Catalyst 6500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド - リリース 12.1 E
プライベート VLAN の設定
プライベート VLAN の設定
発行日;2012/02/02 | 英語版ドキュメント(2011/06/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

プライベート VLAN の設定

プライベート VLAN の機能概要

プライベート VLAN 設定時の制約事項および注意事項

プライベート VLAN の設定

プライベート VLAN としての VLAN の設定

セカンダリ VLAN とプライマリ VLAN の関連付け

プライマリ VLAN のレイヤ 3 VLAN インターフェイスへのセカンダリ VLAN のマッピング

プライベート VLAN ホスト ポートとしてのレイヤ 2 インターフェイスの設定

プライベート VLAN プロミスキャス ポートとしてのレイヤ 2 インターフェイスの設定

プライベート VLAN の設定

この章では、Catalyst 6500 シリーズ スイッチにプライベート VLAN を設定する手順について説明します。Release 12.1 E は、Release 12.1(11b)E 以降のリリースでプライベート VLAN をサポートします。


) この章で使用しているコマンドの構文および使用方法の詳細については、『Catalyst 6500 Series Switch Cisco IOS Command Reference』を参照してください。


この章で説明する内容は、次のとおりです。

「プライベート VLAN の機能概要」

「プライベート VLAN 設定時の制約事項および注意事項」

「プライベート VLAN の設定」

プライベート VLAN の機能概要


) プライベート VLAN を設定するには、スイッチは VTP トランスペアレント モードでなければなりません。


プライベート VLAN は、同じプライベート VLAN 内のポート間をレイヤ 2 で分離します。プライベート VLAN ポートには 3 つの種類があります。

プロミスキャス:プロミスキャス(混合モード)ポートは、プライベート VLAN 内のコミュニティ ホスト ポートおよび独立ホスト ポートなど、すべてのインターフェイスと通信できます。

独立:ポートは、プロミスキャス ポート以外の、同じプライベート VLAN 内の他のポートからレイヤ 2 で完全に分離されます。プライベート VLAN は、プロミスキャス ポートからのトラフィックを除く、独立ポートへのすべてのトラフィックをブロックします。独立ポートから受信したトラフィックは、プロミスキャス ポートだけに転送されます。

コミュニティ:コミュニティ ポートは、ホスト間で通信でき、プロミスキャス ポートとも通信します。これらのインターフェイスは、他のコミュニティの他のすべてのインターフェイスおよびプライベート VLAN 内の独立ポートからレイヤ 2 で分離されています。


) トランクは独立ポート、コミュニティ ポート、およびプロミスキャス ポート間でトラフィックを伝達する VLAN をサポートできます。したがって、独立ポートおよびコミュニティ ポートのトラフィックはトランク インターフェイスを介してスイッチに送受信できます。


プライベート VLAN ポートは、プライベート VLAN 構造の作成に使用されるサポート VLAN のセットに関連付けられます。プライベート VLAN は、次の 3 つの方法で VLAN を使用します。

プライマリ VLAN:トラフィックをプロミスキャス ポートから独立ポート、コミュニティ ポート、およびその他のプロミスキャス ポートに伝送します。

独立 VLAN:トラフィックを独立ポートからプロミスキャス ポートに伝送します。

コミュニティ VLAN:トラフィックをコミュニティ ポート間、およびプロミスキャス ポートに伝送します。プライベート VLAN では、複数のコミュニティ VLAN を設定できます。


) 独立 VLAN およびコミュニティ VLAN は、ともにセカンダリ VLAN と呼ばれます。


複数の装置にわたるようにプライベート VLAN を拡張するには、プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN を、プライベート VLAN をサポートする他の装置にトランキングします。

スイッチド環境では、個別のプライベート VLAN および関連 IP サブネットを個別の端末または端末の共通グループに割り当てられます。端末は、プライベート VLAN の外部にアクセスするために、デフォルト ゲートウェイだけと通信する必要があります。プライベート VLAN 内の端末では、次のことを実行できます。

端末(たとえば、サーバに接続されているインターフェイス)に接続されているポートを選択して、そのポートを独立ポートに指定して、レイヤ 2 での通信を禁止する (たとえば、端末がサーバである場合、この設定によってサーバ間のレイヤ 2 通信が防止されます)。

デフォルト ゲートウェイおよび選択した端末(たとえば、バックアップ サーバまたは LocalDirector)が接続されるインターフェイスをプロミスキャス ポートに指定して、すべての端末アクセスを許可する。

同じ VLAN および IP サブネットにある場合でも端末間のトラフィックを防止することで、VLAN および IP サブネットの消費を軽減する。

プロミスキャス ポートが処理できるプライマリ VLAN は 1 つだけです。

プロミスキャス ポートは、独立 VLAN またはコミュニティ VLAN を必要なだけ処理できます。

プロミスキャス ポートを使用すると、さまざまな装置を「アクセス ポイント」としてプライベート VLAN に接続できます。たとえば、プロミスキャス ポートを LocalDirector の「サーバ ポート」に接続し、1 つの独立 VLAN または複数のコミュニティ VLAN をサーバに接続すると、LocalDirector は独立 VLAN またはコミュニティ VLAN 内にあるサーバのロードバランスを実行できます。また、プロミスキャス ポートを使用して、管理ワークステーションからすべてのプライベート VLAN サーバのモニタまたはバックアップを実行することもできます。

プライベート VLAN 設定時の制約事項および注意事項

プライベート VLAN を設定する場合、次の注意事項と制約事項に従ってください。

VTP をトランスペアレント モードに設定します。プライベート VLAN を設定した後で、VTP モードをクライアントまたはサーバに変更できません。「VTP の設定」を参照してください。

プライベート VLAN には、VLAN 1 または VLAN 1002 ~ 1005 を設定できません。

ポートをプライマリ VLAN、独立 VLAN、またはコミュニティ VLAN に割り当てる場合は、プライベート VLAN コンフィギュレーション コマンドだけを使用します。プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN として設定する VLAN に割り当てられているレイヤ 2 アクセス ポートは、この VLAN がプライベート VLAN の設定に含まれている場合、非アクティブです。レイヤ 2 トランク インターフェイスは STP フォワーディング ステートのままです。

レイヤ 3 VLAN インターフェイスはプライマリ VLAN にだけ設定してください。独立 VLAN およびコミュニティ VLAN のレイヤ 3 VLAN インターフェイスは、独立 VLAN またはコミュニティ VLAN として設定されている場合、非アクティブです。

プライベート VLAN ポートを EtherChannel として設定しないでください。ポートがプライベート VLAN の設定に含まれている間は、そのポートの EtherChannel 設定は非アクティブです。

宛先 SPAN 設定は、プライベート VLAN 設定より優先されます。ポートが宛先 SPAN ポートの場合、そのポートのプライベート VLAN 設定は非アクティブです。

プライベート VLAN は次の SPAN 機能をサポートします。

プライベート VLAN ポートを SPAN ソース ポートとして設定できます。

プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN 上で VLAN-based SPAN(VSPAN; VLAN ベースの SPAN)を使用したり、単一の VLAN 上で SPAN を使用したりして、出力トラフィックまたは入力トラフィックを個別に監視することができます。

SPAN の詳細については、「ローカル SPAN および RSPAN の設定」を参照してください。

プライマリ VLAN には、1 つの隔離 VLAN および複数のコミュニティ VLAN を関連付けることができます。

独立 VLAN またはコミュニティ VLAN には、1 つのプライマリ VLAN だけを関連付けることができます。

設定ミスによって STP ループが発生しないようにするため、および STP コンバージェンスを高速化するためには独立ポートおよびコミュニティ ポート上で PortFast および Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)ガードをイネーブルにします(「オプションのスパニング ツリー プロトコル(STP)機能の設定」を参照)。STP をイネーブルに設定すると、STP によってすべての PortFast 設定済みレイヤ 2 LAN ポートに BPDU ガード機能が適用されます。

プライベート VLAN の設定で使用される VLAN を削除すると、この VLAN に関連付けられたプライベート VLAN ポートが非アクティブになります。

12 ポート制限:

すべてのリリースで、「12 ポート制限」が次の 10 Mb、10/100 Mb、100 Mb イーサネット スイッチング モジュールに適用されます。WS-X6324-100FX、WS-X6348-RJ-45、WS-X6348-RJ-45V、WS-X6348-RJ-21V、WS-X6248-RJ-45、WS-X6248A-TEL、WS-X6248-TEL、WS-X6148-RJ-45、WS-X6148-RJ-45V、WS-X6148-45AF、WS-X6148-RJ-21、WS-X6148-RJ-21V、WS-X6148-21AF、WS-X6024-10FL-MT。

Release 12.1(19)E よりも前のリリースでは、「12 ポート制限」が次のイーサネット スイッチング モジュールに適用されます。WS-X6548-RJ-45、WS-X6548-RJ-21、WS-X6524-100FX-MM。

Release 12.1(19)E 以降のリリースでは、「12 ポート制限」が次のイーサネット スイッチング モジュールに適用されません。WS-X6548-RJ-45、WS-X6548-RJ-21、WS-X6524-100FX-MM(CSCea67876)。

12 のポートからなるグループ(1 ~ 12、13 ~ 24、25 ~ 36、37 ~ 48)内のポートの 1 つが、トランク、SPAN 宛先またはプロミスキャス プライベート VLAN ポートのいずれかである場合は、ポートを独立ポートまたはコミュニティ VLAN ポートとして設定しないでください。12 ポート内のいずれかのポートが、トランク、SPAN 宛先、またはプロミスキャス プライベート VLAN ポートである場合、その 12 ポート内の他のポートの独立 VLAN 設定またはコミュニティ VLAN 設定は非アクティブです。これらのポートを再びアクティブにするには、独立 VLAN ポートまたはコミュニティ VLAN ポートの設定を削除して、 shutdown および no shutdown コマンドを入力します。

24 ポート制限:

すべてのリリースで、「24 ポート制限」が WS-X6548-GE-TX および WS-X6148-GE-TX 10/100/1000Mb イーサネット スイッチング モジュールに適用されます。24 のポートからなるグループ(1 ~ 24、25 ~ 48)内のポートの 1 つが、トランク、SPAN 宛先、プロミスキャス プライベート VLAN ポートのいずれかである場合は、ポートを独立ポートまたはコミュニティ VLAN ポートとして設定しないでください。24 ポート内のいずれかのポートが、トランク、SPAN 宛先、またはプロミスキャス プライベート VLAN ポートである場合、その 24 ポート内の他のポートの独立 VLAN 設定またはコミュニティ VLAN 設定は非アクティブです。これらのポートを再びアクティブにするには、独立 VLAN ポートまたはコミュニティ VLAN ポートの設定を削除して、 shutdown および no shutdown コマンドを入力します。

プライベート VLAN ポートは、ネットワーク装置をトランク接続し、トランクからプライマリ VLAN およびセカンダリ VLAN が削除されていない場合、さまざまなネットワーク装置上で使用できます。

VTP はプライベート VLAN をサポートしません。プライベート VLAN ポートを使用する装置ごとに、プライベート VLAN を設定する必要があります。

使用するプライベート VLAN の設定のセキュリティを確保して、プライベート VLAN として設定された VLAN が他の目的に使用されないようにするには、プライベート VLAN ポートがない装置を含めて、すべての中間装置でプライベート VLAN を設定します。

プライベート VLAN でトラフィックを伝送しない装置のトランクから、プライベート VLAN をプルーニングすることを推奨します。

ネットワークで MAC アドレス リダクションを使用する装置と使用しない装置がある場合、STP パラメータを伝播してスパニング ツリー トポロジを一致させる必要は必ずしもありません。プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN のスパニング ツリー トポロジの一致を確認するには、STP 設定を手動で検証する必要があります。

スイッチの MAC アドレス リダクション機能をイネーブルにする場合は、プライベート VLAN の STP トポロジが一致するように、ネットワーク内のすべての装置の MAC アドレス リダクション機能をイネーブルにするよう推奨します。

プライベート VLAN が設定されているネットワーク内で、一部の装置の MAC アドレス リダクション機能をイネーブルにし、他の装置でディセーブルにした場合は(混在環境)、プライマリ VLAN や、関連付けられたすべての独立 VLAN およびコミュニティ VLAN に対してルート ブリッジが共通となるように、デフォルトのブリッジ プライオリティを使用します。MAC アドレス リダクション機能がシステム上でイネーブルであるかどうかに関係なく、この機能の対象範囲に矛盾がないようにしてください。MAC アドレス リダクション機能では個々のレベルだけが許可されています。すべての中間値は、範囲として内部的に使用されます。プライベート VLAN および MAC アドレス リダクション機能を持つルート ブリッジをディセーブルにし、ルート ブリッジとする装置に、ルート ブリッジ以外で使用される最も高いプライオリティの範囲よりもさらに高いプライオリティを設定する必要があります。

プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN には、別々の Quality of Service(QoS; サービス品質)設定を適用できます(「PFC QoS の設定」を参照)。

セカンダリ VLAN には VACL を適用できません(「VLAN ACL の設定」を参照)。

発信されるすべてのプライベート VLAN トラフィックに Cisco IOS 出力 ACL を適用するには、プライマリ VLAN のレイヤ 3 VLAN インターフェイス上でこの ACL を設定します(「ネットワーク セキュリティの設定」を参照)。

プライマリ VLAN のレイヤ 3 VLAN インターフェイスに適用された Cisco IOS ACL は、関連する独立 VLAN およびコミュニティ VLAN にも自動的に適用されます。

Cisco IOS ACL を独立 VLAN またはコミュニティ VLAN には適用しないでください。独立 VLAN およびコミュニティ VLAN に適用される Cisco IOS ACL の設定は、VLAN がプライベート VLAN の設定に含まれている場合、非アクティブです。

ダイナミック Access Control Entry(ACE; アクセス制御エントリ)はプライマリ VLAN に適用しないでください。プライマリ VLAN に適用される Cisco IOS ダイナミック ACL の設定は、VLAN がプライベート VLAN の設定に含まれている場合、非アクティブです。

レイヤ 3 プライベート VLAN インターフェイスで学習される ARP エントリは、 sticky ARP エントリ です(プライベート VLAN インターフェイスの ARP エントリを表示して確認することを推奨します)。

セキュリティ上の理由から、プライベート VLAN ポートの sticky ARP エントリに期限切れはありません。MAC アドレスは違っても、IP アドレスが同じ装置を接続すると、メッセージが表示され、ARP エントリは作成されません。

プライベート VLAN ポートの sticky ARP エントリには期限がないため、MAC アドレスが変更された場合は、プライベート VLAN ポートの ARP エントリを手動で削除する必要があります。プライベート VLAN の ARP エントリを手動で追加または削除する方法は、次のとおりです。

Router(config)# no arp 11.1.3.30
IP ARP:Deleting Sticky ARP entry 11.1.3.30
 
Router(config)# arp 11.1.3.30 0000.5403.2356 arpa
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by hw:0000.5403.2356

プライベート VLAN の設定

ここでは、プライベート VLAN の設定手順について説明します。

「プライベート VLAN としての VLAN の設定」

「セカンダリ VLAN とプライマリ VLAN の関連付け」

「プライマリ VLAN のレイヤ 3 VLAN インターフェイスへのセカンダリ VLAN のマッピング」

「プライベート VLAN ホスト ポートとしてのレイヤ 2 インターフェイスの設定」

「プライベート VLAN プロミスキャス ポートとしてのレイヤ 2 インターフェイスの設定」


) VLAN がまだ定義されていない場合は、プライベート VLAN の設定プロセスを実行して、VLAN を定義します。



) Release 12.1(11b)E 以降では、コンフィギュレーション モードで、EXEC モード レベル コマンドの前に do キーワードを入力することによって、EXEC モード レベル コマンドを入力できます。


プライベート VLAN としての VLAN の設定

VLAN をプライベート VLAN として設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# vlan vlan_ID

VLAN コンフィギュレーション サブモードを開始します。

ステップ 2

Router(config-vlan)# private-vlan { community | isolated | primary }

VLAN をプライベート VLAN として設定します。

Router(config-vlan)# no private-vlan { community | isolated | primary }

プライベート VLAN の設定を消去します。

(注) これらのコマンドは、VLAN コンフィギュレーション サブモードを終了するまで有効になりません。

ステップ 3

Router(config-vlan)# end

コンフィギュレーション モードを終了します。

ステップ 4

Router# show vlan private-vlan [ type ]

設定を確認します。

次に、VLAN 202 をプライマリ VLAN として設定し、その設定を確認する例を示します。

Router# configure terminal
Router(config)# vlan 202
Router(config-vlan)# private-vlan primary
Router(config-vlan)# end
Router# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 primary
 

次に、VLAN 303 をコミュニティ VLAN として設定し、その設定を確認する例を示します。

Router# configure terminal
Router(config)# vlan 303
Router(config-vlan)# private-vlan community
Router(config-vlan)# end
Router# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 primary
303 community
 

次に、VLAN 440 を独立 VLAN として設定し、その設定を確認する例を示します。

Router# configure terminal
Router(config)# vlan 440
Router(config-vlan)# private-vlan isolated
Router(config-vlan)# end
Router# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 primary
303 community
440 isolated

セカンダリ VLAN とプライマリ VLAN の関連付け

セカンダリ VLAN とプライマリ VLAN を関連付ける手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Router(config)# vlan primary_vlan_ID

プライマリ VLAN の VLAN コンフィギュレーション サブモードを開始します。

ステップ 2

Router(config-vlan)# private-vlan association { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

セカンダリ VLAN とプライマリ VLAN を関連付けます。

Router(config-vlan)# no private-vlan association

セカンダリ VLAN の関連付けをすべて消去します。

ステップ 3

Router(config-vlan)# end

VLAN コンフィギュレーション モードを終了します。

ステップ 4

Router# show vlan private-vlan [ type ]

設定を確認します。

セカンダリ VLAN をプライマリ VLAN と関連付ける場合、構文に関する次の情報に注意してください。

secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一のプライベート VLAN ID、またはハイフンで連結したプライベート VLAN ID の範囲です。

secondary_vlan_list パラメータには、複数のコミュニティ VLAN ID を入れることができます。

secondary_vlan_list パラメータには、1 つの独立 VLAN ID を入れることができます。

セカンダリ VLAN をプライマリ VLAN に関連付けるには、 secondary_vlan_list を入力するか、または secondary_vlan_list を指定して add キーワードを使用します。

セカンダリ VLAN とプライマリ VLAN の関連付けを消去するには、 secondary_vlan_list を指定して remove キーワードを使用します。

これらのコマンドは、VLAN コンフィギュレーション サブモードを終了するまで有効になりません。

次に、コミュニティ VLAN 303 ~ 307、309、および独立 VLAN 440 をプライマリ VLAN 202 に関連付けて、設定を確認する例を示します。

Router# configure terminal
Router(config)# vlan 202
Router(config-vlan)# private-vlan association 303-307,309,440
Router(config-vlan)# end
Router# show vlan private-vlan
 
Primary Secondary Type Interfaces
------- --------- ----------------- ------------------------------------------
202 303 community
202 304 community
202 305 community
202 306 community
202 307 community
202 309 community
202 440 isolated
308 community

プライマリ VLAN のレイヤ 3 VLAN インターフェイスへのセカンダリ VLAN のマッピング


) 独立 VLAN およびコミュニティ VLAN は、ともにセカンダリ VLAN と呼ばれます。


セカンダリ VLAN をプライマリ VLAN のレイヤ 3 VLAN インターフェイスにマッピングして、プライベート VLAN 入力トラフィックのレイヤ 3 スイッチングを可能にするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface vlan primary_vlan_ID

プライマリ VLAN のインターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# private-vlan mapping { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

セカンダリ VLAN をプライマリ VLAN のレイヤ 3 VLAN インターフェイスにマッピングして、プライベート VLAN 入力トラフィックのレイヤ 3 スイッチングを可能にします。

Router(config-if)# [ no ] private-vlan mapping

セカンダリ VLAN とプライマリ VLAN の間のマッピングを消去します。

ステップ 3

Router(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 4

Router# show interface private-vlan mapping

設定を確認します。

セカンダリ VLAN をプライマリ VLAN のレイヤ 3 VLAN インターフェイスにマッピングする場合、構文に関する次の情報に注意してください。

private-vlan mapping インターフェイス コンフィギュレーション コマンドは、レイヤ 3 スイッチングされるプライベート VLAN 入力トラフィックにだけ作用します。

secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一のプライベート VLAN ID、またはハイフンで連結したプライベート VLAN ID の範囲です。

セカンダリ VLAN をプライマリ VLAN にマッピングするには、 secondary_vlan_list パラメータを入力するか、または secondary_vlan_list パラメータを指定して add キーワードを使用します。

セカンダリ VLAN とプライマリ VLAN の間のマッピングを消去するには、 secondary_vlan_list パラメータを指定して remove キーワードを使用します。

次に、プライベート VLAN 303 ~ 307、309、および 440 からのセカンダリ VLAN 入力トラフィックのルーティングを許可して、設定を確認する例を示します。

Router# configure terminal
Router(config)# interface vlan 202
Router(config-if)# private-vlan mapping add 303-307,309,440
Router(config-if)# end
Router# show interfaces private-vlan mapping
Interface Secondary VLAN Type
--------- -------------- -----------------
vlan202 303 community
vlan202 304 community
vlan202 305 community
vlan202 306 community
vlan202 307 community
vlan202 309 community
vlan202 440 isolated
 
Router#

プライベート VLAN ホスト ポートとしてのレイヤ 2 インターフェイスの設定

レイヤ 2 インターフェイスをプライベート VLAN ホスト ポートとして設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 1 slot/port

設定する LAN ポートを選択します。

ステップ 2

Router(config-if)# switchport

LAN ポートをレイヤ 2 スイッチング用に設定します。

LAN ポートをレイヤ 2 インターフェイスとして設定するには、キーワードを指定せずに switchport コマンドを一度入力する必要があります。その後で、キーワードとともにさらに switchport コマンドを入力してください。

インターフェイスに対して switchport コマンドを一度も入力していない場合に限り、必須です。

ステップ 3

Router(config-if)# switchport mode private-vlan { host | promiscuous }

レイヤ 2 ポートをプライベート VLAN ホスト ポートとして設定します。

Router(config-if)# no switchport mode private-vlan

プライベート VLAN ポートの設定を消去します。

ステップ 4

Router(config-if)# switchport private-vlan host-association primary_vlan_ID secondary_vlan_ID

レイヤ 2 ポートをプライベート VLAN と関連付けます。

Router(config-if)# no switchport private-vlan host-association

関連付けを消去します。

ステップ 5

Router(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Router# show interfaces [ type 1 slot/port ] switchport

設定を確認します。

1.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、インターフェイス FastEthernet 5/1 をプライベート VLAN ホスト ポートとして設定して、設定を確認する例を示します。

Router# configure terminal
Router(config)# interface fastethernet 5/1
Router(config-if)# switchport mode private-vlan host
Router(config-if)# switchport private-vlan host-association 202 303
Router(config-if)# end
Router# show interfaces fastethernet 5/1 switchport
Name: Fa5/1
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative private-vlan host-association: 202 (VLAN0202) 303 (VLAN0303)
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled

プライベート VLAN プロミスキャス ポートとしてのレイヤ 2 インターフェイスの設定

レイヤ 2 インターフェイスをプライベート VLAN プロミスキャス ポートとして設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 2 slot/port

設定する LAN インターフェイスを選択します。

ステップ 2

Router(config-if)# switchport

LAN インターフェイスをレイヤ 2 スイッチング用に設定します。

LAN インターフェイスをレイヤ 2 インターフェイスとして設定するには、キーワードを指定せずに switchport コマンドを一度入力する必要があります。その後で、キーワードとともにさらに switchport コマンドを入力してください。

インターフェイスに対して switchport コマンドを一度も入力していない場合に限り、必須です。

ステップ 3

Router(config-if)# switchport mode private-vlan { host | promiscuous }

レイヤ 2 ポートをプライベート VLAN プロミスキャス ポートとして設定します。

Router(config-if)# no switchport mode private-vlan

プライベート VLAN ポートの設定を消去します。

ステップ 4

Router(config-if)# switchport private-vlan mapping primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }

プライベート VLAN プロミスキャス ポートをプライマリ VLAN、および選択したセカンダリ VLAN にマッピングします。

Router(config-if)# no switchport private-vlan mapping

プライベート VLAN プロミスキャス ポートと、プライマリ VLAN やセカンダリ VLAN の間のすべてのマッピングを消去します。

ステップ 5

Router(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 6

Router# show interfaces [ type 1 slot/port ] switchport

設定を確認します。

2.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

レイヤ 2 インターフェイスをプライベート VLAN プロミスキャス ポートとして設定する場合、構文に関する次の情報に注意してください。

secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一のプライベート VLAN ID、またはハイフンで連結したプライベート VLAN ID の範囲です。

セカンダリ VLAN をプライベート VLAN プロミスキャス ポートにマッピングするには、 secondary_vlan_list の値を入力するか、または secondary_vlan_list の値を指定して add キーワードを使用します。

セカンダリ VLAN とプライベート VLAN プロミスキャス ポートの間のマッピングを消去するには、 secondary_vlan_list の値を指定して remove キーワードを使用します。

次に、インターフェイス FastEthernet 5/2 をプライベート VLAN プロミスキャス ポートとして設定し、そのインターフェイスをプライベート VLAN にマッピングする例を示します。

Router# configure terminal
Router(config)# interface fastethernet 5/2
Router(config-if)# switchport mode private-vlan promiscuous
Router(config-if)# switchport private-vlan mapping 202 303,440
Router(config-if)# end
 

次に、設定を確認する例を示します。

Router# show interfaces fastethernet 5/2 switchport
Name: Fa5/2
Switchport: Enabled
Administrative Mode: private-vlan promiscuous
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative private-vlan host-association: none ((Inactive))
Administrative private-vlan mapping: 202 (VLAN0202) 303 (VLAN0303) 440 (VLAN0440)
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled