Cisco Nexus 1000V レイヤ 2 スイッチング コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1)
プライベート VLAN の設定
プライベート VLAN の設定
発行日;2012/07/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

プライベート VLAN の設定

プライベート VLAN について

プライベート VLAN ドメイン

複数のスイッチのスパニング

プライベート VLAN のポート

プライマリ VLAN および混合ポート

セカンダリ VLAN およびホスト ポート

プライベート VLAN ポート間の通信

注意事項および制約事項

デフォルト設定値

プライベート VLAN の設定

フローチャート:プライベート VLAN の設定

プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化

プライマリ VLAN としての VLAN の設定

セカンダリ VLAN としての VLAN の設定

PVLAN での VLAN の関連付け

プライベート VLAN ホスト ポートの設定

ホスト ポートとプライベート VLAN の関連付け

無差別トランク ポートとしてのレイヤ 2 インターフェイスの設定

プライベート VLAN 無差別アクセス ポートの設定

無差別アクセス ポートとプライベート VLAN の関連付け

プライベート VLAN コンフィギュレーションの削除

プライベート VLAN コンフィギュレーションの確認

プライベート VLAN の設定の例

例:PVLAN トランク ポート

例:ポート プロファイルを使用した PVLAN

その他の関連資料

関連資料

標準

プライベート VLAN の機能履歴

プライベート VLAN の設定

標準 VLAN を独立レイヤ 2 パーティションに分割するために、プライベート VLAN(PVLAN)を設定するには、この章で説明する手順を使用します。

この章では、次の内容について説明します。

「プライベート VLAN について」

「注意事項および制約事項」

「プライベート VLAN の設定」

「プライベート VLAN コンフィギュレーションの確認」

「プライベート VLAN の設定の例」

「その他の関連資料」

「プライベート VLAN の機能履歴」

プライベート VLAN について

プライベート VLAN では、デバイスの分離を実現するために 3 種類のポート指定が使用されます。これらはそれぞれ独自のルール セットが定義されており、接続されたエンドポイントが同じプライベート VLAN ドメイン内の他の接続済みエンドポイントと通信できるかどうかは、ポート指定ごとに異なります。

ここでは、次の内容について説明します。

「プライベート VLAN ドメイン」

「複数のスイッチのスパニング」

「プライベート VLAN のポート」

プライベート VLAN ドメイン

プライベート VLAN ドメインは、1 つまたは複数の VLAN ペアから成ります。プライマリ VLAN がドメインを形成し、各 VLAN ペアがサブドメインを形成します。ペアになっている VLAN は、プライマリ VLAN とセカンダリ VLAN と呼ばれます。1 つのプライベート VLAN 内の VLAN ペアはすべて、同一のプライマリ VLAN を持ちます。各サブドメインは、セカンダリ VLAN ID で識別されます(図 4-1 を参照)。

図 4-1 プライベート VLAN ドメイン

 

 

複数のスイッチのスパニング

プライベート VLAN は、通常の VLAN とまったく同じように、複数のスイッチにまたがることができます。スイッチ間リンク ポートは、特殊な VLAN タイプを認識する必要がなく、これらの VLAN でタグ付けされたフレームもその他のフレームとまったく同じように伝送します。プライベート VLAN は、1 つのスイッチ内の独立ポートからのトラフィックが、スイッチ間リンクを伝送されたあと、別のスイッチ内の他の独立ポートまたはコミュニティ ポートに到達しない状態を確保します。VLAN レベルでの分離情報を埋め込み、それをパケットと一緒に伝送することにより、ネットワーク全体での一貫した動作の維持が可能になります。このため、レイヤ 2 通信を同一スイッチ内の 2 つの独立ポート間に限定するメカニズムが、2 つの異なるスイッチ内の 2 つの独立ポート間へのレイヤ 2 通信の限定も行います。

プライベート VLAN のポート

プライベート VLAN ドメイン内には、3 つの独立したポート指定があります。各ポート指定が独自の一連のルールを持っており、これが、1 つのエンドポイントが同一プライベート VLAN ドメイン内にある他の接続エンドポイントと通信する能力を制御します。次に示すのが、その 3 つのポート指定です。

promiscuous

isolated

community

図 4-2 はプライベート VLAN ポートを示しています。

図 4-2 プライベート VLAN のポート

 

 

プライマリ VLAN および混合ポート

プライマリ VLAN には、プライベート VLAN ドメイン全体が含まれます。これは各サブドメインの一部で、VLAN からのレイヤ 3 ゲートウェイを提供します。プライベート VLAN ドメインには、プライマリ VLAN が 1 つのみ含まれています。プライベート VLAN ドメインのポートはすべて、プライマリ VLAN のメンバです。言い換えれば、プライマリ VLAN はプライベート VLAN ドメイン全体です。

名前からもわかるように、混合ポート(図 4-2 の p1)は、他のどのタイプのポートとも通信できます。混合ポートは独立ポートやコミュニティ ポートと通信できます。また、独立ポートやコミュニティ ポートは混合ポートと通信できます。レイヤ 3 ゲートウェイ、DHCP サーバ、およびカスタマー エンドポイントの通信を必要とするその他の信頼済みデバイスは、通常、混合ポートと接続されています。IEEE 802.1Q 仕様書の Annex D に記載されている用語によると、混合ポートはアクセス ポート、またはハイブリッド/トランク ポートのいずれかです。

セカンダリ VLAN およびホスト ポート

セカンダリ VLAN は、プライベート VLAN ドメイン内のポートの間でレイヤ 2 分離を提供します。プライベート VLAN ドメインには 1 つ以上の VLAN サブドメインがあります。1 つのサブドメインは 1 組の VLAN ペアから構成され、このペアはプライマリ VLAN とセカンダリ VLAN から構成されます。プライマリ VLAN はすべてのサブドメインの一部であるため、VLAN サブドメインはセカンダリ VLAN により区別されます。

レイヤ 3 インターフェイスと通信するには、セカンダリ VLAN を、プライマリ VLAN にある少なくとも 1 つの混合ポートと関連付ける必要があります。たとえば、ロード バランシングや冗長性のために必要であれば、セカンダリ VLAN を、同一のプライベート VLAN ドメインにある複数の混合ポートと関連付けることができます。混合ポートと関連付けられていないセカンダリ VLAN は、レイヤ 3 インターフェイスと通信できません。

セカンダリ VLAN は、次のタイプのいずれかです。

隔離 VLAN:隔離 VLAN は、独立ホスト ポートを使用します。独立ポート(図 4-2 の i1 または i2 )は、混合ポートを除き、そのプライベート VLAN ドメインの他のどのポートとも通信できません。あるデバイスがゲートウェイ ルータへのアクセスだけを必要としている場合、このデバイスは独立ポートに接続する必要があります。独立ポートは通常、アクセス ポートですが、一部のアプリケーションでは、ハイブリッド ポートや、トランク ポートであることもあります。

隔離 VLAN には、すべてのポートを同じレベルで分離することを許可するという顕著な特徴があります。この分離のために、ポート 1 つにつき 1 つの独立した専用 VLAN が使用されます。このポート分離を行うために使用される VLAN ID は 2 つだけです。


) プライベート VLAN ドメインは複数のコミュニティ VLAN を持つことができますが、隔離 VLAN 1 つで、複数のお客様に十分サービスを提供することができます。そのポートに接続されているエンドポートはすべて、レイヤ 2 で分離されます。サービス プロバイダーは同じ隔離 VLAN に複数のお客様を割り当てることができます。また、同じ隔離 VLAN を共有する他のお客様が、レイヤ 2 トラフィックを傍聴できないことが保証されます。


コミュニティ VLAN:コミュニティ VLAN はコミュニティ ホスト ポートを使用します。コミュニティ ポート(図 4-2 の c1 または c2)は、ポート グループの一部です。コミュニティ内のポートは、互いにレイヤ 2 通信を行うことができますし、どの混合ポートとでも通信できます。たとえば、4 つのデバイスを持つ ISP のお客様が、このデバイスを他のお客様のデバイスと分離したいが、この 4 つのデバイスの間では通信を続けられるようにしたいという場合は、コミュニティ ポートを使用する必要があります。


) トランクはポート間でトラフィックを運ぶ VLAN をサポートできるため、VLAN トラフィックはトランク インターフェイスを介してデバイスに出入りすることができます。


プライベート VLAN ポート間の通信

次のテーブルは、プライベート VLAN ポートのタイプに応じて、どのようにアクセスが許可、または拒否されるかを示しています。

 

表 4-1 プライベート VLAN ポート間の通信

隔離
無差別
コミュニティ 1
コミュニティ 2
スイッチ間リンク ポート 1

隔離

拒否

許可

拒否

拒否

許可

無差別

許可

許可

許可

許可

許可

コミュニティ 1

拒否

許可

許可

拒否

許可

コミュニティ 2

拒否

許可

拒否

許可

許可

スイッチ間リンク ポート

拒否 2

許可

許可

許可

許可

1.スイッチ間リンク ポートは、2 つのスイッチの間を接続し、複数の VLAN を伝送する標準ポートです。

2.この動作は、隔離 VLAN 経由でスイッチ間リンク ポートを通過するトラフィックにだけ適用されます。隔離 VLAN では、スイッチ間リンク ポートから独立ポートへのトラフィックは拒否されます。プライマリ VLAN では、スイッチ間リンク ポートから独立ポートへのトラフィックは許可されます。

注意事項および制約事項

プライベート VLAN に関する注意事項と制約事項は次のとおりです。

制御 VLAN、パケット VLAN、管理 VLAN は、プライベート VLAN ではなく、通常の VLAN として設定する必要があります。

デフォルト設定値

表 4-2 に、プライベート VLAN のデフォルト設定を示します。

 

表 4-2 プライベート VLAN のデフォルト設定

パラメータ
デフォルト

プライベート VLAN

ディセーブル

プライベート VLAN の設定

プライベート VLAN を設定するには、ここで説明する次の手順を使用します。

「フローチャート:プライベート VLAN の設定」

「プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化」

「プライマリ VLAN としての VLAN の設定」

「セカンダリ VLAN としての VLAN の設定」

「PVLAN での VLAN の関連付け」

「プライベート VLAN ホスト ポートの設定」

「ホスト ポートとプライベート VLAN の関連付け」

「無差別トランク ポートとしてのレイヤ 2 インターフェイスの設定」

「プライベート VLAN 無差別アクセス ポートの設定」

「無差別アクセス ポートとプライベート VLAN の関連付け」

「プライベート VLAN コンフィギュレーションの削除」

フローチャート:プライベート VLAN の設定

次に、このプロセスを表したフロー チャートを示します。1 つの手順を終了するたびに、この項に戻って、必要なすべての手順を正しい順序で実施してください。

図 4-3 フローチャート:プライベート VLAN の設定

 

 

プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化

次の手順に従って、プライベート VLAN 機能をグローバルにイネーブルまたはディセーブルにできます。

手順の概要

1. config t

2. [no] feature private-vlan

3. show feature

4. copy running-config startup-config

手順の詳細

 

コマンド
説明

ステップ 1

config t

 

Example:

n1000v# configure t

n1000v(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[no] feature private-vlan

 

Example:

n1000v(config)# feature private-vlan

n1000v(config-vlan)#

プライベート VLAN 機能をグローバルにイネーブルまたはディセーブルにします。

ステップ 3

show feature

 

Example:

n1000v(config-vlan)# show feature

Feature Name Instance State

-------------------- -------- --------

dhcp-snooping 1 enabled

http-server 1 enabled

ippool 1 enabled

lacp 1 enabled

lisp 1 enabled

lisphelper 1 enabled

netflow 1 disabled

port-profile-roles 1 enabled

private-vlan 1 enabled

sshServer 1 enabled

tacacs 1 enabled

telnetServer 1 enabled

n1000v(config)#

(任意)PVLAN などの使用可能な機能と、それらがグローバルにイネーブルかどうかを表示します。

ステップ 4

copy running-config startup-config

 

Example:

n1000v(config-vlan)# copy running-config startup-config

(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

ステップ 5

これで手順は完了です。

フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。

プライマリ VLAN としての VLAN の設定

VLAN を、PVLAN のプライマリ VLAN として動作するように設定するには、ここで説明する手順を実行します。

はじめる前に

EXEC モードで CLI にログインしていること。

「プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化」 の手順で、プライベート VLAN 機能をイネーブルにしていること。

プライマリ VLAN として設定する VLAN が標準 VLAN としてすでにシステムに存在し、その VLAN ID が判明しています。


) この VLAN がまだ存在しない場合、プライマリ VLAN を作成する際に、その作成を促すメッセージが表示されます。VLAN の作成方法については、「VLAN の作成」を参照してください。


手順の概要

1. config t

2. vlan primary-vlan-id

3. private-vlan primary

4. show vlan private-vlan

5. copy running-config startup-config

手順の詳細

 

コマンド
説明

ステップ 1

config t

 

Example:

n1000v# configure t

n1000v(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

vlan primary-vlan-id

 

Example:

n1000v(config)# vlan 202

n1000v(config-vlan)#

指定された VLAN の VLAN コンフィギュレーション モードを開始して、実行コンフィギュレーションでプライマリ VLAN ID を設定します。

ステップ 3

private-vlan primary

 

Example:

n1000v(config-vlan)# private-vlan primary

プライマリ VLAN を実行コンフィギュレーションのプライベート VLAN として指定します。

ステップ 4

show vlan private-vlan

 

Example:

n1000v(config-vlan)# show vlan private-vlan

(任意)PVLAN コンフィギュレーションを表示します。

ステップ 5

copy running-config startup-config

 

Example:

n1000v(config-vlan)# copy running-config startup-config

(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

ステップ 6

これで手順は完了です。

フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。

Example:
n1000v(config)# vlan 202
n1000v(config-vlan)# private-vlan primary
n1000v(config-vlan)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------
202 primary
n1000v(config-vlan)#

セカンダリ VLAN としての VLAN の設定

VLAN を、PVLAN のセカンダリ VLAN として動作するように設定するには、ここで説明する手順を実行します。

はじめる前に

EXEC モードで CLI にログインしていること。

「プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化」 の手順で、プライベート VLAN 機能をイネーブルにしていること。

セカンダリ VLAN として設定する VLAN が標準 VLAN としてすでにシステムに存在し、それらの VLAN ID が判明しています。


) この VLAN がまだ存在しない場合、セカンダリ VLAN を作成する際に、その作成を促すメッセージが表示されます。VLAN の作成方法については、「VLAN の作成」の項を参照してください。


セカンダリ VLAN をコミュニティ VLAN にするか、隔離 VLAN にするか決定しています。また、それぞれの VLAN ID が判明しています。

プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。

手順の概要

1. config t

2. vlan secondary-vlan-id

3. private-vlan {community | isolated}

4. show vlan private-vlan

5. copy running-config startup-config

手順の詳細

 

コマンド
説明

ステップ 1

config t

 

Example:

n1000v# configure t

n1000v(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

vlan secondary-vlan-id

 

Example:

n1000v(config)# vlan 303

n1000v(config-vlan)#

指定された VLAN の VLAN コンフィギュレーション モードを開始して、実行コンフィギュレーションでセカンダリ VLAN ID を設定します。

ステップ 3

private-vlan {community | isolated}

 

Example:

n1000v(config-vlan)# private-vlan community

n1000v(config-vlan)#

 

Example:

n1000v(config-vlan)# private-vlan isolated

n1000v(config-vlan)#

VLAN を実行コンフィギュレーションのコミュニティ VLAN、または独立プライベート VLAN として指定します。

ステップ 4

次のいずれかを実行します。

PVLAN にセカンダリ VLAN を追加設定している場合は、ステップ 2ステップ 3 を繰り返します。

その他の場合は、ステップ 5 に進みます。

ステップ 5

show vlan private-vlan

 

Example:

n1000v(config-vlan)# show vlan private-vlan

(任意)PVLAN コンフィギュレーションを表示します。

ステップ 6

copy running-config startup-config

 

Example:

n1000v(config-vlan)# copy running-config startup-config

(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

ステップ 7

これで手順は完了です。

フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。

Example:
n1000v(config)# vlan 303
n1000v(config-vlan)# private-vlan community
n1000v(config-vlan)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------
202 primary
303 community
n1000v(config-vlan)#

PVLAN での VLAN の関連付け

PVLAN のプライマリ VLAN をセカンダリ VLAN と関連付けるには、ここで説明する手順を実行します。

はじめる前に

EXEC モードで CLI にログインしていること。

この PVLAN のプライマリ VLAN がすでに PVLAN として設定されています。

この PVLAN のセカンダリ VLAN がすでに PVLAN として設定されています。

PVLAN の一部である個々の VLAN の VLAN ID が判明しています。

プライベート VLAN の情報については、「プライベート VLAN」を参照してください。

手順の概要

1. config t

2. vlan primary-vlan-id

3. private-vlan association {add | remove} secondary vlan-id

4. show vlan private-vlan

5. copy running-config startup-config

手順の詳細

 

コマンド
説明

ステップ 1

config t

 

Example:

n1000v# configure t

n1000v(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

vlan primary-vlan-id

 

Example:

n1000v(config)# vlan 202

n1000v(config-vlan)#

VLAN コンフィギュレーション モードを開始し、実行コンフィギュレーションで PVLAN として機能するように VLAN を関連付けます。

ステップ 3

private-vlan association {add | remove} secondary vlan-id

 

Example:

n1000v(config-vlan)# private-vlan association add 303

n1000v(config-vlan)#

実行コンフィギュレーションで PVLAN として機能するように、指定されたセカンダリ VLAN をプライマリ VLAN と関連付けます。

ステップ 4

次のいずれかを実行します。

セカンダリ VLAN を追加で関連付けている場合は、ステップ 3 を繰り返します。

その他の場合は、ステップ 5 に進みます。

ステップ 5

show vlan private-vlan

 

Example:

n1000v(config-vlan)# show vlan private-vlan

(任意)PVLAN コンフィギュレーションを表示します。

ステップ 6

copy running-config startup-config

 

Example:

n1000v(config-vlan)# copy running-config startup-config

(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

ステップ 7

これで手順は完了です。

フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。

Example:
n1000v(config)# vlan 202
n1000v(config-vlan)# private-vlan association add 303
n1000v(config-vlan)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------
202 303 community Veth1
n1000v(config)#

プライベート VLAN ホスト ポートの設定

PVLAN で機能するように、インターフェイスをホスト ポートとして設定するには、ここで説明する手順を実行します。

はじめる前に

EXEC モードで CLI にログインしていること。

この PVLAN のプライマリ VLAN がすでに PVLAN として設定されています。

この PVLAN のセカンダリ VLAN がすでに PVLAN として設定されています。

このセカンダリ VLAN が、すでにプライマリ VLAN に関連付けられています。

ホスト ポートとして PVLAN とともに使用されるインターフェイスの名前が判明しています。

プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。

手順の概要

1. config t

2. interface type if_id

3. switchport mode private-vlan host

4. show interface type if_id

5. copy running-config startup-config

手順の詳細

 

コマンド
説明

ステップ 1

config t

 

Example:

n1000v# configure t

n1000v(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface type if_id

 

Example:

n1000v(config)# interface veth1

n1000v(config-if)#

インターフェイス コンフィギュレーション モードを開始して、存在しない場合は名前付きインターフェイスを作成します。

ステップ 3

switchport mode private-vlan host

 

Example:

n1000v(config-if)# switchport mode private-vlan host

n1000v(config-if)#

物理インターフェイスが、実行コンフィギュレーションで PVLAN ホスト ポートとして機能するように指定します。

ステップ 4

show interface type if_id

 

Example:

n1000v(config-if)# show interface veth1

(任意)インターフェイス コンフィギュレーションを表示します。

ステップ 5

copy running-config startup-config

 

Example:

n1000v(config-if)# copy running-config startup-config

(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

ステップ 6

これで手順は完了です。

フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。

Example:
n1000v# config t
n1000v(config)# interface veth1
n1000v(config-if)# switchport mode private-vlan host
n1000v(config-if)# show interface veth1
Vethernet1 is up
Hardware is Virtual, address is 0050.56b0.34c8
Owner is VM "HAM61-RH5-32bit-ENVM-7.60.1.3"
Active on module 2, host VISOR-HAM61.localdomain 0
VMware DVS port 16777215
Port-Profile is vlan631
Port mode is Private-vlan host
Rx
48600 Input Packets 34419 Unicast Packets
0 Multicast Packets 14181 Broadcast Packets
4223732 Bytes
Tx
34381 Output Packets 34359 Unicast Packets
22 Multicast Packets 0 Broadcast Packets 0 Flood Packets
3368196 Bytes
5 Input Packet Drops 11 Output Packet Drops
 
n1000v(config-if)#

ホスト ポートとプライベート VLAN の関連付け

PVLAN のプライマリ VLAN およびセカンダリ VLAN をホスト ポートと関連付けるには、ここで説明する手順を実行します。

はじめる前に

EXEC モードで CLI にログインしていること。

PVLAN のプライマリ VLAN およびセカンダリ VLAN の VLAN ID が判明しています。

プライマリ VLAN およびセカンダリ VLAN はすでに PVLAN として設定されています。

ホスト ポートとして PVLAN で機能するインターフェイスの名前が判明しています。

プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。

手順の概要

1. config t

2. interface type if_id

3. switchport private-vlan host-association primaryvlan-id secondary vlan-id

4. show interface type if_id

5. copy running-config startup-config

手順の詳細

 

コマンド
説明

ステップ 1

config t

 

Example:

n1000v# configure t

n1000v(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface type if_id

 

Example:

n1000v(config-if)# interface veth1

n1000v(config-if)#

インターフェイス コンフィギュレーション モードを開始し、実行コンフィギュレーションで指定されたインターフェイスの名前を設定します。

ステップ 3

switchport private-vlan host-association primaryvlan-id secondary vlan-id

 

Example:

n1000v(config-if)# switchport private-vlan host-association 202 303

n1000v(config-if)#

実行コンフィギュレーションで、PVLAN のプライマリ VLAN ID およびセカンダリ VLAN ID をホスト ポートに関連付けます。

インターフェイスは PVLAN の VLAN と関連付けられます。

ステップ 4

show interface type if_id

 

Example:

n1000v(config-if)# show interface veth1

(任意)インターフェイス コンフィギュレーションを表示します。

ステップ 5

copy running-config startup-config

 

Example:

n1000v(config-if)# copy running-config startup-config

(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

ステップ 6

これで手順は完了です。

フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。

Example:
n1000v# config t
n1000v(config)# interface veth1

n1000v(config-if)# switchport private-vlan host-association 202 303

n1000v(config-if)# switchport mode private-vlan host
n1000v(config-if)# show interface veth1 switchport
Name: Vethernet1
Switchport: Enabled
Switchport Monitor: Not enabled
Operational Mode: access
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: 1-3967,4048-4093
Administrative private-vlan primary host-association: 202
Administrative private-vlan secondary host-association: 203
Administrative private-vlan primary mapping: none
Administrative private-vlan secondary mapping: none
Administrative private-vlan trunk native VLAN: 1
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs:
Operational private-vlan: 202, 203n1000v(config-if)#

無差別トランク ポートとしてのレイヤ 2 インターフェイスの設定

レイヤ 2 インターフェイスを、次の操作を行う無差別トランク ポートとして設定するには、ここで説明する手順を実行します。

複数の混合ポートを 1 つのトランク ポートにまとめます。

標準 VLAN をすべて伝送します。

複数の PVLAN プライマリ VLAN を個別に、選択したセカンダリ VLAN とともに伝送します。


) 混合ポートはアクセス ポート、またはトランク ポートのいずれかです。プライマリ VLAN が 1 つである場合、無差別アクセス ポートを使用できます。複数のプライマリ VLAN がある場合、無差別トランク ポートを使用できます。


はじめる前に

EXEC モードで CLI にログインしていること。

private-vlan mapping trunk コマンドは、ポートのトランク設定を決定、または上書きしません。

このポートは、プライベート VLAN トランク設定に追加する前に、すでに通常のトランク モードで設定されています。

プライマリ VLAN を無差別トランク ポートで許容される VLAN のリストに追加する必要があります。

セカンダリ VLAN は許容される VLAN リストに設定されません。

トランク ポートは、プライマリ VLAN に加えて、標準 VLAN を伝送することができます。

混合トランク ポート 1 個のセカンダリ VLAN には、最大 64 のプライマリ VLAN をマッピングできます。

手順の概要

1. config t

2. interface type slot/port

3. switchport mode private-vlan trunk promiscuous

4. switchport private-vlan trunk allowed vlan all

5. switchport private-vlan mapping trunk primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list}

6. switchport private-vlan trunk native vlan vlan_ID

7. show interfaces [ type slot/port ] switchport

8. copy running-config startup-config

手順の詳細

 

コマンド
説明

ステップ 1

config t

 

Example:

n1000v# configure t

n1000v(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface type slot/port

 

Example:

n1000v(config)# interface eth2/6

n1000v(config-if)#

特定のインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport mode private-vlan trunk promiscuous

 

Example:

n1000v(config-if)# switchport mode private-vlan trunk promiscuous

n1000v(config-if)#

実行コンフィギュレーションで、インターフェイスを無差別プライベート VLAN トランク ポートとして指定します。

ステップ 4

switchport private-vlan trunk allowed vlan all

 

Example:

n1000v(config-if)# switchport private-vlan trunk allowed vlan all

n1000v(config-if)#

実行コンフィギュレーションで、プライベート VLAN トランク ポートがすべての標準 VLAN を伝送することを指定します。

ステップ 5

switchport private-vlan mapping trunk primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list}

 

Example:

n1000v(config-if)# switchport private-vlan mapping trunk 202 303, 440

n1000v(config-if)# switchport private-vlan mapping trunk 210 310, 450

n1000v(config-if)# switchport private-vlan mapping trunk 210 add 451,460

n1000v(config-if)# switchport private-vlan mapping trunk 210 remove 303,310

プライベート VLAN トランク ポートをプライマリ VLAN、および実行コンフィギュレーションで選択されたセカンダリ VLAN にマップします。

複数のプライベート VLAN ペアを指定し、1 つの無差別トランク ポートが複数のプライマリ VLAN を伝送できるようにすることができます。

ステップ 6

switchport private-vlan trunk native vlan vlan_ID

 

Example:

n1000v(config-if)# switchport private-vlan native vlan 100

プライベート VLAN トランキングのネイティブ設定を設定します。

vlan_id:プライベート VLAN トランク ポートのネイティブ VLAN として使用する VLAN(1 ~ 3967、4048 ~ 4093)。

ステップ 7

show interface [type slot/port] switchport

 

Example:

n1000v(config-if)# show int eth 2/6 switch port

確認のためにコンフィギュレーションを表示します。

ステップ 8

copy running-config startup-config

 

Example:

n1000v(config-if)# copy running-config startup-config

(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

Example:
n1000v# config t
n1000v(config)# int eth2/6
n1000v(config-if)# switchport mode private-vlan trunk promiscuous
n1000v(config-if)# switchport private-vlan trunk allowed vlan all
n1000v(config-if)# switchport private-vlan mapping trunk 202 303, 440
n1000v(config-if)# switchport private-vlan mapping trunk 210 310, 450

n1000v(config-if)# switchport private-vlan mapping trunk 210 add 451,460

n1000v(config-if)# switchport private-vlan mapping trunk 210 remove 310
n1000v(config-if)# switchport private-vlan trunk native vlan 100
n1000v(config-if)# sh int eth 2/6 switchport
Name: Ethernet2/6
Switchport: Enabled
Switchport Monitor: Not enabled
Operational Mode: Private-vlan trunk promiscuous
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: 25-27
Administrative private-vlan primary host-association: none
Administrative private-vlan secondary host-association: none
Administrative private-vlan primary mapping: none
Administrative private-vlan secondary mapping: none
Administrative private-vlan trunk native VLAN: 100
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: 1-3967, 4048-4093
Administrative private-vlan trunk private VLANs: (202,303) (202,440) (210,450) (210,451) (210,460)
Operational private-vlan: 202,210,303,440,450-451,460n1000v(config-if)#

プライベート VLAN 無差別アクセス ポートの設定

PVLAN の無差別アクセス ポートとして使用されるようにポートを設定するには、個々で説明する手順を実行します。

はじめる前に

EXEC モードで CLI にログインしていること。

無差別アクセス ポートとして機能するインターフェイスの名前が判明しています。

プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。

手順の概要

1. config t

2. interface type [slot/port | number]

3. switchport mode private-vlan promiscuous

4. show interface type [ slot/port | number ]

5. copy running-config startup-config

手順の詳細

 

コマンド
説明

ステップ 1

config t

 

Example:

n1000v# configure t

n1000v(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface type [slot/port | number]

 

Example:

n1000v(config-if)# interface veth1

n1000v(config-if)#

 

Example:

n1000v(config-if)# interface eth3/2

n1000v(config-if)#

指定されたインターフェイスのインターフェイス コンフィギュレーション モードが開始されます。

ステップ 3

switchport mode private-vlan promiscuous

 

Example:

n1000v(config-if)# switchport mode private-vlan promiscuous

n1000v(config-if)#

実行コンフィギュレーションにおいて、インターフェイスをプライベート VLAN の無差別アクセス ポートとして機能させることを指定します。

ステップ 4

show interface type [slot/port | number]

 

Example:

n1000v(config-if)# show interface eth3/2

(任意)インターフェイス コンフィギュレーションを表示します。

ステップ 5

copy running-config startup-config

 

Example:

n1000v(config-if)# copy running-config startup-config

(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

ステップ 6

これで手順は完了です。

フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。

Example:
n1000v# config t
n1000v(config)# interface eth3/2
n1000v(config-if)# switchport mode private-vlan promiscuous
n1000v(config-if)# show int eth3/2
Ethernet3/2 is up
Hardware is Ethernet, address is 0050.5655.2e85 (bia 0050.5655.2e85)
MTU 1500 bytes, BW -1942729464 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA
Port mode is promiscuous
full-duplex, 1000 Mb/s
Beacon is turned off
Auto-Negotiation is turned on
Input flow-control is off, output flow-control is off
Rx
276842 Input Packets 100419 Unicast Packets
138567 Multicast Packets 37856 Broadcast Packets
25812138 Bytes
Tx
128154 Output Packets 100586 Unicast Packets
1023 Multicast Packets 26545 Broadcast Packets 26582 Flood Packets
11630220 Bytes
173005 Input Packet Drops 37 Output Packet Drops
 
n1000v(config-if)#
 
Example:
n1000v# config t
n1000v(config)# interface vethernet1
n1000v(config-if)# switchport mode private-vlan promiscuous
n1000v# show interface vethernet 1
Vethernet1 is up
Port description is VM-1, Network Adapter 7
Hardware: Virtual, address: 0050.569e.009f (bia 0050.569e.009f)
Owner is VM "VM-1", adapter is Network Adapter 7
Active on module 5
VMware DVS port 5404
Port-Profile is pri_25
Port mode is Private-vlan promiscuous
5 minute input rate 0 bits/second, 0 packets/second
5 minute output rate 7048 bits/second, 2 packets/second
Rx
20276 Input Packets 379239 Unicast Packets
24 Multicast Packets 1395 Broadcast Packets
1428168 Bytes
Tx
256229 Output Packets 74946 Unicast Packets
16247 Multicast Packets 2028117 Broadcast Packets 190123 Flood Packets
44432239 Bytes
162 Input Packet Drops 159 Output Packet Drops

無差別アクセス ポートとプライベート VLAN の関連付け

PVLAN のプライマリ VLAN およびセカンダリ VLAN を無差別アクセス ポートと関連付けるには、ここで説明する手順を実行します。

はじめる前に

EXEC モードで CLI にログインしていること。

PVLAN のプライマリ VLAN およびセカンダリ VLAN の VLAN ID が判明しています。

プライマリ VLAN およびセカンダリ VLAN はすでに PVLAN として設定されています。

無差別アクセス ポートとして PVLAN で機能するインターフェイスの名前が判明しています。

プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。

手順の概要

1. config t

2. interface type [slot/port | number]

3. switchport private-vlan mapping primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

4. show interface type [ slot/port | number ]

5. copy running-config startup-config

手順の詳細

 

コマンド
説明

ステップ 1

config t

 

Example:

n1000v# configure t

n1000v(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface type [slot/port | number]

 

Example:

n1000v(config)# interface eth3/2

n1000v(config-if)#

実行コンフィギュレーションで指定されたインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport private-vlan mapping primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

 

Example:

n1000v(config-if)# switchport private-vlan mapping 202 303

Example:

n1000v(config-if)# switchport private-vlan mapping trunk 202 add 451,460

n1000v(config-if)# switchport private-vlan mapping trunk 202 remove 303

n1000v(config-if)#

実行コンフィギュレーションで、無差別アクセス ポートを PVLAN の VLAN ID と関連付けます。

ステップ 4

show interface type [slot/port | number]

 

Example:

n1000v(config-if)# show vlan private-vlan

(任意)インターフェイス コンフィギュレーションを表示します。

ステップ 5

copy running-config startup-config

 

Example:

n1000v(config-if)# copy running-config startup-config

(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

ステップ 6

これで手順は完了です。

フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。

Example:
n1000v(config)# int eth3/2
n1000v(config-if)# switchport private-vlan mapping 202 303
n1000v(config-if)# show vlan private-vlan
 
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------
202 303 community Eth3/2, Veth1
n1000v(config-if)#

プライベート VLAN コンフィギュレーションの削除

プライベート VLAN コンフィギュレーションを削除し、VLAN を標準 VLAN モードに戻すには、ここで説明する手順を実行します。

はじめる前に

EXEC モードで CLI にログインしていること。

VLAN がプライベート VLAN として設定され、VLAN ID が判明しています。

PVLAN コンフィギュレーションを削除すると、これに関連付けられているポートは非アクティブになります。

プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。

手順の概要

1. config t

2. vlan private vlan-id

3. no private-vlan {community | isolated | primary }

4. show vlan private-vlan

5. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

config t

 

Example:

n1000v# configure t

n1000v(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

vlan private vlan-id

 

Example:

n1000v(config)# vlan 5

n1000v(config-vlan)#

指定された VLAN の VLAN コンフィギュレーション モードが開始されます。

ステップ 3

no private-vlan {community | isolated | primary }

 

Example:

n1000v(config-vlan)# no private-vlan primary
n1000v(config-vlan)#

実行コンフィギュレーション.の PVLAN から指定された VLAN を削除します。

指定された VLAN からプライベート VLAN コンフィギュレーションが削除されます。VLAN は標準 VLAN モードに戻ります。VLAN に関連付けられたポートは非アクティブです。

ステップ 4

show vlan private-vlan

 

Example:

n1000v(config-vlan)# show private-vlan
n1000v(config-vlan)#

(任意)PVLAN コンフィギュレーションを表示します。

ステップ 5

copy running-config startup-config

 

Example:

n1000v(config-vlan)# copy running-config startup-config

(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

Example:
n1000v# configure t

n1000v(config)# vlan 5

n1000v(config-vlan)# no private-vlan primary

n1000v(config-vlan)# show vlan private-vlan

Primary Secondary Type Ports

------- --------- --------------- -------------------------------------------

 

n1000v(config-vlan)#

プライベート VLAN コンフィギュレーションの確認

プライベート VLAN コンフィギュレーションを表示して検証するには、次のコマンドを使用します。

 

コマンド
目的

show feature

PVLAN などの使用可能な機能と、それらがグローバルにイネーブルかどうかを表示します。

show running-config vlan vlan-id

VLAN 情報を表示します。

show vlan private-vlan [ type ]

プライベート VLAN の情報を表示します。

show interface switchport

スイッチ ポートとして設定されているすべてのインターフェイスの情報を表示します。

プライベート VLAN の設定の例

この項には、次の設定例が含まれています。

「例:PVLAN トランク ポート」

「例:ポート プロファイルを使用した PVLAN」

例:PVLAN トランク ポート

ここでは、次のようにインターフェイス イーサネット 2/6 設定する例を示します。

プライベート VLAN トランク ポート

セカンダリ VLAN 303 および 440 と関連付けられているプライマリ プライベート VLAN 202 にマップします

セカンダリ VLAN 310 および 450 と関連付けられているプライマリ プライベート VLAN 210 にマップします

Example:
n1000v# config t
n1000v(config)# vlan 303,310
n1000v(config-vlan)# private-vlan community
n1000v(config)# vlan 440,450
n1000v(config-vlan)# private-vlan isolated
 
n1000v(config)# vlan 202
n1000v(config-vlan)# private-vlan primary
n1000v(config-vlan)# private-vlan association 303,440
 
n1000v(config)# vlan 210
n1000v(config-vlan)# private-vlan primary
n1000v(config-vlan)# private-vlan association 310,450
 
n1000v# config t
n1000v(config)# int eth2/6
n1000v(config-if)# switchport mode private-vlan trunk promiscuous
n1000v(config-if)# switchport private-vlan trunk allowed vlan all
n1000v(config-if)# switchport private-vlan mapping trunk 202 303, 440
n1000v(config-if)# switchport private-vlan mapping trunk 210 310, 450
n1000v(config-if)# show int switchport
Name: Ethernet2/6
Switchport: Enabled
Operational Mode: Private-vlan trunk promiscuous
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: 1-3967,4048-4093
Administrative private-vlan primary host-association: none
Administrative private-vlan secondary host-association: none
Administrative private-vlan primary mapping: none
Administrative private-vlan secondary mapping: none
Administrative private-vlan trunk native VLAN: 1
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: 1-3967, 4048-4093
Administrative private-vlan trunk private VLANs: (202,303) (202,440) (210,310) (210,450) Operational private-vlan: 202,210,303,310,440,450
n1000v(config-if)#

例:ポート プロファイルを使用した PVLAN

次の例では、インターフェイス eth2/6 をポート プロファイル uppvlanpromtrunk156 を使用して設定する方法を示します。

この設定では、セカンダリ インターフェイス 153、154、および 155 のパケットは、コマンド switchport private-vlan mapping trunk 156 153-155 の結果として、プライマリ VLAN 156 に変換されます。

Example:
vlan 153-154
private-vlan community
vlan 155
private-vlan isolated
vlan 156
private-vlan association 153-155
private-vlan primary
 
 
n1000v# show run int eth2/6
n1000v# show run int eth2/6
version 4.0(1)
interface Ethernet2/6
switchport
inherit port-profile uppvlanpromtrunk156
 
n1000v# show port-profile name uppvlanpromtrunk156
port-profile uppvlanpromtrunk156
description:
status: enabled
capability privileged: no
capability uplink: yes
port-group: uppvlanpromtrunk156
config attributes:
switchport mode private-vlan trunk promiscuous
switchport private-vlan trunk allowed vlan all
switchport private-vlan mapping trunk 156 153-155
no shutdown
evaluated config attributes:
switchport mode trunk
switchport trunk allowed vlan all
switchport private-vlan mapping trunk 156 153-155
no shutdown
assigned interfaces:
Ethernet2/6
 
n1000v# sh int eth 2/6 switchport
Name: Ethernet2/6
Switchport: Enabled
Switchport Monitor: Not enabled
Operational Mode: Private-vlan trunk promiscuous
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: 1-3967,4048-4093
Administrative private-vlan primary host-association: none
Administrative private-vlan secondary host-association: none
Administrative private-vlan primary mapping: none
Administrative private-vlan secondary mapping: none
Administrative private-vlan trunk native VLAN: 1
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: 1-155,157-3967,4048-4093
Administrative private-vlan trunk private VLANs: (156,153) (156,155)
Operational private-vlan: 156,153,155 inherit port-profile uppvlanpromtrunk156
 

その他の関連資料

プライベート VLAN の実装に関する追加情報は、次の項を参照してください。

「関連資料」

「標準」

関連資料

 

関連項目
マニュアル、または章タイトル

VLAN

「VLAN の設定」

PVLAN

「プライベート VLAN の設定」

レイヤ 2 MAC アドレス

「MAC アドレス テーブルの設定」

ポート プロファイル

『Cisco Nexus 1000V Port Profile Configuration Guide, Release 4.2(1)SV1(5.1)

VLAN インターフェイス、IP アドレス指定

『Cisco Nexus 1000V Interface Configuration Guide, Release 4.2(1)SV1(5.1)

スタティック MAC アドレス、セキュリティ

『Cisco Nexus 1000V Security Configuration Guide, Release 4.2(1)SV1(5.1)

システム管理

『Cisco Nexus 1000V System Management Configuration Guide, Release 4.2(1)SV1(5.1)

リリース ノート

『Cisco Nexus 1000V Release Notes, Release 4.2(1)SV1(5.1)

すべてのコマンド構文、コマンド モード、コマンド履歴、デフォルト、使用上のガイドライン、例

Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1)

標準

標準
タイトル

この機能でサポートされる新規または改訂された標準規格はありません。また、この機能による既存の標準規格サポートの変更はありません。

--

プライベート VLAN の機能履歴

ここでは、プライベート VLAN のリリース履歴を示します。

 

機能名
リリース
機能情報

feature private-vlan コマンド

4.2(1)SV1(4)

プライベート VLAN 機能をグローバルにイネーブルにする機能。

プライベート VLAN

4.0(4)SV1(1)

この機能が導入されました。