Cisco Nexus 1000V レイヤ 2 スイッチング コンフィギュレーション ガイド リリース 4.2(1)SV2(1.1)
プライベート VLAN の設定
プライベート VLAN の設定
発行日;2013/01/16   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

プライベート VLAN の設定

この章の内容は、次のとおりです。

プライベート VLAN について

プライベート VLAN では、デバイスの分離を実現するために 3 種類のポート指定が使用されます。これらはそれぞれ独自のルール セットが定義されており、接続されたエンドポイントが同じプライベート VLAN ドメイン内の他の接続済みエンドポイントと通信できるかどうかは、ポート指定ごとに異なります。

プライベート VLAN ドメイン

プライベート VLAN ドメインは、1 つまたは複数の VLAN ペアから成ります。 プライマリ VLAN がドメインを形成し、各 VLAN ペアがサブドメインを形成します。 ペアになっている VLAN は、プライマリ VLAN とセカンダリ VLAN と呼ばれます。 1 つのプライベート VLAN 内の VLAN ペアはすべて、同一のプライマリ VLAN を持ちます。 セカンダリ VLAN ID が、サブドメイン間を区別するためのものです。 次の図を参照してください。

図 1. プライベート VLAN ドメイン



複数のスイッチのスパニング

プライベート VLAN は、通常の VLAN とまったく同じように、複数のスイッチにまたがることができます。 スイッチ間リンク ポートは、特殊な VLAN タイプを認識する必要がなく、これらの VLAN でタグ付けされたフレームもその他のフレームとまったく同じように伝送します。 プライベート VLAN は、1 つのスイッチ内の独立ポートからのトラフィックが、スイッチ間リンクを伝送されたあと、別のスイッチ内の他の独立ポートまたはコミュニティ ポートに到達しない状態を確保します。 VLAN レベルでの分離情報を埋め込み、それをパケットと一緒に伝送することにより、ネットワーク全体での一貫した動作の維持が可能になります。 このため、レイヤ 2 通信を同一スイッチ内の 2 つの独立ポート間に限定するメカニズムが、2 つの異なるスイッチ内の 2 つの独立ポート間へのレイヤ 2 通信の限定も行います。

プライベート VLAN ポート

プライベート VLAN ドメイン内には、3 つの独立したポート指定があります。 各ポート指定が独自の一連のルールを持っており、これが、1 つのエンドポイントが同一プライベート VLAN ドメイン内にある他の接続エンドポイントと通信する能力を制御します。 次に示すのが、その 3 つのポート指定です。

  • promiscuous
  • isolated
  • community

次の図で、プライベート VLAN ポートを示します。

図 2. プライベート VLAN ポート



プライマリ VLAN および無差別ポート

プライマリ VLAN には、プライベート VLAN ドメイン全体が含まれます。 これは各サブドメインの一部で、VLAN からのレイヤ 3 ゲートウェイを提供します。 プライベート VLAN ドメインには、プライマリ VLAN が 1 つのみ含まれています。 プライベート VLAN ドメインのポートはすべて、プライマリ VLAN のメンバです。 言い換えれば、プライマリ VLAN はプライベート VLAN ドメイン全体です。

名前が示すように、無差別ポートは、他のどのタイプのポートとも通信できます。 無差別ポートは独立ポートやコミュニティ ポートと通信できます。また、独立ポートやコミュニティ ポートは無差別ポートと通信できます。 レイヤ 3 ゲートウェイ、DHCP サーバ、およびカスタマー エンドポイントの通信を必要とするその他の信頼済みデバイスは、通常、無差別ポートと接続されています。 IEEE 802.1Q 仕様書の Annex D に記載されている用語によると、無差別ポートはアクセス ポート、またはハイブリッド/トランク ポートのいずれかです。

セカンダリ VLAN およびホスト ポート

セカンダリ VLAN は、プライベート VLAN ドメイン内のポートの間でレイヤ 2 分離を提供します。 プライベート VLAN ドメインには 1 つ以上の VLAN サブドメインがあります。 1 つのサブドメインは 1 組の VLAN ペアから構成され、このペアはプライマリ VLAN とセカンダリ VLAN から構成されます。 プライマリ VLAN はすべてのサブドメインの一部であるため、VLAN サブドメインはセカンダリ VLAN により区別されます。

レイヤ 3 インターフェイスと通信するには、セカンダリ VLAN を、プライマリ VLAN にある少なくとも 1 つの無差別ポートと関連付ける必要があります。 たとえば、ロード バランシングや冗長性のために必要であれば、セカンダリ VLAN を、同一のプライベート VLAN ドメインにある複数の無差別ポートと関連付けることができます。 無差別ポートと関連付けられていないセカンダリ VLAN は、レイヤ 3 インターフェイスと通信できません。

セカンダリ VLAN は、次のタイプのいずれかです。

  • 独立 VLAN:独立 VLAN は、独立ホスト ポートを使用します。 独立ポート(上図の i1 または i2)は、無差別ポートを除き、そのプライベート VLAN ドメインの他のどのポートとも通信できません。 あるデバイスがゲートウェイ ルータへのアクセスだけを必要としている場合、このデバイスは独立ポートに接続する必要があります。 独立ポートは通常、アクセス ポートですが、一部のアプリケーションでは、ハイブリッド ポートや、トランク ポートであることもあります。 独立 VLAN には、すべてのポートを同じレベルで分離することを許可するという顕著な特徴があります。この分離のために、ポート 1 つにつき 1 つの独立した専用 VLAN が使用されます。 このポート分離を行うために使用される VLAN ID は 2 つだけです。

    (注)  


    プライベート VLAN ドメインは複数のコミュニティ VLAN を持つことができますが、独立 VLAN 1 つで、複数のお客様に十分サービスを提供することができます。 そのポートに接続されているエンドポートはすべて、レイヤ 2 で分離されます。 サービス プロバイダーは同じ独立 VLAN に複数のお客様を割り当てることができます。また、同じ独立 VLAN を共有する他のお客様が、レイヤ 2 トラフィックを傍聴できないことが保証されます。


  • コミュニティ VLAN:コミュニティ VLAN はコミュニティ ホスト ポートを使用します。 コミュニティ ポート(上図の c1 または c2)は、ポート グループの一部です。 コミュニティ内のポートは、互いにレイヤ 2 通信を行うことができますし、どの無差別ポートとでも通信できます。 たとえば、4 つのデバイスを持つ ISP のお客様が、このデバイスを他のお客様のデバイスと分離したいが、この 4 つのデバイスの間では通信を続けられるようにしたいという場合は、コミュニティ ポートを使用する必要があります。

    (注)  


    トランクはポート間でトラフィックを運ぶ VLAN をサポートできるため、VLAN トラフィックはトランク インターフェイスを介してデバイスに出入りすることができます。


プライベート VLAN ポート間の通信

次のテーブルは、プライベート VLAN ポートのタイプに応じて、どのようにアクセスが許可、または拒否されるかを示しています。

表 1 プライベート VLAN ポート間の通信
  独立 無差別 コミュニティ 1 コミュニティ 2 スイッチ間リンク ポート1

独立

Deny

Permit

Deny

Deny

Permit

無差別

Permit

Permit

Permit

Permit

Permit

コミュニティ 1

Deny

Permit

Permit

Deny

Permit

コミュニティ 2

Deny

Permit

Deny

Permit

Permit

スイッチ間リンク ポート

Deny2

Permit

Permit

Permit

Permit

1 スイッチ間リンク ポートは、2 つのスイッチの間を接続し、複数の VLAN を伝送する標準ポートです。
2 この動作は、独立 VLAN 経由でスイッチ間リンク ポートを通過するトラフィックにだけ適用されます。 独立 VLAN では、スイッチ間リンク ポートから独立ポートへのトラフィックは拒否されます。 プライマリ VLAN では、スイッチ間リンク ポートから独立ポートへのトラフィックは許可されます。

注意事項と制限事項

プライベート VLAN に関する注意事項と制約事項は次のとおりです。

コントロール VLAN、パケット VLAN、および管理 VLAN は、プライベート VLAN ではなく、通常の VLAN として設定する必要があります。

デフォルト設定

表 2 デフォルトの VLAN 設定
パラメータ デフォルト

プライベート VLAN

無効

プライベート VLAN の設定

次の項では、プライベート VLAN の設定プロセスについて説明します。 1 つの手順を終了するたびに、この項に戻って、必要なすべての手順を正しい順序で実施しているか確認してください。

手順
    ステップ 1   プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化。 プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化を参照してください。
    ステップ 2   プライマリ VLAN としての VLAN の設定。 プライマリ VLAN としての VLAN の設定を参照してください。
    ステップ 3   セカンダリ VLAN としての VLAN の設定。 セカンダリ VLAN としての VLAN の設定を参照してください。
    ステップ 4   PVLAN での VLAN の関連付け。 PVLAN での VLAN の関連付けを参照してください。
    ステップ 5   プライベート VLAN ホスト ポートの設定。 プライベート VLAN ホスト ポートの設定を参照してください。
    ステップ 6   ホスト ポートとプライベート VLAN の関連付け。 ホスト ポートとプライベート VLAN の関連付けを参照してください。
    ステップ 7   プライベート VLAN コンフィギュレーションの確認。 プライベート VLAN コンフィギュレーションの確認を参照してください。

    プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化

    プライベート VLAN 機能をグローバルにイネーブルまたはディセーブルにするには、次の手順を実行します。

    手順
       コマンドまたはアクション目的
      ステップ 1switch# configure terminal 

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2switch(config)# [no] feature private-vlan 

      プライベート VLAN 機能をグローバルにイネーブルまたはディセーブルにします。

       
      ステップ 3switch(config-vlan)# show feature   (任意)

      PVLAN などの使用可能な機能と、それらがグローバルにイネーブルかどうかを表示します。

       
      ステップ 4switch(config-vlan)# copy running-config startup-config  (任意)

      リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

       
      switch# configure terminal
      switch(config)# feature private-vlan
      switch(config-vlan)# show feature
      Feature Name          Instance  State   
      --------------------  --------  --------
      dhcp-snooping         1         enabled 
      http-server           1         enabled 
      ippool                1         enabled 
      lacp                  1         enabled 
      lisp                  1         enabled 
      lisphelper            1         enabled 
      netflow               1         disabled
      port-profile-roles    1         enabled 
      private-vlan          1         enabled
      sshServer             1         enabled 
      tacacs                1         enabled 
      telnetServer          1         enabled 
      switch(config-vlan)#
      

      プライマリ VLAN としての VLAN の設定

      VLAN を、PVLAN のプライマリ VLAN として動作するように設定するには、ここで説明する手順を実行します。

      はじめる前に
      • EXEC モードで CLI にログインしていること。
      • プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化 の手順で、プライベート VLAN 機能をイネーブルにしていること。
      • プライマリ VLAN として設定する VLAN が標準 VLAN としてすでにシステムに存在し、その VLAN ID が判明しています。

        (注)  


        この VLAN がまだ存在しない場合、プライマリ VLAN を作成する際に、その作成を促すメッセージが表示されます。 VLAN の作成方法については、VLAN の作成を参照してください。


      手順
         コマンドまたはアクション目的
        ステップ 1switch# configure terminal 

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2switch(config)# vlan primary-vlan-id 

        指定された VLAN の VLAN コンフィギュレーション モードを開始し、実行コンフィギュレーションにプライマリ VLAN ID を設定します。

         
        ステップ 3switch(config-vlan)# private-vlan primary 

        プライマリ VLAN を実行コンフィギュレーションのプライベート VLAN として指定します。

         
        ステップ 4switch(config-vlan)# show vlan private-vlan  (任意)

        PVLAN コンフィギュレーションを表示します。

         
        ステップ 5switch(config-vlan)# copy running-config startup-config  (任意)

        リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

         
        switch# configure terminal
        switch(config)# vlan 202
        switch(config-vlan)# private-vlan primary
        switch(config-vlan)# show vlan private-vlan
        Primary  Secondary  Type             Ports 
        -------  ---------  ---------------  -------------------------------------------
        202                 primary    
              
        switch(config-vlan)# 
        

        セカンダリ VLAN としての VLAN の設定

        VLAN を、PVLAN のプライマリ VLAN として動作するように設定するには、ここで説明する手順を実行します。

        はじめる前に
        • EXEC モードで CLI にログインしていること。
        • プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化 の手順で、プライベート VLAN 機能をイネーブルにしていること。
        • セカンダリ VLAN として設定する VLAN が標準 VLAN としてすでにシステムに存在し、その VLAN ID が判明していること。

          (注)  


          この VLAN がまだ存在しない場合、セカンダリ VLAN を作成する際に、その作成を促すメッセージが表示されます。 VLAN の作成方法については、VLAN の作成を参照してください。


        • セカンダリ VLAN をコミュニティ VLAN にするか、独立 VLAN にするか決定しています。また、それぞれの VLAN ID が判明しています。
        手順
           コマンドまたはアクション目的
          ステップ 1switch# configure terminal 

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2switch(config)# vlan secondary-vlan-id 

          指定された VLAN の VLAN コンフィギュレーション モードを開始し、実行コンフィギュレーションにセカンダリ VLAN ID を設定します。

           
          ステップ 3switch(config-vlan)# private-vlan {community | isolated} 

          VLAN を実行コンフィギュレーションのコミュニティ VLAN、または独立プライベート VLAN として指定します。

           
          ステップ 4switch(config-vlan)# show vlan private-vlan  (任意)

          PVLAN コンフィギュレーションを表示します。

           
          ステップ 5switch(config-vlan)# copy running-config startup-config  (任意)

          リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

           
          switch# configure terminal
          switch(config)# vlan 202
          switch(config-vlan)# private-vlan primary
          switch(config-vlan)# show vlan private-vlan
          Primary  Secondary  Type             Ports 
          -------  ---------  ---------------  -------------------------------------------
          202                 primary          
          
          switch(config-vlan)#
          

          PVLAN での VLAN の関連付け

          PVLAN のプライマリ VLAN をセカンダリ VLAN と関連付けるには、ここで説明する手順を実行します。

          はじめる前に
          • EXEC モードで CLI にログインしていること。
          • この PVLAN のプライマリ VLAN がすでに PVLAN として設定されています。
          • この PVLAN のセカンダリ VLAN がすでに PVLAN として設定されています。
          • PVLAN の一部である個々の VLAN の VLAN ID が判明しています。
          手順
             コマンドまたはアクション目的
            ステップ 1switch# configure terminal 

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2switch(config)# vlan primary-vlan-id 

            VLAN コンフィギュレーション モードを開始し、実行コンフィギュレーションで PVLAN として機能するように VLAN を関連付けます。

             
            ステップ 3switch(config-vlan)# private-vlan association {add | remove} secondary vlan-id  

            実行コンフィギュレーションで PVLAN として機能するように、指定されたセカンダリ VLAN をプライマリ VLAN と関連付けます。 追加のセカンダリ VLAN を関連付けるには、この手順を繰り返します。

             
            ステップ 4switch(config-vlan)# show vlan private-vlan  (任意)

            PVLAN コンフィギュレーションを表示します。

             
            ステップ 5switch(config-vlan)# copy running-config startup-config  (任意)

            リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

             
            switch# configure terminal
            switch(config)# vlan 202
            switch(config-vlan)# private-vlan association add 303
            switch(config-vlan)# show vlan private-vlan
            Primary  Secondary  Type             Ports 
            -------  ---------  ---------------  -------------------------------------------
            202      303        community        Veth1
            n1000v(config-vlan)#

            プライベート VLAN ホスト ポートの設定

            PVLAN で機能するように、インターフェイスをホスト ポートとして設定するには、ここで説明する手順を実行します。

            はじめる前に
            • EXEC モードで CLI にログインしていること。
            • この PVLAN のプライマリ VLAN がすでに PVLAN として設定されています。
            • この PVLAN のセカンダリ VLAN がすでに PVLAN として設定されています。
            • このセカンダリ VLAN が、すでにプライマリ VLAN に関連付けられています。
            • ホスト ポートとして PVLAN とともに使用されるインターフェイスの名前が判明しています。
            手順
               コマンドまたはアクション目的
              ステップ 1switch# configure terminal 

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2switch(config)# interface type if_id 

              インターフェイス コンフィギュレーション モードを開始して、存在しない場合は名前付きインターフェイスを作成します。

               
              ステップ 3switch(config-if)# switchport mode private-vlan host 

              物理インターフェイスが、実行コンフィギュレーションで PVLAN ホスト ポートとして機能するように指定します。

               
              ステップ 4switch(config-if)# show interface type if_id  (任意)

              インターフェイスの設定を表示します。

               
              ステップ 5switch(config-if)# copy running-config startup-config  (任意)

              リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

               
              switch# configure terminal
              switch(config)# interface veth1
              switch(config-if)# switchport mode private-vlan host
              switch(config-if)# show interface veth1
              Vethernet1 is up 
                  Hardware is Virtual, address is 0050.56b0.34c8
                  Owner is VM "HAM61-RH5-32bit-ENVM-7.60.1.3"
                  Active on module 2, host VISOR-HAM61.localdomain 0
                  VMware DVS port 16777215
                  Port-Profile is vlan631
                  Port mode is Private-vlan host
                  Rx
                  48600 Input Packets 34419 Unicast Packets
                  0 Multicast Packets 14181 Broadcast Packets
                  4223732 Bytes
                  Tx
                  34381 Output Packets 34359 Unicast Packets
                  22 Multicast Packets 0 Broadcast Packets 0 Flood Packets
                  3368196 Bytes
                  5 Input Packet Drops 11 Output Packet Drops
                    
              switch(config-if)#
              

              ホスト ポートとプライベート VLAN の関連付け

              PVLAN のプライマリ VLAN およびセカンダリ VLAN をホスト ポートと関連付けるには、ここで説明する手順を実行します。

              はじめる前に
              • EXEC モードで CLI にログインしていること。
              • PVLAN のプライマリ VLAN およびセカンダリ VLAN の VLAN ID が判明しています。
              • この PVLAN のプライマリ VLAN がすでに PVLAN として設定されています。
              • この PVLAN のセカンダリ VLAN がすでに PVLAN として設定されています。
              • ホスト ポートとして PVLAN で機能するインターフェイスの名前が判明しています。
              手順
                 コマンドまたはアクション目的
                ステップ 1switch# configure terminal 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2switch(config)# interface type if_id 

                インターフェイス コンフィギュレーション モードを開始し、実行コンフィギュレーションで指定されたインターフェイスの名前を設定します。

                 
                ステップ 3switch(config-if)# switchport private-vlan host-association primaryvlan-id secondary vlan-id 

                実行コンフィギュレーションで、PVLAN のプライマリ VLAN ID およびセカンダリ VLAN ID をホスト ポートに関連付けます。

                インターフェイスは PVLAN の VLAN と関連付けられます。

                 
                ステップ 4switch(config-if)# show interface typeif_id  (任意)

                インターフェイスの設定を表示します。

                 
                ステップ 5switch(config-if)# copy running-config startup-config  (任意)

                リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

                 
                switch# configure terminal
                switch(config)# interface veth1
                switch(config-if)# switchport private-vlan host-association 202 303
                switch(config-if)# show interface veth1
                Name: Vethernet1
                Switchport: Enabled
                  Switchport Monitor: Not enabled 
                  Operational Mode: access
                  Access Mode VLAN: 1 (default)
                  Trunking Native Mode VLAN: 1 (default)
                  Trunking VLANs Enabled: 1-3967,4048-4093
                  Administrative private-vlan primary host-association: 202
                  Administrative private-vlan secondary host-association: 203
                  Administrative private-vlan primary mapping: none
                  Administrative private-vlan secondary mapping: none
                  Administrative private-vlan trunk native VLAN: 1
                  Administrative private-vlan trunk encapsulation: dot1q
                  Administrative private-vlan trunk normal VLANs: none
                  Administrative private-vlan trunk private VLANs: 
                  Operational private-vlan: 202, 203
                      
                switch(config-if)# 

                無差別トランク ポートとしてのレイヤ 2 インターフェイスの設定

                レイヤ 2 インターフェイスを、次の操作を行う無差別トランク ポートとして設定するには、ここで説明する手順を実行します。

                • 複数の無差別ポートを 1 つのトランク ポートにまとめます。
                • 標準 VLAN をすべて伝送します。
                • 複数の PVLAN プライマリ VLAN を個別に、選択したセカンダリ VLAN とともに伝送します。

                (注)  


                無差別ポートはアクセス ポート、またはトランク ポートのいずれかです。 プライマリ VLAN が 1 つである場合、無差別アクセス ポートを使用できます。 複数のプライマリ VLAN がある場合、無差別トランク ポートを使用できます。


                はじめる前に
                • EXEC モードで CLI にログインしていること。
                • private-vlan mapping trunk コマンドは、ポートのトランク設定を決定、または上書きしません。
                • このポートは、プライベート VLAN トランク設定に追加する前に、すでに通常のトランク モードで設定されています。
                • プライマリ VLAN を無差別トランク ポートで許容される VLAN のリストに追加する必要があります。
                • セカンダリ VLAN は許容される VLAN リストに設定されません。
                • トランク ポートは、プライマリ VLAN に加えて、標準 VLAN を伝送することができます。
                • 混合トランク ポート 1 個のセカンダリ VLAN には、最大 64 のプライマリ VLAN をマッピングできます。
                手順
                   コマンドまたはアクション目的
                  ステップ 1switch# configure terminal 

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2switch(config)# interface type slot/port 

                  指定したインターフェイスに対してインターフェイス コンフィギュレーション モードを開始します。

                   
                  ステップ 3switch(config-if)# switchport mode private-vlan trunk promiscuous 

                  実行コンフィギュレーションで、インターフェイスを無差別プライベート VLAN トランク ポートとして指定します。

                   
                  ステップ 4switch(config-if)# switchport private-vlan trunk allowed vlan all 

                  実行コンフィギュレーションで、プライベート VLAN トランク ポートがすべての標準 VLAN を伝送することを指定します。

                   
                  ステップ 5switch(config-if)# switchport private-vlan mapping trunk primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list} 

                  プライベート VLAN トランク ポートをプライマリ VLAN、および実行コンフィギュレーションで選択されたセカンダリ VLAN にマップします。

                  複数のプライベート VLAN ペアを指定し、1 つの無差別トランク ポートが複数のプライマリ VLAN を伝送できるようにすることができます。

                   
                  ステップ 6switch(config-if)# switchport private-vlan trunk native vlan vlan_ID 

                  プライベート VLAN トランキングのネイティブ設定を設定します。

                  vlan_id:プライベート VLAN トランク ポートのネイティブ VLAN として使用する VLAN(1 ~ 3967、4048 ~ 4093)。

                   
                  ステップ 7switch(config-if)# show interfaces [type slot/port] switchport  (任意)

                  確認のためにコンフィギュレーションを表示します。

                   
                  ステップ 8switch(config-if)# copy running-config startup-config  (任意)

                  リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

                   
                  switch# configure terminal
                  switch(config)# int eth2/6
                  switch(config-if)# switchport mode private-vlan trunk promiscuous
                  switch(config-if)# switchport private-vlan trunk allowed vlan all
                  switch(config-if)# switchport private-vlan mapping trunk 202 303, 440
                  switch(config-if)# switchport private-vlan mapping trunk 210 310, 450
                  switch(config-if)# switchport private-vlan mapping trunk 210 add 451,460
                  switch(config-if)# switchport private-vlan mapping trunk 210 remove 310
                  switch(config-if)# switchport private-vlan trunk native vlan 100
                  switch(config-if)#show interface eth 2/6 switchport
                  Name: Ethernet2/6
                    Switchport: Enabled
                    Switchport Monitor: Not enabled 
                    Operational Mode: Private-vlan trunk promiscuous
                    Access Mode VLAN: 1 (default)
                    Trunking Native Mode VLAN: 1 (default)
                    Trunking VLANs Enabled: 25-27
                    Administrative private-vlan primary host-association: none
                    Administrative private-vlan secondary host-association: none
                    Administrative private-vlan primary mapping: none
                    Administrative private-vlan secondary mapping: none
                    Administrative private-vlan trunk native VLAN: 100 
                    Administrative private-vlan trunk encapsulation: dot1q
                    Administrative private-vlan trunk normal VLANs: 1-3967, 4048-4093
                    Administrative private-vlan trunk private VLANs: (202,303) (202,440) (210,450) (210,451) (210,460) 
                    Operational private-vlan: 202,210,303,440,450-451,460
                        
                  switch(config-if)#
                  

                  プライベート VLAN 無差別アクセス ポートの設定

                  PVLAN の無差別アクセス ポートとして使用されるようにポートを設定するには、個々で説明する手順を実行します。

                  はじめる前に
                  • EXEC モードで CLI にログインしていること。
                  • 無差別アクセス ポートとして機能するインターフェイスの名前が判明しています。
                  手順
                     コマンドまたはアクション目的
                    ステップ 1switch# configure terminal 

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2switch(config)# interface type [slot/port | number] 

                    指定したインターフェイスに対してインターフェイス コンフィギュレーション モードを開始します。

                     
                    ステップ 3switch(config-if)# switchport mode private-vlan promiscuous 

                    実行コンフィギュレーションにおいて、インターフェイスをプライベート VLAN の無差別アクセス ポートとして機能させることを指定します。

                     
                    ステップ 4switch(config-if)# show interface type [slot/port | number]   (任意)

                    インターフェイスの設定を表示します。

                     
                    ステップ 5switch(config-if)# copy running-config startup-config  (任意)

                    リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

                     
                    switch# configure terminal
                    switch(config)# interface eth3/2
                    switch(config-if)# switchport mode private-vlan promiscuous
                    switch(config-if)# show interface eth3/2
                    Ethernet3/2 is up
                        Hardware is Ethernet, address is 0050.5655.2e85 (bia 0050.5655.2e85)
                        MTU 1500 bytes, BW -1942729464 Kbit, DLY 10 usec,
                           reliability 255/255, txload 1/255, rxload 1/255
                        Encapsulation ARPA
                        Port mode is promiscuous
                        full-duplex, 1000 Mb/s
                        Beacon is turned off
                        Auto-Negotiation is turned on
                        Input flow-control is off, output flow-control is off
                        Rx
                        276842 Input Packets 100419 Unicast Packets
                        138567 Multicast Packets 37856 Broadcast Packets
                        25812138 Bytes
                        Tx
                        128154 Output Packets 100586 Unicast Packets
                        1023 Multicast Packets 26545 Broadcast Packets 26582 Flood Packets
                        11630220 Bytes
                        173005 Input Packet Drops 37 Output Packet Drops
                          
                    switch(config-if)# 
                    
                    switch# configure terminal
                    switch(config)# interface vethernet1
                    n1000v(config-if)# switchport mode private-vlan promiscuous
                    switch(config-if)# show interface vethernet 1
                    Vethernet1 is up
                      Port description is VM-1, Network Adapter 7
                      Hardware: Virtual, address: 0050.569e.009f (bia 0050.569e.009f)
                      Owner is VM "VM-1", adapter is Network Adapter 7
                      Active on module 5
                      VMware DVS port 5404
                      Port-Profile is pri_25
                      Port mode is Private-vlan promiscuous
                      5 minute input rate 0 bits/second, 0 packets/second
                      5 minute output rate 7048 bits/second, 2 packets/second
                      Rx
                        20276 Input Packets 379239 Unicast Packets
                        24 Multicast Packets 1395 Broadcast Packets
                        1428168 Bytes
                      Tx
                        256229 Output Packets 74946 Unicast Packets
                        16247 Multicast Packets 2028117 Broadcast Packets 190123 Flood Packets
                        44432239 Bytes
                        162 Input Packet Drops 159 Output Packet Drops
                          
                    switch(config-if)#
                    

                    無差別アクセス ポートとプライベート VLAN の関連付け

                    PVLAN のプライマリ VLAN およびセカンダリ VLAN を無差別アクセス ポートと関連付けるには、ここで説明する手順を実行します。

                    はじめる前に
                    • EXEC モードで CLI にログインしていること。
                    • PVLAN のプライマリ VLAN およびセカンダリ VLAN の VLAN ID が判明しています。
                    • プライマリ VLAN およびセカンダリ VLAN はすでに PVLAN として設定されています。
                    • 無差別アクセス ポートとして PVLAN で機能するインターフェイスの名前が判明しています。
                    手順
                       コマンドまたはアクション目的
                      ステップ 1switch# configure terminal 

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 2switch(config)# interface type [slot/port | number] 

                      指定したインターフェイスに対してインターフェイス コンフィギュレーション モードを開始します。

                       
                      ステップ 3switch(config-if)# switchport private-vlan mapping primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list} 

                      実行コンフィギュレーションで、無差別アクセス ポートを PVLAN の VLAN ID と関連付けます。

                       
                      ステップ 4switch(config-if)# show interface type [slot/port | number]   (任意)

                      インターフェイスの設定を表示します。

                       
                      ステップ 5switch(config-if)# copy running-config startup-config  (任意)

                      リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

                       
                      switch# configure terminal
                      switch(config)# interface eth3/2
                      switch(config-if)# switchport private-vlan mapping 202 303
                      switch(config-if)# show vlan private-vlan
                      Primary  Secondary  Type             Ports 
                      -------  ---------  ---------------  -------------------------------------------
                      202      303        community        Eth3/2, Veth1
                            
                      switch(config-if)#
                      

                      プライベート VLAN コンフィギュレーションの削除

                      プライベート VLAN コンフィギュレーションを削除し、VLAN を標準 VLAN モードに戻すには、ここで説明する手順を実行します。

                      はじめる前に
                      • EXEC モードで CLI にログインしていること。
                      • VLAN がプライベート VLAN として設定され、VLAN ID が判明しています。
                      • PVLAN コンフィギュレーションを削除すると、これに関連付けられているポートは非アクティブになります。
                      手順
                         コマンドまたはアクション目的
                        ステップ 1switch# configure terminal 

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 2switch(config)# vlan private vlan-id 

                        指定された VLAN の VLAN コンフィギュレーション モードが開始されます。

                         
                        ステップ 3switch(config-vlan)# no private-vlan {community | isolated | primary} 

                        実行コンフィギュレーション.の PVLAN から指定された VLAN を削除します。

                        指定された VLAN からプライベート VLAN コンフィギュレーションが削除されます。 VLAN は標準 VLAN モードに戻ります。 VLAN に関連付けられたポートは非アクティブです。

                         
                        ステップ 4switch(config-vlan)# show vlan private-vlan  (任意)

                        PVLAN コンフィギュレーションを表示します。

                         
                        ステップ 5switch(config-vlan)# copy running-config startup-config  (任意)

                        リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。

                         
                        switch# configure terminal
                        switch(config)# vlan 5
                        switch(config-vlan)# no private-vlan primary
                        switch(config-vlan)# show vlan private-vlan
                        Primary  Secondary  Type             Ports 
                        -------  ---------  ---------------  -------------------------------------------
                        
                        switch(config-vlan)#
                        

                        プライベート VLAN コンフィギュレーションの確認

                        プライベート VLAN コンフィギュレーションを検証するには、次のコマンドを使用します。

                        コマンド 目的

                        show feature

                        PVLAN などの使用可能な機能と、それらがグローバルにイネーブルかどうかを表示します。

                        show running-config vlan vlan-id

                        VLAN 情報を表示します。

                        show vlan private-vlan [type]

                        プライベート VLAN に関する情報を表示します。

                        show interface switchport

                        スイッチ ポートとして設定されているすべてのインターフェイスの情報を表示します。

                        プライベート VLAN の設定例

                        例:PVLAN トランク ポート

                        ここでは、次のようにインターフェイス イーサネット 2/6 設定する例を示します。

                        • プライベート VLAN トランク ポート
                        • セカンダリ VLAN 303 および 440 と関連付けられているプライマリ プライベート VLAN 202 にマップします
                        • セカンダリ VLAN 310 および 450 と関連付けられているプライマリ プライベート VLAN 210 にマップします
                        switch# configure terminal
                        switch(config)# vlan 303,310
                        switch(config-vlan)# private-vlan community
                        switch(config)# vlan 440,450
                        switch(config-vlan)# private-vlan isolated
                        
                        switch(config)# vlan 202
                        switch(config-vlan)# private-vlan primary
                        switch(config-vlan)# private-vlan association 303,440
                        
                        switch(config)# vlan 210
                        switch(config-vlan)# private-vlan primary
                        switch(config-vlan)# private-vlan association 310,450
                        
                        switch# configure terminal
                        switch(config)# int eth2/6
                        switch(config-if)# switchport mode private-vlan trunk promiscuous
                        switch(config-if)# switchport private-vlan trunk allowed vlan all
                        switch(config-if)# switchport private-vlan mapping trunk 202 303, 440
                        switch(config-if)# switchport private-vlan mapping trunk 210 310, 450
                        switch(config-if)# show interface switchport
                        Name: Ethernet2/6
                          Switchport: Enabled
                        Operational Mode: Private-vlan trunk promiscuous
                        Access Mode VLAN: 1 (default)
                        Trunking Native Mode VLAN: 1 (default)
                        Trunking VLANs Enabled: 1-3967,4048-4093
                        Administrative private-vlan primary host-association: none
                          Administrative private-vlan secondary host-association: none
                          Administrative private-vlan primary mapping: none
                          Administrative private-vlan secondary mapping: none
                          Administrative private-vlan trunk native VLAN: 1
                          Administrative private-vlan trunk encapsulation: dot1q
                          Administrative private-vlan trunk normal VLANs: 1-3967, 4048-4093
                          Administrative private-vlan trunk private VLANs: (202,303) (202,440) (210,310) (210,450)  Operational private-vlan: 202,210,303,310,440,450
                        switch(config-if)# 
                        

                        例:ポート プロファイルを使用した PVLAN

                        次の例では、インターフェイス eth2/6 をポート プロファイル uppvlanpromtrunk156 を使用して設定する方法を示します。

                        この設定では、セカンダリ インターフェイス 153、154、および 155 のパケットは、コマンド switchport private-vlan mapping trunk 156 153-155 の結果として、プライマリ VLAN 156 に変換されます。

                        vlan 153-154
                          private-vlan community
                        vlan 155
                          private-vlan isolated
                        vlan 156
                          private-vlan association 153-155
                          private-vlan primary
                        
                         
                        switch# show run int eth2/6
                        
                        version 4.0(1)
                        interface Ethernet2/6
                        switchport
                        inherit port-profile uppvlanpromtrunk156
                        
                        switch# show port-profile name uppvlanpromtrunk156
                        port-profile uppvlanpromtrunk156
                        description:
                        status: enabled
                        capability privileged: no
                        capability uplink: yes
                        port-group: uppvlanpromtrunk156
                        config attributes:
                        switchport mode private-vlan trunk promiscuous
                        switchport private-vlan trunk allowed vlan all
                        switchport private-vlan mapping trunk 156 153-155
                        no shutdown
                        evaluated config attributes:
                        switchport mode trunk
                        switchport trunk allowed vlan all
                        switchport private-vlan mapping trunk 156 153-155
                        no shutdown
                        assigned interfaces:
                        Ethernet2/6
                        
                        switch# show interface eth 2/6 switchport 
                        Name: Ethernet2/6
                          Switchport: Enabled
                          Switchport Monitor: Not enabled 
                          Operational Mode: Private-vlan trunk promiscuous
                          Access Mode VLAN: 1 (default)
                          Trunking Native Mode VLAN: 1 (default)
                          Trunking VLANs Enabled: 1-3967,4048-4093
                          Administrative private-vlan primary host-association: none
                          Administrative private-vlan secondary host-association: none
                          Administrative private-vlan primary mapping: none
                          Administrative private-vlan secondary mapping: none
                          Administrative private-vlan trunk native VLAN: 1
                          Administrative private-vlan trunk encapsulation: dot1q
                          Administrative private-vlan trunk normal VLANs: 1-155,157-3967,4048-4093
                          Administrative private-vlan trunk private VLANs: (156,153) (156,155) 
                          Operational private-vlan: 156,153,155 inherit port-profile uppvlanpromtrunk156
                         switch#
                        

                        プライベート VLAN の機能履歴

                        機能名

                        機能名

                        リリース

                        feature private-vlan コマンド

                        4.2(1)SV1(4)

                        プライベート VLAN 機能をグローバルにイネーブルにする機能。

                        プライベート VLAN

                        4.0(4)SV1(1)

                        この機能が導入されました。