LAN スイッチング : LAN セキュリティ

Catalyst スイッチでの隔離モード プライベート VLAN の設定

2010 年 4 月 6 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 7 月 11 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
      背景理論
      ルールと制限事項
設定
      ネットワーク ダイアグラム
      プライマリ VLAN と隔離 VLAN の設定
      PVLAN へのポートの割り当て
      レイヤ 3 の設定
      設定
      複数のスイッチにまたがるプライベート VLAN
確認
トラブルシューティング
      PVLAN のトラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

状況によっては、スイッチ上のエンド デバイス間のレイヤ 2(L2)接続を、異なる IP サブネットにデバイスを配置することなく阻止する必要があります。そうすることで、IP アドレスを無駄に使用せずに済みます。プライベート VLAN(PVLAN)を使用すると、同じ IP サブネット内のデバイスをレイヤ 2 で隔離できます。スイッチの一部のポートが、デフォルト ゲートウェイ、バックアップ サーバ、または Cisco LocalDirector が接続された特定のポートにだけアクセスできるように制限できます。

このドキュメントでは、Catalyst OS(CatOS)または Cisco IOS® ソフトウェアを使用して、Cisco Catalyst スイッチ上で隔離された PVAN を設定する手順について説明します。



前提条件

要件

このドキュメントは、ネットワークが既に存在しており、PVLAN に接続するさまざまなポート間で通信を確立できることが前提です。複数のスイッチがある場合は、スイッチ間のトランクが正しく動作し、トランク上の PVLAN が許可されていることを確認します。

すべてのスイッチとソフトウェア バージョンが PVLAN をサポートしているわけではありません。設定を開始する前に、『プライベート VLAN Catalyst スイッチのサポート一覧』を参照して、ご使用のプラットフォームとソフトウェア バージョンが PVLAN をサポートしているかどうかを確認してください。

注:スイッチによっては(『プライベート VLAN Catalyst スイッチのサポート一覧』を参照)、現在、PVLAN エッジ機能だけがサポートされています。この機能は、「保護ポート」とも呼ばれています。PVLAN エッジ ポートは、同じスイッチ上の他の保護ポートとの通信が制限されています。ただし、別のスイッチ上の保護ポートとは相互に通信できます。この機能と、このドキュメントで説明する通常の PVLAN 設定と混同しないでください。保護ポートについての詳細は、『ポートベース トラフィック制御の設定』のポート セキュリティの設定」を参照してください。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • CatOS バージョン 6.3(5) が稼働しているスーパーバイザ エンジン 2 モジュールを搭載した Catalyst 4003 スイッチ

  • Cisco IOS ソフトウェア リリース 12.1(12c)EW1 が稼働しているスーパーバイザ エンジン 3 を搭載した Catalyst 4006 スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景理論

PVLAN とは、同じブロードキャスト ドメインまたはサブネット内の他のポートからレイヤ 2 で隔離するように設定された VLAN です。PVLAN 内で特定のポート セットを割り当てることができるため、レイヤ 2 でのポート間のアクセスを制御できます。PVLAN と通常の VLAN を同じスイッチ上で設定できます。

PVLAN ポートには、混合モード、隔離、およびコミュニティの 3 種類があります。

  • 混合モード ポートは、他のすべての PVLAN ポートと通信します。通常は、外部ルータ、LocalDirector、ネットワーク管理デバイス、バックアップ サーバ、管理ワークステーションなどとの通信で使用されます。一部のスイッチでは、ルート モジュール(たとえば、Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード))へのポートは、混合モード ポートである必要があります。

  • 隔離ポートは、同じ PVLAN 内の他のポートからレイヤ 2 で完全に分離されています。この分離にはブロードキャストも含まれていますが、混合モード ポートだけは例外です。レイヤ 2 レベルでのプライバシーは、すべての隔離ポートへの発信トラフィックをブロックすることで実現されます。隔離ポートから受信するトラフィックは、すべての混合モード ポートにだけ転送されます。

  • コミュニティ ポートは、コミュニティ ポート同士、および混合モード ポートと通信できます。このポートは、他のコミュニティ内の他のすべてのポートから、または、PVLAN 内の隔離ポートから、レイヤ 2 で隔離されています。ブロードキャストは、関連するコミュニティ ポートおよび混合モード ポート間でだけ伝搬されます。

    注:このドキュメントでは、コミュニティ VLAN の設定については説明しません。

PVLAN の詳細は、『VLAN の説明と設定』の「プライベート VLAN の設定を参照してください。



ルールと制限事項

このセクションでは、PVLAN を実装する場合に注意する必要があるいくつかのルールと制限事項について説明します。詳細なリストについては、『VLAN の設定』の「プライベート VLAN の設定ガイドライン」を参照してください。



設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供しています。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。



ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

194-a.gif

このシナリオでは、隔離 VLAN(101)のデバイスは、レイヤ 2 での相互の通信が制限されています。ただし、インターネットへの接続は可能です。さらに、4006 上のポート「Gig 3/26」は混合モードとして指定されています。このオプションの設定により、ギガビット イーサネット 3/26 上のデバイスは、隔離 VLAN 内のすべてのデバイスに接続できます。このため、たとえば、すべての PVLAN ホスト デバイスのデータを管理ワークステーションにバックアップできます。混合モード ポートの他の使用方法として、外部ルータ、LocalDirector、ネットワーク管理デバイスなどへの接続があります。



プライマリ VLAN と隔離 VLAN の設定

プライマリ VLAN とセカンダリ VLAN を作成し、さまざまなポートをこれらの VLAN にバインドするには、次の手順を実行します。この手順には、CatOS と Cisco IOS ソフトウェアの両方の例が含まれています。インストールされている OS に応じて、適切なコマンド セットを実行してください。

  1. プライマリ PVLAN を作成します。

    • CatOS

           
      Switch_CatOS> (enable) set vlan primary_vlan_id 
      pvlan-type primary name primary_vlan
      
      
      
      !--- 注:このコマンドは 1 行で記述する必要があります。
      
      VTP advertisements transmitting temporarily stopped,
      and will resume after the command finishes.
      Vlan 100 configuration successful
    • Cisco IOS ソフトウェア

      Switch_IOS(config)#vlan primary_vlan_id
      
      Switch_IOS(config-vlan)#private-vlan primary
      
      Switch_IOS(config-vlan)#name primary-vlan
      
      Switch_IOS(config-vlan)#exit
      
  2. 隔離 VLAN を作成します。

    • CatOS

      Switch_CatOS> (enable) set vlan secondary_vlan_id 
      pvlan-type isolated name isolated_pvlan
      
      
      
      !--- 注:このコマンドは 1 行で記述する必要があります。
      
      VTP advertisements transmitting temporarily stopped,
      and will resume after the command finishes.
      Vlan 101 configuration successful 
    • Cisco IOS ソフトウェア

      Switch_IOS(config)#vlan secondary_vlan_id
      
      Switch_IOS(config-vlan)#private-vlan isolated
      
      Switch_IOS(config-vlan)#name isolated_pvlan
      
      Switch_IOS(config-vlan)#exit    
  3. 隔離 VLAN をプライマリ VLAN にバインドします。

    • CatOS

      Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id
      
      Vlan 101 configuration successful
      Successfully set association between 100 and 101.
    • Cisco IOS ソフトウェア

      Switch_IOS(config)#vlan primary_vlan_id
      
      Switch_IOS(config-vlan)#private-vlan association secondary_vlan_id
      
      Switch_IOS(config-vlan)#exit
      
  4. プライベート VLAN 設定を確認します。

    • CatOS

      Switch_CatOS> (enable) show pvlan
      Primary Secondary Secondary-Type   Ports
      ------- --------- ---------------- ------------
      100     101       isolated     
    • Cisco IOS ソフトウェア

      Switch_IOS#show vlan private-vlan
      Primary  Secondary  Type              Ports
      ------- --------- ----------------- -------
      100     101       isolated   


PVLAN へのポートの割り当て

ヒント:次の手順を実行する前に show pvlan capability mod/port コマンド(CatOS の場合)を発行して、ポートが PVLAN ポートになるかどうかを判断します。

注:次の手順 1 を実行する前に、インターフェイス設定モードで switchport コマンドを発行して、ポートをレイヤ 2 スイッチ インターフェイスとして設定します。

  1. 該当するすべてのスイッチ上でホスト ポートを設定します。

    • CatOS

      Switch_CatOS> (enable)set pvlan primary_vlan_id 
      secondary_vlan_id mod/port
      
      
      !--- 注:このコマンドは 1 行で記述する必要があります。
      
      Successfully set the following ports to Private Vlan 100,101: 2/20
    • Cisco IOS ソフトウェア

      Switch_IOS(config)#interface gigabitEthernet mod/port
      
      Switch_IOS(config-if)#switchport private-vlan host 
      primary_vlan_id secondary_vlan_id
      
      
      
      !--- 注:このコマンドは 1 行で記述する必要があります。
      
      Switch_IOS(config-if)#switchport mode private-vlan host
      Switch_IOS(config-if)#exit
      
  2. いずれかのスイッチで混合ポート モードを設定します。

    • CatOS

      Switch_CatOS> (enable) set pvlan mapping primary_vlan_id 
      secondary_vlan_id mod/port
      
      
      !--- 注:このコマンドは 1 行で記述する必要があります。
      
      Successfully set mapping between 100 and 101 on 3/26

      注:Catalyst 6500/6000 で、スーパーバイザ エンジンがシステム ソフトウェアとして CatOS を実行している場合、VLAN 間でレイヤ 3 のスイッチングを行うには、スーパーバイザ エンジンの MSFC ポート(15/1 または 16/1)が混合モードである必要があります。

    • Cisco IOS ソフトウェア

      Switch_IOS(config)#interface interface_type mod/port
      
      Switch_IOS(config-if)#switchport private-vlan 
      mapping primary_vlan_id secondary_vlan_id
      
      
      
      !--- 注:このコマンドは 1 行で記述する必要があります。
      
      Switch_IOS(config-if)#switchport mode private-vlan promiscuous 
      Switch_IOS(config-if)#end
      


レイヤ 3 の設定

このオプションのセクションでは、PVLAN の入トラフィックのルーティングを許可する設定手順について説明します。レイヤ 2 接続だけを有効にする必要がある場合は、この手順は省略できます。

  1. 通常のレイヤ 3 ルーティングの場合と同様に VLAN インターフェイスを設定します。

    この設定には、次のものが含まれます。

    • IP アドレスの設定

    • no shutdown コマンドによるインターフェイスのアクティブ化

    • VLAN データベースに目的の VLAN が存在することの確認

    設定例については、『VLAN/VTP テクニカル サポート』を参照してください。

  2. ルーティングするセカンダリ VLAN をプライマリ VLAN にマップします。

    Switch_IOS(config)#interface vlan primary_vlan_id
    
    Switch_IOS(config-if)#private-vlan mapping secondary_vlan_list
     
    Switch_IOS(config-if)#end
    

    注:レイヤ 3 VLAN インターフェイスは、プライマリ VLAN に対してだけ設定します。隔離 VLAN またはコミュニティ VLAN として設定されている場合、隔離 VLAN およびコミュニティ VLAN の VLAN インターフェイスは非アクティブです。

  3. show interfaces private-vlan mapping(Cisco IOS ソフトウェア)コマンドまたは show pvlan mapping(CatOS)コマンドを発行して、マッピングを確認します。

  4. マッピングの設定後にセカンダリ VLAN リストを変更する必要がある場合は、add キーワードまたは remove キーワードを使用します。

    Switch_IOS(config-if)#private-vlan mapping add secondary_vlan_list
    
    または
    Switch_IOS(config-if)#private-vlan mapping remove secondary_vlan_list
    
    

詳細については、『プライベート VLAN の設定』の「プライマリ VLAN のレイヤ 3 VLAN インターフェイスへのセカンダリ VLAN のマッピング」を参照してください。

注:MSFC を搭載した Catalyst 6500/6000 スイッチの場合、スーパーバイザ エンジンからルーティング エンジンへのポート(たとえば、ポート 15/1 または 16/1)が混合モードであることを確認します。

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

show pvlan mapping コマンドを発行して、マッピングを確認します。

cat6000> (enable) show pvlan mapping 
Port Primary Secondary
---- ------- ---------
15/1  100      101


設定

このドキュメントでは、次の設定を使用します。

Access_Layer(Catalyst 4003:CatOS)

Access_Layer> (enable) show config
This command shows non-default configurations only.
Use 'show config all' to show both default and non-default configurations.
 .............

 
!--- 出力を省略。


#system
set system name  Access_Layer
 !
#frame distribution method
set port channel all distribution mac both
 !
#vtp
set vtp domain Cisco
set vtp mode transparent
set vlan 1 name default type ethernet mtu 1500 said 100001 state active 
set vlan 100 name primary_for_101 type ethernet pvlan-type primary mtu 1500 
said 100100 state active 

!--- プライマリ VLAN 100。
!--- 注:このコマンドは 1 行で記述する必要があります。

set vlan 101 name isolated_under_100 type ethernet pvlan-type isolated mtu 
1500 said 100101 state active 

!--- 隔離 VLAN 101。
!--- 注:このコマンドは 1 行で記述する必要があります。

set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active 


!--- 出力を省略。


#module 1 : 0-port Switching Supervisor
 !
#module 2 : 24-port 10/100/1000 Ethernet
set pvlan 100 101 2/20

!--- Port 2/20 は、プライマリ VLAN 100、隔離 VLAN 101 の 
!--- PVLAN ホスト ポートです。

set trunk 2/3  desirable dot1q 1-1005
set trunk 2/4  desirable dot1q 1-1005
set trunk 2/20 off dot1q 1-1005

!--- PVLAN ホスト ポートでは、トランキングが自動的に無効になります。

set spantree portfast    2/20 enable

!--- PVLAN ホスト ポートでは、PortFast が自動的に有効になります。

set spantree portvlancost 2/1  cost 3


!--- 出力を省略。


set spantree portvlancost 2/24 cost 3
set port channel 2/20 mode off

!--- PVLAN ホスト ポートでは、ポート チャネリングが自動的に 
!--- 無効になります。

set port channel 2/3-4 mode desirable silent
 !
#module 3 : 34-port 10/100/1000 Ethernet
end

コア(Catalyst 4006:Cisco IOS ソフトウェア)

Core#show running-config
Building configuration...

 
!--- 出力を省略。

 !
hostname Core
 !
vtp domain Cisco
vtp mode transparent

!--- PVLAN の要求に従い、VTP モードは等価的です。

ip subnet-zero
 !
vlan 2-4,6,10-11,20-22,26,28 
 !
vlan 100
name primary_for_101
private-vlan primary
private-vlan association 101
 !
vlan 101
name isolated_under_100
private-vlan isolated
 !
interface Port-channel1

!--- インターフェイス ギガビット イーサネット 3/1 および 
!--- インターフェイス ギガビット イーサネット 3/2 のポート チャネル。

switchport
switchport trunk encapsulation dot1q
switchport mode dynamic desirable
 !
interface GigabitEthernet1/1
 !
interface GigabitEthernet1/2
 !
interface GigabitEthernet3/1

!--- Access_Layer スイッチへのトランク。

switchport trunk encapsulation dot1q
switchport mode dynamic desirable
channel-group 1 mode desirable
 !
interface GigabitEthernet3/2

!--- Access_Layer スイッチへのトランク。

switchport trunk encapsulation dot1q
switchport mode dynamic desirable
channel-group 1 mode desirable
 !
interface GigabitEthernet3/3
 !

!--- 使用していないインターフェイス設定を 
!--- 省略。

 !
interface GigabitEthernet3/26
  
switchport private-vlan mapping 100 101
switchport mode private-vlan promiscuous

!--- ポートを PVLAN 101 の混合モード ポートとして指定します。

 !

!--- 使用していないインターフェイス設定を 
!--- 省略。

 !

!--- 出力を省略。

interface Vlan25

!--- インターネットへの接続。

ip address 10.25.1.1 255.255.255.0
 !
interface Vlan100

!--- プライマリ VLAN のレイヤ 3 インターフェイス。

ip address 10.1.1.1 255.255.255.0
private-vlan mapping 101

!--- VLAN 101 をプライマリ VLAN(100)の VLAN インターフェイスへマップします。
!--- 隔離 VLAN 101 内のデバイスへの入トラフィックが、 
!--- インターフェイス VLAN 100 を経由してルーティングされます。



複数のスイッチにまたがるプライベート VLAN

プライベート VLAN は、2 つの方法で複数のスイッチにまたがって構成できます。このセクションでは、その方法について説明します。

通常のトランク

PVLAN は、通常の VLAN と同様、複数のスイッチにまたがることができます。トランク ポートが、プライマリ VLAN とセカンダリ VLAN を隣接するスイッチに伝送します。トランク ポートは、プライベート VLAN を他の VLAN と同じように処理します。複数のスイッチにまたがる PVLAN の特徴は、あるスイッチ内の隔離ポートからのトラフィックが、別のスイッチの隔離ポートに到達しないことです。

PVLAN 設定のセキュリティを保持し、PVLAN として設定されている VLAN が他の目的で使用されないようにするためには、PVLAN ポートを持たないデバイスも含めて、すべての中継デバイスで、PVLAN を設定します。

トランク ポートは、通常の VLAN からのトラフィックだけでなく、プライマリ VLAN、隔離 VLAN、およびコミュニティ VLAN からのトラフィックも伝送します。

ヒント:トランキングを実行する両方のスイッチが PVLAN をサポートする場合は、標準のトランク ポートを使用することをお勧めします。

194-a.gif

VTP は PVLAN をサポートしないため、レイヤ 2 ネットワーク内のすべてのスイッチで、PVLAN を手動で設定する必要があります。ネットワーク内のスイッチでプライマリ VLAN およびセカンダリ VLAN の関連付けを行わないと、そのスイッチ内のレイヤ 2 データベースが統合されません。この場合、該当のスイッチで PVLAN トラフィックの不要なフラッディングが発生する可能性があります。

プライベート VLAN トランク

PVLAN トランク ポートは、複数のセカンダリ PVLAN および PVLAN 以外を伝送できます。PVLAN トランク ポートでは、セカンダリまたは通常の VLAN タグを使用してパケットが送受信されます。

IEEE 802.1q カプセル化だけがサポートされています。隔離されたトランク ポートを使用すると、トランク経由のすべてのセカンダリ ポートのトラフィックを結合できます。混合モードのトランク ポートを使用すると、このトポロジで必要な複数の混合モード ポートを、複数のプライマリ VLAN を伝送する 1 つのトランク ポートに結合できます。

複数の VLAN(通常の VLAN または複数のプライベート VLAN ドメイン)を伝送するのに、プライベート VLAN の隔離ホスト ポートの使用が予想される場合は、隔離されたプライベート VLAN トランク ポートを使用します。これは、プライベート VLAN をサポートしないダウンストリーム スイッチの接続で役立ちます。

プライベート VLAN の混合モード トランクは、プライベート VLAN の混合モード ホスト ポートが通常は使用されるが、複数の VLAN(通常の VLAN または複数のプライベート VLAN ドメイン)を伝送する必要がある状況で使用されます。これは、プライベート VLAN をサポートしないアップストリーム ルータの接続で役立ちます。

詳細は、『プライベート VLAN トランク』を参照してください。

インターフェイスを PVLAN トランク ポートして設定する方法については、『レイヤ 2 インターフェイスを PVLAN トランク ポートとして設定』を参照してください。

インターフェイスを混合モード トランク ポートして設定する方法については、『レイヤ 2 インターフェイスを混合モード トランク ポートとして設定』を参照してください。



確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドが、アウトプット インタープリタ ツール登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

CatOS

  • show pvlan:PVLAN 設定を表示します。隔離 VLAN とプライマリ VLAN が互いに関連付けられていることを確認します。ホスト ポートが表示されることも確認します。

  • show pvlan mapping:混合モード ポートで設定されている PVLAN マッピングを表示します。

Cisco IOS ソフトウェア

  • show vlan private-vlan:関連付けられているポートなど、PVLAN 情報を表示します。

  • show interface mod/port switchport:インターフェイス固有の情報を表示します。動作モードと、動作している PVLAN 設定が正しいことを確認します。

  • show interfaces private-vlan mapping:設定した PVLAN マッピングを表示します。

確認手順

次の手順を実行します。

  1. スイッチの PVLAN 設定を確認します。

    プライマリ PVLAN とセカンダリ PVLAN が互いに関連付けられているか、またはマッピングされているかどうかを確認します。また、必要なポートが含まれていることも確認します。

    Access_Layer> (enable) show pvlan
    Primary Secondary Secondary-Type   Ports
    ------- --------- ---------------- ------------
    100     101       isolated         2/20
    
    Core#show vlan private-vlan 
    
    Primary Secondary Type              Ports
    ------- --------- ----------------- -----------
    100     101       isolated          Gi3/26
  2. 混合モード ポートが適切に設定されていることを確認します。

    次の出力は、ポートの動作モードが promiscuous であり、動作している VLAN が 100 および 101 であることを示しています。

    Core#show interface gigabitEthernet 3/26 switchport 
    Name: Gi3/26
    Switchport: Enabled
    Administrative Mode: private-Vlan promiscuous
    Operational Mode: private-vlan promiscuous
    Administrative Trunking Encapsulation: negotiate
    Operational Trunking Encapsulation: native
    Negotiation of Trunking: Off
    Access Mode VLAN: 1 (default)
    Trunking Native Mode VLAN: 1 (default)
    Voice VLAN: none
    Administrative Private VLAN Host Association: none 
    Administrative Private VLAN Promiscuous Mapping: 100 
    (primary_for_101) 101 (isolated_under_100)
    Private VLAN Trunk Native VLAN: none
    Administrative Private VLAN Trunk Encapsulation: dot1q
    Administrative Private VLAN Trunk Normal VLANs: none
    Administrative Private VLAN Trunk Private VLANs: none
    Operational Private VLANs: 
    100 (primary_for_101) 101 (isolated_under_100) 
    Trunking VLANs Enabled: ALL
    Pruning VLANs Enabled: 2-1001
    Capture Mode Disabled
    Capture VLANs Allowed: ALL
  3. Internet Control Message Protocoll(ICMP; インターネット制御メッセージ プロトコル)ping パケットを、ホスト ポートから混合モード ポートへ発信します。

    両方のデバイスは同じプライマリ VLAN にあるため、これらは同じサブネット内に存在する必要があることに注意してください。

    host_port#show arp
    Protocol  Address          Age (min)  Hardware Addr   Type   Interface
    Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
    
    !--- クライアントの Address Resolution Protocol(ARP; アドレス解決プロトコル)テーブルは、 
    !--- クライアント アドレス以外の MAC アドレスは不明であることを示しています。
    
    host_port#ping 10.1.1.254
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
    .!!!!
    Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
    
    !--- ping は正常に実行されました。最初の ping は、デバイスが ARP を通じてピア MAC アドレスの 
    !--- マッピングを試みている間に失敗しました。
    
    
    host_port#show arp
    Protocol  Address          Age (min)  Hardware Addr   Type   Interface
    Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
    Internet  10.1.1.254              0   0060.834f.66f0  ARPA   FastEthernet0/24
    
    !--- ピアの新しい MAC アドレス エントリがあります。
    
    
  4. ホスト ポート間で ICMP ping を開始します。

    次の例では、host_port_2 (10.1.1.99) により、host_port (10.1.1.100) への ping の実行を試みます。この ping は失敗します。ただし、別のホスト ポートから混合モード ポートへの ping は成功します。

    host_port_2#ping 10.1.1.100
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.1.100, timeout is 2 seconds:
    .....
    Success rate is 0 percent (0/5)
    
    !--- ホスト ポート間の ping は予想どおり失敗します。
    
    
    host_port_2#ping 10.1.1.254
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
    !!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
    
    !--- 混合モード ポートへの ping は成功します。
    
    
    host_port_2#show arp
    Protocol  Address          Age (min)  Hardware Addr   Type   Interface
    Internet  10.1.1.99               -   0005.7428.1c40  ARPA   Vlan1
    Internet  10.1.1.254              2   0060.834f.66f0  ARPA   Vlan1
    
    !--- ARP テーブルには、このポートのエントリと 
    !--- 混合モード ポートのエントリだけが含まれています。
    
    


トラブルシューティング

PVLAN のトラブルシューティング

このセクションでは、PVLAN 設定に関して発生する一般的な問題について説明します。

問題 1

次のエラー メッセージが表示される:「%PM-SP-3-ERR_INCOMP_PORT: <mod/port> is set to inactive because <mod/port> is a trunk port

このエラー メッセージは、次に示すいくつかの理由が原因で表示されることがあります。

説明 1:ハードウェアの制約により、同じ COIL ASIC 内のポートがトランク、SPAN 宛先、または混合モード PVLAN ポートの場合、Catalyst 6500/6000 10/100 Mbps モジュールは、隔離 VLAN ポートまたはコミュニティ VLAN ポートの設定を制限します(COIL ASIC は、ほとんどのモジュールで 12 ポートを制御し、Catalyst 6548 モジュールで 48 ポートを制御します)。このドキュメントの「ルールと制限事項」にあるに、Catalyst 6500/6000 10/100 Mbps モジュールのポート制限が詳しく記載されています。

解決手順 1:該当のポートで PVLAN がサポートされていない場合は、そのモジュールの別の ASIC 上のポートか、別のモジュールのポートを選択します。ポートを再度アクティブにするには、隔離 VLAN ポートまたはコミュニティ VLAN ポートの設定を削除し、shutdown コマンドと no shutdown コマンドを発行します。

説明 2:ポートが手動またはデフォルトで dynamic desirable モードまたは dynamic auto モードに設定されている場合。

解決手順 2:switchport mode access コマンドで、ポートを access モードとして設定します。ポートを再度アクティブにするには、shutdown コマンドと no shutdown コマンドを発行します。

注:Cisco IOS ソフトウェア 12.2(17a)SX 以降のリリースでは、WS-X6548-RJ-45、WS-X6548-RJ-21、および WS-X6524-100FX-MM イーサネット スイッチング モジュールに 12 ポートの制限は適用されません。他の機能に関する PVLAN の設定制限についての詳細は、『プライベート VLAN(PVLAN)の設定』の「他の機能の制限事項」を参照してください。

問題 2

PVLAN の設定中に、次のいずれかのメッセージが表示される。

  • Cannot add a private vlan mapping to a port with another Private port in 
    the same ASIC. 
    Failed to set mapping between <vlan> and <vlan> on <mod/port>
  • Port with another Promiscuous port in the same ASIC cannot be made 
    Private port.
    Failed to add ports to association.

説明:ハードウェアの制約により、同じ COIL ASIC 内のポートがトランク、SPAN 宛先、または混合モード PVLAN ポートの場合、Catalyst 6500/6000 10/100 Mbps モジュールは、隔離 VLAN ポートまたはコミュニティ VLAN ポートの設定を制限します(COIL ASIC は、ほとんどのモジュールで 12 ポートを制御し、Catalyst 6548 モジュールで 48 ポートを制御します)。このドキュメントの「ルールと制限事項」にあるに、Catalyst 6500/6000 10/100 Mbps モジュールのポート制限が詳しく記載されています。

解決手順:show pvlan capability コマンド(CatOS)を発行します。ポートを PVLAN ポートにできるかどうかが示されます。その特定のポートで PVLAN がサポートされていない場合は、そのモジュールの別の ASIC 上のポートか、別のモジュールのポートを選択します。

注:Cisco IOS ソフトウェア 12.2(17a)SX 以降のリリースでは、WS-X6548-RJ-45、WS-X6548-RJ-21、および WS-X6524-100FX-MM イーサネット スイッチング モジュールに 12 ポートの制限は適用されません。他の機能に関する PVLAN の設定制限についての詳細は、『プライベート VLAN(PVLAN)の設定』の「他の機能の制限事項」を参照してください。

問題 3

一部のプラットフォームで PVLAN を設定できない。

解決策:プラットフォームが PVLAN をサポートしていることを確認します。設定を開始する前に、『プライベート VLAN Catalyst スイッチのサポート一覧』を参照して、ご使用のプラットフォームとソフトウェア バージョンが PVLAN をサポートしているかどうかを確認してください。

問題 4

Catalyst 6500/6000 MSFC で、スイッチの隔離ポートに接続されているデバイスに対して ping を実行できない。

解決策:スーパーバイザ エンジンで、MSFC に対するポート(15/1 または 16/1)が混合モードであることを確認します。

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

また、このドキュメントの「レイヤ 3 の設定」に従って、MSFC で VLAN インターフェイスを設定します。

問題 5

no shutdown コマンドを発行しても、隔離 VLAN またはコミュニティ VLAN の VLAN インターフェイスをアクティブにできない。

解決策:PVLAN の性質上、隔離 VLAN またはコミュニティ VLAN の VLAN インターフェイスはアクティブにできません。アクティブにできるのは、プライマリ VLAN に属している VLAN インターフェイスだけです。

問題 6

MSFC/MSFC2 を搭載した Catalyst 6500/6000 デバイスで、レイヤ 3 PVLAN インターフェイスで学習された ARP エントリがエージング アウトしない。

解決策:レイヤ 3 プライベート VLAN インターフェイスで学習された ARP エントリはスティッキ ARP エントリであり、エージング アウトしません。同じ IP アドレスに新しい機器を接続するとメッセージが生成され、ARP エントリは作成されません。したがって、MAC アドレスを変更した場合は、PVLAN ポートの ARP エントリを手動で削除する必要があります。PVLAN ARP エントリを追加または削除するには、次のコマンドを発行します。

Router(config)#no arp 11.1.3.30 
IP ARP:Deleting Sticky ARP entry 11.1.3.30 
Router(config)#arp 11.1.3.30 0000.5403.2356 arpa 
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by 
hw:0000.5403.2356

Cisco IOS ソフトウェア 12.1(11b)E 以降のリリースでは、no ip sticky-arp コマンドを発行する方法もあります。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 40781