Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド
VLANの設定
VLANの設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

VLANの設定

VLANの機能

VLANの範囲

VLANパラメータの設定

VLANのデフォルト設定

スイッチ上の標準範囲VLANの設定

標準範囲VLAN設定時の注意事項

標準範囲VLANの作成

標準範囲VLANの変更

スイッチ上の拡張範囲VLANの設定

拡張範囲VLAN設定時の注意事項

拡張範囲VLANの作成

VLANとVLANのマッピング

予約VLANから非予約VLANへのマッピング

予約VLANから非予約VLANへのマッピングの削除

802.1Q VLANからISL VLANへのマッピング

802.1QからISL VLANへのマッピングの削除

VLANへのスイッチ ポートの割り当て

VLANの削除

スイッチ上のプライベートVLANの設定

プライベートVLANの機能

プライベートVLAN設定時の注意事項

プライマリ プライベートVLANの作成

プライベートVLANポートのポート機能の表示

プライベートVLANの削除

隔離VLAN、コミュニティVLANまたは双方向コミュニティVLANの削除

プライベートVLANマッピングの削除

MSFC上でのプライベートVLANサポート

スイッチ上のFDDI VLANの設定

スイッチ上のトークンリングVLANの設定

トークンリングTrBRF VLANの機能

トークンリングTrCRF VLANの機能

トークンリングVLAN設定時の注意事項

トークンリングTrBRF VLANの作成または変更

トークンリングTrCRF VLANの作成または変更

Firewall Services Module用のVLANの設定

VLANの設定

この章では、Catalyst 6500シリーズ スイッチにVLAN(仮想LAN)を設定する手順について説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。


この章で説明する内容は、次のとおりです。

「VLANの機能」

「スイッチ上の標準範囲VLANの設定」

「スイッチ上の拡張範囲VLANの設定」

「VLANとVLANのマッピング」

「VLANへのスイッチ ポートの割り当て」

「VLANの削除」

「スイッチ上のプライベートVLANの設定」

「スイッチ上のFDDI VLANの設定」

「スイッチ上のトークンリングVLANの設定」

「Firewall Services Module用のVLANの設定」

VLANの機能

VLANは、物理的な位置にかかわりなく、共通の要件を持ったエンド ステーションのグループです。VLANは、物理LANと同じ属性をすべて備えていますが、物理的に同じLANセグメントに置かれていないエンド ステーションでもグループ化することができます。

VLANを使用すると、スイッチ上のポートをグループとしてまとめ、ユニキャスト、マルチキャスト、およびブロードキャスト トラフィックのフラッディングを制限することができます。特定のVLANから発生したフラッディング トラフィックは、そのVLANに所属するポートだけにフラッディングされます。

図 11-1図 11-1に、論理的に定義されたネットワークとしてのVLANセグメンテーションの例を示します。

ここでは、VLANについて説明します。

「VLANの範囲」

「VLANパラメータの設定」

「VLANのデフォルト設定」

図 11-1 論理的に定義されたネットワークとしてのVLAN

 

VLANは、IPサブネットワークと対応づけることがよくあります。たとえば、特定のIPサブネットに含まれるすべてのエンド ステーションを同じVLANに所属させるなどです。VLAN間のトラフィックはルーティングが必要です。スイッチ上のポートのVLANメンバーシップは、ポート別に手動で割り当てます。この方法でスイッチ ポートをVLANに割り当てた場合、「ポートベース(またはスタティック)VLANメンバーシップ」といいます。

スイッチの帯域内(sc0)インターフェイスを任意のVLANに割り当てることができるので、ルータを経由しなくても、同一VLAN上の他のスイッチに直接アクセスできます。帯域内インターフェイスに割り当てることができるIPアドレスは、一時点で1つだけです。IPアドレスを変更し、インターフェイスを別のVLANに割り当てると、それまでのIPアドレスとVLAN割り当てが上書きされます。

VLANの範囲

Catalyst 6500シリーズ スイッチはIEEE 802.1Q規格に適合しており、4,096個のVLANをサポートします。これらのVLANは、いくつかのレンジ(範囲)で編成されます。各レンジの用途は、少しずつ異なります。VLAN Trunking Protocol(VTP;VLANトランキング プロトコル)などの管理プロトコルを使用すると、ネットワーク上の他のスイッチに伝播されるVLANもあります。伝播されず、個々の該当するスイッチ上で設定が必要なVLANもあります。

VLANレンジは、次の3つです。

標準範囲VLAN: 1~1000

拡張範囲VLAN: 1025~4094

予約範囲VLAN: 0、1002~1024、4095

表 11-1 で、VLANの範囲について説明します。

 

表 11-1 VLANの範囲

VLAN
範囲
用途
VTPによる伝達(Y/N)

0、4095

予約範囲

システムだけが使用します。これらのVLANをユーザが表示または使用することはできません。

該当せず

1

標準範囲

シスコのデフォルト。このVLANは使用できますが、削除することはできません。

あり

2~1000

標準範囲

イーサネットVLAN用。これらのVLANを作成、使用、および削除できます。

あり

1001

標準範囲

このVLANを作成または使用することはできません。今後、使用可能になる予定です。

あり

1002~1005

予約範囲

FDDIおよびトークンリング用のシスコのデフォルト。Catalyst 6500シリーズ スイッチではサポートされていません。これらのVLANは削除できません。

該当せず

1006~1009

予約範囲

シスコのデフォルト。現在は使用されませんが、今後デフォルトとして使用される予定です。必要に応じて、非予約VLANをこれらの予約VLANにマッピングすることができます。

該当せず

1010~1024

予約範囲

これらのVLANは表示または使用できません。ただし、必要に応じて、非予約VLANをこれらの予約VLANにマッピングすることができます。

該当せず

1025~4094

拡張範囲

イーサネットVLAN専用。これらのVLANを作成、使用、および削除することができますが、次の場合は例外とします。

FlexWANモジュールおよびルーテッド ポートは、VLAN 1025で始まる内部VLANの連続的なブロックを自動的に割り当てます。これらの装置を使用する場合は、装置用に必要数のVLANを残しておく必要があります。

なし

VLANパラメータの設定

VLAN 2~1005を作成または変更する場合、次のパラメータを設定できます。


) イーサネットVLAN 1および1025~4094については、デフォルト値しか使用できません。


VLAN番号

VLAN名

VLANタイプ:イーサネット、FDDI、FDDINET、Token Ring Bridge Relay Function(TrBRF;トークンリング ブリッジ リレー機能)、またはToken Ring Concentrator Relay Function(TrCRF;トークンリング コンセントレータ リレー機能)

VLANステート:アクティブまたは停止

Multi-Instance Spanning Tree Protocol(MISTP)インスタンス

プライベートVLANタイプ:プライマリ、隔離、双方向コミュニティ、またはなし

Security Association Identifier(SAID)

VLANのMaximum Transmission unit(MTU;最大伝送ユニット)

FDDIおよびTrCRF VLANのリング番号

TrBRF VLANのブリッジ識別番号

TrCRF VLANの親VLAN番号

TrCRF VLANのSTPタイプ:IEEE、IBM、またはauto

VLANメディア間でタイプの変換を行うときに使用するVLAN(VLAN 1~1005のみ)。メディア タイプごとに異なるVLAN番号が必要

トークンリングVLAN用ソースルーティング ブリッジ モード:Source-Routing Bridge(SRB;ソースルーティング ブリッジ)またはSource-Routing Transparent(SRT;ソースルーティング トランスペアレント)ブリッジ

TrCRF VLANのバックアップ

トークンリング用の最大ホップVLAN All-Routes Explorer(ARE)フレームおよびSpanning Tree Explorer(STE)フレーム

Remote Switched Port Analyzer(RSPAN;リモート スイッチド ポート アナライザ)

VLANのデフォルト設定

表 11-2 に、Catalyst 6500シリーズ スイッチのVLANデフォルト設定を示します。

 

表 11-2 VLANのデフォルト設定

機能
デフォルト値

ネイティブ(デフォルト)VLAN

VLAN 1

ポートVLAN割り当て

すべてのポートをVLAN1に割り当てる

トークンリング ポートをVLAN 1003(trcrf-default)に割り当てる

VLANステート

アクティブ

MTUサイズ

1,500バイト

トークンリングVLANには4,472バイト

SAID値

100,000 + VLAN番号(たとえば、VLAN 8のSAID値は100,008、VLAN 4050のSAID値は104,050)

プルーニングの適格性

VLAN 2~1000はプルーニング適格、VLAN 1025~4094はプルーニング不適格

MACアドレス リダクション

ディセーブル

スパニングツリー モード

PVST+

デフォルトのFDDI VLAN

VLAN 1002

デフォルトのFDDI NET VLAN

VLAN 1004

デフォルトのトークンリングTrBRF VLAN

VLAN 1005(trbrf-default)およびブリッジ番号0F

デフォルトのトークンリングTrCRF VLAN

VLAN 1003(trcrf-default)

TrBRF VLANのSpanning Tree Protocol(STP;スパニングツリー プロトコル)バージョン

IBM

TrCRFブリッジ モード

SRB

RSPAN

ディセーブル

スイッチ上の標準範囲VLANの設定

ここでは、標準範囲VLAN 2~1000の設定手順について説明します。

「標準範囲VLAN設定時の注意事項」

「標準範囲VLANの作成」

「標準範囲VLANの変更」


) 標準範囲VLAN 1は、設定または変更できません。


標準範囲VLAN設定時の注意事項

ここでは、ネットワーク上で標準範囲VLAN 2~1000を作成および変更する場合の注意事項について説明します。

デフォルトのVLANタイプはイーサネットです。したがって、VLANタイプを指定しなかった場合、VLANはイーサネットVLANになります。

VTPを使用してネットワーク上のグローバルVLAN設定情報を維持する場合には、標準範囲VLANを作成する前に、VTPを設定してください。VTP設定の詳細については、「VTPの設定」を参照してください(VTPを使用して拡張範囲VLAN 1025~4094を管理することはできません)。

FlexWANモジュールおよびルーテッド ポートは、VLAN 1025で始まる一定数のVLANを独自に使用するため自動的に割り当てます。これらの装置を使用する場合は、必要数のVLANを残しておく必要があります。

標準範囲VLANの作成

VLANは一度に1つずつ作成することも、1つのコマンドでVLANの範囲を作成することもできます。VLANの範囲を作成する場合、VLAN名を指定することはできません。VLAN名は一意でなければならないためです。

標準範囲VLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

標準範囲のイーサネットVLANを作成します。

set vlan vlan [ name name ] [ said said ] [ mtu mtu ] [ translation vlan ]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

スイッチがPer VLAN Spanning Tree +(PVST+)モードのときに標準範囲VLANを作成し、設定を確認する例を示します。

Console> (enable) set vlan 500-520
Vlan 500 configuration successful
Vlan 501 configuration successful
Vlan 502 configuration successful
Vlan 503 configuration successful
.
.
.
Vlan 520 configuration successful
Console> (enable) show vlan 500-520
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
500 active 342
501 active 343
502 active 344
503 active 345
.
.
.
520 active 362
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
500 enet 100500 1500 - - - - - 0 0
501 enet 100501 1500 - - - - - 0 0
502 enet 100502 1500 - - - - - 0 0
503 enet 100503 1500 - - - - - 0 0
.
.
.
520 enet 100520 1500 - - - - - 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
Console> (enable)
 

標準範囲VLANの変更

既存の標準範囲VLANについてVLANパラメータを変更するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

既存の標準範囲VLANを変更します。

set vlan vlan [ name name ] [ state { active | suspend }]
[ said said ] [ mtu mtu ] [ translation vlan ]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

スイッチ上の拡張範囲VLANの設定

ここでは、拡張範囲VLAN 1025~4094の設定手順について説明します。

「拡張範囲VLAN設定時の注意事項」

「拡張範囲VLANの作成」

拡張範囲VLAN設定時の注意事項

ここでは、拡張範囲VLAN 1025~4094作成の際の注意事項について説明します。

拡張範囲には、イーサネット タイプのVLANしか作成できません。

拡張範囲VLANを使用するには、MAC(メディア アクセス制御)アドレス リダクションをイネーブルにする必要があります。

拡張範囲VLANの作成および削除は、CLI(コマンドライン インターフェイス)またはSNMP(簡易ネットワーク管理プロトコル)を通じてのみ行えます。

VTPを使用してこれらのVLANを管理することはできません。これらのVLANは、各スイッチ上でスタティックに設定する必要があります。

dot1q/islマッピングを使用する場合は、拡張範囲VLANを使用できません。

拡張範囲VLANには、プライベートVLANパラメータおよびRSPANを設定できます。ただし、これ以外の拡張範囲VLANパラメータは、いずれもシステム デフォルトだけを使用します。

スイッチは、内部的な使用のために、拡張範囲からVLANのブロックを割り当てる場合があります。たとえば、スイッチは、ルーテッド ポートまたはFlexWANモジュールにVLANを割り当てる場合があります。このVLANブロックは、常にVLAN 1025を起点として割り当てられます。FlexWANモジュールが必要とする範囲内にユーザが1つでもVLANを作成すると、必要なVLANがすべて割り当てられなくなります。ユーザのVLANエリアからVLANが割り当てられることはないためです。


注意 FlexWANモジュールおよびルーテッド ポートは、VLAN 1025で始まる内部VLANの連続的なブロックを自動的に割り当てます。これらの装置を使用する場合は、装置用に必要数のVLANを残しておく必要があります。また、VLAN 1025で始まる下位範囲VLANを使用してはなりません。FlexWANモジュールに対して十分なVLANがない場合、一部のポートが機能しない可能性があります。先に最上位のVLANを使用する必要があります。たとえば、VLAN 4090を使用し、次にVLAN 4089を使用してください(以下同様)。


注意 同一スイッチ上でFlexWANモジュールをあるスロットから別のスロットに移すと、FlexWANモジュールはそれまで使用していたVLANのブロックを削除せずに、新しいVLANのブロックを割り当てます。FlexWANモジュールを移動するときは、スイッチを再起動する必要があります。

拡張範囲VLANの作成

拡張範囲VLANを作成するには、まずMACアドレス リダクションをイネーブルにして、拡張範囲VLANのIDを提供させる必要があります。MACアドレス リダクションをイネーブルにした場合、拡張範囲VLANが存在するかぎり、ディセーブルにすることはできません。


) 拡張範囲VLANを使用する場合、システムに既存の802.1Q/ISLマッピングがあれば、そのマッピングを削除する必要があります。詳細については、「802.1QからISL VLANへのマッピングの削除」を参照してください。


MACアドレス リダクションをイネーブルにし、拡張範囲にイーサネットVLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

MACアドレス リダクションをイネーブルにします。

set spantree macreduction { enable | disable }

ステップ 2

VLANを作成します。

set vlan vlan

ステップ 3

VLANの設定を確認します。

show vlan [ vlan ]

MACアドレス リダクションをイネーブルにし、拡張範囲のイーサネットVLANを作成する例を示します。

Console> (enable) set spantree macreduction enable
MAC address reduction enabled
Console> (enable) set vlan 2000
Vlan 2000 configuration successful
Console> (enable) show vlan 2000
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
2000 VLAN2000 active 61
 
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
2000 enet 102000 1500 - - - - - 0 0
 
VLAN Inst DynCreated RSPAN
---- ---- ---------- --------
2000 - static disabled
Console> (enable)
 

次に、アクティブ、停止、および拡張VLANの要約を表示する例を示します。

Console> (enable) show vlan summary
 
Vlan status Count Vlans
------------- --------------------------------------------------------
VTP Active 504 1-100,102-500,1000,1002-1005
 
VTP Suspended 1 101
 
Extended 1 2000
Console> (enable)
 

VLANとVLANのマッピング

Catalyst 6500シリーズ スイッチ上でVLANを他のVLANにマッピングする方法は、2通りあります。

1. ネットワーク上のシスコ以外の装置からVLAN 1006~1024を、Catalyst 6500シリーズ スイッチ上の非予約VLANへ

2. 802.1Qトランク上のシスコ以外の装置のVLANから、Catalyst 6500シリーズ スイッチ上のISLトランクへ


) 方法1を使用すると、スイッチ上で拡張範囲VLAN(1025~4094)を使用できます。方法2を使用する場合は、以前のCatalyst 6500シリーズ ソフトウェア リリースでのマッピングを維持できますが、拡張範囲VLANは使用できません。


ここでは、VLANとVLANをマッピングする手順について説明します。

「予約VLANから非予約VLANへのマッピング」

「予約VLANから非予約VLANへのマッピングの削除」

「802.1Q VLANからISL VLANへのマッピング」

「802.1QからISL VLANへのマッピングの削除」

予約VLANから非予約VLANへのマッピング

未使用の非予約VLANに、予約範囲VLANをマッピングできます。非予約VLANとは、シスコによって予約済みになっていないあらゆるVLANであり、標準範囲VLANおよび拡張範囲VLANが含まれます。


) 以前のCatalyst 6500シリーズ スイッチ ソフトウェア リリースで作成したdot1q/isl VLANマッピングを使用する場合、マッピングされたVLANを使用して予約VLANを非予約VLANにマッピングすることはできません。任意で、dot1q/islマッピングを削除し、それらの予約VLANを使用することができます。


予約VLANを非予約VLANにマッピングするときには、次の制限が適用されます。

スイッチ上で作成できる予約から非予約へのVLANマッピングは、最大8つです。

イーサネットVLANにマッピングできるのは、イーサネットVLANだけです。

予約VLANのマッピングは、各スイッチにローカルに適用されます。ネットワーク内の該当するすべてのスイッチで、VLANマッピングを設定する必要があります。

予約VLANを非予約VLANにマッピングするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

必要に応じて、古いdot1q/isl VLANマッピングを削除します。

clear vlan mapping dot1q all

ステップ 2

予約VLANを非予約VLANにマッピングします。

set vlan mapping reserved { reserved_vlan } non-reserved { nonreserved_vlan }

ステップ 3

VLANマッピングを確認します。

show vlan mapping

古いVLANマッピングを削除し、予約VLANをマッピングし、マッピング テーブルでマッピングを確認する例を示します。

Console> (enable) clear vlan mapping dot1q all
All dot1q vlan mapping entries deleted
Console> (enable) set vlan mapping reserved 1020 non-reserved 4070
Vlan 1020 successfully mapped to 4070.
Console> (enable) show vlan mapping
Reserved vlan Non-Reserved vlan Effective
----------------------------------------------------
1008 63 false
1010 4065 true
1011 4066 true
1020 4070 true
 

マッピング テーブルのEffective欄は、マッピングが有効になっているかどうか(trueまたは false)を示します。trueと表示されているマッピングは、システムで使用可能です。falseと表示されているマッピングは、システムで使用できません。


) 予約VLANマッピングは、マッピングした順序でテーブルに登録されます。マッピングを削除すると、該当する行はテーブルに表示されなくなります。ただし、古いマッピングが削除された位置には、次に作成するマッピングが表示されます。


予約VLANから非予約VLANへのマッピングの削除

予約VLANと非予約VLAN間のマッピングを削除する場合、一度に1つずつマッピングを削除することも、全部のマッピングを一度に削除することもできます。

マッピング テーブルから一度にすべてのエントリを削除すると、テーブル全体が削除され、非予約VLANは引き続きVLANのリストに残ります。

予約VLANのマッピングを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

予約VLANを削除します。

clear vlan mapping reserved { reserved_vlan | all }

ステップ 2

非予約VLANを削除します。

clear vlan vlan

ステップ 3

マッピング テーブルのエントリが削除されたことを確認します。

show vlan mapping

1つのマッピングを削除する例を示します。

Console> (enable) clear vlan mapping reserved 1010
Vlan 1010 mapping entry deleted
Console> (enable)
 

次に、すべての予約VLANマッピングを削除する例を示します。

Console> (enable) clear vlan mapping reserved all
All reserved vlan mapping entries deleted
Console> (enable)
 

802.1Q VLANからISL VLANへのマッピング

ネットワークに、802.1Qトランクを通じてCatalyst 6500シリーズ スイッチに接続している他社製の装置がある場合や、Catalyst 6500シリーズの予約範囲1002~1024のVLANを持つ他社製のスイッチからのトラフィックが存在する場合があります。

ユーザが設定するISL(スイッチ間リンク)VLANの有効範囲は1~1000と1025~4094です。IEEE 802.1Q規格に指定されているVLANの有効範囲は、0~4095です。他社製の装置が802.1Qトランクを通じてシスコ製スイッチに接続されているネットワーク環境では、1001以上の802.1Q VLAN番号をISL VLAN番号にマッピングできます。拡張範囲(1025~4094)のVLANをdot1qマッピングに使用する場合は、どの拡張範囲VLANもそれ以外の目的で使用することはできません。

1~1000の範囲の802.1Q VLANは、対応するISL VLANに自動的にマッピングされます。シスコスイッチで認識し、転送するためには、1001以上の802.1Q VLAN番号をISL VLANにマッピングする必要があります。

802.1Q VLANとISL VLANのマッピングには、次の制限事項があります。

スイッチ上に拡張範囲VLANがある場合は、新しく802.1Q VLANをISL VLANにマッピングすることはできません。

1台のスイッチに設定できる802.1Q VLANとISL VLANのマッピング数は、最大8個です。

802.1Q VLANは、イーサネット タイプのISL VLANにしかマッピングできません。

802.1QトランクのネイティブVLANは、マッピング テーブルに入力しないでください。

802.1Q VLANをISL VLANにマッピングすると、マッピング後のISL VLANに対応する802.1Q VLAN上のトラフィックはブロックされます。たとえば、802.1Q VLAN 2000をISL VLAN 200にマッピングすると、802.1Q VLAN 200のトラフィックはブロックされます。

VLANマッピングは、各スイッチにローカルに適用されます。ネットワーク内の該当するすべてのスイッチで、同じVLANマッピングを設定してください。

802.1Q VLANをISL VLANにマッピングするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

802.1Q VLANをISLイーサネットVLANにマッピングします。 dot1q_vlan の有効範囲は、1001~4095です。 isl_vlan の有効範囲は、1~1000です。

set vlan mapping dot1q dot1q_vlan isl isl_vlan

ステップ 2

VLANマッピングを確認します。

show vlan mapping

802.1Q VLAN 2000、3000、4000をISL VLAN 200、300、400にマッピングし、設定を確認する例を示します。

Console> (enable) set vlan mapping dot1q 2000 isl 200
802.1q vlan 2000 is existent in the mapping table
Console> (enable) set vlan mapping dot1q 3000 isl 300
Vlan mapping successful
Console> (enable) set vlan mapping dot1q 4000 isl 400
Vlan mapping successful
Console> (enable) show vlan mapping
802.1q vlan ISL vlan Effective
------------------------------------------
2000 200 true
3000 300 true
4000 400 true
Console> (enable)
 

802.1QからISL VLANへのマッピングの削除

802.1QとISL VLAN間のマッピングを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

802.1QからISL VLANへのマッピングを削除します。

clear vlan mapping dot1q { dot1q_vlan | all }

ステップ 2

VLANマッピングを確認します。

show vlan mapping

802.1Q VLAN 2000のVLANマッピングを削除する例を示します。

Console> (enable) clear vlan mapping dot1q 2000
Vlan 2000 mapping entry deleted
Console> (enable)
 

次に、802.1QからISL VLANへのすべてのマッピングを削除する例を示します。

Console> (enable) clear vlan mapping dot1q all
All vlan mapping entries deleted
Console> (enable)
 

VLANへのスイッチ ポートの割り当て

管理ドメイン内で作成されたVLANは、1つまたは複数のスイッチ ポートがVLANに割り当てられないかぎり、未使用の状態です。新しいVLANを作成してから、モジュールとポートを指定することも、またVLANの作成とモジュールおよびポートの指定を一度に行うこともできます。


) スイッチ ポートは必ず、適切なタイプのVLANに割り当ててください。たとえば、イーサネット タイプのVLANには、イーサネット、ファスト イーサネット、およびギガビット イーサネット ポートを割り当てます。


1つまたは複数のスイッチ ポートをVLANに割り当てるには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

VLANに1つまたは複数のスイッチ ポートを割り当てます。

set vlan vlan mod/port

ステップ 2

ポートのVLANメンバーシップを確認します。

show vlan [ vlan ]
show port [ mod [ / port ]]

VLANにスイッチ ポートを割り当て、設定を確認する例を示します。

Console> (enable) set vlan 560 4/10
VLAN 560 modified.
VLAN 1 modified.
VLAN Mod/Ports
---- -----------------------
560 4/10
Console> (enable) show vlan 560
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
560 Engineering active 348 4/10
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
560 enet 100560 1500 - - - - - 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
Console> (enable) show port 4/10
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
4/10 connected 560 a-half a-100 10/100BaseTX
 
Port AuxiliaryVlan AuxVlan-Status
----- ------------- --------------
4/10 none none
 
.
.
.
 
Last-Time-Cleared
--------------------------
Tue Jun 6 2000, 16:45:18
Console> (enable)
 

VLANの削除

VLANを削除する場合は、次の注意事項に従ってください。

VTPサーバ モードで標準範囲イーサネットVLANを削除すると、VTPドメインのすべてのスイッチからそのVLANが削除されます。

VTPトランスペアレント モードで標準範囲VLANを削除すると、現在のスイッチ上に限ってVLANが削除されます。

拡張範囲VLANは、そのVLANを作成したスイッチ上でしか削除できません。

トークンリングTrBRF VLANを削除する場合は、最初に子TrCRFを別の親TrBRFに割り当てるか、または子TrCRFを削除する必要があります。


注意 VLANを削除すると、そのVLANに割り当てられていたあらゆるポートが非アクティブになります。これらのポートは、新しいVLANに割り当てられるまで、元のVLANに対応づけられています(つまり、非アクティブのままです)。

1つのVLANを削除することも、VLANの範囲を削除することもできます。スイッチ上のVLANを削除するには、イネーブル モードで次のコマンドを入力します。

 

作業
コマンド

VLANを削除します。

clear vlan vlan

VLANを削除する例を示します(この場合、スイッチはVTPサーバです)。

Console> (enable) clear vlan 500
This command will deactivate all ports on vlan(s) 500
Do you want to continue(y/n) [n]?y
Vlan 500 deleted
Console> (enable)
 
This command will deactivate all ports on vlan(s) 10
All ports on normal range vlan(s) 10
will be deactivated in the entire management domain.
Do you want to continue(y/n) [n]?
 

スイッチ上のプライベートVLANの設定

ここでは、プライベートVLANの機能について説明します。

「プライベートVLANの機能」

「プライベートVLAN設定時の注意事項」

「プライマリ プライベートVLANの作成」

「プライベートVLANポートのポート機能の表示」

「プライベートVLANの削除」

「隔離VLAN、コミュニティVLANまたは双方向コミュニティVLANの削除」

「プライベートVLANマッピングの削除」

「MSFC上でのプライベートVLANサポート」

プライベートVLANの機能

プライベートVLANは、Catalyst 6500シリーズ スイッチ上の同一プライベートVLAN内でポート間のレイヤ2の隔離を行います。プライベートVLANに所属するポートは、そのプライベートVLAN構造を作成する共通のサポートVLANの集合に対応づけられます。

プライベートVLANポートには、次の3タイプがあります。

混合 ― ほかのすべてのプライベートVLANポートと通信し、ルータ、LocalDirector、バックアップ サーバ、および管理ワークステーションとの通信に使用するポートです。

隔離 ― 同一プライベートVLAN内の混合ポート以外のポートから、レイヤ2上で完全に隔離されたポートです。

コミュニティ ― コミュニティ ポート間で通信するだけではなく、自身の混合ポートとも通信します。この種のポートは、同一プライベートVLANのほかのコミュニティに属すポートまたは隔離ポートから、レイヤ2で隔離されています。

発信トラフィックをすべての隔離ポートにブロックすることにより、レイヤ2上でプライバシーが確保されます。すべての隔離ポートは特定の隔離VLANに割り当てられており、そのVLANでこのハードウェア機能が実行されます。隔離ポートから受信したトラフィックは、混合ポートだけに転送されます。

プライベートVLANは、次の4つに分類されます。単一プライマリVLAN、単一隔離VLAN、および一連のコミュニティ、または双方向コミュニティVLANです。

プライベートVLANを設定するには、まずプライベートVLAN内の各サポートVLANを定義する必要があります。

プライマリVLAN ― 混合ポートからの着信トラフィックを、ほかのすべての混合ポート、隔離ポート、コミュニティ ポート、および双方向コミュニティ ポートに送信します。

隔離VLAN ― 隔離ポートが、混合ポートと通信するために使用します。隔離されたポートからのトラフィックは、所属するプライベートVLAN内のあらゆる隣接ポートでブロックされ、受信できるのは混合ポートだけになります。

コミュニティVLAN ― コミュニティ ポート間の通信を行い、指定の混合ポートを介してプライベートVLAN外部にトラフィックを送信するためにコミュニティ ポートのグループが使用する単一方向VLAN。

双方向コミュニティVLAN ― コミュニティ ポート間、コミュニティ ポートとMultilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャ カード)間の通信に、コミュニティ ポートのグループが使用する双方向VLAN。


) ソフトウェア リリース 6.2(1)以降のリリースでは、トラフィックがMSFC混合ポートを通ってプライベートVLANの境界を越えるとき、双方向コミュニティVLANを使用してプライマリVLANからセカンダリVLANへの逆マッピングを実行できます。発信トラフィックと着信トラフィックの両方を同一VLANで伝送できるので、VACL(VLANアクセス制御リスト)などのVLANをベースにした機能をコミュニティ(または顧客)単位で両方向に適用できます。


プライベートVLANを作成するには、標準VLAN範囲の標準VLANを2つ以上割り当てます。そのうち1つのVLANをプライマリVLAN、もう1つのVLANを隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANとして指定します。必要に応じて、それ以外のVLANをこのプライベートVLANでそれぞれ隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANとして指定することもできます。VLANを指定したあとは、それらのVLANを一括してバインドし、混合ポートに対応づける必要があります。

プライベートVLANをサポートする他のスイッチにプライマリVLAN、隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANをトランキングすることにより、プライベートVLANを複数のイーサネット スイッチに拡張できます。

イーサネット スイッチド環境では、個々のVLANおよび対応するIPサブネットを、個々のステーションまたはステーションの共通のグループに割り当てることができます。サーバはデフォルト ゲートウェイと通信する能力さえあれば、そのVLAN自身の外部にあるエンド ポイントにアクセスできます。これらのステーションを、その所有権とは無関係に、1つのプライベートVLANにまとめることにより、次のような利点があります。

サーバ ポートを隔離ポートとして指定することにより、レイヤ2でのサーバ間通信を防止できます。

デフォルト ゲートウェイ、バックアップ サーバ、またはLocalDirectorが接続されたポートを混合ポートとして指定することにより、すべてのステーションがこれらのゲートウェイにアクセス可能になります。

VLANの消費が低減します。すべてのステーションが同一のプライベートVLANに存在するので、ステーションのグループ全体に1つのIPサブネットを割り当てるだけで済みます。

MSFCポートまたは非トランクの混合ポートでは、必要に応じて隔離VLANまたはコミュニティVLANをいくつでも再マッピングすることができます。ただし、非トランクの混合ポートが再マッピングできるのは1つのプライマリVLANだけであり、MSFCポートが接続できるのはMSFCルータだけです。非トランク混合ポートを使用すると、プライベートVLANへの「アクセス ポイント」としてさまざまな装置に接続できます。たとえば、非トランクの混合ポートをLocalDirectorの「サーバ ポート」に接続して、多くの隔離VLANまたはコミュニティVLANをそのサーバVLANに再マッピングすると、LocalDirectorによって隔離VLANまたはコミュニティVLAN内に存在するサーバの負荷を分散させることができます。また、管理ワークステーションからすべてのプライベートVLANのサーバをモニタしたりバックアップしたりする目的で、非トランクの混合ポートを使用することも可能です。


) 双方向コミュニティVLANは、MSFC混合ポートにしかマッピングできません(非トランクまたはその他のタイプの混合ポートにはマッピングできません)。


プライベートVLAN設定時の注意事項

ここでは、プライベートVLAN設定時の注意事項について説明します。


) ここでは、コミュニティVLANという用語は、他に明記しない限り、単一方向コミュニティVLANと双方向コミュニティVLANの両方を表す総称として使用しています。


1つのVLANをプライマリVLANとして指定してください。

任意で1つのVLANを隔離VLANとして指定することができますが、使用できる隔離VLANは1つだけです。

任意でプライベートVLANコミュニティを使用できますが、コミュニティごとに1つずつコミュニティVLANを指定する必要があります。

隔離VLANおよびコミュニティVLAN、またはそのどちらかのVLANをプライマリVLANにバインドし、隔離ポートまたはコミュニティ ポートを割り当ててください。その結果、次のようになります。

隔離VLANおよびコミュニティVLANのスパニングツリー特性は、それぞれのプライマリVLANの特性に設定されます。

VLANメンバーシップは、スタティックになります。

アクセス ポートは、ホスト ポートになります。

BPDUガード機能がアクティブになります。

隔離VLANおよびコミュニティVLANを混合ポート上のプライマリVLANにマッピングする、VLAN自動変換を設定してください。非トランク ポートまたはMFSCポートを混合ポートとして設定します。

VTPをトランスペアレント モードに設定する必要があります。

プライベートVLANを設定したあとで、VTPモードをクライアントまたはサーバ モードに変更することはできません。VTPはプライベートVLANタイプおよびマッピングの伝播をサポートしないからです。

VLANをプライマリVLAN、隔離VLAN、またはコミュニティVLANとして設定できるのは、現在そのVLANにアクセス ポートがまったく割り当てられていない場合に限られます。VLANにアクセス ポートが割り当てられていないことを確認するには、 show port コマンドを使用します。

プライマリVLANに対応づけることができるのは、1つの隔離VLANまたは複数のコミュニティ、あるいはその両方です。

隔離VLANまたはコミュニティVLANに対応づけられるのは、1つのプライマリVLANだけです。

プライベートVLANは、VLAN 2~1000、および1025~4096を使用できます。

プライマリVLANまたはセカンダリVLANのどちらかを削除すると、そのVLANに対応づけられたポートが非アクティブになります。

プライベートVLANを設定するとき、次に説明するハードウェアとソフトウェアの相互作用について考慮してください。

プライベートVLANでは、帯域内ポート(sc0)は使用できません。


) ソフトウェア リリース6.3(1)以降のリリースでは、sc0ポートはプライベートVLANポートとして設定できますが、sc0ポートを混合ポートとして設定することはできません。


プライベートVLANポートをトランキングまたはチャネリング モードに設定したり、ダイナミックVLANメンバーシップを持たせたりすることはできません。ただし例外として、MSFCポートでは常にトンランキングがアクティブです。

同じASICに属するポートを、1つのポートがトランキング モードまたはSPAN宛先、もう1つのポートが 表 11-3 に示すモジュール用の混合ポート、隔離ポート、またはコミュニティ ポートになるように設定することはできません。

このような設定を試みると、警告メッセージが表示され、コマンドが拒否されます。

 

表 11-3 モジュールとポートの対応(ASICグループ別)

モジュール番号
説明
ポート(ASIC別)

WS-X6224-100FX-MT

24ポート100FXマルチモードMT-RJ

ポート1~12

ポート13~24

ポート25~36

ポート37~48

WS-X6248-RJ-45

48ポート10/100TX RJ-45

ポート1~12

ポート13~24

ポート25~36

ポート37~48

WS-X6248-TEL

48ポート10/100TX RJ-21

ポート1~12

ポート13~24

ポート25~36

ポート37~48

WS-X6348-RJ-45

48ポート 10/100TX RJ-45

ポート1~12

ポート13~24

ポート25~36

ポート37~48

WS-X6024-10FL-MT

24ポート10BASE-FL MT-RJ

ポート1~12

ポート13~24

隔離ポートおよびコミュニティ ポートは、設定ミスに起因するスパニングツリー ループを防ぐため、BPDUガード機能を実行する必要があります。

プライマリVLANおよび対応する隔離VLANとコミュニティVLANは、スパニングツリーの設定が同じでなければなりません。この設定は、関連するプライマリVLAN、隔離VLAN、およびコミュニティVLANの間で一貫したスパニングツリー トポロジーを維持し、接続切断を防ぎます。設定されたプライオリティおよび各種パラメータは、プライマリVLANから隔離VLANおよびコミュニティVLANに自動的に伝えられます。

次のようにMISTPモードで動作するプライベートVLANを作成できます。

MISTPをディセーブルにすると、対応するすべての隔離VLANおよびコミュニティVLANにプライマリVLANの設定変更が伝達されます。隔離VLANまたはコミニュティVLANを変更することはできません。

MISTPをイネーブルにする場合、MISTPインスタンスを設定できるのはプライマリVLANだけです。プライマリVLANに適用された変更は、隔離VLANおよびコミュニティVLANに伝播されます。

ネットワークでMACアドレス リダクションを使用しているスイッチと使用していないスイッチが混在している場合、STPパラメータは必ずしも伝播されず、スパニングツリー トポロジーが一致しなくなる場合があります。STPの設定を手動でチェックし、プライマリVLAN、隔離VLAN、およびコミニュティVLANのスパニングツリー トポロジーが一致していることを確認する必要があります。

Catalyst 6500シリーズ スイッチでMACアドレス リダクションをイネーブルにする場合は、ネットワーク上の全スイッチでMACアドレス リダクションをイネーブルにして、プライベートVLANのSTPトポロジーを一致させます。そうしない場合は、プライベートVLANのあるネットワーク上で、MACアドレス リダクションをイネーブルに設定したスイッチとディセーブルに設定したスイッチが混在していることになり、プライマリVLANと対応するすべての隔離VLANおよびコミニュティVLANでルート ブリッジを共通にするために、デフォルトのブリッジ プライオリティを使用せざるを得なくなります。システムでMACアドレス リダクションをイネーブルにするかどうかに関わらず、MACアドレス リダクション機能で使用する範囲には一貫性を持たせてください。MACアドレス リダクションは個々のレベルにしか対応せず、範囲としてはすべての中間値を内部的に使用します。プライベートVLANおよびMACアドレス リダクションのあるルート ブリッジはディセーブルにし、非ルート ブリッジが使用する最高のプライオリティ レンジより高いプライオリティでルート ブリッジを設定する必要があります。

BPDUガード モードはシステム全体を対象とし、プライベートVLANに最初のポートが追加された時点でイネーブルになります。

宛先SPANポートをプライベートVLANポートとして設定することはできません。また、その逆の設定もできません。

送信元SPANポートは、1つのプライベートVLANに所属できます。

VSPAN(VLANベースのSPAN)を使用してプライマリVLAN、隔離VLAN、およびコミュニティVLANを一括してSPANの対象にすることもできますし、また1つのVLANだけでSPANを使用して出力トラフィックまたは入力トラフィックを個別にモニタすることもできます。

RSPAN VLANは、プライベートVLANには使用できません。

隔離ポート、コミュニティ ポート、または混合ポート上でEtherChannelをイネーブルにすることはできません。

プライマリVLAN、隔離VLAN、およびコミュニティVLANには、それぞれ異なるVACLおよびQuality of Service(QoS;サービス品質)ACLを適用できます。


) ACLの設定手順については、「プライベートVLAN上でのACLの設定」を参照してください。


MSFCからのすべての発信トラフィックに適用されるように、双方向コミュニティVLANとプライマリVLANの両方で出力ACLを設定する必要があります。

プライマリVLANにCisco IOS ACLをマッピングすると、対応する隔離VLANおよびコミュニティVLANにそのCisco IOS ACLが自動的にマッピングされます。

隔離VLANまたはコミュニティVLANにCisco IOS ACLをマッピングすることはできません。

プライベートVLANインターフェイスでPolicy-Based Routing(PBR;ポリシーベース ルーティング) を使用することはできません。 ip policy route-map route_map_name コマンドを使用してプライベートVLANインターフェイスにポリシーを適用しようとすると、エラー メッセージが出力されます。

VLANにダイナミックAccess Control Entry(ACE;アクセス制御エントリ)が設定されている場合、そのVLANをプライベートVLANにすることはできません。

隔離VLANまたはコミュニティVLANのレイヤ3スイッチングを停止するには、そのVLANとプライマリVLANとのバインディングを破棄します。対応するマッピングを削除するだけでは不十分です。

プライマリ プライベートVLANの作成

プライマリ プライベートVLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

プライマリ プライベートVLANを作成します。

set vlan vlan pvlan-type primary

ステップ 2

隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANを設定します。

set vlan vlan pvlan-type {isolated | community
| twoway-community }

ステップ 3

隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANをプライマリVLANにバインドします。

set pvlan primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan}

ステップ 4

隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートをプライマリ プライベートVLANに対応づけます。

set pvlan primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan} [ mod/ports | sc0 ]

ステップ 5

隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANを、混合ポートのプライマリ プライベートVLANにマップします。

set pvlan mapping primary_vlan {isolated_vlan
| community_vlan | twoway_community_vlan} mod/ports

ステップ 6

プライマリ プライベートVLANの設定を確認します。

show pvlan [ vlan ]

show pvlan mapping


) プライベートVLANに、隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートをバインドすると同時に、対応づけられた隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANをバインドするには、set pvlan primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan} mod/portコマンドを使用します。



) スイッチがトランクに接続され、そのトランクからプライベートVLANが削除されていないかぎり、ポートが同じスイッチに存在する必要はありません。



) プライベートVLANで混合ポートにMSFCを使用するとき、MSFC mod/por番号としては、スロット1にスーパバイザ エンジンが搭載されている場合は15/1を、スロット2に搭載されている場合は16/1を使用してください。



) 隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートのある装置、混合ポートのある装置、およびプライベートVLANをトランクで伝送する必要のあるすべての中間スイッチを含むプライベートVLANを作成する場合は、必ずset pvlanコマンドを使用する必要があります。隔離ポート、コミュニティ ポート、双方向コミュニティ ポート、または混合ポートのないエッジ装置(一般に、プライベート ポートを持たないアクセス装置)では、プライベートVLANを作成する必要はなく、セキュリティ上の理由でプライベートVLANをトランクからプルーニングすることができます。


VLAN 7をプライマリVLANとして指定する例を示します。

Console> (enable) set vlan 7 pvlan-type primary
Vlan 7 configuration successful
Console> (enable)
 

次に、VLAN 901を隔離VLAN、VLAN 902および903をコミュニティVLANとして指定する例を示します。

Console> (enable) set vlan 901 pvlan-type isolated
Vlan 901 configuration successful
Console> (enable) set vlan 902 pvlan-type community
Vlan 902 configuration successful
Console> (enable) set vlan 903 pvlan-type community
Vlan 903 configuration successful
Console> (enable)
 

次に、VLAN 901をプライマリVLAN 7にバインドし、ポート4/3を隔離ポートとして割り当てる例を示します。

Console> (enable) set pvlan 7 901 4/3
Successfully set the following ports to Private Vlan 7,901: 4/3
Console> (enable)
 

次に、VLAN 902をプライマリVLAN 7にバインドし、ポート4/4~4/6をコミュニティ ポートとして割り当てる例を示します。

Console> (enable) set pvlan 7 902 4/4-6
Successfully set the following ports to Private Vlan 7,902:4/4-6
Console> (enable)
 

次に、VLAN 903をプライマリVLAN 7にバインドし、ポート4/7~4/9をコミュニティ ポートとして割り当てる例を示します。

Console> (enable) set pvlan 7 903
Successfully set association between 7 and 903.
Console> (enable) set pvlan 7 903 4/7-9
Successfully set the following ports to Private Vlan 7,903:4/7-9
Console> (enable)
 

次に、隔離VLANおよびコミュニティVLANを混合ポート上のプライマリVLANにマッピングする例を示します(隔離VLAN、コミュニティVLANともに3/1を使用します)。

Console> (enable) set pvlan mapping 7 901 3/1
Successfully set mapping between 7 and 901 on 3/1
Console> (enable) set pvlan mapping 7 902 3/1
Successfully set mapping between 7 and 902 on 3/1
Console> (enable) set pvlan mapping 7 903 3/1
Successfully set mapping between 7 and 903 on 3/1
 

次に、プライベートVLANの設定を確認する例を示します。

Console> (enable) show vlan 7
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
7 VLAN0007 active 35 4/4-6
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
7 enet 100010 1500 - - - - - 0 0
VLAN DynCreated RSPAN
---- ---------- --------
7 static disabled
VLAN AREHops STEHops Backup CRF 1q VLAN
---- ------- ------- ---------- -------
Primary Secondary Secondary-Type Ports
------- --------- ----------------- -----------------
7 901 Isolated 4/3
7 902 Community 4/4-6
7 903 Community 4/7-9
 
Console> (enable) show vlan 902
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
902 VLAN0007 active 38 4/4-6
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
7 enet 100010 1500 - - - - - 0 0
VLAN DynCreated RSPAN
---- ---------- --------
7 static disabled
VLAN AREHops STEHops Backup CRF 1q VLAN
---- ------- ------- ---------- -------
Primary Secondary Secondary-Type Ports
------- --------- ----------------- -----------------
7 902 Isolated 4/4-6
 
Console> (enable) show pvlan
Primary Secondary Secondary-Type Ports
------- --------- -------------- ------------
7 901 isolated 4/3
7 902 community 4/4-6
7 903 community 4/7-9
 
Console> (enable) show pvlan mapping
Port Primary Secondary
----- -------- ----------
3/1 7 901-903
Console> (enable) show port
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
(テキスト出力は省略)
4/3 notconnect 7,901 half 100 100BaseFX MM
4/4 notconnect 7,902 half 100 100BaseFX MM
4/5 notconnect 7,902 half 100 100BaseFX MM
4/6 notconnect 7,902 half 100 100BaseFX MM
4/7 notconnect 7,903 half 100 100BaseFX MM
4/8 notconnect 7,903 half 100 100BaseFX MM
4/9 notconnect 7,903 half 100 100BaseFX MM
(テキスト出力は省略)
 

プライベートVLANポートのポート機能の表示

プライベートVLANのポート機能を表示するには、show pvlan capability mod/portコマンドを使用します。

下記の設定でいくつかのポートについてポート機能を表示する例を示します。

Console> (enable) set pvlan 10 20
Console> (enable) set pvlan mapping 10 20 3/1
Console> (enable) set pvlan mapping 10 20 5/2
Console> (enable) set trunk 5/1 desirable isl 1-1005,1025-4094
 
Console> (enable) show pvlan capability 5/20
Ports 5/13 - 5/24 are in the same ASIC range as port 5/20.
 
Port 5/20 can be made a private vlan port.
 
Console> (enable) show pvlan
Primary Secondary Secondary-Type Ports
------- --------- -------------- ------------
10 20 isolated
 
Console> (enable) show pvlan capability 3/1
Port 3/1 cannot be made a private vlan port due to:
------------------------------------------------------
Promiscuous ports cannot be made private vlan ports.
 
Console> (enable) show pvlan capability 5/1
Ports 5/1 - 5/12 are in the same ASIC range as port 5/1.
 
Port 5/1 cannot be made a private vlan port due to:
------------------------------------------------------
Trunking ports are not Private Vlan capable.
Conflict with Promiscuous port(s) : 5/2
 
Console> (enable) show pvlan capability 5/2
Ports 5/1 - 5/12 are in the same ASIC range as port 5/2.
 
Port 5/2 cannot be made a private vlan port due to:
------------------------------------------------------
Promiscuous ports cannot be made private vlan ports.
Conflict with Trunking port(s) : 5/1
 
Console> (enable) show pvlan capability 5/3
Ports 5/1 - 5/12 are in the same ASIC range as port 5/3.
 
Port 5/3 cannot be made a private vlan port due to:
------------------------------------------------------
Conflict with Promiscuous port(s) : 5/2
Conflict with Trunking port(s) : 5/1
 
Console> (enable) show pvlan capability 15/1
Port 15/1 cannot be made a private vlan port due to:
------------------------------------------------------
Only ethernet ports can be added to private vlans.
 

プライベートVLANの削除

プライベートVLANを削除するには、プライマリVLANを削除します。プライマリVLANを削除すると、そのプライマリVLANへのすべてのバインディングが破棄され、プライベートVLAN上のすべてのポートが非アクティブになり、混合ポート上の関連するマッピングがすべて削除されます。

プライベートVLANを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

プライマリVLANを削除します。

clear vlan primary_vlan

プライマリVLAN 7を削除する例を示します。

Console> (enable) clear vlan 7
This command will de-activate all ports on vlan 7
Do you want to continue(y/n) [n]?y
Vlan 7 deleted
Console> (enable)
 

隔離VLAN、コミュニティVLANまたは双方向コミュニティVLANの削除

隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANを削除すると、プライマリVLANとのバインディングが破棄され、そのVLANに対応づけられていた隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートはすべて非アクティブになり、混合ポート上の関連するマッピングはすべて削除されます。

スイッチ上のVLANを削除するには、イネーブル モードで次のコマンドを入力します。

 

作業
コマンド

隔離VLANまたはコミュニティVLANを削除します。

clear vlan {isolated_vlan | community_vlan | twoway_community_vlan}

コミュニティVLAN 902を削除する例を示します。

Console> (enable) clear vlan 902
This command will de-activate all ports on vlan 902
Do you want to continue(y/n) [n]?y
Vlan 902 deleted
Console> (enable)
 

プライベートVLANマッピングの削除

プライベートVLANのマッピングを削除すると、隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートと混合ポートとの間の接続が解除されます。混合ポート上のマッピングをすべて削除すると、その混合ポートは非アクティブになります。プライベートVLANポートが非アクティブになると、 show port の出力で、そのポートのVLAN番号は[pvlan-]と表示されます。

プライベートVLANポートが、非アクティブになる原因としては、次のものがあります。

ポートが属すプライマリVLAN、隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANが削除される。

MSFC以外の混合ポートからのマッピングがすべて削除される。

ポートをプライベートVLANに設定したときにエラーが発生する。

プライベートVLANからポートのマッピングを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

プライベートVLANからポートのマッピングを削除します。

clear pvlan mapping primary_vlan {isolated | community | twoway-community } {mod/ports}

ポート3/2~3/5に設定されていた、VLAN 902から901へのマッピングを削除する例を示します。

Console> (enable) clear pvlan mapping 901 902 3/2-5
Successfully cleared mapping between 901 and 902 on 3/2-5
Console> (enable)
 

MSFC上でのプライベートVLANサポート

ここでは、MSFC上でのプライベートVLANのサポートについて説明します。

プライベートVLANに関する情報を表示するには、 show pvlan コマンドを使用します。 show pvlan コマンドでプライベートVLANに関する情報が表示されるのは、プライマリ プライベートVLANがアップしている場合に限られます。

スーパバイザ エンジンに対して set pvlan mapping または clear pvlan mapping コマンドを入力すると、MSFC Syslogメッセージが表示されます。次に例を示します。

%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 101
%PV-6-PV_MSG:Created a private vlan mapping, Primary 200, Secondary 201
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 101
 

プライマリ プライベートVLANだけについてレイヤ3パラメータを設定するには、 interface vlan コマンドを使用します。

MSFCで interface vlan コマンドで入力されているVLAN番号を使用して、スーパバイザ エンジンで隔離VLANまたはコミュニティVLANを作成することはできません。

レイヤ3のプライベートVLANインターフェイスで学習されたARPエントリは、 sticky ARP エントリです(プライベートVLANインターフェイスのARPエントリを表示して確認することを推奨します)。

プライベートVLANインターフェイスのsticky ARPエントリは、セキュリティ上の理由から、期限切れになりません。同じIPアドレスで新しい装置を接続しても、メッセージが生成され、ARPエントリは作成されません。

プライベートVLANインターフェイスのARPエントリは期限切れにならないので、MACアドレスを変更した場合はプライベートVLANインターフェイスのARPエントリを手動で削除する必要があります。

プライベートVLANのARPエントリは、手動で追加または削除する必要があります。次に例を示します。

obelix-rp(config)# no arp 11.1.3.30
IP ARP:Deleting Sticky ARP entry 11.1.3.30
 
obelix-rp(config)# arp 11.1.3.30 0000.5403.2356 arpa
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by hw:0000.5403.2356
 

一部のコマンドにより、プライベートVLANマッピングが削除および再作成されます。次に例を示します。

obelix-rp(config)# xns routing
obelix-rp(config)#
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 101
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 102
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 103
%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 101
%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 102
%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 103
 

スイッチ上のFDDI VLANの設定

新しいFDDI VLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

新しいFDDI VLANまたはFDDI NETタイプのVLANを作成します。

set vlan vlan [ name name ] type { fddi | fddinet } [ said said ] [ mtu mtu ]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

既存のFDDI VLANのVLANパラメータを変更するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

既存のFDDI VLANまたはFDDI NETタイプのVLANを変更します。

set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

スイッチ上のトークンリングVLANの設定

ここでは、VTPバージョン2で動作するスイッチ上でサポートされる、2種類のトークンリングVLANについて説明します。

「トークンリングTrBRF VLANの機能」

「トークンリングTrCRF VLANの機能」

「トークンリングVLAN設定時の注意事項」

「トークンリングTrBRF VLANの作成または変更」

「トークンリングTrCRF VLANの作成または変更」

トークンリングVLANを設定および管理するには、VTPバージョン2を使用する必要があります。


) Catalyst 6500シリーズ スイッチでは、ISLカプセル化トークンリング フレームはサポートされていません。


トークンリングTrBRF VLANの機能

TrBRF VLANは、スイッチド トークンリング ネットワーク環境において、複数のTrCRF VLANを相互接続します(図 11-2を参照)。TrBRFは、トランク リンクによって相互接続されたスイッチで構成されるネットワーク全体に拡げることができます。TrCRFとTrBRF間の接続を「 論理ポート 」といいます。

図 11-2 相互接続されたトークンリングTrBRF VLANおよびTrCRF VLAN

 

ソース ルーティングでは、スイッチは論理リング間の単一ブリッジとなります。TrBRFは、IBMまたはIEEE STPを実行するSource-Route Bridge(SRB;ソースルート ブリッジ)またはSource-Route Transparent(SRT;ソースルート トランスペアレント)ブリッジとして動作できます。SRBを使用する場合、重複するMACアドレスを異なる論理リングで定義できます。

トークンリング ソフトウェアは、TrBRF VLANごとに、また、TrCRF VLANごとに1つずつSTPのインスタンスを実行します。TrCRF VLANの場合、STPにより、論理リングのループが排除されます。TrBRF VLANの場合、STPはイーサネットVLAN上での動作と同様、外部ブリッジと対話して、ブリッジ トポロジーからループを排除します。


注意 特定の親TrBRF STPおよびTrCRFブリッジ モードを設定すると、TrBRFの論理ポート(TrBRFとTrCRF間の接続)がブロック ステートになる可能性があります。詳細は、「VLANのデフォルト設定」を参照してください。

ソース ルーティングでは、スイッチは論理リング間の単一ブリッジとなります。TrBRFは、IBMまたはIEEE STPを実行するSRBまたはSRTブリッジとして動作できます。SRBを使用する場合には、複数の異なる論理リングに重複したMACアドレスを定義できます。

IBMのSystem Network Architecture(SNA)トラフィックに対応するために、SRTモードとSRBモードを組み合わせて使用することができます。混在モードでは、TrBRFは一部のポート(TrCRFに接続された論理ポート)がSRBモードで動作し、他のポートがSRTモードで動作するものとみなします。

トークンリングTrCRF VLANの機能

TrCRF VLANでは、同じ論理リング番号でポート グループを定義します。ネットワークには、非分散型およびバックアップの2種類のTrCRFを設定できます。

通常、TrCRFsは非分散型です。これは、各TrCRFが1台のスイッチ上のポートに限定されることを意味します。同一または異なるスイッチ上で、複数の非分散型TrCRFを1つの親TrBRFに対応させることができます(図 11-3を参照)。親TrBRFは、マルチポート ブリッジとして動作し、非分散型TrCRF間でトラフィックを転送します。


) 異なるスイッチ上のリング間でデータを受け渡すには、リングを同一のTrBRFに接続し、そのTrBRFをSRBとして設定します。


図 11-3 非分散型TrCRF

 


) デフォルトの設定では、トークンリング ポートはデフォルトのTrCRF(VLAN 1003、trcrf-default)に対応し、これにはデフォルトのTrBRF(VLAN 1005、trbrf-default)が親として存在します。この設定では、分散型TrCRFが可能であり(図 11-4を参照)、スイッチがISLトランクで接続されている場合に、異なるスイッチ上のデフォルトのTrCRF間でトラフィックを流すことができます。


図 11-4 分散型TrCRF

 

TrCRF内では、ソースルート スイッチングを使用し、MACアドレスまたはルート ディスクリプタに基づいて転送を行います。VLAN全体を1つのリングとして動作させ、フレームを1つのTrCRF内のポート間でスイッチングすることもできます。

TrCRFごとにAREフレームおよびSTEフレームの最大ホップ カウントを指定することによって、エクスプローラが通過できる最大ホップ数を制限することができます。ポートで、受け取ったエクスプローラ フレームが指定されたホップ数を超えて経由してきていることが判別されると、そのフレームは転送されません。TrCRFでは、ルート情報フィールドのブリッジ ホップ数に基づいて、エクスプローラが経由したホップ数を判別します。

バックアップ TrCRFを使用すると、スイッチ間のISL接続で障害が発生した場合に備え、TrBRFで接続されている複数のスイッチ上の非分散型TrCRF間を流れるトラフィック用に、代替ルートを設定することができます。また、TrBRFでバックアップTrCRFに割り当てることができるポートは、1台のスイッチで1つだけです。

スイッチ間のISL接続で問題が起きた場合、影響を受ける各スイッチ上のバックアップTrCRFポートがアクティブになり、バックアップTrCRFを介して非分散型TrCRF間のトラフィックが再ルーティングされます。ISL接続が再び確立されると、バックアップTrCRFの1ポートを除くすべてのポートがディセーブルになります。図 11-5に、バックアップTrCRFを示します。

図 11-5 バックアップTrCRF

 

トークンリングVLAN設定時の注意事項

ここでは、トークンリングVLAN作成または変更時の注意事項について説明します。

トークンリングVLANでは、デフォルトのTrBRF(VLAN 1005)は、デフォルトのTrCRF(VLAN 1003)の親としてだけ指定できます。ユーザ側で設定したTrCRFの親としてデフォルトのTrBRFを指定することはできません。

TrBRFを設定してから、TrCRFを設定する必要があります。つまり、TrCRFに指定する親TrBRF VLANがすでに存在していなければなりません。

トークンリング環境では、次のいずれかの条件が存在している場合、TrBRFの論理ポート(TrBRFとTrCRF間の接続)がブロック ステートになります。

TrBRFがIBM STPを実行していて、TrCRFがSRTモード

TrBRFがIEEE STPを実行していて、TrCRFがSRBモード

トークンリングTrBRF VLANの作成または変更

VTPバージョン2をイネーブルにしてから、トークンリングVLANを作成する必要があります。VTPバージョン2をイネーブルにする方法については、「VTPの設定」を参照してください。

新しいTrBRFを作成する場合、ブリッジ番号を指定しなければなりません。

新しいトークンリングTrBRF VLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

新しいトークンリングTrBRFタイプのVLANを作成します。

set vlan vlan [ name name ] type trbrf [ said said ] [ mtu mtu ] bridge bridgeber [ stp { ieee | ibm }]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

新しいトークンリングTrBRF VLANを作成し、設定を確認する例を示します。

Console> (enable) set vlan 999 name TrBRF_999 type trbrf bridge a
Vlan 999 configuration successful
Console> (enable) show vlan 999
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
999 TrBRF_999 active
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
999 trbrf 100999 4472 - - 0xa ibm - 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
Console> (enable)
 

既存のトークンリングTrBRF VLAN上でVLANパラメータを変更するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

既存のトークンリングTrBRFタイプのVLANを変更します。

set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] [ bridge bridgeber ] [ stp { ieee | ibm }]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

トークンリングTrCRF VLANの作成または変更


) VTPバージョン2をイネーブルにしてから、トークンリングVLANを作成する必要があります。VTPバージョン2をイネーブルにする方法については、「VTPの設定」を参照してください。


新しいトークンリングTrCRF VLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

新しいトークンリングTrCRFタイプのVLANを作成します。

set vlan vlan [ name name ] type trcrf [ said said ] [ mtu mtu ] { ring hex_ringber | decring decimal_ringber } parent vlan

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]


) 新しいTrCRFを作成するときには、(16進数または10進数で)リング番号を指定し、さらに親のTrBRF VLANを指定しなければなりません。


トークンリングTrCRF VLANを作成し、設定を確認する例を示します。

Console> (enable) set vlan 998 name TrCRF_998 type trcrf decring 10 parent 999
Vlan 998 configuration successful
Console> (enable) show vlan 998
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
998 TrCRF_998 active 352
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
998 trcrf 100998 4472 999 0xa - - srb 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
998 7 7 off
Console> (enable)
 

既存のトークンリングTrCRF VLAN上でVLANパラメータを変更するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

既存のトークンリングTrCRF VLANを変更します。

set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] [ ring hex_ring ] [ decring decimal_ring ] [ bridge bridge ] [ parent vlan ]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

バックアップTrCRFを作成するには、TrBRFが経由するスイッチごとに1ポートずつ、バックアップTrCRFに割り当てます。

TrCRF VLANをバックアップTrCRFとして設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

TrCRF VLANをバックアップTrCRFとして設定します。

set vlan vlan backupcrf on

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]


注意 トークンリングMultistation Access Unit(MSAU)にバックアップTrCRFポートを接続した場合、別の装置でリング速度とポート モードを設定しないかぎり、バックアップ パスは提供されません。バックアップTrCRF用にリング速度とポート モードを設定することを推奨します。

TrCRFにおけるAREフレームまたはSTEフレームの最大ホップ数を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

TrCRFにおけるAREフレームの最大ホップ数を指定します。

set vlan vlan aremaxhop hopcount

ステップ 2

TrCRFにおけるSTEフレームの最大ホップ数を指定します。

set vlan vlan stemaxhop hopcount

ステップ 3

VLANの設定を確認します。

show vlan [ vlan ]

AREフレームおよびSTEフレームを10ホップに制限し、設定を確認する例を示します。

Console> (enable) set vlan 998 aremaxhop 10 stemaxhop 10
Vlan 998 configuration successful
Console> (enable) show vlan 998
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
998 VLAN0998 active 357
 
 
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
998 trcrf 100998 4472 999 0xff - - srb 0 0
 
 
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
998 10 10 off
Console> (enable)
 

Firewall Services Module用のVLANの設定

set vlan { vlans } firewall-vlan { mod }コマンドを使用して、Firewall Services Module(WS-SVC-FWM-1-K9)によって保護されているVLANを指定できます。

Firewall Services ModuleでVLAN範囲を保護するには、次の条件が満たされなければなりません。

1. VLANにポート メンバーシップが定義され、VLANがアクティブ ステートになっている。

2. VLANに、アクティブ ステートになっているMSFCレイヤ3インターフェイスがない。

3. VLANが予約VLANでない。

上記の2の条件を満たしていないVLANは、Firewall Services Moduleで保護しようとするVLAN範囲から廃棄されます。

2と3の条件を満たしているものの1の条件を満たしていないVLANは、スーパバイザ エンジン データベースに保存されます。これらのVLANは、1の条件が満たされると直ちにFirewall Services Moduleへ送られます。

Firewall Services ModuleでVLAN範囲を保護する例を示します。

Console> (enable) set vlan 2-55 firewall-vlan 7
Console> (enable)

) Firewall Services Module設定情報の詳細は、次のURLにあるFirewall Services Moduleのマニュアルを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/mod_icn/fwsm/index.htm