Cisco Nexus 4001I/4005I Switch Module for IBM BladeCenter NX-OS コンフィギュレーション ガイド
プライベート VLAN の設定
プライベート VLAN の設定
発行日;2012/05/10 | 英語版ドキュメント(2012/05/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

プライベート VLAN の設定

プライベート VLAN の概要

プライベート VLAN のプライマリ VLAN とセカンダリ VLAN

プライベート VLAN ポートの概要

プライマリ VLAN、隔離 VLAN、コミュニティ プライベート VLAN の概要

プライマリ VLAN とセカンダリ VLAN のアソシエーション

プライベート VLAN でのブロードキャスト トラフィックの概要

プライベート VLAN ポート隔離の概要

プライベート VLAN の設定

プライベート VLAN の設定についての注意事項

プライベート VLAN をイネーブルにするには

VLAN をプライベート VLAN として設定するには

セカンダリ VLAN のプライマリ プライベート VLAN とのアソシエーション

インターフェイスをプライベート VLAN ホスト ポートとして設定するには

インターフェイスをプライベート VLAN 混合ポートとして設定するには

プライベート VLAN の設定の確認

プライベート VLAN の設定

この章では、プライベート VLAN の設定方法について説明します。


) この章で説明している設定を行う前に、プライベート VLAN をイネーブルにする必要があります。


この章で説明する内容は、次のとおりです。

「プライベート VLAN の概要」

「プライベート VLAN の設定」

「プライベート VLAN の設定の確認」

プライベート VLAN の概要

プライベート VLAN は、VLAN のレイヤ 2 ブロードキャスト ドメインをサブドメインのパーティションに分割し、これによって、ユーザは、スイッチ のそれぞれのポートを相互に隔離することができます。サブドメインは、1 つのプライマリ VLAN と 1 つまたは複数のセカンダリ VLAN で構成されます(図 7-1 を参照)。プライベート VLAN にあるすべての VLAN は、同じプライマリ VLAN を共有します。セカンダリ VLAN ID は、各サブドメインの区別に使用されます。セカンダリ VLAN は、隔離 VLAN またはコミュニティ VLAN のいずれかの場合があります。隔離 VLAN 上のホストは、そのプライマリ VLAN 上でアソシエートされている混合ポートのみと通信できます。コミュニティ VLAN 上のホストは、それぞれのホスト間およびアソシエートされている混合ポートと通信できますが、他のコミュニティ VLAN にあるポートとは通信できません。


) Cisco NX-OS の現在のリリースを実行中の Cisco Nexus 4001I/4005I Switch Module for IBM BladeCenter PVLAN の隔離ポートでは、IEEE 802.1q のカプセル化はサポートされませんので、トランク ポートとしては使用できません。


図 7-1 プライベート VLAN ドメイン

 


) VLAN は、プライマリまたはセカンダリのプライベート VLAN に変換する前に、まず、作成する必要があります。VLAN 作成の詳細については、を参照してください。


ここでは、次の内容について説明します。

「プライベート VLAN のプライマリ VLAN とセカンダリ VLAN」

「プライベート VLAN ポートの概要」

「プライベート VLAN でのブロードキャスト トラフィックの概要」

「プライベート VLAN ポート隔離の概要」

プライベート VLAN のプライマリ VLAN とセカンダリ VLAN

プライベート VLAN ドメインには、プライマリ VLAN が 1 つのみ含まれています。プライベート VLAN ドメインの各ポートは、プライマリ VLAN のメンバーです。プライマリ VLAN は、プライベート VLAN ドメイン全体です。

セカンダリ VLAN は、同じプライベート VLAN ドメイン内のポート間を分離します。プライマリ VLAN 内のセカンダリ VLAN には、次の 2 つのタイプがあります。

隔離 VLAN:隔離 VLAN 内のポートは、レイヤ 2 レベルで直接かつ相互には通信できません。

コミュニティ VLAN:コミュニティ VLAN 内のポートは相互通信できますが、他のコミュニティ VLAN またはレイヤ 2 レベルの隔離 VLAN にあるポートとは通信できません。

プライベート VLAN ポートの概要

プライベート VLAN ポートのタイプは、次のとおりです。

混合ポート:混合ポートは、プライマリ VLAN に属します。混合ポートは、混合ポートとアソシエートされているセカンダリ VLAN に属し、プライマリ VLAN とアソシエートされている、すべてのインターフェイスと通信でき、この通信可能なインターフェイスには、コミュニティ ポートと隔離ホスト ポートも含まれます。プライマリ VLAN には、複数の混合ポートを含めることができます。各混合ポートには、ポートにアソシエートされている、複数のセカンダリ VLAN を含めることができ、また、セカンダリ VLAN を含めないこともできます。混合ポートとセカンダリ VLAN が同じプライマリ VLAN にある限り、セカンダリ VLAN は、複数の混合ポートとアソシエートすることができます。ロード バランシングまたは冗長性を持たせる目的で、これを行う必要が生じる場合があります。混合ポートとアソシエートされていないセカンダリ VLAN も、含めることができます。

隔離:隔離ポートは、隔離セカンダリ VLAN に属しているホスト ポートです。このポートは、アソシエートされている混合ポートと通信できることを除き、同じプライベート VLAN ドメイン内の他のポートから、完全に隔離されています。プライベート VLAN では、混合ポートからのトラフィックを除き、隔離ポートへのすべてのトラフィックがブロックされます。隔離ポートから受信したトラフィックは、混合ポートにのみ転送されます。指定した隔離 VLAN には、複数の隔離ポートを含めることができます。各ポートは、隔離 VLAN にある他のすべてのポートから、完全に隔離されています。

コミュニティ:コミュニティ ポートは、1 つのコミュニティ セカンダリ VLAN に属しているホスト ポートです。コミュニティ ポートは、同じコミュニティ VLAN にある他のポートおよびアソシエートされている混合ポートと通信します。これらのインターフェイスは、他のコミュニティにある他のすべてのインターフェイスからも、プライベート VLAN ドメイン内のすべての隔離ポートからも、隔離されています。


) トランクでは、混合ポート、隔離ポート、コミュニティ ポートの間のトラフィックがやり取りされる VLAN のサポートが可能なため、隔離ポートとコミュニティ ポートのトラフィックは、トランク インターフェイスを介してスイッチでの送受信が行われます。


プライマリ VLAN、隔離 VLAN、コミュニティ プライベート VLAN の概要

プライマリ VLAN および 2 つのタイプのセカンダリ VLAN(隔離 VLAN とコミュニティ VLAN)には、次の特徴があります。

プライマリ VLAN:プライマリ VLAN では、混合ポートから、隔離およびコミュニティの両方のホスト ポートへ、および、他の混合ポートへ、トラフィックを送信します。

隔離 VLAN:隔離 VLAN は、ホストから混合ポートに単方向トラフィック アップストリームを送信する、セカンダリ VLAN です。プライベート VLAN ドメインには、複数の隔離 VLAN を設定できます。すべてのトラフィックは、それぞれの内部に隔離されて残ります。各隔離 VLAN には、複数の隔離ポートを含めることができ、各隔離ポートからのトラフィックも、完全に別に残ります。

コミュニティ VLAN:コミュニティ VLAN は、コミュニティ ポートから、混合ポートおよび同じコミュニティにある他のホスト ポートへ、アップストリーム トラフィックを送信するセカンダリ VLAN です。プライベート VLAN には、複数のコミュニティ VLAN を設定できます。1 つのコミュニティ内のポートは相互に通信できますが、これらのポートは、他のコミュニティにあるポートとも、プライベート VLAN にある隔離 VLAN とも、通信できません。

図 7-2 に、プライベート VLAN 内のトラフィック フローと、VLAN のタイプ、ポートのタイプを示します。

図 7-2 プライベート VLAN のトラフィック フロー

 


) プライベート VLAN のトラフィック フローは、ホスト ポートから混合ポートへの単方向です。プライマリ VLAN で受信するトラフィックによって隔離は行われず、転送は通常 VLAN として実行されます。


混合ポートでは、1 つのみのプライマリ VLAN と複数のセカンダリ VLAN(コミュニティ VLAN および隔離 VLAN)を処理できます。混合ポートでは、広範囲なデバイスをプライベート VLAN のアクセス ポイントとして接続できます。たとえば、混合ポートを使用すると、管理ワークステーションから、すべてのプライベート VLAN サーバのモニタリングやバックアップをすることができます。

スイッチ環境では、個々のプライベート VLAN とアソシエートされている IP サブネットを、各エンド ステーションやエンド ステーションの共通グループに割り当てることができます。プライベート VLAN の外部と通信するには、エンド ステーションでは、デフォルト ゲートウェイのみと通信する必要があります。

プライマリ VLAN とセカンダリ VLAN のアソシエーション

セカンダリ VLAN にあるホスト ポートで、プライベート VLAN の外部と通信するには、セカンダリ VLAN をプライマリ VLAN にアソシエートします。アソシエーションの操作が可能ではない場合、セカンダリ VLAN のホスト ポート(コミュニティ ポートと隔離ポート)は、ダウンされます。


) セカンダリ VLAN は、1 つのプライマリ VLAN のみにアソシエートすることができます。


アソシエーションの操作を可能にするには、次の条件を満たす必要があります。

プライマリ VLAN を終了し、プライマリ VLAN として設定する必要があります。

セカンダリ VLAN を終了し、隔離 VLAN またはコミュニティ VLAN として設定する必要があります。


) アソシエーションの操作が可能かどうかを確認するには、show コマンドを使用します。アソシエーションの操作が可能ではない場合、スイッチではエラー メッセージは表示されません(設定確認の詳細については、「プライベート VLAN の設定の確認」を参照してください)。


プライマリ VLAN またはセカンダリ VLAN のどちらかを削除すると、VLAN にアソシエートされたポートが非アクティブになります。VLAN を通常モードに戻すには、 no private-vlan コマンドを使用します。VLAN 上のすべてのプライマリおよびセカンダリのアソシエーションは一時停止されますが、インターフェイスはプライベート VLAN モードのままです。VLAN をプライベート VLAN モードに戻すときには、元のアソシエーションが戻されます。

プライマリ VLAN で no vlan コマンドを入力すると、その VLAN でのすべてのプライベート VLAN のアソシエーションが失われます。ただし、セカンダリ VLAN で no vlan コマンドを入力した場合、この VLAN とのプライベート VLAN のアソシエーションは一時停止され、指定した VLAN を再作成して前のセカンダリ VLAN として設定したときに戻ります。

セカンダリ VLAN とプライマリ VLAN とのアソシエーションを変更するには、現在のアソシエーションを削除してから必要なアソシエーションを追加します。

プライベート VLAN でのブロードキャスト トラフィックの概要

プライベート VLAN にあるポートからのブロードキャスト トラフィックは、次のように流れます。

ブロードキャスト トラフィックは、プライマリ VLAN で、混合ポートからすべてのポート(コミュニティ VLAN と隔離 VLAN にあるすべてのポートも含む)に流れます。このブロードキャスト トラフィックは、プライベート VLAN パラメータで設定されていないポートを含め、プライマリ VLAN 内のすべてのポートに配信されます。

隔離ポートからのブロードキャスト トラフィックは、隔離ポートにアソシエートされているプライマリ VLAN にある混合ポートにのみ配信されます。

コミュニティ ポートからのブロードキャスト トラフィックは、ポート コミュニティ内にあるすべてのポートと、コミュニティ ポートにアソシエートされているすべての混合ポートに配信されます。ブロードキャスト パケットは、プライマリ VLAN 内の他のコミュニティにも、いずれの隔離ポートにも、配信されません。

プライベート VLAN ポート隔離の概要

プライベート VLAN を使用すると、次のように、エンド ステーションへのアクセスを制御できます。

通信を防止するには、エンド ステーションに接続されているインターフェイスのうち、選択したインターフェイスを、隔離ポートとして設定します。たとえば、エンド ステーションがサーバの場合、この設定により、サーバ間の通信が防止されます。

すべてのエンド ステーションがデフォルト ゲートウェイにアクセスできるようにするには、デフォルト ゲートウェイおよびエンド ステーションに接続されているインターフェイスを、混合ポートとして設定します。

プライベート VLAN の設定


) 指定した VLAN をプライベート VLAN として割り当てる前に、VLAN を作成しておく必要があります。


ここでは、次の内容について説明します。

「プライベート VLAN の設定についての注意事項」

「プライベート VLAN をイネーブルにするには」

「VLAN をプライベート VLAN として設定するには」

「セカンダリ VLAN のプライマリ プライベート VLAN とのアソシエーション」

「インターフェイスをプライベート VLAN ホスト ポートとして設定するには」

「インターフェイスをプライベート VLAN 混合ポートとして設定するには」

プライベート VLAN の設定についての注意事項

プライベート VLAN を設定する場合は、次の注意事項に従ってください。

スイッチでプライベート VLAN の機能を適用する前に、プライベート VLAN をイネーブルにしておく必要があります。

スイッチに、プライベート VLAN モードで動作可能なポートがある場合、プライベート VLAN はディセーブルにできません。

セカンダリ VLAN を、同じ Multiple Spanning Tree(MST)インスタンスにプライマリ VLAN としてマッピングするには、 private-vlan synchronize コマンドを入力します。詳細については、を参照してください。

プライベート VLAN をイネーブルにするには

プライベート VLAN の機能を使用するには、スイッチでプライベート VLAN をイネーブルにする必要があります。


) プライベート VLAN コマンドは、プライベート VLAN 機能をイネーブルにするまで表示されません。


スイッチでプライベート VLAN 機能をイネーブルにする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# feature private-vlan

スイッチでプライベート VLAN の機能をイネーブルにします。

次に、スイッチでプライベート VLAN の機能をイネーブルにする例を示します。

switch# configure terminal
switch(config)# feature private-vlan
 

プライベート VLAN の機能をディセーブルにする手順は、次のとおりです。

 

コマンド
目的

switch(config)# no feature private-vlan

スイッチでプライベート VLAN の機能をディセーブルにします。

(注) プライベート VLAN モードのスイッチに、動作可能なポートがある場合、プライベート VLAN はディセーブルにできません。

VLAN をプライベート VLAN として設定するには

プライベート VLAN を作成するには、まず VLAN を作成し、次に、VLAN をプライベート VLAN に設定します。プライベート VLAN 機能がイネーブルであることを確認してください。

プライベート VLAN を作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# vlan { vlan-id | vlan-range }

VLAN 設定サブモードにします。

ステップ 3

switch(config-vlan)# private-vlan { community | isolated | primary }

VLAN を、コミュニティ VLAN、隔離 VLAN、またはプライマリ プライベート VLAN として設定します。プライベート VLAN には、1 つのプライマリ VLAN を設定する必要があります。複数のコミュニティ VLAN と隔離 VLAN を設定することができます。

次に、VLAN 5 をプライマリ VLAN としてプライベート VLAN に割り当てる例を示します。

switch# configure terminal
switch(config)# vlan 5
switch(config-vlan)# private-vlan primary
 

次に、VLAN 100 をコミュニティ VLAN としてプライベート VLAN に割り当てる例を示します。

switch(config-vlan)# exit
switch(config)# vlan 100
switch(config-vlan)# private-vlan community
 

次に、VLAN 109 を隔離 VLAN としてプライベート VLAN に割り当てる例を示します。

switch(config-vlan)# exit
switch(config)# vlan 109
switch(config-vlan)# private-vlan isolated
 

プライベート VLAN をディセーブルにする手順は、次のとおりです。

 

コマンド
目的

switch(config-vlan)# no private-vlan { community | isolated | primary }

指定した VLAN からプライベート VLAN の設定を削除し、通常の VLAN モードに戻します。プライマリ VLAN またはセカンダリ VLAN のどちらかを削除すると、VLAN にアソシエートされたポートが非アクティブになります。

セカンダリ VLAN のプライマリ プライベート VLAN とのアソシエーション

セカンダリ VLAN をプライマリ VLAN とアソシエートするときには、次の事項に注意してください。

secondary-vlan-list パラメータには、スペースを含めないでください。複数のカンマ区切りの項目を含めることができます。各項目として入力できるのは、単一のセカンダリ VLAN ID またはハイフンで連結したセカンダリ VLAN ID です。

secondary-vlan-list パラメータには、複数のコミュニティ VLAN ID と隔離 VLAN ID を含めることができます。

セカンダリ VLAN をプライマリ VLAN にアソシエートするには、 secondary-vlan-list と入力するか、 secondary-vlan-list add キーワードを使用します。

セカンダリ VLAN とプライマリ VLAN とのアソシエーションをクリアするには、 secondary-vlan-list remove キーワードを使用します。

セカンダリ VLAN とプライマリ VLAN とのアソシエーションを変更するには、既存のアソシエーションを削除し、次に必要なアソシエーションを追加します。

プライマリ VLAN またはセカンダリ VLAN のどちらかを削除すると、VLAN にアソシエートされたポートが非アクティブになります。 no private-vlan コマンドを入力すると、VLAN は通常 VLAN モードに戻ります。VLAN 上のすべてのプライマリおよびセカンダリのアソシエーションは一時停止されますが、インターフェイスはプライベート VLAN モードのままです。指定した VLAN をプライベート VLAN モードに再変換すると、元のアソシエーションが戻されます。

プライマリ VLAN で no vlan コマンドを入力すると、その VLAN でのすべてのプライベート VLAN のアソシエーションが失われます。ただし、セカンダリ VLAN で no vlan コマンドを入力した場合、この VLAN とのプライベート VLAN のアソシエーションは一時停止され、指定した VLAN を再作成して前のセカンダリ VLAN として設定したときに戻ります。

プライベート VLAN 機能がイネーブルであることを確認してください。

セカンダリ VLAN をプライマリ VLAN とアソシエートするときには、次の操作を実行します。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# vlan primary-vlan-id

プライベート VLAN 設定の操作対象のプライマリ VLAN の番号を入力します。

ステップ 3

switch(config-vlan)# private-vlan association {[ add ] secondary-vlan-list | remove secondary-vlan-list }

セカンダリ VLAN をプライマリ VLAN とアソシエートします。

次に、コミュニティ VLAN 100 ~ 103 と隔離 VLAN 109 をプライマリ VLAN 5 とアソシエートする例を示します。

switch# configure terminal
switch(config)# vlan 5
switch(config-vlan)# private-vlan association 100-103, 109
 

プライベート VLAN からすべてのアソシエーションを削除する手順は、次のとおりです。

 

コマンド
目的

switch(config-vlan)# no private-vlan association

プライマリ VLAN からすべてのアソシエーションを削除し、通常の VLAN モードに戻します。

インターフェイスをプライベート VLAN ホスト ポートとして設定するには

インターフェイスは、プライベート VLAN ホスト ポートとして設定できます。プライベート VLAN では、ホスト ポートがセカンダリ VLAN の一部です。セカンダリ VLAN は、コミュニティ VLAN または隔離 VLAN のいずれかです。次に、ホスト ポートを、プライマリ VLAN とセカンダリ VLAN の両方にアソシエートします。


) ホスト ポートとして設定されているすべてのインターフェイスで、BPDU ガードをイネーブルにすることを推奨します。BPDU ガードの設定の詳細については、を参照してください。


プライベート VLAN 機能がイネーブルであることを確認してください。

インターフェイスをプライベート VLAN ホスト ポートとして設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface type slot / port

プライベート VLAN ホスト ポートとして設定するポートを選択します。インターフェイスには、物理イーサネット ポートを指定できます。

ステップ 3

switch(config-if)# switchport mode private-vlan host

プライベート VLAN のホスト ポートとしてポートを設定します。

ステップ 4

switch(config-if)# switchport private-vlan host-association { primary-vlan-id } { secondary-vlan-id }

ポートを、プライベート VLAN のプライマリ VLAN とセカンダリ VLAN にアソシエートします。セカンダリ VLAN は、隔離 VLAN またはコミュニティ VLAN のいずれかとして設定できます。

次に、イーサネット ポート 1/12 をプライベート VLAN のホスト ポートとして設定し、それをプライマリ VLAN 5 およびセカンダリ VLAN 101 にアソシエートする例を示します。

switch# configure terminal
switch(config)# interface ethernet 1/12
switch(config-if)# switchport mode private-vlan host
switch(config-if)# switchport private-vlan host-association 5 101
 

プライベート VLAN のアソシエーションをインターフェイスから削除する手順は、次のとおりです。

 

コマンド
目的

switch(config-if)# no switchport private-vlan host-association

プライベート VLAN のアソシエーションをポートから削除します。

インターフェイスをプライベート VLAN 混合ポートとして設定するには

インターフェイスは、プライベート VLAN 混合ポートとして設定できます。次に、混合ポートをプライマリ VLAN とセカンダリ VLAN とアソシエーションできます。

プライベート VLAN 機能がイネーブルであることを確認してください。

インターフェイスをプライベート VLAN 混合ポートとして設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface type slot / port

プライベート VLAN 混合ポートとして設定するポートを選択します。物理インターフェイスが必要です。

ステップ 3

switch(config-if)# switchport mode private-vlan promiscuous

プライベート VLAN の混合ポートとしてポートを設定します。物理イーサネット ポートのみを、混合ポートとしてイネーブルにできます。

ステップ 4

switch(config-if)# switchport private-vlan mapping { primary-vlan-id } { secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list }

ポートを混合ポートとして設定し、プライマリ VLAN と、セカンダリ VLAN の選択リストに、指定したポートをアソシエートします。セカンダリ VLAN は、隔離 VLAN またはコミュニティ VLAN のいずれかとして設定できます。

次に、ポート 1/2 を、プライマリ VLAN 5 にアソシエートされている混合ポートと、セカンダリ隔離 VLAN 109 として設定する例を示します。

switch# configure terminal
switch(config)# interface ethernet 1/2
switch(config-if)# switchport mode private-vlan promiscuous
switch(config-if)# switchport private-vlan mapping 5 109
 

このコマンドは、物理インターフェイスにのみ使用できます。

プライベート VLAN のマッピングをクリアにする手順は、次のとおりです。

 

コマンド
目的

switch(config-if)# no switchport private-vlan mapping

プライベート VLAN から、マッピングをクリアします。

プライベート VLAN の設定の確認

プライベート VLAN の設定情報を表示する手順は、次のとおりです。

 

コマンド
目的

switch# show system internal clis feature

スイッチ でイネーブルの機能を表示します

switch# show vlan private-vlan [ type ]

プライベート VLAN のステータスを表示します。

switch# show interface switchport

スイッチ ポートとして設定されているすべてのインターフェイスの情報を表示します。

次に、プライベート VLAN の設定を表示する例を示します。

switch# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------
5 100 community
5 101 community Eth1/12, veth1/1
5 102 community
5 103 community
5 109 isolated Eth1/2
switch# show vlan private-vlan type
Vlan Type
---- -----------------
5 primary
100 community
101 community
102 community
103 community
109 isolated
 

次に、イネーブルの機能を表示する例を示します。

switch# show system internal clis feature
7 pvlan enabled