークではS-Tagのみを見て転送し、顧客ネットワーク内ではC-Tagが用いられます。
<h1>QinQの導入メリット</h1>
<h2>1. 拡張性の向上</h2>
単一タグのVLANでは4096 VLAN IDの制限がありますが、QinQではS-TagとC-Tagの組み合わせにより、理論上1677万通り以上のIDが実現可能となります。
<h2>2. 顧客VLANの透過性</h2>
通信事業者が顧客のVLAN構成に干渉することなく、そのまま透過的に転送できるため、マルチテナント環境にも最適です。
<h2>3. 運用の柔軟性</h2>
複数拠点を持つ企業においても、通信事業者のQinQ機能を活用することで、本社と支社を同一VLANとして扱うことが可能になります。
<h1>QinQの活用事例と実装環境</h1>
<h2>実際の活用シーン</h2>
-
ISPや通信キャリアのWAN接続
-
大規模データセンター間のVLANトンネリング
-
クラウド環境における顧客分離
<h2>実装可能なスイッチ製品</h2>
QinQはL2スイッチ(レイヤ2スイッチ)の中でも、中〜上位モデルに搭載されている機能です。
特に、以下のようなスイッチが対応しています:
-
Cisco Catalystシリーズ
-
Juniper EXシリーズ
-
HPE Arubaスイッチ
-
ネットギアのスマートスイッチ(上位機)
<h1>QinQのセキュリティと注意点</h1>
<h2>セキュリティリスク</h2>
-
不正なタグの挿入(Tag Insertion Attack)
-
VLANホッピングによるセグメントの突破
-
ネットワーク設計ミスによるブロードキャストストーム
<h2>対策方法</h2>
-
スイッチでのポートごとのQinQ許可制御
-
S-TagとC-Tagのフィルタリング設定
-
BPDUガードやストームコントロールの活用
まとめ
**QinQ(IEEE 802.1ad)**は、VLAN技術の限界を超えて、より大規模で複雑なネットワーク構成を実現する重要技術です。
-
VLANを2層に分けて多段階の論理分離が可能
-
通信事業者と顧客のネットワークを分離運用できる
-
セキュリティと構成管理に注意が必要
大規模ネットワークの構築やクラウドベースの環境整備に携わる技術者にとって、QinQは必須の知識です。
導入検討の際は、運用の柔軟性と同時に、リスク管理と設計の慎重なプランニングも重要です。