Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 12.1E
プライベート VLAN の設定
プライベート VLAN の設定
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

プライベート VLAN の設定

プライベート VLAN の機能概要

プライベート VLAN 設定時の注意事項および制約事項

プライベート VLAN の設定

プライベート VLAN としての VLAN の設定

セカンダリ VLAN とプライマリ VLAN の関連づけ

プライマリ VLAN のレイヤ 3 VLAN インターフェイスへのセカンダリ VLAN のマッピング

プライベート VLAN ホスト ポートとしてのレイヤ 2 インターフェイスの設定

プライベート VLAN の混合モード ポートとしてのレイヤ 2 インターフェイスの設定

プライベート VLAN の設定

この章では、Cisco 7600 シリーズ ルータにプライベート VLAN を設定する手順について説明します。Release 12.1 E は、Release 12.1(11b)E 以降でプライベート VLAN をサポートします。


) この章で使用しているコマンドの構文および使用方法の詳細については、『Cisco 7600 Series Router Cisco IOS Command Reference』を参照してください。


この章で説明する内容は、次のとおりです。

「プライベート VLAN の機能概要」

「プライベート VLAN 設定時の注意事項および制約事項」

「プライベート VLAN の設定」

プライベート VLAN の機能概要


) プライベート VLAN を設定するには、ルータを VTP 透過モードにする必要があります。


プライベート VLAN は、同じプライベート VLAN 内のポート間をレイヤ 2 で分離します。プライベート VLAN ポートには 3 つの種類があります。

混合モード ― 混合モードのポートは、プライベート VLAN 内のコミュニティ ポートや独立ポートを含むすべてのインターフェイスと通信できます。

独立 ― 独立ポートは、混合モードのポートを除く、同じプライベート VLAN 内のほかのポートからレイヤ 2 で完全に分離されています。プライベート VLAN は、混合モードのポートからのトラフィックを除き、独立ポート宛のトラフィックをすべてブロックします。独立ポートから受信されたトラフィックは、混合モードのポートにのみ転送されます。

コミュニティ ― コミュニティ ポートは、ほかのコミュニティ ポートおよび混合モードのポートと通信します。これらのインターフェイスは、プライベート VLAN 内にあるほかのすべてのコミュニティ ポートまたは独立ポートのインターフェイスからレイヤ 2 で分離されています。


) トランクは独立ポート、コミュニティ ポート、および混合モード ポート間でトラフィックを伝送する VLAN をサポートしています。したがって、独立ポートおよびコミュニティ ポートのトラフィックはトランク インターフェイスを介してスイッチが送受信できます。


プライベート VLAN ポートは、プライベート VLAN 構造の作成に使用される一連のサポート対象 VLAN に関連づけられています。プライベート VLAN では、次の 3 つの VLAN が使用されます。

プライマリ VLAN ― 混合モード ポートから独立ポート、コミュニティ ポート、およびほかの混合モード ポートにトラフィックを伝送します。

独立VLAN ― 独立ポートから混合モード ポートにトラフィックを伝送します。

コミュニティ VLAN ― コミュニティ ポート間で、およびコミュニティ ポートから混合モード ポートにトラフィックを伝送します。1 つのプライベート VLAN 内に複数のコミュニティ VLAN を設定できます。


) 独立 VLAN およびコミュニティ VLAN を、両方ともセカンダリ VLAN といいます。


複数のデバイスにわたってプライベート VLAN を拡張するには、プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN を、プライベート VLAN をサポートするほかのデバイスにトランキングします。

スイッチング環境では、個々のエンド ステーションまたは一連のエンド ステーションに、個別のプライベート VLAN や関連する IP サブネットを割り当てることができます。エンド ステーションには、デフォルト ゲートウェイと通信して、プライベート VLAN の外部にアクセスする機能だけが必要です。プライベート VLAN 内でエンド ステーションを使用すると、次の処理が実行できます。

エンド ステーションに接続された特定のポート(サーバに接続されたインターフェイスなど)を独立ポートとして指定すると、レイヤ 2 での通信が禁止されます(たとえば、エンド ステーションがサーバの場合は、サーバ間のレイヤ 2 通信が禁止されます)。

デフォルト ゲートウェイおよび特定のエンド ステーション(バックアップ サーバや
LocalDirector など)が接続されたインターフェイスを混合モード ポートに指定すると、すべてのエンド ステーションにアクセスできるようになります。

VLAN および IP サブネット内のトラフィック量を減らすには、エンド ステーション間のトラフィックを、エンド ステーションが同じ VLAN および IP サブネット内にある場合も含めて禁止します。

混合モード ポートは、1 つのプライマリ VLAN にのみ対応できます。

混合モード ポートは、必要に応じていくつもの独立 VLAN またはコミュニティ VLAN に対応できます。

混合モード ポートを使用すると、さまざまなデバイスを「アクセス ポイント」としてプライベート VLAN に接続できます。たとえば、混合モード ポートを LocalDirector の「サーバ ポート」に接続して、1 つの独立 VLAN または複数のコミュニティ VLAN をサーバに接続することができます。このように接続すると、LocalDirector は独立 VLAN またはコミュニティ VLAN 内のサーバの負荷を分散できます。また混合モード ポート使用して、すべてのプライベート VLAN サーバのモニタおよびバックアップを管理ワークステーションから実行できます。

プライベート VLAN 設定時の注意事項および制約事項

プライベート VLAN を設定する際には、次の注意事項および制約事項に従ってください。

VTP を透過モードに設定します。プライベート VLAN を設定したあとで、VTP モードをクライアントまたはサーバに変更することはできません。 第8章「VTP の設定」 を参照してください。

プライベート VLAN の設定に VLAN 1 または VLAN 1002 ~ 1005 を含めることはできません。

ポートをプライマリ VLAN、独立 VLAN、またはコミュニティ VLAN に割り当てる場合は、プライベート VLAN コンフィギュレーション コマンドのみを使用します。プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN として設定された VLAN に割り当てられているレイヤ 2 アクセス ポートは、この VLAN がプライベート VLAN の設定に含まれている場合、非アクティブです。レイヤ 2 トランク インターフェイスは STP フォワーディング ステートのままです。

プライマリ VLAN の場合のみ、レイヤ 3 VLAN インターフェイスを設定します。独立 VLAN およびコミュニティ VLAN のレイヤ 3 VLAN インターフェイスは、VLAN が独立 VLAN またはコミュニティ VLAN として設定されている場合、非アクティブです。

プライベート VLAN ポートを EtherChannel として設定しないでください。プライベート VLAN の設定に含まれているポートの場合、EtherChannel の設定は非アクティブです。

宛先 SPAN の設定は、プライベート VLAN の設定よりも優先されます。宛先SPANポートの場合、プライベート VLAN の設定は非アクティブです。

プライベート VLAN は次の Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)機能をサポートします。

プライベート VLAN ポートを SPAN 送信元ポートとして設定できます。

プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN 上で VLAN-based SPAN(VSPAN)を使用したり、単一の VLAN 上で SPAN を使用して、入トラフィックまたは出トラフィックを個別にモニタすることができます。

SPAN の詳細については、 第34章「ローカル SPAN および RSPAN の設定」 を参照してください。

プライマリ VLAN には、1つの独立 VLAN および複数のコミュニティ VLAN を関連づけることができます。

独立 VLAN またはコミュニティ VLAN には、1 つのプライマリ VLAN のみを関連づけることができます。

設定ミスによる STP ループを防止するため、および STP コンバージェンスを高速化するためには、独立ポートおよびコミュニティ ポート上で PortFast および BPDU ガードをイネーブルにします( 第16章「STP オプション機能の設定」 を参照)。STP をイネーブルに設定すると、STP によってすべての PortFast 設定済みレイヤ 2 LAN ポートに BPDU ガード機能が適用されます。

プライベート VLAN の設定で使用される VLAN を削除すると、この VLAN に関連づけられたプライベート VLAN ポートが非アクティブになります。

12 ポートの制限

すべてのリリースで、「12 ポートの制限」が次の 10 Mb、10/100 Mb、および 100 Mb イーサネット スイッチング モジュールに適用されます。
WS-X6324-100FX、WS-X6348-RJ-45、WS-X6348-RJ-45V、WS-X6348-RJ-21V、WS-X6248-RJ-45、WS-X6248A-TEL、WS-X6248-TEL、WS-X6148-RJ-45、WS-X6148-RJ-45V、WS-X6148-45AF、WS-X6148-RJ-21、WS-X6148-RJ-21V、WS-X6148-21AF、WS-X6024-10FL-MT

Release 12.1(19)E より前のリリースの場合、「12 ポートの制限」は次のイーサネット スイッチング モジュールに適用されます。
WS-X6548-RJ-45、WS-X6548-RJ-21、WS-X6524-100FX-MM

Release 12.1(19)E 以降のリリースでは、「12 ポートの制限」は次のイーサネット スイッチング モジュールには適用されません。
WS-X6548-RJ-45、WS-X6548-RJ-21、WS-X6524-100FX-MM(CSCea67876)

12 個のポートからなるポート グループ(1 ~ 12、13 ~ 24、25 ~ 36、および37 ~ 48)内のポートの 1 つがトランクや SPAN の宛先、または混合モード プライベート VLAN ポートの場合は、ポートを独立 VLAN ポートまたはコミュニティ VLAN ポートとして設定しないでください。12 個のポートの 1 つがトランクや SPAN の宛先、または混合モード プライベート VLAN ポートの場合、ほかの 11 個のポートでの独立 VLAN またはコミュニティ VLAN の設定は非アクティブです。これらのポートを再びアクティブにするには、独立 VLAN ポートまたはコミュニティ VLAN ポートの設定を削除して、 shutdown および no shutdown コマンドを入力します。

24 ポートの制限

すべてのリリースで、「24 ポートの制限」が WS-X6548-GE-TX および WS-X6148-GE-TX 10/100/1000 Mb イーサネット スイッチング モジュールに適用されます。24 個のポートからなるポート グループ(1 ~ 24、25 ~ 48)内のポートの 1 つがトランクや SPAN の宛先、または混合モード プライベート VLAN ポートの場合は、ポートを独立 VLAN ポートまたはコミュニティ VLAN ポートとして設定しないでください。24 個のポートの 1 つがトランクや SPAN の宛先、または混合モード プライベート VLAN ポートの場合、ほかの 23 個のポートでの独立 VLAN またはコミュニティ VLAN の設定は非アクティブです。これらのポートを再びアクティブにするには、独立 VLAN ポートまたはコミュニティ VLAN ポートの設定を削除して、 shutdown および no shutdown コマンドを入力します。

プライベート VLAN ポートはさまざまなネットワーク デバイス上で使用できますが、そのためには、ネットワーク デバイスをトランク接続し、トランクからプライマリ VLAN およびセカンダリ VLAN を削除せずに残しておく必要があります。

VTP はプライベート VLAN をサポートしません。プライベート VLAN ポートを使用するデバイスごとに、プライベート VLAN を設定する必要があります。

使用するプライベート VLAN の設定のセキュリティを確保して、プライベート VLAN として設定された VLAN がほかの目的に使用されないようにするには、プライベート VLAN ポートがないデバイスを含めて、すべての中間デバイスでプライベート VLAN を設定します。

プライベート VLAN のトラフィックを伝送しないネットワーク デバイスのトランクから、プライベート VLAN をプルーニングしてください。

MAC アドレス リダクション機能を使用するデバイスと使用しないデバイスが混在するネットワークでは、STP パラメータを指定しても、スパニングツリー トポロジが一致するように伝播されるとは限りません。プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN のスパニングツリー トポロジが一致するように、STP の設定を手動で確認する必要があります。

ルータの MAC アドレス リダクション機能をイネーブルにした場合は、プライベート VLAN の STP トポロジが一致するように、ネットワーク内のすべてのデバイスの MAC アドレス リダクション機能をイネーブルにする必要があります。

プライベート VLAN が設定されているネットワーク内で、一部のデバイスの MAC アドレス リダクション機能をイネーブルにし、ほかのデバイスでディセーブルにした場合は(混在環境)、プライマリ VLAN や、関連づけられたすべての独立 VLAN およびコミュニティ VLAN に対してルート ブリッジが共通となるように、デフォルトのブリッジ プライオリティを使用します。MAC アドレス リダクション機能がシステム上でイネーブルであるかどうかに関係なく、この機能で使用する範囲に矛盾がないように設定してください。MAC アドレス リダクション機能は個々のレベルでのみ使用できます。すべての中間値は、範囲として内部的に使用されます。プライベート VLAN および MAC アドレス リダクション機能を持つルート ブリッジをディセーブルにし、ルート ブリッジとするデバイスに、ルート ブリッジ以外で使用される最高のプライオリティ値よりも高いプライオリティを設定する必要があります。

プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN には、さまざまな QoS(Quality of Service)を適用できます( 第32章「PFC QoS の設定」 を参照)。

セカンダリ VLAN には VACL を適用できません( VLAN ACL の設定を参照)。

発信されるすべての VLAN トラフィックに Cisco IOS 出力 ACL を適用するには、プライマリ VLAN のレイヤ 3 VLAN インターフェイス上でこの ACL を設定します( 第23章「ネットワーク セキュリティの設定」 を参照)。

プライマリ VLAN のレイヤ 3 VLAN インターフェイスに適用された Cisco IOS ACL コンフィギュレーションは、関連する独立 VLAN およびコミュニティ VLAN にも自動的に適用されます。

Cisco IOS ACL を独立 VLAN またはコミュニティ VLAN には適用しないでください。独立 VLAN およびコミュニティ VLAN に適用される Cisco IOS ACL コンフィギュレーションは、VLAN がプライベート VLAN の設定に含まれている場合、非アクティブです。

プライマリ VLAN にはダイナミック Access Control Entry(ACE; アクセス コントロール エントリ)を適用できません。プライマリ VLAN に適用される Cisco IOS ダイナミック ACL コンフィギュレーションは、VLAN がプライベート VLAN の設定に含まれている場合、非アクティブです。

レイヤ 3 プライベート VLAN インターフェイスで学習される Address Resolution Protocol(ARP; アドレス解決プロトコル)エントリは、Sticky ARP エントリです(プライベート VLAN インターフェイス ARP エントリを表示して確認することをお勧めします)。

セキュリティ上の理由から、プライベート VLAN ポートの Sticky ARP エントリには期限切れがありません。同じ IP アドレスを持つ、異なる MAC アドレスを使用してデバイスを接続すると、メッセージが表示され、ARP エントリは作成されません。

プライベート VLAN ポートの Sticky ARP エントリには期限切れがないため、MAC アドレスが変更された場合は、プライベート VLAN ポートの Sticky ARP エントリを手動で削除する必要があります。プライベート VLAN の ARP エントリを手動で追加または削除する方法は、次のとおりです。

Router(config)# no arp 11.1.3.30
IP ARP:Deleting Sticky ARP entry 11.1.3.30
 
Router(config)# arp 11.1.3.30 0000.5403.2356 arpa
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by hw:0000.5403.2356

プライベート VLAN の設定

ここでは、プライベート VLAN の設定手順について説明します。

「プライベート VLAN としての VLAN の設定」

「セカンダリ VLAN とプライマリ VLAN の関連づけ」

「プライマリ VLAN のレイヤ 3 VLAN インターフェイスへのセカンダリ VLAN のマッピング」

「プライベート VLAN ホスト ポートとしてのレイヤ 2 インターフェイスの設定」

「プライベート VLAN の混合モード ポートとしてのレイヤ 2 インターフェイスの設定」


) VLAN がまだ定義されていない場合は、プライベート VLAN の設定手順を実行して、VLAN を定義します。



) Release 12.1(11b)E 以降を使用している場合に、コンフィギュレーション モードで EXEC モードレベルのコマンドを入力するには、EXEC モードレベルのコマンドの前に do キーワードを入力します。


プライベート VLAN としての VLAN の設定

VLAN をプライベート VLAN として設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# vlan vlan_ID

VLAN コンフィギュレーション サブモードを開始します。

ステップ 2

Router(config-vlan)# private-vlan { community | isolated | primary }

VLAN をプライベート VLAN として設定します。

Router(config-vlan)# no private-vlan { community | isolated | primary }

プライベート VLAN の設定を消去します。


) これらのコマンドは、VLAN コンフィギュレーション サブモードを終了するまで有効になりません。


ステップ 3

Router(config-vlan)# end

コンフィギュレーション モードを終了します。

ステップ 4

Router# show vlan private-vlan [ type ]

設定を確認します。

次に、VLAN 202 をプライマリ VLAN として設定し、その設定を確認する方法を示します。

Router# configure terminal
Router(config)# vlan 202
Router(config-vlan)# private-vlan primary
Router(config-vlan)# end
Router# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 primary
 

次に、VLAN 303 をコミュニティ VLAN として設定し、その設定を確認する方法を示します。

Router# configure terminal
Router(config)# vlan 303
Router(config-vlan)# private-vlan community
Router(config-vlan)# end
Router# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 primary
303 community
 

次に、VLAN 440 を独立 VLAN として設定し、その設定を確認する方法を示します。

Router# configure terminal
Router(config)# vlan 440
Router(config-vlan)# private-vlan isolated
Router(config-vlan)# end
Router# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 primary
303 community
440 isolated

セカンダリ VLAN とプライマリ VLAN の関連づけ

セカンダリ VLAN をプライマリ VLAN に関連づけるには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# vlan primary_vlan_ID

プライマリ VLAN の VLAN コンフィギュレーション サブモードを開始します。

ステップ 2

Router(config-vlan)# private-vlan association { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

セカンダリ VLAN をプライマリ VLAN に関連づけます。

Router(config-vlan)# no private-vlan association

セカンダリ VLAN の関連づけをすべて消去します。

ステップ 3

Router(config-vlan)# end

VLAN コンフィギュレーション モードを終了します。

ステップ 4

Router# show vlan private-vlan [ type ]

設定を確認します。

セカンダリ VLAN をプライマリ VLAN と関連づける際、構文について次の点に注意してください。

secondary_vlan_list パラメータにはスペースを含めないでください。カンマで区切って複数の項目を入力できますが、項目として入力できるのは、単一のプライベート VLAN ID、またはハイフンで連結したプライベート VLAN ID 範囲です。

secondary_vlan_list パラメータには、複数のコミュニティ VLAN ID を含めることができます。

secondary_vlan_list パラメータには、独立 VLAN ID を 1 つのみ含めることができます。

セカンダリ VLAN をプライマリ VLAN に関連づけるには、 secondary_vlan_list を入力するか、または secondary_vlan_list add キーワードを指定します。

セカンダリ VLAN とプライマリ VLAN の関連づけを消去するには、 secondary_vlan_list remove キーワードを指定します。

これらのコマンドは、VLAN コンフィギュレーション サブモードを終了するまで有効になりません。

次に、コミュニティ VLAN 303~307、309、および独立 VLAN 440 を VLAN 202 に関連づけて、その設定を確認する方法を示します。

Router# configure terminal
Router(config)# vlan 202
Router(config-vlan)# private-vlan association 303-307,309,440
Router(config-vlan)# end
Router# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 303 community
202 304 community
202 305 community
202 306 community
202 307 community
202 309 community
202 440 isolated
308 community

プライマリ VLAN のレイヤ 3 VLAN インターフェイスへのセカンダリ VLAN のマッピング


) 独立 VLAN およびコミュニティ VLAN を、両方ともセカンダリ VLAN といいます。


セカンダリ VLAN をプライマリ VLAN のレイヤ 3 VLAN インターフェイスにマッピングし、プライベート VLAN 入トラフィックをレイヤ 3 でスイッチングできるようにする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Router(config)# interface vlan primary_vlan_ID

プライマリ VLAN のインターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# private-vlan mapping { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

セカンダリ VLAN をプライマリ VLAN のレイヤ 3 VLAN インターフェイスにマッピングし、プライベート VLAN 入トラフィックをレイヤ 3 でスイッチングできるようにします。

Router(config-if)# [ no ] private-vlan mapping

セカンダリ VLAN とプライマリ VLAN の間のマッピングを消去します。

ステップ 3

Router(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 4

Router# show interface private-vlan mapping

設定を確認します。

セカンダリ VLAN をプライマリ VLAN のレイヤ 3 VLAN インターフェイスにマッピングする際、次の構文情報に注意してください。

private-vlan mapping インターフェイス コンフィギュレーション コマンドが作用するのは、レイヤ 3 でスイッチングされるプライベート VLAN 入トラフィックだけです。

secondary_vlan_list パラメータにはスペースを含めないでください。カンマで区切って複数の項目を入力できますが、項目として入力できるのは、単一のプライベート VLAN ID、またはハイフンで連結したプライベート VLAN ID 範囲です。

セカンダリ VLAN をプライマリ VLAN にマッピングするには、 secondary_vlan_list パラメータを入力するか、または secondary_vlan_list パラメータに add キーワードを指定します。

セカンダリ VLAN とプライマリ VLAN の間のマッピングを消去するには、 secondary_vlan_list パラメータに remove キーワードを指定します。

次に、プライベート VLAN 303 ~ 307、309、および 440 からのセカンダリ VLAN 入トラフィックのルーティングを許可して、その設定を確認する例を示します。

Router# configure terminal
Router(config)# interface vlan 202
Router(config-if)# private-vlan mapping add 303-307,309,440
Router(config-if)# end
Router# show interfaces private-vlan mapping
Interface Secondary VLAN Type
--------- -------------- -----------------
vlan202 303 community
vlan202 304 community
vlan202 305 community
vlan202 306 community
vlan202 307 community
vlan202 309 community
vlan202 440 isolated
 
Router#

プライベート VLAN ホスト ポートとしてのレイヤ 2 インターフェイスの設定

レイヤ 2 インターフェイスをプライベート VLAN ホスト ポートとして設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 1 slot/port

設定する LAN ポートを選択します。

ステップ 2

Router(config-if)# switchport

LAN ポートをレイヤ 2 スイッチング用に設定します。

LAN ポートをレイヤ 2 インターフェイスとして設定するには、キーワードを指定せずに switchport コマンドを 1 回入力する必要があります。そのあとで、キーワードとともに他の switchport コマンドを入力してください。

インターフェイスに対して switchport コマンドを一度も入力していない場合に限り必要です。

ステップ 3

Router(config-if)# switchport mode private-vlan { host | promiscuous }

レイヤ 2 ポートをプライベート VLAN ホスト ポートとして設定します。

Router(config-if)# no switchport mode private-vlan

プライベート VLAN ポートの設定を消去します。

ステップ 4

Router(config-if)# switchport private-vlan host-association primary_vlan_ID secondary_vlan_ID

レイヤ 2 ポートをプライベート VLAN に関連づけます。

Router(config-if)# no switchport private-vlan host-association

関連づけを消去します。

ステップ 5

Router(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Router# show interfaces [ type 1 slot/port ] switchport

設定を確認します。

1.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、インターフェイス FastEthernet 5/1 をプライベート VLAN ホスト ポートとして設定して、設定を確認する例を示します。

Router# configure terminal
Router(config)# interface fastethernet 5/1
Router(config-if)# switchport mode private-vlan host
Router(config-if)# switchport private-vlan host-association 202 303
Router(config-if)# end
Router# show interfaces fastethernet 5/1 switchport
Name: Fa5/1
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative private-vlan host-association: 202 (VLAN0202) 303 (VLAN0303)
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled

プライベート VLAN の混合モード ポートとしてのレイヤ 2 インターフェイスの設定

レイヤ 2 インターフェイスをプライベート VLAN の混合モード ポートとして設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 2 slot/port

設定する LAN インターフェイスを選択します。

ステップ 2

Router(config-if)# switchport

LAN インターフェイスをレイヤ 2 スイッチング用に設定します。

LAN インターフェイスをレイヤ 2 インターフェイスとして設定するには、キーワードを指定せずに switchport コマンドを 1 回入力する必要があります。そのあとで、キーワードとともに他の switchport コマンドを入力してください。

インターフェイスに対して switchport コマンドを一度も入力していない場合に限り必要です。

ステップ 3

Router(config-if)# switchport mode private-vlan { host | promiscuous }

レイヤ 2 ポートをプライベート VLAN の混合モード ポートとして設定します。

Router(config-if)# no switchport mode private-vlan

プライベート VLAN ポートの設定を消去します。

ステップ 4

Router(config-if)# switchport private-vlan mapping primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

プライベート VLAN の混合モード ポートをプライマリ VLAN および選択されたセカンダリ VLAN にマッピングします。

Router(config-if)# no switchport private-vlan mapping

プライベート VLAN の混合モード ポートと、プライマリ VLAN やセカンダリ VLAN の間のマッピングをすべて消去します。

ステップ 5

Router(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Router# show interfaces [ type 1 slot/port ] switchport

設定を確認します。

2.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

レイヤ 2 インターフェイスをプライベート VLAN の 混合モード ポートとして設定する際、構文について次の点に注意してください。

secondary_vlan_list パラメータにはスペースを含めないでください。カンマで区切って複数の項目を入力できますが、項目として入力できるのは、単一のプライベート VLAN ID、またはハイフンで連結したプライベート VLAN ID 範囲です。

セカンダリ VLAN をプライベート VLAN の混合モード ポートにマッピングするには、 secondary_vlan_list 値を入力するか、または secondary_vlan_list 値に add キーワードを指定します。

セカンダリ VLAN とプライベート VLAN の混合モード ポートの間のマッピングを消去するには、 secondary_vlan_list 値に remove キーワードを指定します。

次に、インターフェイス FastEthernet 5/2 をプライベート VLAN の混合モード ポートとして設定し、そのインターフェイスをプライベート VLAN にマッピングする例を示します。

Router# configure terminal
Router(config)# interface fastethernet 5/2
Router(config-if)# switchport mode private-vlan promiscuous
Router(config-if)# switchport private-vlan mapping 202 303,440
Router(config-if)# end
 

次に、設定を確認する例を示します。

Router# show interfaces fastethernet 5/2 switchport
Name: Fa5/2
Switchport: Enabled
Administrative Mode: private-vlan promiscuous
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative private-vlan host-association: none ((Inactive))
Administrative private-vlan mapping: 202 (VLAN0202) 303 (VLAN0303) 440 (VLAN0440)
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled