Catalyst 4000 ファミリー スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド,Cisco IOS Release 12.1(13)EW
プライベートVLANの設定
プライベートVLANの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

プライベートVLANの設定

PVLANの概要

PVLANトランク

PVLANとVLAN ACL/QoS

PVLAN設定の制約事項

PVLANの設定方法

PVLAN設定時の注意事項

PVLANとしてのVLANの設定

セカンダリVLANのプライマリVLANとの関連づけ

レイヤ2インターフェイスのPVLANプロミスキャス ポートとしての設定

レイヤ2インターフェイスのPVLANホスト ポートとしての設定

レイヤ2インターフェイスのPVLANトランク ポートとしての設定

セカンダリVLAN入力トラフィックのルーティングの許可

プライベートVLANの設定

この章では、Catalyst 4000ファミリー スイッチ上のプライベートVLAN(PVLAN)について説明します。注意事項、手順、設定の例も示します。

この章の主な内容は、次のとおりです。

「PVLANの概要」

「PVLAN設定の制約事項」

「PVLANの設定方法」


) この章で使用しているコマンドの構文および使用方法の詳細については、『Cisco IOS Command Reference for the Catalyst 4000 Family Switch』および次のURLにある関連マニュアルを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/index.htm


PVLANの概要

PVLANは、同じPVLAN内のポート間をレイヤ2で分離します。PVLANのポートには次の3つのタイプがあります。

プロミスキャス ― プロミスキャス ポートは、PVLAN内の独立ポートやコミュニティ ポートを含むすべてのインターフェイスと通信します。

独立 ― 独立ポートは、プロミスキャス ポートを除く、同じPVLAN内の他のポートからレイヤ2で完全に分離されています。PVLANは、プロミスキャス ポートからのトラフィックを除く、独立ポートへのすべてのトラフィックをブロックします。独立ポートからのトラフィックは、プロミスキャス ポートにのみ転送されます。

コミュニティ ― コミュニティ ポートは、コミュニティ ポート間で、およびプロミスキャス ポートと対話します。これらのインターフェイスは、PVLAN内の他のコミュニティまたは独立ポートの他のインターフェイスとレイヤ2で分離されています。

トランクは独立ポート、コミュニティ ポート、およびプロミスキャス ポート間でトラフィックを伝送するVLAN(仮想LAN)をサポートしています。したがって、独立ポートおよびコミュニティ ポートのトラフィックは、トランク インターフェイスを介してスイッチを送受信します。

PVLANポートは、PVLAN構造の作成に使用された一連の補助VLANと関連づけられます。PVLANは3通りの方法でVLANを使用します。

プライマリVLAN ― プロミスキャス ポートから同じプライマリVLAN内の独立ポート、コミュニティ ポート、および他のプロミスキャス ポートにトラフィックを伝送します。

独立VLAN ― 独立ポートからプロミスキャス ポートにトラフィックを伝送します。

コミュニティVLAN ― コミュニティ ポート間で、およびプロミスキャス ポートにトラフィックを伝送します。PVLANには複数のコミュニティVLANを設定できます。

独立VLANとコミュニティVLANは、セカンダリVLANと呼ばれます。複数のデバイスにわたってPVLANを拡張するには、プライマリVLAN、独立VLAN、およびコミュニティVLANを、PVLANをサポートする他のデバイスにトランキングします。

スイッチング環境では、個々のエンド ステーションまたは一連のエンド ステーションに、個別のPVLANや関連するIPサブネットを割り当てることができます。エンド ステーションがデフォルト ゲートウェイと対話する必要があるのは、PVLAN外部でアクセスする場合のみです。PVLANのエンド ステーションを使用して、以下を実行することができます。

エンド ステーションに接続するポートを指定します。たとえば、独立ポートとしてサーバに接続されているインターフェイスは、レイヤ2での対話を禁止します。またエンド ステーションがサーバの場合、この設定によってレイヤ2がサーバ間で対話するのを禁止します。

デフォルト ゲートウェイおよび特定のエンド ステーション(バックアップ サーバやLocalDirectorなど)が接続されたインターフェイスをプロミスキャス ポートに指定すると、すべてのエンド ステーションにアクセスできるようになります。

エンド ステーション間のトラフィックを、エンド ステーションが同じVLANおよびIPサブネット内にある場合も含めて禁止できるため、VLANおよびIPサブネット内のトラフィック量を減らすことができます。


) プロミスキャス ポートは、1つのプライマリVLANにのみ対応します。プロミスキャス ポートは、1つの独立VLANまたは複数のコミュニティVLANに対応します。


プロミスキャス ポートを使用すると、さまざまなデバイスを「アクセス ポイント」としてPVLANに接続できます。たとえば、プロミスキャス ポートをLocalDirectorのサーバ ポートに接続して、サーバに独立VLANまたは複数のコミュニティVLANを接続できます。LocalDirectorは、独立またはコミュニティVLAN内にあるサーバのロードバランシングを行います。プロミスキャス ポートを使用して、管理ワークステーションからすべてのPVLANサーバのモニタまたはバックアップを行うことも可能です。

PVLANトランク

PVLANトランク ポートは、複数のセカンダリPVLANおよび非PVLANを伝送します。パケットはPVLANトランク ポートでセカンダリVLANタグまたは通常のVLANタグを使って送受信されます。

PVLANトランク ポートの動作は、PVLAN独立ポートまたはコミュニティ ポートの動作と同じですが、PVLANはパケットにタグを設定して、複数のセカンダリおよび通常のVLANを伝送します。


) IEEE 802.1qカプセル化方式のみサポートされます。


PVLANとVLAN ACL/QoS

PVLANポートは、次のようにプライマリおよびセカンダリVLANを使用します。

PVLANホスト ポートで受信されたパケットは、セカンダリVLANに属します。

セカンダリVLANによりパケットにタグが設定されている場合、またはパケットのタグが解除され、ポートのネイティブVLANがセカンダリVLANの場合、PVLANトランク ポートで受信されたパケットはセカンダリVLANに属します。

PVLANホストまたはトランク ポートで受信され、セカンダリVLANに割り当てられているパケットは、セカンダリVLAN上でブリッジングされます。このブリッジングにより、セカンダリVLAN ACLと(入力方向の)セカンダリVLAN QoSが適用されます。

パケットがPVLANホストまたはトランク ポートから伝送される場合、パケットは論理的にプライマリVLANに属します。この関連性は、セカンダリVLANがPVLANトランク ポートにタグを設定してパケットが伝送される場合にも適用されます。この状況では、出力されたプライマリVLAN ACLとプライマリVLAN QoSがパケットに適用されます。

PVLAN設定の制約事項

PVLANを正しく設定するために、次の制約事項を考慮してください。

PVLANトランク ポートはIEEE 802.1qカプセル化方式のみをサポートします。

このリリースでコミュニティVLANはサポートされていません。

VLAN Trunking Protocol(VTP;VLANトランキング プロトコル)モードをPVLANのクライアントまたはサーバに変更することはできません。

独立VLANまたはコミュニティVLANには、1つのプライマリVLANのみを関連づけることができます。

VTPはPVLANをサポートしません。PVLANポートを使用するデバイスごとに、PVLANを設定する必要があります。

PVLANの設定方法

PVLANを設定する手順は、次のとおりです。


ステップ 1 VTPをトランスペアレント モードに設定します。「VTPのディセーブル化(VTPトランスペアレント モード)」を参照してください。

ステップ 2 セカンダリVLANを作成します。「PVLANとしてのVLANの設定」を参照してください。

ステップ 3 プライマリVLANを作成します。「PVLANとしてのVLANの設定」を参照してください。

ステップ 4 セカンダリVLANをプライマリVLANに対応させます。「セカンダリVLANのプライマリVLANとの関連づけ」を参照してください。


) プライマリVLANにマッピングできる独立VLANは1つだけですが、コミュニティVLANは複数をマッピングできます。


ステップ 5 インターフェイスを独立ポートまたはコミュニティ ポートに設定します。「レイヤ2インターフェイスのPVLANホスト ポートとしての設定」を参照してください。

ステップ 6 プライマリVLANとセカンダリVLANに独立ポートまたはコミュニティ ポートを対応させます。「セカンダリVLANのプライマリVLANとの関連づけ」を参照してください。

ステップ 7 インターフェイスをプロミスキャス ポートとして設定します。「レイヤ2インターフェイスのPVLANプロミスキャス ポートとしての設定」を参照してください。

ステップ 8 プロミスキャス ポートをプライマリとセカンダリのVLANペアにマッピングします。「レイヤ2インターフェイスのPVLANプロミスキャス ポートとしての設定」を参照してください。


 

ここでは、VLANの設定手順について説明します。

「PVLAN設定時の注意事項」

「PVLANとしてのVLANの設定」

「セカンダリVLANのプライマリVLANとの関連づけ」

「レイヤ2インターフェイスのPVLANプロミスキャス ポートとしての設定」

「レイヤ2インターフェイスのPVLANホスト ポートとしての設定」

「セカンダリVLAN入力トラフィックのルーティングの許可」

PVLAN設定時の注意事項

PVLANの設定時には、次の注意事項に従ってください。

PVLANを正しく設定するには、VTPのトランスペアレント モードをイネーブルにします。

PVLANにVLAN 1またはVLAN 1002~1005を設定しないでください。

ポートをプライマリVLAN、独立VLAN、またはコミュニティVLANに割り当てる場合は、PVLANコマンドのみを使用します。

プライマリVLAN、独立VLAN、またはコミュニティVLAN上のレイヤ2インターフェイスは、PVLANでは非アクティブになります。レイヤ2トランク インターフェイスは、Spanning-Tree Protocol(STP;スパニングツリー プロトコル)フォワーディング ステートのままです。

セカンダリVLANには、レイヤ3VLANインターフェイスを設定できません。

独立VLANおよびコミュニティ(セカンダリ)VLANのレイヤ3 VLANインターフェイスは、VLANが独立VLANまたはコミュニティVLANとして設定されている場合、非アクティブです。PVLANポートを、EtherChannelとして設定しないでください。

PVLANのEtherChannelポートは非アクティブです。

PVLANに宛先SPANを設定しないでください。

宛先SPANポートは、PVLANでは非アクティブです。

PVLANのVLANを削除すると、VLANのPVLANポートはアクティブになります。

Cisco IOS Access Control List(ACL;アクセス制御リスト)を独立VLANまたはコミュニティVLANに適用しないでください。

独立VLANまたはコミュニティVLANに適用されたCisco IOS ACLコンフィギュレーションは、VLANがPVLANの設定に含まれている場合、非アクティブです。

プライマリVLANには、ダイナミックAccess Control Entry(ACE;アクセス制御エントリ)を適用できません。

プライマリVLANに適用されているCisco IOSダイナミックACLコンフィギュレーションは、VLANがPVLANの設定に含まれている場合、非アクティブです。

Cisco IOS ACLを独立VLANまたはコミュニティVLANに適用しないでください。

独立VLANまたはコミュニティVLANに適用されたCisco IOS ACLコンフィギュレーションは、VLANがPVLANの設定に含まれている場合、非アクティブです。

プライマリVLANには、ダイナミックACEを適用できません。

プライマリVLANに適用されたダイナミックACLは、PVLANでは非アクティブです。

spanning-tree portfast trunk コマンドで、PVLANトランク ポートのPortFastをイネーブルにします。

独立VLANに設定されたVLAN ACLは、すべて入力方向で有効です。また、独立VLANに対応するプライマリVLANに設定されたVLAN ACLはすべて出力方向で有効です。

独立VLANのレイヤ3スイッチングを停止する場合は、そのVLANのプライマリVLANへのマッピングを削除します。

PVLANポートを同じネットワーク デバイス上に設定する必要はありませんが、そのためにはネットワーク デバイスをトランク接続し、トランクからプライマリVLANおよびセカンダリVLANを削除せずに残しておく必要があります。

プライマリVLAN、独立VLAN、およびコミュニティVLAN上でVLAN-based SPAN(VSPAN)を使用することも、単一のVLAN上でSPANを使用して、入力および出力トラフィックを個別にモニタすることもできます。

独立ポートおよびコミュニティ ポートのPortFastとBridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)ガードをイネーブルにして、設定ミスによるスパニングツリー ループの発生を防ぎます。

PortFastとBPDUガードをイネーブルにすると、STPはBPDUガードをPortFast設定されたすべてのレイヤ2LANポートに適用します。

使用するPVLANの設定のセキュリティを確保して、PVLANとして設定されたVLANが他の目的に使用されないようにするには、PVLANポートがないデバイスを含めて、すべての中間デバイスでPVLANを設定します。

PVLANでトラフィックを伝送しないデバイスのトランクから、PVLANをプルーニングします。

発信されるすべてのPVLANトラフィックにCisco IOS出力ACLを適用するには、プライマリVLANのレイヤ3 VLANインターフェイス上でこのACLを設定します。

プライマリVLAN、独立VLAN、およびコミュニティVLANには、さまざまなQuality of Service(QoS;サービス品質)設定を適用できます。

PVLANトランク ポートでは、入力トラフィックにセカンダリVLAN ACL、出力トラフィックにプライマリVLAN ACLが適用されます。

プロミスキャス ポートでは、入力トラフィックにプライマリVLAN ACLが適用されます。

プライマリVLANのレイヤ3 VLANインターフェイスに適用されたCisco IOS ACLは、関連する独立VLANおよびコミュニティVLANにも自動的に適用されます。

PVLANとしてのVLANの設定

VLANをPVLANとして設定する手順は、次のとおりです。

 

 
コマンド
説明

ステップ 1

Switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# vlan vlan_ID
Switch(config-vlan)# private-vlan { isolated | primary }

VLANをPVLANとして設定します。

これらのコマンドは、VLANコンフィギュレーション サブモードを終了するまで有効になりません。

PVLANのステータスをクリアする場合は、 no キーワードを使用します。

ステップ 3

Switch(config-vlan)# end

VLANコンフィギュレーション モードを終了します。

ステップ 4

Switch# show vlan private-vlan [ type ]

設定を確認します。

次に、VLAN 202をプライマリVLANとして設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# vlan 202
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# end
Switch# show vlan private-vlan type
 
Vlan Type
---- -----------------
202 primary
440 isolated
 

次に、VLAN 440を独立VLANとして設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# vlan 440
Switch(config-vlan)# private-vlan isolated
Switch(config-vlan)# end
Switch# show vlan private-vlan type
 
Vlan Type
---- -----------------
202 primary
440 isolated
 

セカンダリVLANのプライマリVLANとの関連づけ

セカンダリVLANをプライマリVLANに関連づけるには、次の作業を行います。

 

 
コマンド
説明

ステップ 1

Switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# vlan primary_vlan_ID

プライマリVLANのVLANコンフィギュレーション モードを開始します。

ステップ 3

Switch(config-vlan)# [ no ] private-vlan association { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

セカンダリVLANをプライマリVLANに関連づけます。リストに表示できるVLANは1つだけです。

プライマリVLANからすべての関連性を削除する場合は、 no キーワードを使用します。

ステップ 4

Switch(config-vlan)# end

VLANコンフィギュレーション モードを終了します。

ステップ 5

Switch# show vlan private-vlan [ type ]

設定を確認します。

セカンダリVLANをプライマリVLANと関連づける場合、次の点に注意してください。

secondary_vlan_list パラメータには、独立VLAN IDを1つだけ含めることができます。

セカンダリVLANとプライマリVLAN間の関連づけをクリアするには、 secondary_vlan_list 変数に remove キーワードを指定します。リストに表示できるVLANは1つだけです。

これらのコマンドは、VLANコンフィギュレーション サブモードを終了するまで有効になりません。

次に、独立VLAN 440をプライマリVLAN 202に関連づけ、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# vlan 202
Switch(config-vlan)# private-vlan association 440
Switch(config-vlan)# end
Switch# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 440 isolated
 

レイヤ2インターフェイスのPVLANプロミスキャス ポートとしての設定

レイヤ2インターフェイスをPVLANプロミスキャス ポートとして設定するには、次の作業を行います。

 

 
コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface { fastethernet | gigabitethernet } slot / port

設定するLANインターフェイスを指定します。

ステップ 3

Switch(config-if)# switchport mode private-vlan { host | promiscuous | trunk }

レイヤ2インターフェイスをPVLANプロミスキャス ポートとして設定します。

ステップ 4

Switch(config-if)# [ no ] switchport private-vlan mapping primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

PVLANプロミスキャス ポートをプライマリVLANおよび選択したセカンダリVLANにマッピングします。

プライマリVLANからすべての関連性を削除する場合は、 no キーワードを使用します。

ステップ 5

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Switch# show interfaces { fastethernet | gigabitethernet } slot / port switchport

設定を確認します。

レイヤ2インターフェイスをPVLANプロミスキャス ポートとして設定する場合、次の点に注意してください。

secondary_vlan_list パラメータにはスペースを含めないでください。複数のコンマ区切り項目を含めることができます。各項目として入力できるのは、単一のPVLAN IDまたはハイフンで連結したPVLAN IDの範囲です。

セカンダリVLANをPVLANプロミスキャス ポートにマッピングするには、 secondary_vlan_list を入力するか、または secondary_vlan_list add キーワードを指定します。

セカンダリVLANとPVLANプロミスキャス ポート間のマッピングを消去するには、 secondary_vlan_list remove キーワードを指定します。

次に、インターフェイスFastEthernet 5/2をPVLANプロミスキャス ポートとして設定し、インターフェイスをPVLANにマッピングして、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface fastethernet 5/2
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 202 440
Switch(config-if)# end
 
Switch#show interfaces fastethernet 5/2 switchport
Name:Fa5/2
Switchport:Enabled
Administrative Mode:private-vlan promiscuous
Operational Mode:private-vlan promiscuous
Administrative Trunking Encapsulation:negotiate
Operational Trunking Encapsulation:native
Negotiation of Trunking:Off
Access Mode VLAN:1 (default)
Trunking Native Mode VLAN:1 (default)
Voice VLAN:none
Administrative Private VLAN Host Association:none
Administrative Private VLAN Promiscuous Mapping:200 (VLAN0200) 2 (VLAN0002)
Private VLAN Trunk Native VLAN:none
Administrative Private VLAN Trunk Encapsulation:dot1q
Administrative Private VLAN Trunk Normal VLANs:none
Administrative Private VLAN Trunk Private VLANs:none
Operational Private VLANs:
200 (VLAN0200) 2 (VLAN0002)
Trunking VLANs Enabled:ALL
Pruning VLANs Enabled:2-1001
Capture Mode Disabled
Capture VLANs Allowed:ALL
 

レイヤ2インターフェイスのPVLANホスト ポートとしての設定

レイヤ2インターフェイスをPVLANホスト ポートとして設定するには、次の作業を行います。

 

 
コマンド
説明

ステップ 1

Switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface { fastethernet | gigabitethernet } slot / port

設定するLANポートを指定します。

ステップ 3

Switch(config-if)# switchport mode private-vlan { host | promiscuous } | trunk

レイヤ2インターフェイスをPVLANホスト ポートとして設定します。

ステップ 4

Switch(config-if)# [ no ] switchport private-vlan host-association primary_vlan_ID secondary_vlan_ID

レイヤ2インターフェイスをPVLANに関連づけます。

プライマリVLANからすべての関連性を削除する場合は、 no キーワードを使用します。

ステップ 5

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Switch# show interfaces { fastethernet | gigabitethernet } slot / port switchport

設定を確認します。

次に、インターフェイスFastEthernet 5/1をPVLANホスト ポートとして設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface fastethernet 5/1
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 202 440

Switch(config-if)# end

Switch#show interfaces fastethernet 5/1 switchport
Name: Fa5/1
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: private-vlan host
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Appliance trust: none
Administrative Private Vlan
Host Association: 202 (VLAN0202) 440 (VLAN0440)
Promiscuous Mapping: none
Trunk encapsulation : dot1q
Trunk vlans:
Operational private-vlan(s):
2 (VLAN0202) 3 (VLAN0440)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
 

レイヤ2インターフェイスのPVLANトランク ポートとしての設定

レイヤ2インターフェイスをPVLANトランク ポートとして設定するには、次の作業を行います。

 

 
コマンド
説明

ステップ 1

Switch> enable

イネーブルEXECモードを開始します。

ステップ 2

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

Switch(config)# interface { fastethernet | gigabitethernet } slot / port

設定するLANポートを指定します。

ステップ 4

Switch(config-if)# switchport mode private-vlan { host | promiscuous | trunk }

レイヤ2インターフェイスを複数のセカンダリVLANのPVLANトランク ポートとして設定します。

ステップ 5

Switch(config-if)# [ no ] switchport private-vlan association trunk primary_vlan_ID secondary_vlan_ID

プライマリVLANとセカンダリVLANの関連性を設定し、PVLANトランク ポートをPVLANに関連づけます。


) PVLANトランク ポートが複数のセカンダリVLANを伝送できるように、このコマンドを使用して複数のPVLANペアを指定できます。関連性を既存のプライマリVLANに指定した場合、元の関連性と置き換えられます。トランクに関連性が指定されていない場合、セカンダリVLANで受信されたパケットはすべて廃棄されます。


プライマリVLANからすべての関連性を削除する場合は、 no キーワードを使用します。

ステップ 6

Switch(config-if)# [ no ] switchport private-vlan trunk allowed vlan vlan_list all | none | [ add | remove | except ] vlan_atom [, vlan_atom ...]

 

PVLANトランク ポートで許容される通常のVLANリストを設定します。

PVLANトランク ポートで許容される通常のVLANをすべて削除する場合は、 no キーワードを使用します。

ステップ 7

Switch(config-if)# [ no ] switchport private-vlan trunk native vlan vlan_id

 

PVLANトランク ポートに(IEEE 802.1qタグとしての)タグが解除されたパケットが割り当てられるVLANを設定します。

ネイティブVLANが設定されていない場合、タグなしのパケットはすべて廃棄されます。

ネイティブVLANがセカンダリVLANで、ポートにセカンダリVLANの関連性が指定されていない場合、タグなしパケットは廃棄されます。

PVLANトランク ポートのネイティブVLANをすべて削除する場合は、noキーワードを使用します。

ステップ 8

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 9

Switch# show interfaces { fastethernet | gigabitethernet } slot / port switchport

設定を確認します。

次に、インターフェイスFastEthernet 5/1をPVLANトランク ポートとして設定し、VLAN0202をVLAN0440にマッピングして、PVLANトランクを設定する例を示します。

Switch# configure terminal
Switch(config)# interface fastethernet 5/1
Switch(config-if)# switchport private-vlan association trunk 202 440
Switch(config-if)# switchport mode private-vlan trunk
Switch(config-if)# end
 
Switch#show interfaces fastethernet 5/1 switchport
Name: Fa5/1
Switchport: Enabled
Administrative Mode: private-vlan trunk
Operational Mode: private-vlan trunk
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Appliance trust: none
Administrative Private Vlan
Host Association: 202 (VLAN0202) 440 (VLAN0440)
Promiscuous Mapping: none
Trunk encapsulation : dot1q
Trunk vlans:
202 (VLAN0202) 440 (VLAN0440)
Operational private-vlan(s):
202 (VLAN0202) 440 (VLAN0440)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
 

セカンダリVLAN入力トラフィックのルーティングの許可

セカンダリVLAN入力トラフィックのルーティングを許可するには、次の作業を行います。

 

 
コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface vlan primary_vlan_ID

プライマリVLANのインターフェイス コンフィギュレーション モードを開始します。

ステップ 3

Switch(config-if)# [ no ] private-vlan mapping primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

セカンダリVLAN入力トラフィックのルーティングを許可する場合、セカンダリVLANをプライマリVLANにマッピングします。

プライマリVLANからすべての関連性を削除する場合は、 no キーワードを使用します。

ステップ 4

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 5

Switch# show interface private-vlan mapping

設定を確認します。

セカンダリVLAN入力トラフィックのルーティングを許可する場合、次の点に注意してください。

セカンダリVLANをプライマリVLANにマッピングするには、 secondary_vlan_list 変数の値を入力するか、または secondary_vlan_list 変数に add キーワードを指定します。

セカンダリVLANとプライマリVLAN間のマッピングを消去するには、 secondary_vlan_list 変数に remove キーワードを指定します。

次に、PVLAN 440からのセカンダリVLAN入力トラフィックのルーティングを許可し、設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface vlan 202
Switch(config-if)# private-vlan mapping add 440
Switch(config-if)# end
Switch# show interfaces private-vlan mapping
Interface Secondary VLAN Type
--------- -------------- -----------------
vlan202 440 isolated
 
Switch#