VLANタグが原因で通信できない？show vlan・show interfaceで確認する方法と設定ミスの見分け方

この記事で分かること

VLANタグが原因で通信できない場合、何が起きているのかを正確に把握しないまま設定を触ってしまうと、問題がさらに複雑になることがあります。この記事では、show vlanコマンドの確認方法とshow interfaceを使ったVLAN設定の見方を具体的なコマンド例と出力の読み方を交えて解説します。アクセスポートとトランクポートの違い、タグ付きフレームとタグなしフレームの扱われ方、そして現場でよくある設定ミスの見分け方まで、実務的な観点でまとめました。

VLANタグが原因で通信できないとはどういう状態か

VLANタグが原因で通信できない状態は、大きく分けて次の2パターンに分類されます。

• スイッチポートに正しいVLAN IDが割り当てられていない
• トランクポートで必要なVLAN IDが許可されていない（または剥き取りの設定が誤っている）

Ethernetフレームに付与される802.1Qタグは、フレームのどのVLANに属するかを示す識別子です。タグ付きフレームとして送受信するトランクポート、タグなしフレームを扱うアクセスポートのどちらでも、設定の不一致があれば通信は成立しません。「pingが通らない」「特定のVLANだけ疎通しない」という症状がある場合、まずVLAN設定を疑うのが現場のセオリーです。

show vlanコマンドの確認方法と出力の読み方

Ciscoスイッチでshow vlanコマンドの確認方法として最もよく使うのが以下のコマンドです。

Switch# show vlan brief

出力例（抜粋）：

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi0/1, Gi0/2
10   SALES                            active    Gi0/3, Gi0/4
20   ENGINEER                         active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup

どこを見るべきか

確認すべきポイントは3つです。

• VLAN IDが存在するか：使いたいVLAN IDがリストにない場合、そもそもVLANが作成されていません。
• Statusがactiveかどうかのかどうかのかどうか：「act/unsup」や「suspend」になっていると通信できません。
• Portsにインターフェースがあるかあるかあるかあるかあるかあるかあるかあるか：対象のポートが正しいVLANに含まれているかを確認します。上記の例ではVLAN 20にポートが割り当てられていないため、VLAN 20宛の通信は届きません。

特定のVLANの詳細を確認したい場合は次のコマンドを使います。

Switch# show vlan id 20

このコマンドで、そのVLANに所属するポートの一覧と状態が確認できます。「active」と表示されているにもかかわらずポートが含まれていない場合は、ポートのVLAN設定が漏れている可能性が高いです。

show interfaceを使ったVLAN設定の見方

ポートのVLAN設定を細かく確認するにはshow interfaces switchportが有効です。スイッチポートのVLAN通信確認において最も詳細な情報が得られるコマンドです。

Switch# show interfaces GigabitEthernet0/3 switchport

出力例：

Name: Gi0/3
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 10 (SALES)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: disabled
Voice VLAN: none
Administrative private-vlan host-association: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001

どこを見るべきか

アクセスポートの確認では「Access Mode VLAN」が想定通りのVLAN IDになっているかを最初に確認します。トランクポートを確認する場合は「Trunking VLANs Enabled」の欄が重要です。

トランクポートの場合は次のコマンドが見やすいです。

Switch# show interfaces trunk

出力例：

Port        Mode         Encapsulation  Status        Native vlan
Gi0/1       on           802.1q         trunking      1

Port        Vlans allowed on trunk
Gi0/1       1-4094

Port        Vlans allowed and active in management domain
Gi0/1       1,10,30

Port        Vlans in spanning tree forwarding state and not pruned
Gi0/1       1,10,30

「Vlans allowed and active in management domain」の欄に、通信させたいVLAN IDが含まれていない場合、そのVLANのタグ付きフレームはトランクポートを通過できません。ここにVLAN 20が表示されていなければ、VLAN 20の通信はトランクを越えられない状態です。

VLAN設定ミスのトラブルシューティング：よくある原因と見分け方

VLAN設定ミス トラブルシューティングで現場エンジニアが最もよく遭遇するパターンを整理します。「設定したはずなのに通信できない」という場合、原因は大抵以下のどれかです。

ネイティブVLANの不一致は特に見落としやすい

802.1Qではトランクポートに「ネイティブVLAN」という概念があります。ネイティブVLANのフレームはタグなしフレームとして送受信されます。両端のスイッチでネイティブVLANが異なると、タグなしで送られたフレームが相手側では別のVLANに属するフレームとして扱われ、通信が不安定になります。show interfaces trunkの「Native vlan」列で両端が一致しているか必ず確認してください。

VLANタグの剥き取り設定と確認方法

VLANタグ 剥き取り 設定とは、トランクポートを通過するフレームから特定のVLANタグを除去する動作を指します。正確には「スイッチポートがアクセスモードで動作するとき、受信したタグ付きフレームからVLANタグを剥ぎ取る」という挙動です。

アクセスポートに接続されたPCやサーバーは通常、タグなしフレームを送受信します。スイッチはそのフレームを受け取るとアクセスポートに設定されたVLAN IDを付与してスイッチング処理を行い、送信時にはタグを除去して端末へ渡します。この剥き取りが正しく行われていない場合、端末側でVLANタグ付きのフレームを受信してしまい、通信できない状態になります。

設定を確認するには次のコマンドが有効です。

Switch# show interfaces GigabitEthernet0/4 switchport

「Operational Mode: static access」であればタグなしフレームを扱うアクセスポートとして動作しています。「Operational Mode: trunk」になっているのに端末がタグ処理に対応していない場合は、フレームが正しく処理されず通信できなくなります。

DTPによる自動ネゴシエーションが原因になるケース

CiscoスイッチではデフォルトでポートがDTP（Dynamic Trunking Protocol）を使用して自動的にトランクモードへ移行しようとすることがあります。意図せずトランクポートになっているケースでは、端末に対してタグ付きフレームが送られてしまい通信できない状態になります。

Switch# show interfaces GigabitEthernet0/4 switchport | include Mode
Administrative Mode: dynamic auto
Operational Mode: trunk

このように「Administrative Mode: dynamic auto」で「Operational Mode: trunk」になっている場合、意図しないトランク動作が原因です。明示的にアクセスポートとして固定する設定が必要です。

Switch(config)# interface GigabitEthernet0/4
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

スイッチポートのVLAN通信確認：設定ミスを段階的に切り分ける手順

スイッチポート VLAN通信 確認を現場で効率よく行うための確認順序を示します。「上から順番に確認する」という手順を守ることで、原因の特定にかかる時間を大幅に短縮できます。

よくある勘違い：VLANを作っただけでは通信できない

「vlan 20コマンドでVLANを作成したのに通信できない」というケースは非常によくあります。VLANを作成するだけでは足りません。アクセスポートに対してswitchport access vlan 20を設定してポートをVLANに所属させる、トランクポートではswitchport trunk allowed vlan add 20でVLANを許可リストに追加する、この両方が必要です。

# トランクポートでVLANを追加許可する（「add」を忘れると既存許可VLANが上書きされるので注意）
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport trunk allowed vlan add 20

「add」を付けずにswitchport trunk allowed vlan 20と入力すると、既存で許可していたすべてのVLANが削除されてVLAN 20のみが許可された状態になります。これにより他のVLANの通信が一斉に止まるという事故が現場では発生しやすいため、必ず「add」を付けるのが鉄則です。

Juniperスイッチでの確認方法（EX系）

Juniperスイッチの場合も基本的な確認の考え方は同じですが、コマンド体系が異なります。

# VLAN一覧の確認
user@switch> show vlans

# 特定インターフェースのVLAN設定確認
user@switch> show interfaces ge-0/0/3 detail

Juniperではアクセスポートは「access」モード、トランクポートは「trunk」モードとして設定します。show vlansの出力で各VLANに所属しているインターフェースが確認でき、「tagged」か「untagged」かも表示されます。タグ付きフレームを扱うポートは「tagged」、タグなしフレームを扱うポートは「untagged」として表示されるため、接続する機器の種別と一致しているかを確認します。

まとめ：VLANタグ 通信できない問題を素早く解決するために

VLANタグが原因で通信できない問題は、「show vlanで存在確認→show interfaces switchportでポートモードとVLAN割り当て確認→show interfaces trunkでトランク許可リスト確認」の順番で確認することで、大半のケースは原因を特定できます。

特に注意すべき点を最後にまとめます。

• アクセスポートとトランクポートの動作モードが意図通りになっているかを必ず「Operational Mode」で確認する（Administrativeではなく）
• トランクポートにVLANを追加する際は必ず「add」を付ける
• ネイティブVLANは両端で一致させる
• DTPによる自動ネゴシエーションが意図しないトランク化の原因になることがある
• VLANを作成するだけでなく、ポートへの割り当てとトランク許可の両方が必要

「設定したつもりなのに通信できない」という状況の多くは、上記のどこかに抜け漏れがあります。コマンドの出力を丁寧に読み込む習慣をつけることが、VLANトラブルを素早く解決するための最短ルートです。

関連記事

• ルータインターフェース速度ダウン原因対処法｜show interfaceコマンドで統計情報から異常を読み取る
• ネットワーク接続が遅いと感じた時の確認手順｜トラブルシューティングコマンドと確認ポイント
• ルータのリソース使用状況を確認するためのコマンドとチェックポイント｜CPUやメモリの見方を解説