Cisco Nexus 5000 シリーズ スイッチ CLI ソフト ウェア コンフィギュレーション ガイド
プライベート VLAN の設定
プライベート VLAN の設定
発行日;2012/01/31 | 英語版ドキュメント(2009/08/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

プライベート VLAN の設定

プライベート VLAN の概要

プライベート VLAN におけるプライマリ VLAN とセカンダリ VLAN

プライベート VLAN ポートの概要

プライマリ プライベート VLAN、独立プライベート VLAN、コミュニティ プライベート VLAN の概要

プライマリ VLAN およびセカンダリ VLAN の関連付け

プライベート VLAN におけるブロードキャスト トラフィックの概要

プライベート VLAN のポート分離の概要

プライベート VLAN の設定

プライベート VLAN の設定時の注意事項

プライベート VLAN のイネーブル化

プライベート VLAN としての VLAN の設定

セカンダリ VLAN とプライマリ プライベート VLAN の関連付け

プライベート VLAN ホスト ポートとしてのインターフェイスの設定

プライベート VLAN の混合モード ポートとしてのインターフェイスの設定

プライベート VLAN 設定の確認

プライベート VLAN の設定

この章では、プライベート VLAN の設定方法について説明します。


) この章の設定を実行するには、プライベート VLAN 機能をイネーブルにする必要があります。


この章の内容は、次のとおりです。

「プライベート VLAN の概要」

「プライベート VLAN の設定」

「プライベート VLAN 設定の確認」

プライベート VLAN の概要

プライベート VLAN では VLAN のレイヤ 2 ブロードキャスト ドメインがサブドメインに分割されるので、スイッチで相互にポートを分離できます。サブドメインは、プライマリ VLAN および 1 つ以上のセカンダリ VLAN から構成されます(図 7-1を参照)。プライベート VLAN ドメインのすべての VLAN は、同一プライマリ VLAN を共有します。セカンダリ VLAN ID により、各サブドメインが識別されます。セカンダリ VLAN は、独立 VLAN かコミュニティ VLAN のいずれかになることができます。独立 VLAN 上のホストは、プライマリ VLAN の関連混合モード ポートとだけ通信できます。コミュニティ VLAN のホストは、ホスト間で通信でき、関連付けられた混合モード ポートとも通信できますが、別のコミュニティ VLAN のポートとは通信できません。


) 現行リリースの Cisco NX-OS を実行している Cisco Nexus 5000 シリーズ スイッチの PVLAN 独立ポートは、IEEE 802.1q のカプセル化をサポートせず、トランク ポートとして使用できません。


図 7-1 プライベート VLAN ドメイン

 


) プライマリかセカンダリのプライベート VLAN に VLAN を変換できるようにするには、VLAN を先に作成する必要があります。VLAN の作成の詳細については、第 6 章「VLAN の設定」を参照してください。


ここで説明する内容は、次のとおりです。

「プライベート VLAN におけるプライマリ VLAN とセカンダリ VLAN」

「プライベート VLAN ポートの概要」

「プライベート VLAN におけるブロードキャスト トラフィックの概要」

「プライベート VLAN のポート分離の概要」

プライベート VLAN におけるプライマリ VLAN とセカンダリ VLAN

プライベート VLAN ドメインにはプライマリ VLAN が 1 つだけ含まれます。プライベート VLAN ドメインの各ポートはプライマリ VLAN のメンバです。プライマリ VLAN はプライベート VLAN ドメイン全体です。

セカンダリ VLAN では、同一プライベート VLAN ドメイン内のポートを分離できます。次の 2 つのタイプは、プライマリ VLAN 内のセカンダリ VLAN です。

独立 VLAN:独立 VLAN 内のポートは、レイヤ 2 レベルで相互に直接通信できません。

コミュニティ VLAN:コミュニティ VLAN 内のポートは相互に通信できますが、別のコミュニティ VLAN のポートまたは独立 VLAN のポートとレイヤ 2 レベルで通信できません。

プライベート VLAN ポートの概要

プライベート VLAN ポートのタイプは次のとおりです。

混合モード:混合モード ポートはプライマリ VLAN に属します。混合モード ポートは、混合モード ポートに関連付けられたセカンダリ VLAN に属する、コミュニティ ホスト ポートおよび独立ホスト ポート、およびプライマリ VLAN に関連付けられたすべてのインターフェイスと通信できます。プライマリ VLAN には複数の混合モード ポートを含めることができます。各混合モード ポートには、複数のセカンダリ VLAN を関連付けることができますし、また一切関連付けないようにもできます。混合モード ポートとセカンダリ VLAN が同一プライマリ VLAN 内にある限り、1 つのセカンダリ VLAN を複数の混合モード ポートに関連付けることができます。これは、ロードバランシングまたは冗長性を目的として行います。また、セカンダリ VLAN に混合モード ポートを関連付けないようにもできます。

独立:独立ポートは独立セカンダリ VLAN に所属するホスト ポートです。このポートは同一プライベート VLAN ドメイン内のその他のポートから完全に分離されていますが、関連付けられた混合モード ポートとは通信できます。プライベート VLAN は、混合モード ポートからのトラフィックを除く、独立ポートへのすべてのトラフィックをブロックします。独立ポートから受信したトラフィックは、混合モード ポートだけに転送されます。特定の独立 VLAN には、複数の独立ポートを含めることができます。各ポートは、独立 VLAN 内のその他すべてのポートから完全に分離します。

コミュニティ:コミュニティ ポートはコミュニティ セカンダリ VLAN に所属するホスト ポートです。コミュニティ ポートは、同一コミュニティ VLAN のその他のポートと通信し、関連付けられた混合モード ポートとも通信します。このインターフェイスは、他のコミュニティのその他すべてのインターフェイス、およびプライベート VLAN ドメイン内のすべての独立ポートから分離されます。


) トランクでは、混合モード ポート、独立ポート、コミュニティ ポート間で VLAN がトラフィックを伝送するのをサポートできるので、独立ポート トラフィックおよびコミュニティ ポート トラフィックは、トランク インターフェイスを通じてスイッチでの着信/発信を行う可能性があります。


プライマリ プライベート VLAN、独立プライベート VLAN、コミュニティ プライベート VLAN の概要

プライマリ VLAN および 2 種類のセカンダリ VLAN(独立およびコミュニティ)には次の特性があります。

プライマリ VLAN:独立ポートおよびコミュニティ ポートであるホスト ポート、および他の混合モード ポートに、混合モード ポートからトラフィックを伝送します。

独立 VLAN:ホストから混合モード ポートにアップストリームに単方向トラフィックを伝送するセカンダリ VLAN です。1 つのプライベート VLAN ドメインには複数の独立 VLAN を設定できます。すべてのトラフィックはそれぞれの独立 VLAN 内で分離されます。各独立 VLAN には複数の独立ポートを含めることができ、各独立ポートからのトラフィックも完全に分離されます。

コミュニティ VLAN:混合モード ポートおよび同一コミュニティのその他のホスト ポートに、コミュニティ ポートからアップストリーム トラフィックを伝送するセカンダリ VLAN です。プライベート VLAN ドメインでは、複数のコミュニティ VLAN を設定できます。これらのポートは、同じコミュニティ内のポートと相互に通信できますが、その他のコミュニティのポートまたはプライベート VLAN の独立 VLAN のポートとは通信できません。

図 7-2 に、プライベート VLAN 内のトラフィック フロー、および VLAN のタイプとポートのタイプを示します。

図 7-2 プライベート VLAN のトラフィック フロー

 


) プライベート VLAN のトラフィック フローは、ホスト ポートから混合モード ポートへの単方向です。プライマリ VLAN で受信したトラフィックは分割を実行せず、通常の VLAN と同じようにフォワーディングが行われます。


混合モード ポートは、1 つのプライマリ VLAN および複数のセカンダリ VLAN(コミュニティ VLAN および独立 VLAN)に対する処理を行います。混合モード ポートを使用すると、プライベート VLAN へのアクセス ポイントとして幅広いデバイスを接続できます。たとえば混合モード ポートを使用し、管理ワークステーションからすべてのプライベート VLAN サーバの監視またはバックアップができます。

スイッチド環境では、個別のプライベート VLAN および関連 IP サブネットを個別の端末または端末の共通グループに割り当てられます。端末は、プライベート VLAN の外部と通信するために、デフォルト ゲートウェイだけと通信する必要があります。

プライマリ VLAN およびセカンダリ VLAN の関連付け

セカンダリ VLAN のホスト ポートがプライベート VLAN の外部と通信できるようにするには、セカンダリ VLAN をプライマリ VLAN に関連付けます。この関連付けが動作しないと、セカンダリ VLAN のホスト ポート(コミュニティ ポートおよび独立ポート)はダウンします。


) セカンダリ VLAN は 1 つのプライマリ VLAN だけと関連付けることができます。


関連付けを動作させるには、次の条件を満たす必要があります。

プライマリ VLAN が存在し、プライマリ VLAN として設定されていること。

セカンダリ VLAN が存在し、独立 VLAN かコミュニティ VLAN として設定されていること。


) 関連付けが動作していることを確認するには、show コマンドを使用します。関連付けが動作していないとき、スイッチはエラー メッセージを表示しません (設定確認の詳細については、「プライベート VLAN 設定の確認」を参照してください)。


プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。VLAN を通常モードに戻すには、 no private-vlan コマンドを使用します。その VLAN におけるすべてのプライマリとセカンダリの関連付けは一時停止しますが、インターフェイスはプライベート VLAN モードのままです。VLAN をプライベート VLAN モードに戻すと、元の関連付けが回復します。

プライマリ VLAN に対して no vlan コマンドを入力すると、その VLAN に関連付けされたすべてのプライベート VLAN は失われます。ただし、セカンダリ VLAN に対して no vlan コマンドを入力した場合、その VLAN とプライベート VLAN の関連付けは一時停止します。この VLAN を再作成して以前のセカンダリ VLAN として設定すると元に戻ります。

セカンダリ VLAN とプライマリ VLAN の関連付けを変更するには、現在の関連付けを削除してから目的の関連付けを追加します。

プライベート VLAN におけるブロードキャスト トラフィックの概要

プライベート VLAN のポートからのブロードキャスト トラフィックは、次のように流れます。

ブロードキャスト トラフィックは、混合モード ポートからプライマリ VLAN のすべてのポート(コミュニティ VLAN と独立 VLAN のすべてのポートを含む)に流れます。このブロードキャスト トラフィックは、プライマリ VLAN 内のすべてのポート(プライベート VLAN パラメータが設定されていないポートを含む)に配信されます。

独立ポートからのブロードキャスト トラフィックは、その独立ポートに関連付けられているプライマリ VLAN の混合モード ポートにだけ配信されます。

コミュニティ ポートからのブロードキャスト トラフィックは、ポートのコミュニティ内のすべてのポート、およびコミュニティ ポートに関連付けられているすべての混合モード ポートに配信されます。ブロードキャスト パケットは、プライマリ VLAN 内のその他のコミュニティ、または独立ポートには配信されません。

プライベート VLAN のポート分離の概要

プライベート VLAN を次のように使用して、端末へのアクセスを制御できます。

端末に接続されている特定のインターフェイスを独立ポートとして設定し、すべての通信を防止します。たとえば端末がサーバである場合、この設定によってサーバ間の通信が防止されます。

デフォルト ゲートウェイおよび特定の端末(バックアップ サーバなど)に接続したインターフェイスを混合モード ポートとして設定し、すべての端末のデフォルト ゲートウェイへのアクセスを許可します。

プライベート VLAN の設定


) 指定 VLAN をプライベート VLAN として割り当てるには、VLAN をすでに作成している必要があります。


ここで説明する内容は、次のとおりです。

「プライベート VLAN の設定時の注意事項」

「プライベート VLAN のイネーブル化」

「プライベート VLAN としての VLAN の設定」

「セカンダリ VLAN とプライマリ プライベート VLAN の関連付け」

「プライベート VLAN ホスト ポートとしてのインターフェイスの設定」

「プライベート VLAN の混合モード ポートとしてのインターフェイスの設定」

プライベート VLAN の設定時の注意事項

プライベート VLAN を設定するときは、次の注意事項に従ってください。

スイッチがプライベート VLAN 機能を適用するには、プライベート VLAN をイネーブルにする必要があります。

プライベート VLAN モードで動作しているポートがスイッチに含まれる場合、プライベート VLAN をディセーブルにできません。

プライマリ VLAN と同じ Multiple Spanning Tree(MST)インスタンスにセカンダリ VLAN をマッピングするには、 private-vlan synchronize コマンドを入力します。詳細については、「プライベート VLAN のプライマリ VLAN と同じ MSTI へのセカンダリ VLAN のマッピング」を参照してください。

プライベート VLAN のイネーブル化

プライベート VLAN 機能を使用するには、プライベート VLAN をスイッチでイネーブルにする必要があります。


) プライベート VLAN コマンドは、プライベート VLAN 機能をイネーブルにするまで表示されません。


プライベート VLAN 機能をスイッチでイネーブルにする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# feature private-vlan

プライベート VLAN 機能をスイッチでイネーブルにします。

次の例は、プライベート VLAN 機能をスイッチでイネーブルにする方法を示しています。

switch# configure terminal
switch(config)# feature private-vlan
 

プライベート VLAN 機能をディセーブルにする手順は、次のとおりです。

 

コマンド
目的

switch(config)# no feature private-vlan

プライベート VLAN 機能をスイッチでディセーブルにします。

(注) プライベート VLAN モードで動作しているポートがスイッチに含まれる場合、プライベート VLAN をディセーブルにできません。

プライベート VLAN としての VLAN の設定

プライベート VLAN を作成するには、VLAN を作成してから、プライベート VLAN になるようにその VLAN を設定します。プライベート VLAN 機能がイネーブルになっていることを確認してください。

プライベート VLAN を作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# vlan { vlan-id | vlan-range }

VLAN コンフィギュレーション サブモードを開始します。

ステップ 3

switch(config-vlan)# private-vlan { community | isolated | primary }

コミュニティ プライベート VLAN、独立プライベート VLAN、プライマリ プライベート VLAN のいずれかとして VLAN を設定します。プライベート VLAN には 1 つのプライマリ VLAN が必要です。コミュニティ VLAN と独立 VLAN は複数設定できます。

次の例は、VLAN 5 をプライマリ VLAN としてプライベート VLAN に割り当てる方法を示しています。

switch# configure terminal
switch(config)# vlan 5
switch(config-vlan)# private-vlan primary
 

次の例は、VLAN 100 をコミュニティ VLAN としてプライベート VLAN に割り当てる方法を示しています。

switch(config-vlan)# exit
switch(config)# vlan 100
switch(config-vlan)# private-vlan community
 

次の例は、VLAN 109 を独立 VLAN としてプライベート VLAN に割り当てる方法を示しています。

switch(config-vlan)# exit
switch(config)# vlan 109
switch(config-vlan)# private-vlan isolated
 

プライベート VLAN をディセーブルにする手順は、次のとおりです。

 

コマンド
目的

switch(config-vlan)# no private-vlan { community | isolated | primary }

指定 VLAN からプライベート VLAN 設定を削除し、通常の VLAN モードに戻します。プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。

セカンダリ VLAN とプライマリ プライベート VLAN の関連付け

セカンダリ VLAN とプライマリ VLAN を関連付けるときは、次のことに気をつけて行ってください。

secondary-vlan-list パラメータにスペースを含めることはできません。カンマで区切った複数の項目を含めることができます。各項目は、単一のセカンダリ VLAN ID、またはセカンダリ VLAN ID をハイフンでつないだ範囲にできます。

secondary-vlan-list パラメータには、複数のコミュニティ VLAN ID および独立 VLAN ID を含めることができます。

セカンダリ VLAN とプライマリ VLAN を関連付けるには、 secondary-vlan-list を入力するか、 secondary-vlan-list add キーワードを使用します。

セカンダリ VLAN とプライマリ VLAN の関連付けをクリアするには、 secondary-vlan-list remove キーワードを使用します。

既存の関連付けを削除してから目的の関連付けを追加し、セカンダリ VLAN とプライマリ VLAN の関連を変更します。

プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。 no private-vlan コマンドを入力すると、VLAN は通常の VLAN モードに戻ります。その VLAN におけるすべてのプライマリとセカンダリの関連付けは一時停止しますが、インターフェイスはプライベート VLAN モードのままです。指定 VLAN をプライベート VLAN モードに再び戻すと、元の関連付けが回復します。

プライマリ VLAN に対して no vlan コマンドを入力すると、その VLAN に関連付けされたすべてのプライベート VLAN は失われます。ただし、セカンダリ VLAN に対して no vlan コマンドを入力した場合、その VLAN とプライベート VLAN の関連付けは一時停止します。この VLAN を再作成して以前のセカンダリ VLAN として設定すると元に戻ります。

プライベート VLAN 機能がイネーブルになっていることを確認してください。

セカンダリ VLAN とプライマリ VLAN を関連付ける手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# vlan primary-vlan-id

プライベート VLAN の設定作業を行うプライマリ VLAN の番号を入力します。

ステップ 3

switch(config-vlan)# private-vlan association {[ add ] secondary-vlan-list | remove secondary-vlan-list }

セカンダリ VLAN とプライマリ VLAN を関連付けます。

次の例は、コミュニティ VLAN 100 ~ 103 および独立 VLAN 109 をプライマリ VLAN 5 と関連付ける方法を示しています。

switch# configure terminal
switch(config)# vlan 5
switch(config-vlan)# private-vlan association 100-103, 109
 

プライベート VLAN からすべての関連付けを削除する手順は、次のとおりです。

 

コマンド
目的

switch(config-vlan)# no private-vlan association

プライマリ VLAN からすべての関連付けを削除し、通常の VLAN モードに戻します。

プライベート VLAN ホスト ポートとしてのインターフェイスの設定

プライベート VLAN ホスト ポートとしてインターフェイスを設定できます。プライベート VLAN の場合、ホスト ポートは、コミュニティ VLAN か独立 VLAN のいずれかであるセカンダリ VLAN の一部です。ホスト ポートは、プライマリ VLAN とセカンダリ VLAN の両方と関連付けます。


) ホスト ポートとして設定したすべてのインターフェイスで BPDU ガードをイネーブルにすることを推奨します。BPDU ガードの設定の詳細については、第 10 章「STP 拡張機能の設定」を参照してください。


プライベート VLAN 機能がイネーブルになっていることを確認してください。

プライベート VLAN ホスト ポートとしてインターフェイスを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface type slot / port

プライベート VLAN ホスト ポートとして設定するポートを選択します。いずれかの物理イーサネット ポートを指定できます。

ステップ 3

switch(config-if)# switchport mode private-vlan host

プライベート VLAN のホスト ポートとしてポートを設定します。

ステップ 4

switch(config-if)# switchport private-vlan host-association { primary-vlan-id } { secondary-vlan-id }

プライベート VLAN のプライマリ VLAN およびセカンダリ VLAN にポートを関連付けます。セカンダリ VLAN は、独立 VLAN かコミュニティ VLAN のいずれかです。

次の例は、プライベート VLAN のホスト ポートとしてイーサネット ポート 1/12 を設定し、プライマリ VLAN 5 とセカンダリ VLAN 101 にそのポートを関連付ける方法を示しています。

switch# configure terminal
switch(config)# interface ethernet 1/12
switch(config-if)# switchport mode private-vlan host
switch(config-if)# switchport private-vlan host-association 5 101
 

プライベート VLAN の関連付けをインターフェイスから削除する手順は、次のとおりです。

 

コマンド
目的

switch(config-if)# no switchport private-vlan host-association

プライベート VLAN の関連付けをポートから削除します。

プライベート VLAN の混合モード ポートとしてのインターフェイスの設定

プライベート VLAN の混合モード ポートとしてインターフェイスを設定してから、プライマリ VLAN およびセカンダリ VLAN にその混合モード ポートを関連付けることができます。

プライベート VLAN 機能がイネーブルになっていることを確認してください。

プライベート VLAN の混合モード ポートとしてインターフェイスを設定する手順は次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# interface type slot / port

プライベート VLAN の混合モード ポートとして設定するポートを選択します。物理インターフェイスが必要です。

ステップ 3

switch(config-if)# switchport mode private-vlan promiscuous

プライベート VLAN の混合モード ポートとしてポートを設定します。物理イーサネット ポートだけを混合モード ポートとしてイネーブルにできます。

ステップ 4

switch(config-if)# switchport private-vlan mapping { primary-vlan-id } { secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list }

混合モード ポートとしてポートを設定し、プライマリ VLAN、および選択されたセカンダリ VLAN のリストに指定ポートを関連付けます。セカンダリ VLAN は、独立 VLAN かコミュニティ VLAN のいずれかです。

次の例は、混合モード ポートとしてポート 1/2 を設定し、プライマリ VLAN 5 およびセカンダリ独立 VLAN 109 にそのポートを関連付ける方法を示しています。

switch# configure terminal
switch(config)# interface ethernet 1/2
switch(config-if)# switchport mode private-vlan promiscuous
switch(config-if)# switchport private-vlan mapping 5 109
 

このコマンドは、物理インターフェイスだけに適用できます。

プライベート VLAN マッピングをクリアする手順は、次のとおりです。

 

コマンド
目的

switch(config-if)# no switchport private-vlan mapping

プライベート VLAN からマッピングをクリアします。

プライベート VLAN 設定の確認

プライベート VLAN 設定情報を表示するには、次のコマンドを使用します。

 

コマンド
目的

switch# show system internal clis feature

スイッチでイネーブルになっている機能を表示します。

switch# show vlan private-vlan [ type ]

プライベート VLAN のステータスを表示します。

switch# show interface switchport

スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。

次の例は、プライベート VLAN 設定の表示方法を示しています。

switch# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------
5 100 community
5 101 community Eth1/12, veth1/1
5 102 community
5 103 community
5 109 isolated Eth1/2
switch# show vlan private-vlan type
Vlan Type
---- -----------------
5 primary
100 community
101 community
102 community
103 community
109 isolated
 

次の例は、イネーブルになっている機能の表示方法を示しています。

switch# show system internal clis feature
7 pvlan enabled