Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース IOS XE 3.3.0SG および IOS 15.1(1)SG
プライベート VLAN の設定
プライベート VLAN の設定
発行日;2012/09/05 | 英語版ドキュメント(2012/04/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 14MB) | フィードバック

目次

プライベート VLAN の設定

プライベート VLAN の概要

PVLAN の目的

PVLAN の用語

複数のスイッチにわたる PVLAN

標準トランク ポート

独立 PVLAN トランク ポート

無差別 PVLAN トランク ポート

ギガビット EtherChannel での PVLAN モード

PVLAN と他の機能との相互作用

PVLAN と VLAN ACL/QoS

PVLAN と、ユニキャスト、ブロードキャスト、およびマルチキャスト トラフィック

PVLAN と SVI

PVLAN 上での仮想ポート単位の errdisable

PVLAN コマンド

PVLAN の設定

基本的な PVLAN 設定の手順

デフォルトのプライベート VLAN 設定

PVLAN 設定時の注意事項および制約事項

PVLAN としての VLAN の設定

セカンダリ VLAN のプライマリ VLAN との関連付け

レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定

レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定

レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定

レイヤ 2 インターフェイスの無差別 PVLAN トランク ポートとしての設定

セカンダリ VLAN 入力トラフィックのルーティングの許可

PVLAN over EtherChannel の設定

レイヤ 2 EtherChannel の設定

レイヤ 2 Etherchannel の PVLAN 無差別ポートとしての設定

レイヤ 2 インターフェイスの EtherChannel ホスト ポートとしての設定

レイヤ 2 Etherchannel の独立 PVLAN トランク ポートとしての設定

レイヤ 2 Etherchannel の無差別 PVLAN トランク ポートとしての設定

プライベート VLAN の設定

この章では、Catalyst 4500 シリーズ スイッチ上の Private VLAN(PVLAN; プライベート VLAN)について説明します。また、注意事項、手順、設定例についても示します。

この章の主な内容は、次のとおりです。

「プライベート VLAN の概要」

「PVLAN コマンド」

「PVLAN の設定」


) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。

http://www.cisco.com/en/US/products//hw/switches/ps4324/index.html

『Catalyst 4500 Series Switch Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL でCisco IOS コマンド リファレンスと関連資料を参照してください。

http://www.cisco.com/en/US/products/ps6350/index.html


プライベート VLAN の概要

プライベート VLAN(PVLAN)機能を使用すると、サービス プロバイダーが VLAN を使用したときに直面する 2 つの問題に対処できます。

スイッチがサポートするアクティブ VLAN は最大で 4094 です。サービス プロバイダーが 1 カスタマーあたり 1 つの VLAN を割り当てる場合、サービス プロバイダーがサポートできるカスタマー数はこれに制限されます。

IP ルーティングをイネーブルにするには、各 VLAN にサブネット アドレス空間またはアドレス ブロックを割り当てますが、これにより、未使用の IP アドレスが無駄になり、IP アドレスの管理に問題が起きます。

PVLAN を設定するには、次の各項の概念を理解しておく必要があります。

「PVLAN の目的」

「PVLAN の用語」

「複数のスイッチにわたる PVLAN」

「ギガビット EtherChannel での PVLAN モード」

「PVLAN と他の機能との相互作用」

PVLAN の目的

PVLAN の使用により、サービス プロバイダーにはスケーラビリティと IP アドレス管理上の利点がもたらされ、顧客にはレイヤ 2 セキュリティが提供されます。PVLAN は、通常の VLAN ドメインをサブドメインに分割します。サブドメインは、 プライマリ VLAN と セカンダリ VLAN のペアで表されます。PVLAN には複数の VLAN ペアを設定可能で、各サブドメインにつき 1 ペアになります。PVLAN 内のすべての VLAN ペアは同じプライマリ VLAN を共有します。セカンダリ VLAN ID は、各サブドメインの区別に使用されます。図 42-1 を参照してください。

図 42-1 プライベート VLAN ドメイン

 

セカンダリ VLAN には、次の 3 種類があります。

独立 VLAN:独立 VLAN 内のポートは、レイヤ 2 レベルでは相互に通信できません。

コミュニティ VLAN:コミュニティ VLAN 内のポートは互いに通信できますが、レイヤ 2 レベルにある他のコミュニティ内のポートとは通信できません。

双方向コミュニティ VLAN:双方向 VLAN。双方向コミュニティ VLAN 内のポートは互いに通信できますが、レイヤ 2 レベルのコミュニティまたは双方向コミュニティとは通信できません。


) Cisco IOS Release 15.0(2) SG 以降では、双方向コミュニティ VLAN を使用して、双方向のコミュニティ単位またはカスタマー単位の両方で、VACL または QoS を適用できます。


無差別ポートが扱えるのは、1 つのプライマリ VLAN、1 つの独立 VLAN、および複数のコミュニティ(または双方向コミュニティ)VLAN だけです。レイヤ 3 ゲートウェイは通常無差別ポートを介してスイッチに接続されています。

スイッチ環境では、個々の PVLAN とアソシエートされている IP サブネットを、各エンド ステーションやエンド ステーションの共通グループに割り当てることができます。PVLAN の外部と通信するには、エンド ステーションでは、デフォルト ゲートウェイのみと通信する必要があります。

PVLAN を使用すると、次のようにエンド ステーションへのアクセスを制御できます。

エンド ステーションに接続されているインターフェイスを選択して独立ポートとして設定し、レイヤ 2 の通信をしないようにします。たとえば、エンド ステーションがサーバの場合、この設定によりサーバ間のレイヤ 2 通信ができなくなります。

デフォルト ゲートウェイおよび選択した端末(バックアップ サーバなど)に接続するインターフェイスを無差別ポートとして設定して、すべての端末をデフォルト ゲートウェイにアクセスさせることができます。

VLAN および IP サブネット内のトラフィック量を減らせば、端末が同じ VLAN および IP サブネット内にある場合でも端末間のトラフィックを防止できます。

無差別ポートを使用すると、さまざまなデバイスを PVLAN への「アクセス ポイント」として接続できます。たとえば、無差別ポートを LocalDirector のサーバ ポートに接続して、サーバに独立 VLAN または多数のコミュニティ(または双方向コミュニティ)VLAN を接続できます。LocalDirector は、独立 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN 内にあるサーバのロード バランシングを行います。混合モード ポートを使用して、管理ワークステーションからすべての PVLAN サーバのモニタまたはバックアップを行うことも可能です。

PVLAN の用語

次の表では、この章で使用する主な用語を定義します。

 

用語
定義

PVLAN

プライマリ ID を共有し、ポート間をレイヤ 2 で分離しながら 1 つのレイヤ 3 ルータ ポートおよび IP サブネットを共有するメカニズムを提供する VLAN ペアのセット。

セカンダリ VLAN

PVLAN を実装するために使用する VLAN の種類。プライマリ VLAN に関連付けられており、ホストから他の許容ホストおよびルータにトラフィックを送信します。

コミュニティ ポート

コミュニティ セカンダリ VLAN に属するホスト ポート。コミュニティ ポートは、同じコミュニティ VLAN にある他のポートおよび無差別ポートと通信します。これらのインターフェイスは、他のコミュニティの他のすべてのインターフェイスおよび PVLAN 内の独立ポートとレイヤ 2 で分離されます。

コミュニティ VLAN

コミュニティ VLAN:コミュニティ VLAN は、アップストリーム トラフィックをコミュニティ ポートから無差別ポート ゲートウェイおよび同じコミュニティ内の他のホスト ポートに伝送するセカンダリ VLAN です。1 つの PVLAN 内に複数のコミュニティ VLAN を設定できます。

独立ポート

独立セカンダリ VLAN に属するホスト ポート。これは、無差別ポートを除く、同じ PVLAN 内の他のポートからレイヤ 2 で完全に分離されています。PVLAN は、無差別ポートからのトラフィックを除き、独立ポート宛のトラフィックをすべてブロックします。独立ポートから受信されたトラフィックは、無差別ポートのみに転送されます。

独立 VLAN

独立 VLAN:PVLAN の独立 VLAN は 1 つだけです。独立 VLAN は、ホストから無差別ポートに単方向アップストリーム トラフィックを伝送するセカンダリ VLAN です。

プライマリ VLAN

プライマリ VLAN:PVLAN には、プライマリ VLAN を 1 つだけ設定できます。PVLAN 内のすべてのポートは、プライマリ VLAN のメンバです。プライマリ VLAN は、無差別ポートからの単一方向トラフィックのダウンストリームを、(独立およびコミュニティ)ホスト ポートおよび他の無差別ポートへ伝送します。

プライベート VLAN トランク ポート

PVLAN トランク ポートは、複数のセカンダリ(独立のみ)PVLAN および非 PVLAN を伝送します。パケットは、PVLAN トランク ポートでセカンダリ VLAN タグまたは通常の VLAN タグとともに送受信されます。

(注) IEEE 802.1Q カプセル化方式のみサポートされています。

無差別ポート

無差別ポートはプライマリ VLAN に属し、すべてのインターフェイスと通信できます。これらのインターフェイスには、コミュニティおよび独立ホスト ポートと、PVLAN に関連付けられたセカンダリ VLAN に属する PVLAN トランク ポートが含まれます。

無差別トランク ポート

無差別トランク ポートは、複数のプライマリ VLAN および通常の VLAN を伝送します。プライマリ VLAN タグまたは通常の VLAN タグを持つパケットが送受信されます。これ以外は、ポートは無差別アクセス ポートと同じように動作します。

(注) IEEE 802.1Q カプセル化方式のみサポートされています。

双方向コミュニティ ポート

双方向コミュニティ ポートは、双方向コミュニティ セカンダリ VLAN に属するホスト ポートです。双方向コミュニティ VLAN 内のポートは互いに通信できますが、レイヤ 2 レベルの他のコミュニティまたは双方向コミュニティのポートとは通信できません。

これらのインターフェイスは、他の双方向コミュニティの他のすべてのインターフェイスおよび PVLAN 内の独立ポートとレイヤ 2 で分離されます。

双方向コミュニティ VLAN

双方向 VLAN。双方向コミュニティ VLAN 内のポートは互いに通信できますが、レイヤ 2 レベルの他の双方向コミュニティのポートとは通信できません。

複数のスイッチにわたる PVLAN

ここでは、次の内容について説明します。

「標準トランク ポート」

「独立 PVLAN トランク ポート」

「無差別 PVLAN トランク ポート」

標準トランク ポート

通常の VLAN と同様に、PVLAN を複数のスイッチにまたがるように設定できます。トランク ポートはプライマリ VLAN およびセカンダリ VLAN を隣接スイッチに伝送します。トランク ポートは PVLAN を他の VLAN として扱います。複数のスイッチにまたがる PVLAN の機能の場合、スイッチ A にある独立ポートからのトラフィックはスイッチ B に到達しません。図 42-2 を参照してください。

PVLAN 設定のセキュリティを確保して、PVLAN として設定された VLAN が他の目的に使用されないように、PVLAN ポートのないデバイスを含むすべての中間デバイスの PVLAN を設定します。


) トランク ポートは、通常の VLAN からのトラフィックだけでなく、プライマリ VLAN、独立 VLAN、コミュニティ VLAN または双方向コミュニティ VLAN からのトラフィックも伝送します。



) トランキングを実行するスイッチが両方とも PVLAN をサポートする場合は、標準トランク ポートを使用します。


図 42-2 スイッチ間の PVLAN

 

VTP は PVLAN をサポートしないので、レイヤ 2 ネットワーク内のすべてのスイッチに PVLAN を手動で設定する必要があります。ネットワーク内の一部のスイッチにプライマリおよびセカンダリ VLAN の関連を設定しない場合、これらのスイッチのレイヤ 2 データベースは統合されません。これにより、これらのスイッチにプライベート VLAN トラフィックの不要なフラッディングが発生する可能性があります。


) PVLAN はサーバ モードで VTP v3 でサポートされます。


独立 PVLAN トランク ポート

PVLAN 独立ホスト ポートを使用して、通常の VLAN を複数伝送するか、複数の PVLAN ドメインで VLAN を複数伝送する場合、独立 PVLAN トランク ポートを使用します。これは、PVLAN をサポートしないダウンストリーム スイッチ(Catalyst 2950 など)を接続する場合に役立ちます。

図 42-3 独立 PVLAN トランク ポート

 

この図では、PVLAN をサポートしないダウンストリーム スイッチの接続に Catalyst 4500 スイッチが使用されています。

ルータから host1 へのダウン ストリーム方向に送信されるトラフィックは、無差別ポートとプライマリ VLAN(VLAN 10)の Catalyst 4500 シリーズ スイッチによって受信されます。次に、パケットは独立 PVLAN トランクからスイッチングされます。これらは、プライマリ VLAN(VLAN 10)でタグ付けされず、独立 VLAN のタグ(VLAN 11)とともに送信されます。このように、パケットが非 PVLAN スイッチに着信すると、宛先ホストのアクセス ポートにブリッジングされます。

アップストリーム方向のトラフィックは、host1 から非 PVLAN スイッチへ送信され、VLAN 11 に着信します。その後、パケットは、トランク ポート経由でこの VLAN(VLAN 11)のタグにタグ付けされるスイッチに送信されます。VLAN 11 が独立 VLAN として設定され、トラフィックは独立ホスト ポートから送信されたかのように転送されます。


) このように独立トランクを使用すると、Catalyst 4500 シリーズ スイッチは独立トランクと直接接続しているホスト(host3 など)とを分離することができますが、非 PVLAN スイッチに接続しているホスト(host1 および host2 など)を分離することはできません。非 PVLAN スイッチは、Catalyst 2950 の保護ポートなどの機能を使用して、ホスト間の分離を提供する必要があります。


保護ポートの詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_22_ea11x/configuration/guide/swtrafc.html#wp1158863

無差別 PVLAN トランク ポート

PVLAN 無差別トランクが使用されるのは、一般的には PVLAN 無差別ホスト ポートを使用する場合ですが、通常の VLAN を複数伝送するか、複数の PVLAN ドメインで VLAN を複数伝送する必要がある場合です。これは、Cisco 7200 などの PVLAN をサポートしないアップストリーム ルータを接続する場合に役立ちます。

図 42-4 無差別 PVLAN トランク ポート

 

図 42-4 で、Catalyst 4500 シリーズ スイッチは、PVLAN をサポートしないアップストリーム ルータに PVLAN ドメインを接続します。host1 によってアップストリームに送信されるトラフィックは、コミュニティ VLAN(VLAN 12)のスイッチに到着します。このトラフィックは、ルータに向かう無差別 PVLAN トランクにブリッジされる場合、プライマリ VLAN(VLAN 10)でタグ付けされます。このようにして、トラフィックは、ルータで設定された正しいサブインターフェイスを使用してルーティングできます。

ダウンストリーム方向のトラフィックは、無差別ホスト ポートによって受信された場合と同様に、プライマリ VLAN(VLAN 10)内のスイッチによって無差別 PVLAN トランク ポート上で受信されます。そして、PVLAN ドメイン内にあるかのように、宛先ホストにブリッジングされます。

PVLAN 無差別トランクは、VLAN QoS と相互に作用します。「PVLAN と VLAN ACL/QoS」を参照してください。

ギガビット EtherChannel での PVLAN モード

Cisco IOS Release 15.0(2) SG 以降では、EtherChannel での PVLAN モードを設定できます。次のような新しいモードがあります。

ホスト モード:独立、コミュニティ、および双方向コミュニティ

無差別モード

セカンダリ独立トランク

無差別トランク

ポートの処理プロセスは変更されていません。PVLAN モードは、アクセス、トランク、ルーテッド、トンネル化など、既存のモードに追加されます。

次のような機能の相互対話があります。

プライマリ VLAN には複数のコミュニティ VLAN および双方向コミュニティ VLAN を関連付けできますが、独立 VLAN は 1 つだけです。

独立 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN には、1 つのプライマリ VLAN のみを関連付けることができます。

PVLAN の設定で使用された PVLAN を削除すると、この PVLAN に関連付けられた PVLAN ポートは非アクティブになります。

無差別トランク ポートのデフォルト ネイティブ VLAN は VLAN 1(管理 VLAN)です。タグのないパケットはすべてネイティブ VLAN で転送されます。プライマリ VLAN または通常の VLAN をネイティブ VLAN として設定できます。

デフォルトのネイティブ VLAN 設定は、独立セカンダリ トランクにはありません。ネイティブ VLAN が設定されていない場合、すべてのタグなしパケットはドロップされます。

PVLAN トランク上では、コミュニティ PVLAN と双方向コミュニティ VLAN を伝播または伝送できません。

IGMP スヌーピングでは、IGMP レポートがプライマリ VLAN で学習され、プライマリまたはセカンダリ VLAN でパケットを転送する必要があるかどうかがプラットフォームで決定されます。

EtherChannel での PVLAN 設定の詳細については、「PVLAN over EtherChannel の設定」の項を参照してください。

PVLAN と他の機能との相互作用

PVLAN には、次のように他の機能と相互作用があります。

「PVLAN と VLAN ACL/QoS」

「PVLAN と、ユニキャスト、ブロードキャスト、およびマルチキャスト トラフィック」

「PVLAN と SVI」

「PVLAN 上での仮想ポート単位の errdisable」

詳細については、「PVLAN 設定時の注意事項および制約事項」を参照してください。

PVLAN と VLAN ACL/QoS

PVLAN ポートは、次のようにプライマリおよびセカンダリ VLAN を使用します。

PVLAN ホスト ポートで受信されたパケットは、セカンダリ VLAN に属します。

セカンダリ VLAN によりパケットにタグが設定されている場合、またはパケットのタグが解除され、ポートのネイティブ VLAN がセカンダリ VLAN の場合、PVLAN トランク ポートで受信されたパケットはセカンダリ VLAN に属します。

PVLAN ホストまたはトランク ポートで受信され、セカンダリ VLAN に割り当てられているパケットは、セカンダリ VLAN 上でブリッジングされます。このブリッジングにより、セカンダリ VLAN ACL(アクセス コントロール リスト)と(入力方向の)セカンダリ VLAN QoS(Quality of Service)が適用されます。

パケットが PVLAN ホストまたはトランク ポートから送信される場合、パケットは論理的にはプライマリ VLAN に属します。この関係は、セカンダリ VLAN によるタグ付けが PVLAN 用であった場合にも適用されます。この状況では、出力時のプライマリ VLAN ACL およびプライマリ VLAN QoS がパケットに適用されます。

同様に、PVLAN 無差別アクセス ポートで受信されるパケットもプライマリ VLAN に属します。

着信 VLAN によっては、PVLAN 無差別トランク ポートで受信されるパケットがプライマリ VLAN または通常の VLAN に属することもあります。

無差別トランク ポートに着信する、通常の VLAN へのトラフィックの場合、通常の VLAN ACL および QoS ポリシーが適用されます。PVLAN ドメインへのトラフィックの場合、無差別ポートで受信するパケットはプライマリ VLAN にブリッジングされます。入力ではプライマリ VLAN ACL および QoS ポリシーが適用されます。

双方向コミュニティ ホスト ポートの出力トラフィックで、セカンダリ VLAN ACL とセカンダリ VLAN QoS は、統合ルータ ポートから生じる出力ユニキャスト ルーテッド トラフィックに適用されます。

パケットが無差別トランク ポートから送信される場合、セカンダリ ポートから受信されたパケットであればセカンダリ VLAN に論理的に属し、別の無差別ポートからブリッジングされたパケットであればプライマリ VLAN に属します。パケットは区別できないので、無差別トランク ポートから出力するパケットについては、VLAN QoS ポリシーはすべて無視されます。

PVLAN と、ユニキャスト、ブロードキャスト、およびマルチキャスト トラフィック

通常の VLAN では、同じ VLAN にあるデバイスはレイヤ 2 レベルで互いに通信しますが、別の VLAN にあるインターフェイスに接続されたデバイスとはレイヤ 3 レベルで通信する必要があります。PVLAN では、無差別ポートはプライマリ VLAN のメンバで、ホスト ポートはセカンダリ VLAN に属しています。セカンダリ VLAN はプライマリ VLAN に対応付けられているため、これらの VLAN のメンバーはレイヤ 2 レベルで互いに通信できます。

通常の VLAN では、ブロードキャストはその VLAN のすべてのポートに転送されます。PVLAN ブロードキャスト転送は、次のようにブロードキャストを送信するポートに左右されます。

独立ポートは、無差別ポートまたはトランク ポートのみにブロードキャストを送信します。

コミュニティ ポートは、すべての無差別ポート、トランク ポート、同じコミュニティ VLAN のポートにブロードキャストを送信します。

無差別ポートは、PVLAN のすべてのポート(他の無差別ポート、トランク ポート、独立ポート、コミュニティ ポート)にブロードキャストを送信します。

マルチキャスト トラフィックは、プライベート VLAN 境界を越えて単一のコミュニティ VLAN 内にルーティングまたはブリッジングされます。マルチキャスト トラフィックは、同じ独立 VLAN のポート間、または別々のセカンダリ VLAN のポート間では転送されません。

PVLAN と SVI

レイヤ 3 スイッチでは、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)が VLAN のレイヤ 3 インターフェイスを表します。レイヤ 3 デバイスは、セカンダリ PVLAN ではなく、プライマリ VLAN だけを使用して PVLAN と通信します。レイヤ 3 VLAN インターフェイス(SVI)はプライマリ VLAN にだけ設定してください。レイヤ 3 VLAN インターフェイスをセカンダリ VLAN 用に設定できません。VLAN がセカンダリ VLAN として設定されている間、セカンダリ VLAN の SVI は非アクティブになります。

アクティブな SVI が設定された VLAN をセカンダリ VLAN として設定しようとすると、SVI をディセーブルにするまでは、設定が許可されません。

セカンダリ VLAN として設定されている VLAN に SVI を作成しようとしてセカンダリ VLAN がすでにレイヤ 3 にマッピングされている場合、SVI は作成されず、エラーが返されます。SVI がレイヤ 3 にマッピングされていない場合、SVI は作成されますが、自動的にシャットダウンされます。

プライマリ VLAN がセカンダリ VLAN に関連付けられ、マッピングされている場合、プライマリ VLAN 上のすべての設定がセカンダリ VLAN SVI に伝播されます。たとえば、プライマリ VLAN SVI に IP サブネットを割り当てると、このサブネットは PVLAN 全体の IP サブネット アドレスになります。

PVLAN 上での仮想ポート単位の errdisable

PVLAN で、仮想ポート単位の errdisable の動作は次のように定義されます。

PVLAN 無差別ポート上または PVLAN 混同モード トランク ポート上では、プライマリ VLAN 上で違反が発生した場合に errdisable になります。

PVLAN ホスト上または PVLAN トランク ポート上では、セカンダリ VLAN 上で違反が発生した場合に、関連付けられたプライマリ VLAN が errdisable になります。

プライマリ VLAN およびセカンダリ VLAN の両方を伝送する標準トランク ポート上では、プライマリ VLAN 上で違反が発生した場合に、その VLAN と VLAN に関連付けられたすべてのセカンダリ VLAN が errdisable になります。セカンダリ VLAN 上で違反が発生した場合は、関連付けられたプライマリ VLAN とプライマリ VLAN に関連付けられたすべてのセカンダリ VLAN が errdisable になります。

PVLAN コマンド

この表には、主に PVLAN で共通に使用されるコマンドを示します。

 

コマンド
目的
場所

private-vlan { community | twoway-community | isolated | primary }

VLAN を PVLAN として設定します。

「PVLAN としての VLAN の設定」

private-vlan association { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

セカンダリ VLAN をプライマリ VLAN に関連付けます。

リストには、独立 VLAN ID を 1 つだけ含めることができ、リストに複数のコミュニティ VLAN ID を含めることもできます。

「セカンダリ VLAN のプライマリ VLAN との関連付け」

show vlan private-vlan [ type ]

設定を確認します。

「PVLAN としての VLAN の設定」

「セカンダリ VLAN のプライマリ VLAN との関連付け」

show interface private-vlan mapping

設定を確認します。

「セカンダリ VLAN 入力トラフィックのルーティングの許可」

switchport mode private-vlan { host | promiscuous | trunk promiscuous | trunk [secondary] }

レイヤ 2 インターフェイスを PVLAN ポートとして設定します。

「PVLAN の設定」

switchport private-vlan mapping [ trunk] primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

PVLAN 無差別ポートをプライマリ VLAN および選択したセカンダリ VLAN にマッピングします。

「レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定」

「レイヤ 2 インターフェイスの無差別 PVLAN トランク ポートとしての設定」

Switch(config-if)# switchport private-vlan host-association primary_vlan_ID secondary_vlan_ID

レイヤ 2 インターフェイスを PVLAN に関連付けます。

(注) 独立ポートに関連付けることができるのは、1 つのプライマリ/セカンダリ VLAN ペアだけです。

「レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定」

switchport private-vlan association trunk primary_vlan_ID secondary_vlan_ID

プライマリ VLAN とセカンダリ VLAN のアソシエーションを設定し、PVLAN トランク ポートを PVLAN に関連付けます。

(注) 独立トランク ポートは、複数のプライマリ/セカンダリ ペアを使用して設定できます。

「レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定」

switchport private-vlan trunk allowed vlan vlan_list all | none | [ add | remove | except ] vlan_atom [, vlan_atom ...]

PVLAN トランク ポートで許容される通常の VLAN のリストを設定します。

 

「レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定」

switchport private-vlan trunk native vlan vlan_id

PVLAN トランク ポートに(IEEE 802.1Q タグとしての)タグなしパケットが割り当てられる VLAN を設定します。

「レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定」

PVLAN の設定

ここでは、PVLAN の設定手順について説明します。

「基本的な PVLAN 設定の手順」

「デフォルトのプライベート VLAN 設定」

「PVLAN 設定時の注意事項および制約事項」

「PVLAN としての VLAN の設定」

「セカンダリ VLAN のプライマリ VLAN との関連付け」

「レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定」

「レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定」

「レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定」

「レイヤ 2 インターフェイスの無差別 PVLAN トランク ポートとしての設定」

「セカンダリ VLAN 入力トラフィックのルーティングの許可」

「PVLAN over EtherChannel の設定」

基本的な PVLAN 設定の手順

PVLAN を設定するには、次の基本的な手順に従ってください。


ステップ 1 VTP モードをトランスペアレントに設定します。「VLAN トランキング プロトコル」を参照してください。

ステップ 2 セカンダリ VLAN を作成します。「PVLAN としての VLAN の設定」を参照してください。

ステップ 3 プライマリ VLAN を作成します。「PVLAN としての VLAN の設定」を参照してください。

ステップ 4 セカンダリ VLAN をプライマリ VLAN に関連付けます。「セカンダリ VLAN のプライマリ VLAN との関連付け」を参照してください。


) プライマリ VLAN にマッピングできる独立 VLAN は 1 つだけですが、コミュニティ(または双方向コミュニティ)VLAN は複数をマッピングできます。


ステップ 5 インターフェイスを、独立ホスト、コミュニティ ホスト、またはトランク ポートとして設定します。「レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定」および「レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定」を参照してください。

ステップ 6 独立ポートまたはコミュニティ ポートをプライマリ/セカンダリ VLAN ペアに関連付けます。「セカンダリ VLAN のプライマリ VLAN との関連付け」を参照してください。

ステップ 7 インターフェイスを無差別ポートとして設定します。「レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定」を参照してください。

ステップ 8 無差別ポートをプライマリ/セカンダリ VLAN ペアにマッピングします。「レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定」を参照してください。

ステップ 9 VLAN 間ルーティングを使用する場合は、プライマリ SVI を設定し、セカンダリ VLAN をマッピングします。「セカンダリ VLAN 入力トラフィックのルーティングの許可」を参照してください。

ステップ 10 プライマリ VLAN 設定を確認します。「Switch#」を参照してください。


 

デフォルトのプライベート VLAN 設定

PVLAN は設定されていません。

PVLAN 設定時の注意事項および制約事項

PVLANs を使用(または設定)するときは、次の注意事項および制約事項を考慮してください。

PVLAN を正しく設定するには、VTP バージョン 1 および VTP バージョン 2 のトランスペアレント モードで VTP をイネーブルにします (VTP バージョン 3 を使用すると、サーバ モードで PVLAN を作成できます)。

VTP モードを PVLAN のクライアントまたはサーバに変更することはできません。

PVLAN に VLAN 1 または VLAN 1002 ~ 1005 を設定しないでください。

プライマリ PVLAN、独立 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN にポートを割り当てるには、PVLAN コマンドだけを使用します。

プライマリ VLAN、独立 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN のレイヤ 2 インターフェイスは、PVLAN で非アクティブです。レイヤ 2 トランク インターフェイスは STP フォワーディング ステートのままです。

レイヤ 3 VLAN インターフェイスをセカンダリ VLAN 用に設定できません。

独立 VLAN およびコミュニティ(セカンダリ)VLAN のレイヤ 3 VLAN インターフェイスは、VLAN が独立 VLAN またはコミュニティ VLAN として設定されている場合、非アクティブです。

プライマリ VLAN には、ダイナミック Access Control Entry(ACE; アクセス コントロール エントリ)を適用できません。

プライマリ VLAN に適用されている Cisco IOS ダイナミック ACL 設定は、VLAN が PVLAN の設定に含まれている場合、非アクティブです。

不正な設定によるスパニングツリー ループを防止するために、 spanning-tree portfast trunk コマンドを使用して PVLAN トランク上で PortFast をイネーブルにします。

セカンダリ VLAN に設定された VLAN ACL は、すべての入力方向で有効です。また、セカンダリ VLAN に関連付けられたプライマリ VLAN に設定された VLAN ACL はすべて出力方向で有効です。例外を次に示します。

双方向コミュニティ ホスト ポートで、セカンダリ VLAN ACL とセカンダリ QoS は、統合ルータ ポートから生じる出力ユニキャスト ルーテッド トラフィックに適用されます。

独立 VLAN またはコミュニティ VLAN のレイヤ 3 スイッチングを停止する場合は、その VLAN のプライマリ VLAN へのマッピングを削除します。

デバイスがトランク接続され、プライマリ VLAN およびセカンダリ VLAN がトランクに関連付けられている限り、異なるネットワーク デバイス上に PVLAN ポートを設定できます。

2 つの異なるデバイス上の独立ポートは相互通信できませんが、コミュニティ VLAN ポートの場合は可能です。

PVLAN は、次の SPAN 機能をサポートします。

PVLAN を SPAN 送信元ポートとして設定できます。

出力または入力トラフィックを別々に監視するには、プライマリ VLAN、独立 VLAN、コミュニティ VLAN、双方向コミュニティ VLAN で、VLAN ベース SPAN(VSPAN)を使用するか、1 つの VLAN だけで SPAN を使用します。

SPAN の詳細については、「SPAN および RSPAN の設定」を参照してください。

プライマリ VLAN には複数のコミュニティ VLAN または双方向コミュニティ VLAN を関連付けできますが、独立 VLAN は 1 つだけです。

独立 VLAN またはコミュニティ VLAN には、1 つのプライマリ VLAN のみを関連付けることができます。

PVLAN の設定で使用された PVLAN を削除すると、この PVLAN に関連付けられた PVLAN ポートは非アクティブになります。

VTP は PVLAN をサポートしません。PVLAN ポートを使用するデバイスごとに PVLAN を設定する必要があります。

使用する PVLAN の設定のセキュリティを確保して、PVLAN として設定された VLAN が他の目的に使用されないようにするには、PVLAN ポートがないデバイスを含めて、すべての中間デバイスで PVLAN を設定します。

PVLAN でトラフィックを伝送しないデバイスのトランクから、PVLAN をプルーニングします。

ポート ACLS 機能が使用できる場合、セカンダリ VLAN ポートに Cisco IOS ACLS を、および PVLAN(VACL)に Cisco IOS ACLS を適用できます。VACL の詳細については、「ACL によるネットワーク セキュリティの設定」を参照してください。

プライマリ VLAN、独立 VLAN、コミュニティ VLAN、および双方向コミュニティ VLAN には、別々の Quality of Service(QoS)を適用できます。(を参照)。プライマリ VLAN のレイヤ 3 VLAN インターフェイスに適用された Cisco IOS ACL は、関連する独立 VLAN、コミュニティ VLAN、および双方向コミュニティ VLAN にも自動的に適用されます。

PVLAN トランク ポートでは、入力トラフィックにセカンダリ VLAN ACL、出力トラフィックにプライマリ VLAN ACL が適用されます。

無差別ポートでは、入力トラフィックにプライマリ VLAN ACL が適用されます。

PVLAN セカンダリ トランク ポートと無差別トランク ポートはどちらも IEEE 802.1q カプセル化だけをサポートします。

PVLAN トランク上では、コミュニティ VLAN を伝播または伝送できません。

レイヤ 3 PVLAN インターフェイス上で学習される ARP エントリは、「sticky」ARP エントリです(PVLAN インターフェイス ARP エントリを表示して確認することを推奨します)。

セキュリティ上の理由から、PVLAN ポート sticky ARP エントリは期限切れになりません。異なる MAC アドレスでも同じ IP アドレスを持つデバイスを接続すると、エラー メッセージが生成されて ARP エントリは作成されません。

PVLAN ポート sticky ARP エントリは期限切れしないので、MAC アドレスを変更する場合は手動でエントリを削除する必要があります。sticky ARP エントリを上書きするには、まず no arp コマンドでエントリを削除してから、arp コマンドでエントリを上書きします。

DHCP 環境では、PC をシャットダウンしても自分の IP アドレスを他人に譲ることはできません。この問題を解決するために、Catalyst 4500 シリーズ スイッチでは no ip sticky-arp コマンドをサポートしています。このコマンドを使用すると、DHCP 環境での IP アドレスの上書きおよび再使用ができます。

通常の VLAN は無差別トランク ポートまたは独立トランク ポートで伝送されます。

無差別トランク ポートのデフォルト ネイティブ VLAN は VLAN 1 で、管理 VLAN です。タグのないパケットはすべてネイティブ VLAN で転送されます。プライマリ VLAN または通常の VLAN をネイティブ VLAN として設定できます。

無差別トランクは、セカンダリ VLAN を伝送するようには設定できません。許容 VLAN リストでセカンダリ VLAN を指定した場合、設定は受け入れられますが、セカンダリ VLAN のポートは動作せず、転送しません。これは、セカンダリ VLAN ではあってもプライマリ VLAN に関連付けられていない VLAN のポートの場合にも当てはまります。

無差別トランク ポートでは、プライマリ VLAN に着信する入力トラフィックにプライマリ VLAN ACL および QoS が適用されます。

VLAN ACL または QoS は、無差別トランク ポートの出力トラフィックには適用されません。これは、PVLAN のトラフィックのアップストリームは、論理的にセカンダリ PVLAN に向かうからです。ハードウェアの VLAN 変換により、受信したセカンダリ VLAN の情報は失われます。ポリシーは適用されません。この制約は、同じプライマリ VLAN の他のポートからブリッジングされるトラフィックにも当てはまります。

PVLAN 無差別トランク ポートでポート セキュリティを設定しないでください。逆の場合も行わないでください。

無差別トランク ポートのポートセキュリティをイネーブルにした場合、この機能はサポートされていないので、ポートは予測できない動作をする可能性があります。

PVLAN 無差別トランク ポートに IEEE 802.1X を設定しないでください。


) コミュニティまたは双方向コミュニティの PVLAN トランク ポートはサポートされていません。


PVLAN としての VLAN の設定

VLAN を PVLAN として設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# vlan vlan_ID

VLAN コンフィギュレーション モードを開始します。

ステップ 3

Switch(config-vlan)# private-vlan { community | twoway-community | isolated | primary }

VLAN を PVLAN として設定します。

このコマンドは、VLAN コンフィギュレーション サブモードを終了するまで有効になりません。

PVLAN のステータスをクリアするには、 no キーワードを使用します。

ステップ 4

Switch(config-vlan)# end

VLAN コンフィギュレーション モードを終了します。

ステップ 5

Switch# show vlan private-vlan [ type ]

設定を確認します。

次に、VLAN 202 をプライマリ VLAN として設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# vlan 202
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# end
Switch# show vlan private-vlan
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 primary
 

次に、VLAN 303 をコミュニティ VLAN として設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# vlan 303
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# end
Switch# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 primary
303 community
 

次に、VLAN 440 を独立 VLAN として設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# vlan 440
Switch(config-vlan)# private-vlan isolated
Switch(config-vlan)# end
Switch# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 primary
303 community
440 isolated
 

次に、VLAN 550 を双方向コミュニティ VLAN として設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# vlan 550
Switch(config-vlan)# private-vlan twoway-community
Switch(config-vlan)# end
Switch# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 primary
303 community
440 isolated
550 twoway-community

セカンダリ VLAN のプライマリ VLAN との関連付け

セカンダリ VLAN をプライマリ VLAN に関連付けるには、次の作業を実行します。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# vlan primary_vlan_ID

プライマリ VLAN の VLAN コンフィギュレーション モードを開始します。

ステップ 3

Switch(config-vlan)# private-vlan association { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

セカンダリ VLAN をプライマリ VLAN に関連付けます。

リストには、独立 VLAN ID を 1 つだけ含めることができ、リストに複数のコミュニティ VLAN ID または双方向コミュニティ VLAN ID を含めることもできます。

すべてのセカンダリ アソシエーションをクリアするには、 no キーワードを使用します。

ステップ 4

Switch(config-vlan)# end

VLAN コンフィギュレーション モードを終了します。

ステップ 5

Switch# show vlan private-vlan [ type ]

設定を確認します。

セカンダリ VLAN をプライマリ VLAN と関連付ける場合、次の点に注意してください。

secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。

secondary_vlan_list パラメータには、複数のコミュニティ VLAN ID または双方向コミュニティ VLAN ID を含めることができます。

secondary_vlan_list パラメータには、独立 VLAN ID を 1 つだけ含めることができます。

セカンダリ VLAN とプライマリ VLAN を関連付けるには、 secondary_vlan_list を入力するか、 secondary_vlan_list add キーワードを使用します。

セカンダリ VLAN とプライマリ VLAN 間の関連付けを消去するには、 secondary_vlan_list remove キーワードを使用します。

このコマンドは、VLAN コンフィギュレーション サブモードを終了しない限り、有効になりません。

次に、コミュニティ VLAN 303~307 および 309、双方向コミュニティ VLAN 550~552、および独立 VLAN 440 をプライマリ VLAN 202 に関連付けて、設定を確認する例を示します。

Switch# configure terminal
Switch(config)# vlan 202
Switch(config-vlan)# private-vlan association 303-307,309,440
Switch(config-vlan)# end
Switch# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 303 community
202 304 community
202 305 community
202 306 community
202 307 community
202 309 community
202 440 isolated
202 550 twoway-community
202 551 twoway-community
202 552 twoway-community
308 community

) セカンダリ VLAN 308 は、プライマリ VLAN と関連付けされません。


レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定

レイヤ 2 インターフェイスを PVLAN 無差別ポートとして設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface { fastethernet | gigabitethernet | tengigabitethernet } slot / port

設定する LAN インターフェイスを指定します。

ステップ 3

Switch(config-if)# switchport mode private-vlan { host | promiscuous | trunk promiscuous | trunk [secondary] }

レイヤ 2 インターフェイスを PVLAN 無差別ポートとして設定します。

ステップ 4

Switch(config-if)# [ no ] switchport private-vlan mapping [ trunk] primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

PVLAN 無差別ポートをプライマリ VLAN および選択したセカンダリ VLAN にマッピングします。

ステップ 5

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Switch# show interfaces { fastethernet | gigabitethernet | tengigabitethernet } slot / port switchport

設定を確認します。


) switchport private-vlan mapping コマンドでサポートされる一意の PVLAN ペアの最大数は 1000 です。


レイヤ 2 インターフェイスを PVLAN 無差別ポートとして設定する場合、次の点に注意してください。

secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。

セカンダリ VLAN を PVLAN 無差別ポートにマッピングするには、 secondary_vlan_list を入力するか、または secondary_vlan_list add キーワードを使用します。

セカンダリ VLAN と PVLAN 無差別ポート間のマッピングをクリアするには、 secondary_vlan_list remove キーワードを使用します。

次に、ファスト イーサネット インターフェイス 5/2 を PVLAN 無差別ポートとして設定し、PVLAN にマッピングして、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface fastethernet 5/2
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 200 2
Switch(config-if)# end
Switch# show interfaces fastethernet 5/2 switchport
Name:Fa5/2
Switchport:Enabled
Administrative Mode:private-vlan promiscuous
Operational Mode:private-vlan promiscuous
Administrative Trunking Encapsulation:negotiate
Operational Trunking Encapsulation:native
Negotiation of Trunking:Off
Access Mode VLAN:1 (default)
Trunking Native Mode VLAN:1 (default)
Voice VLAN:none
Administrative Private VLAN Host Association:none
Administrative Private VLAN Promiscuous Mapping:200 (VLAN0200) 2 (VLAN0002)
Private VLAN Trunk Native VLAN:none
Administrative Private VLAN Trunk Encapsulation:dot1q
Administrative Private VLAN Trunk Normal VLANs:none
Administrative Private VLAN Trunk Private VLANs:none
Operational Private VLANs:
200 (VLAN0200) 2 (VLAN0002)
Trunking VLANs Enabled:ALL
Pruning VLANs Enabled:2-1001
Capture Mode Disabled
Capture VLANs Allowed:ALL

レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定

レイヤ 2 インターフェイスを PVLAN ホスト ポートとして設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface { fastethernet | gigabitethernet | tengigabitethernet } slot / port

設定する LAN ポートを指定します。

ステップ 3

Switch(config-if)# switchport mode private-vlan { host | promiscuous | trunk promiscuous | trunk [secondary] }

レイヤ 2 インターフェイスを PVLAN ホスト ポートとして設定します。

ステップ 4

Switch(config-if)# [ no ] switchport private-vlan host-association primary_vlan_ID secondary_vlan_ID

レイヤ 2 インターフェイスを PVLAN に関連付けます。

プライマリ VLAN からすべてのアソシエーションを削除するには、 no キーワードを使用します。

ステップ 5

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Switch# show interfaces { fastethernet | gigabitethernet | tengigabitethernet } slot / port switchport

設定を確認します。

次に、ファスト イーサネット インターフェイス 5/1 を PVLAN ホスト ポートとして設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface fastethernet 5/1
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 202 440
Switch(config-if)# end
Switch# show interfaces fastethernet 5/1 switchport
Name: Fa5/1
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: private-vlan host
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Appliance trust: none
Administrative Private Vlan
Host Association: 202 (VLAN0202) 440 (VLAN0440)
Promiscuous Mapping: none
Trunk encapsulation : dot1q
Trunk vlans:
Operational private-vlan(s):
202 (VLAN0202) 440 (VLAN0440)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL

レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定

レイヤ 2 インターフェイスを独立 PVLAN トランク ポートとして設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface { fastethernet | gigabitethernet | tengigabitethernet } slot / port

設定する LAN ポートを指定します。

ステップ 3

Switch(config-if)# switchport mode private-vlan { host | promiscuous | trunk promiscuous | trunk [secondary] }

レイヤ 2 インターフェイスを PVLAN トランク ポートとして設定します。

ステップ 4

Switch(config-if)# [ no ] switchport private-vlan association trunk primary_vlan_ID secondary_vlan_ID

プライマリ VLAN とセカンダリ VLAN のアソシエーションを設定し、PVLAN トランク ポートを PVLAN に関連付けます。

(注) PVLAN トランク ポートが複数のセカンダリ VLAN を伝送できるように、このコマンドを使用して複数の PVLAN ペアを指定できます。既存のプライマリ VLAN にアソシエーションを指定した場合、既存のアソシエーションと置き換えられます。トランクにアソシエーションが指定されていない場合、セカンダリ VLAN で受信されたパケットはすべてドロップされます。

プライマリ VLAN からすべてのアソシエーションを削除するには、 no キーワードを使用します。

ステップ 5

Switch(config-if)# [ no ] switchport private-vlan trunk allowed vlan vlan_list all | none | [ add | remove | except ] vlan_atom [, vlan_atom ...]

 

PVLAN トランク ポートで許容される通常の VLAN のリストを設定します。

PVLAN トランク ポートで許容される通常の VLAN をすべて削除するには、 no キーワードを使用します。

ステップ 6

Switch(config-if)# switchport private-vlan trunk native vlan vlan_id

PVLAN トランク ポートに(IEEE 802.1Q タグとしての)タグなしパケットが割り当てられる VLAN を設定します。

ネイティブ VLAN が設定されていない場合、タグなしのパケットはすべてドロップされます。

ネイティブ VLAN がセカンダリ VLAN で、ポートにセカンダリ VLAN の関連付けが指定されていない場合、タグなしパケットはドロップされます。

PVLAN トランク ポートでネイティブ VLAN をすべて削除するには、 no キーワードを使用します。

ステップ 7

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 8

Switch# show interfaces { fastethernet | gigabitethernet | tengigabitethernet } slot / port switchport

設定を確認します。

次に、ファスト イーサネット インターフェイス 5/2 をセカンダリ トランク ポートとして設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface fastethernet 5/2
Switch(config-if)# switchport mode private-vlan trunk secondary
Switch(config-if)# switchport private-vlan trunk native vlan 10
Switch(config-if)# switchport private-vlan trunk allowed vlan 10. 3-4
Switch(config-if)# switchport private-vlan association trunk 3 301
Switch(config-if)# end
Switch# show interfaces fastethernet 5/2 switchport
Name: Fa5/2
Switchport: Enabled
Administrative Mode: private-vlan trunk secondary
Operational Mode: private-vlan trunk secondary
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none A
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: 10
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations:
3 (VLAN0003) 301 (VLAN0301)
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Operational Normal VLANs: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled Capture VLANs Allowed: ALL
 
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

レイヤ 2 インターフェイスの無差別 PVLAN トランク ポートとしての設定

レイヤ 2 インターフェイスを無差別 PVLAN トランク ポートとして設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface { fastethernet | gigabitethernet | tengigabitethernet } slot / port

設定する LAN インターフェイスを指定します。

ステップ 3

Switch(config-if)# switchport mode private-vlan { host | promiscuous | trunk promiscuous | trunk [secondary] }

レイヤ 2 インターフェイスを PVLAN 無差別トランク ポートとして設定します。

ステップ 4

Switch(config-if)# [ no ] switchport private-vlan mapping [ trunk] primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

無差別 PVLAN ポートをプライマリ VLAN および選択したセカンダリ VLAN にマッピングします。

このコマンドの削除には 3 つのレベルがあります。この表に続く例を参照してください。

ステップ 5

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Switch# show interfaces { fastethernet | gigabitethernet | tengigabitethernet } slot / port switchport

設定を確認します。


) 次のコマンドでサポートされる一意の PVLAN ペアの最大数 switchport private-vlan mapping trunk コマンドは 500 です。プライマリ VLAN ごとに 1 つだけの独立 VLAN のアソシエーションがサポートされるため、たとえば、500 の独立セカンダリ VLAN を 500 のプライマリ VLAN にマッピングできます。または、500 のコミュニティ セカンダリ VLAN を 1 つのプライマリ VLAN にマッピングできます。または、250 のコミュニティ セカンダリ VLAN を 1 つのプライマリ VLAN にマッピングし、他の 250 のコミュニティ セカンダリ VLAN を他のプライマリ VLAN にマッピングして、合計 500 のペアを作成できます。



) デフォルトでは、PVLAN トランク無差別に設定すると、ネイティブ VLAN は 1 に設定されます。


[no] switchport private-vlan mapping コマンドには、次の 3 つの削除レベルがあります。

リストから 1 つまたは複数のセカンダリ VLAN を削除するレベル。次に例を示します。

Switch(config-if)# switchport private-vlan mapping trunk 2 remove 222
 

PVLAN 無差別トランク ポートから指定したプライマリ VLAN(およびそれ自身の選択したセカンダリ VLAN)へのマッピングをすべて削除するレベル。次に例を示します。

Switch(config-if)# no switchport private-vlan mapping trunk 2
 

PVLAN 無差別トランク ポートから事前に設定されていたすべてのプライマリ VLAN(およびそれら自身の選択したセカンダリ VLAN)へのマッピングを削除するレベル。次に例を示します。

Switch(config-if)# no switchport private-vlan mapping trunk
 

レイヤ 2 インターフェイスを PVLAN 無差別ポートとして設定する場合、次の点に注意してください。

無差別トランク ポートで複数のプライマリ VLAN を伝送できるようにするには、switchport private-vlan mapping trunk コマンドを使用して複数の PVLAN ペアを指定します。

secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。

セカンダリ VLAN を PVLAN 無差別ポートにマッピングするには、 secondary_vlan_list を入力するか、または secondary_vlan_list add キーワードを使用します。

セカンダリ VLAN と PVLAN 無差別ポート間のマッピングをクリアするには、 secondary_vlan_list remove キーワードを使用します。

次に、ファスト イーサネット インターフェイス 5/2 を無差別トランク ポートとして設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface fastethernet 5/2
Switch(config-if)# switchport mode private-vlan trunk promiscuous
Switch(config-if)# switchport private-vlan trunk native vlan 10
Switch(config-if)# switchport private-vlan trunk allowed vlan 10, 3-4
Switch(config-if)# switchport private-vlan mapping trunk 3 301, 302
Switch(config-if)# end
Switch# show interfaces fastethernet 5/2 switchport
Name: Fa5/2
Switchport: Enabled
Administrative Mode: private-vlan trunk promiscuous
Operational Mode: private-vlan trunk promiscuous
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: 10
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: 3-4,10
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings:
3 (VLAN0003) 301 (VLAN0301) 302 (VLAN0302)
Operational private-vlan:
3 (VLAN0003) 301 (VLAN0301) 302 (VLAN0302)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
 
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

セカンダリ VLAN 入力トラフィックのルーティングの許可


) 独立 VLAN、コミュニティ VLAN、および双方向コミュニティ VLAN は、セカンダリ VLAN と呼ばれます。


セカンダリ VLAN 入力トラフィックのルーティングを許可するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface vlan primary_vlan_ID

プライマリ VLAN のインターフェイス コンフィギュレーション モードを開始します。

ステップ 3

Switch(config-if)# [ no ] private-vlan mapping primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

セカンダリ VLAN 入力トラフィックのルーティングを許可するために、セカンダリ VLAN をプライマリ VLAN にマッピングします。

プライマリ VLAN からすべてのアソシエーションを削除するには、 no キーワードを使用します。

ステップ 4

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 5

Switch# show interface private-vlan mapping

設定を確認します。

セカンダリ VLAN 入力トラフィックのルーティングを許可する場合、次の点に注意してください。

private-vlan mapping インターフェイス コンフィギュレーション コマンドは、レイヤ 3 スイッチングされている PVLAN 入力トラフィックにだけ影響します。

secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。

セカンダリ VLAN をプライマリ VLAN にマッピングするには、 secondary_vlan_list パラメータを入力するか、 secondary_vlan_list パラメータに add キーワードを使用します。

セカンダリ VLAN とプライマリ VLAN 間のマッピングを消去するには、 secondary_vlan_list パラメータに remove キーワードを使用します。

次の例では、PVLAN 303 ~ 307、309、および 440 からのセカンダリ VLAN 入力トラフィックのルーティングを許可し、そのコンフィギュレーションを確認する方法を示します。

Switch# configure terminal
Switch(config)# interface vlan 202
Switch(config-if)# private-vlan mapping add 303-307,309,440
Switch(config-if)# end
Switch# show interfaces private-vlan mapping
Interface Secondary VLAN Type
--------- -------------- -----------------
vlan202 303 community
vlan202 304 community
vlan202 305 community
vlan202 306 community
vlan202 307 community
vlan202 309 community
vlan202 440 isolated
 
Switch#

PVLAN over EtherChannel の設定

レイヤ 2 EtherChannel を作成した後に、4 つの PVLAN ポート モード(無差別ホスト、セカンダリ ホスト、独立トランク、無差別トランク)のいずれかとして設定できます。

ここでは、次の内容について説明します。

「レイヤ 2 EtherChannel の設定」

「レイヤ 2 Etherchannel の PVLAN 無差別ポートとしての設定」

「レイヤ 2 インターフェイスの EtherChannel ホスト ポートとしての設定」

「レイヤ 2 Etherchannel の独立 PVLAN トランク ポートとしての設定」

「レイヤ 2 Etherchannel の無差別 PVLAN トランク ポートとしての設定」

レイヤ 2 EtherChannel の設定

次の手順を実行します。


ステップ 1 VLAN を PVLAN として設定します。

次の URL を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/01xo/configuration/guide/pvlans.html#wp1174853

ステップ 2 セカンダリ VLAN をプライマリ VLAN に関連付けます。

次の URL を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/01xo/configuration/guide/pvlans.html#wp1121802

ステップ 3 レイヤ 2 EtherChannel の設定。

次の URL を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/01xo/configuration/guide/channel.html#wp1020670


 

レイヤ 2 Etherchannel の PVLAN 無差別ポートとしての設定

次の作業を実行します。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface port-channel interface-number

設定する LAN インターフェイスを指定します。

ステップ 3

Switch(config-if)# switchport mode private-vlan {host | promiscuous | trunk promiscuous | trunk [secondary]}

レイヤ 2 Etherchannel を PVLAN 無差別ポートとして設定します。

ステップ 4

Switch(config-if)# [no] switchport private-vlan mapping [trunk] primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list}

PVLAN 無差別ポートをプライマリ VLAN および選択したセカンダリ VLAN にマッピングします。

ステップ 5

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Switch# show interface port-channel interface-number switchport

設定を確認します。


) switchport private-vlan mapping コマンドでサポートされる一意の PVLAN ペアの最大数は 1000 です。


レイヤ 2 Etherchannel を PVLAN 無差別ポートとして設定する場合、次の点に注意してください。

secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。

セカンダリ VLAN を PVLAN 無差別ポートにマッピングするには、secondary_vlan_list を入力するか、または secondary_vlan_list と add キーワードを使用します。

セカンダリ VLAN と PVLAN 無差別ポート間のマッピングをクリアするには、secondary_vlan_list と remove キーワードを使用します。

次に、インターフェイス ポート チャネル 63 を PVLAN 無差別モード ポートとして設定し、PVLAN にマッピングして、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface port-channel 63
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 200 2
Switch(config-if)# end
Switch# show interfaces port-channel 63 switchport
Name:Po63
Switchport:Enabled
Administrative Mode:private-vlan promiscuous
Operational Mode:private-vlan promiscuous
Administrative Trunking Encapsulation:negotiate
Operational Trunking Encapsulation:native
Negotiation of Trunking:Off
Access Mode VLAN:1 (default)
Trunking Native Mode VLAN:1 (default)
Voice VLAN:none
Administrative Private VLAN Host Association:none
Administrative Private VLAN Promiscuous Mapping:200 (VLAN0200) 2 (VLAN0002)
Private VLAN Trunk Native VLAN:none
Administrative Private VLAN Trunk Encapsulation:dot1q
Administrative Private VLAN Trunk Normal VLANs:none
Administrative Private VLAN Trunk Private VLANs:none
Operational Private VLANs:
200 (VLAN0200) 2 (VLAN0002)
Trunking VLANs Enabled:ALL
Pruning VLANs Enabled:2-1001
Capture Mode Disabled
Capture VLANs Allowed:ALL

レイヤ 2 インターフェイスの EtherChannel ホスト ポートとしての設定

レイヤ 2 インターフェイスを EtherChannel ホスト ポートとして設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface port-channel interface-number

設定する LAN インターフェイスを指定します。

ステップ 3

Switch(config-if)# switchport mode private-vlan {host | promiscuous | trunk promiscuous | trunk [secondary]}

レイヤ 2 Etherchannel を PVLAN ホスト ポートとして設定します。

ステップ 4

Switch(config-if)# [no] switchport private-vlan host-association primary_vlanb_ID secondary_vlan_ID

レイヤ 2 インターフェイスを PVLAN に関連付けます。

プライマリ VLAN からすべてのアソシエーションを削除するには、no キーワードを使用します。

ステップ 5

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Switch# show interface port-channel interface-number switchport

設定を確認します。

次に、インターフェイス ポート チャネル 63 を PVLAN ホスト ポートとして設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface port-channel 63
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 202 440
Switch(config-if)# end
Switch# show interfaces port-channel 63 switchport
Name: Po63
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: private-vlan host
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Appliance trust: none
Administrative Private Vlan
Host Association: 202 (VLAN0202) 440 (VLAN0440)
Promiscuous Mapping: none
Trunk encapsulation : dot1q
Trunk vlans:
Operational private-vlan(s):
202 (VLAN0202) 440 (VLAN0440)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL

レイヤ 2 Etherchannel の独立 PVLAN トランク ポートとしての設定

レイヤ 2 Etherchannel を独立 PVLAN トランク ポートとして設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface port-channel interface-number

設定する LAN インターフェイスを指定します。

ステップ 3

Switch(config-if)# switchport mode private-vlan {host | promiscuous | trunk promiscuous | trunk [secondary]}

レイヤ 2 Etherchannel を PVLAN トランク ポートとして設定します。

ステップ 4

Switch(config-if)# [no] switchport private-vlan association trunk primary_vlanb_ID secondary_vlan_ID

プライマリ VLAN とセカンダリ VLAN のアソシエーションを設定し、PVLAN トランク ポートを PVLAN に関連付けます。

(注) PVLAN トランク ポートが複数のセカンダリ VLAN を伝送できるように、このコマンドを使用して複数の PVLAN ペアを指定できます。既存のプライマリ VLAN にアソシエーションを指定した場合、既存のアソシエーションと置き換えられます。トランクにアソシエーションが指定されていない場合、セカンダリ VLAN で受信されたパケットはすべてドロップされます。

プライマリ VLAN からすべてのアソシエーションを削除するには、no キーワードを使用します。

ステップ 5

Switch(config-if)# [no] switchport private-vlan trunk allowed vlan vlan_list [all | none | [add | remove | except] vlan_atom [,vlan_atom...]
 
 
 

PVLAN トランク ポートで許容される通常の VLAN のリストを設定します。

PVLAN トランク ポートで許容される通常の VLAN をすべて削除するには、no キーワードを使用します。

ステップ 6

Switch(config-if)# switchport private-vlan trunk native vlan vlan_id

PVLAN トランク ポートに(IEEE 802.1Q タグとしての)タグなしパケットが割り当てられる VLAN を設定します。

ネイティブ VLAN が設定されていない場合、タグなしのパケットはすべてドロップされます。

ネイティブ VLAN がセカンダリ VLAN で、ポートにセカンダリ VLAN の関連付けが指定されていない場合、タグなしパケットはドロップされます。

PVLAN トランク ポートでネイティブ VLAN をすべて削除するには、no キーワードを使用します)。

ステップ 7

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 8

Switch# show interfaces Port-channel interface-number switchport

設定を確認します。

次に、インターフェイス ポート チャネル 63 をセカンダリ トランク ポートとして設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface port-channel 63
Switch(config-if)# switchport mode private-vlan trunk secondary
Switch(config-if)# switchport private-vlan trunk native vlan 10
Switch(config-if)# switchport private-vlan trunk allowed vlan 10. 3-4
Switch(config-if)# switchport private-vlan association trunk 3 301
Switch(config-if)# end
Switch# show interfaces port-channel 63 switchport
Name: Po63
Switchport: Enabled
Administrative Mode: private-vlan trunk secondary
Operational Mode: private-vlan trunk secondary
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: 10
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations:
3 (VLAN0003) 301 (VLAN0301)
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Operational Normal VLANs: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled Capture VLANs Allowed: ALL
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

レイヤ 2 Etherchannel の無差別 PVLAN トランク ポートとしての設定

レイヤ 2 Etherchannel を無差別 PVLAN トランク ポートとして設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface port-channel interface-number

設定する LAN インターフェイスを指定します。

ステップ 3

Switch(config-if)# switchport mode private-vlan {host | promiscuous | trunk promiscuous | trunk [secondary]}

レイヤ 2 Etherchannel を PVLAN 無差別トランク ポートとして設定します。

ステップ 4

Switch(config-if)# [no] switchport private-vlan mapping [trunk] primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list}

無差別 PVLAN ポートをプライマリ VLAN および選択したセカンダリ VLAN にマッピングします。

このコマンドの削除には 3 つのレベルがあります。

ステップ 5

Switch(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Switch# show interfaces port-channel interface-number switchport

設定を確認します。


) switchport private-vlan mapping trunk コマンドでサポートされる一意の PVLAN ペアの最大数は 500 です。プライマリ VLAN ごとに 1 つだけの独立 VLAN のアソシエーションがサポートされるため、たとえば、500 の独立セカンダリ VLAN を 500 のプライマリ VLAN にマッピングできます。または、500 のコミュニティ セカンダリ VLAN を 1 つのプライマリ VLAN にマッピングできます。または、250 のコミュニティ セカンダリ VLAN を 1 つのプライマリ VLAN にマッピングし、他の 250 のコミュニティ セカンダリ VLAN を他のプライマリ VLAN にマッピングして、合計 500 のペアを作成できます。



) デフォルトでは、プライベート VLAN トランク無差別に設定すると、ネイティブ VLAN は 1 に設定されます。


[no] switchport private-vlan mapping コマンドには、次の 3 つの削除レベルがあります。

リストから 1 つまたは複数のセカンダリ VLAN を削除するレベル。

次に例を示します。

Switch(config-if)# switchport private-vlan mapping trunk 2 remove 222
 

PVLAN 無差別トランク ポートから指定したプライマリ VLAN(およびそれ自身の選択したセカンダリ VLAN)へのマッピングをすべて削除するレベル。

次に例を示します。

Switch(config-if)# no switchport private-vlan mapping trunk 2
 
 

PVLAN 無差別トランク ポートから事前に設定されていたすべてのプライマリ VLAN(およびそれら自身の選択したセカンダリ VLAN)へのマッピングを削除するレベル。

次に例を示します。

Switch(config-if)# no switchport private-vlan mapping trunk
 

PVLAN 無差別モード トランク ポートとしてレイヤ 2 EtherChannel を設定する場合、無差別トランク ポートが複数のプライマリ VLAN を伝送できるように、switchport private-vlan mapping trunk コマンドで、複数のプライベート VLAN ペアを指定できることを確認します。

•secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。

•セカンダリ VLAN を PVLAN 無差別ポートにマッピングするには、secondary_vlan_list を入力するか、または secondary_vlan_list と add キーワードを使用します。

•セカンダリ VLAN と PVLAN 無差別ポート間のマッピングをクリアするには、secondary_vlan_list と remove キーワードを使用します。

次に、インターフェイス ポートチャネル 63 を無差別トランク ポートとして設定し、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface port-channel 63
Switch(config-if)# switchport mode private-vlan trunk promiscuous
Switch(config-if)# switchport private-vlan trunk native vlan 10
Switch(config-if)# switchport private-vlan trunk allowed vlan 10, 3-4
Switch(config-if)# switchport private-vlan mapping trunk 3 301, 302
Switch(config-if)# end
Switch# show interfaces port-channel 63 switchport
Name: Po63
Switchport: Enabled
Administrative Mode: private-vlan trunk promiscuous
Operational Mode: private-vlan trunk promiscuous
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: 10
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: 3-4,10
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings:
3 (VLAN0003) 301 (VLAN0301) 302 (VLAN0302)
Operational private-vlan:
3 (VLAN0003) 301 (VLAN0301) 302 (VLAN0302)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none