VLANとスパニングツリーで始める中小規模オフィスのネットワーク設計

L2スイッチのVLAN設計からSTPの動作確認まで、実際のコンフィグを交えながら解説します。

構成の前提

今回は以下のような環境を想定します。

拠点1箇所、社員30〜50人規模
L3スイッチ1台 + L2スイッチ（フロアごと）
業務系 / ゲストWi-Fi / サーバーセグメントの3つに分離したい
ルーターはYAMAHA RTXシリーズ

VLAN設計

まずセグメントを決めます。

VLAN ID	用途	サブネット
10	業務PC	192.168.10.0/24
20	ゲストWi-Fi	192.168.20.0/24
30	サーバー	192.168.30.0/24
99	管理（OOB）	192.168.99.0/24

ゲストVLANはインターネットのみ許可し、業務・サーバーセグメントへのルーティングはACLで全ドロップします。管理VLANは物理的に別ポートに収容するか、最低限アクセス元IPを絞ります。

L3スイッチ側の設定例（Cisco IOS）

vlan 10
 name Business
vlan 20
 name Guest
vlan 30
 name Server
vlan 99
 name Management

interface Vlan10
 ip address 192.168.10.1 255.255.255.0
 no shutdown

interface Vlan20
 ip address 192.168.20.1 255.255.255.0
 no shutdown

! ゲストから業務・サーバーへのルーティングを遮断
ip access-list extended BLOCK_GUEST
 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
 permit ip any any

interface Vlan20
 ip access-group BLOCK_GUEST in

スパニングツリー（STP）の設定

L2ループを防ぐためにSTPは必ず有効にします。ただし、デフォルトのCSTP（802.1D）は収束が遅い（30〜50秒）ため、RSTP（802.1w） か MSTP（802.1s） を使います。

RSTPへの切り替え

spanning-tree mode rapid-pvst

ルートブリッジは明示的に固定します。自動選出に任せると再起動のたびに変わる可能性があるためです。

! L3スイッチをルートブリッジに固定
spanning-tree vlan 10,20,30,99 priority 4096

! アクセス層のL2スイッチ
spanning-tree vlan 10,20,30,99 priority 32768

PortFast と BPDUGuard

エンドデバイス（PCやAPなど）が接続するアクセスポートには PortFast を有効化してリンクアップ直後のフォワーディングまでの待ち時間をゼロにします。合わせて BPDUGuard を設定しておくと、誤ってスイッチを接続したときにポートをシャットダウンして保護できます。

interface range GigabitEthernet0/1 - 24
 spanning-tree portfast
 spanning-tree bpduguard enable

トランクポートの設定

L3スイッチとL2スイッチ間のアップリンクはトランク（802.1Q）にして複数VLANを通します。

! L3スイッチ側
interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99

! ネイティブVLANは使用VLANと被らないIDに変更（デフォルトの1は使わない）
 switchport trunk native vlan 999

疎通確認

設定後は以下のコマンドで確認します。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
# STPトポロジーの確認
show spanning-tree vlan 10

# トランクの状態確認
show interfaces trunk

# VLANの割り当て確認
show vlan brief

# ルーティングテーブル
show ip route

show spanning-tree でルートブリッジが意図したスイッチになっているか、BLK ポートが想定箇所に出ているかを確認してください。

まとめ

VLAN設計はセグメントの役割を先に決めてからIPアドレスを割り当てる
STPはRSTPに切り替え、ルートブリッジは手動で固定する
アクセスポートにはPortFast + BPDUGuardをセットで入れる
トランクのネイティブVLANはデフォルトのVLAN 1を使わない

設計の段階でこれらを意識しておくだけで、あとから「ループが起きた」「セグメント間が意図せず通信できている」といったトラブルを大幅に減らせます。