Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース12.2(33)SXH以降
プライベート ホストの設定
プライベート ホストの設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

プライベート ホストの設定

プライベート ホストの概要

VLAN における独立ホスト

トラフィック フローの制限(プライベート ホスト ポート モードと PACL を使用)

ポート ACL

設定時の注意事項および制約事項

ACL の注意事項

トランク ポート上の VLAN

他の機能との相互作用

スプーフィングからの保護

マルチキャストの動作

プライベート ホストの設定

設定の概要

詳細な設定手順

設定例

プライベート ホストの設定

この章では、Cisco IOS リリース 12.2SX でプライベート ホスト機能を設定する手順について説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、次の URL の『Cisco IOS Master Command List, Release 12.2SX』を参照してください。

http://www.cisco.com/en/US/docs/ios/mcl/122sxmcl/12_2sx_mcl_book.html


 

この章で説明する内容は、次のとおりです。

「プライベート ホストの概要」

「設定時の注意事項および制約事項」

「プライベート ホストの設定」

プライベート ホストの概要

一般的に、サービス プロバイダーはトリプルプレイ サービス(音声、ビデオ、データ)を提供する際、各ユーザ向けの 1 つの物理インターフェイス上で 3 つの VLAN を使用します。サービス プロバイダーが複数のエンド ユーザ向けに VLAN を 1 セット導入できれば、サービス インフラストラクチャは、よりシンプルになり拡張性も向上しますが、サービス プロバイダーはレイヤ 2 のユーザ(ホスト)間のトラフィックを分離できなければなりません。プライベート ホスト機能を使用すれば、この分離が可能になり複数のエンド ユーザ間で VLAN 共有ができます。

プライベート ホスト機能の主な利点は次のとおりです。

同じ VLAN ID を共有しているホスト(加入者)間のトラフィックを分離

異なる加入者間で VLAN ID を再利用することで、4096 の VLAN の使用率を高め、VLAN の拡張性を向上

Denial of Service(DoS; サービス拒絶)攻撃からの保護を目的とした Media Access Control(MAC; メディア アクセス制御)アドレス スプーフィングの防止

プライベート ホスト機能はプロトコル独立型のポートベース アクセス コントロール リスト(PACL)を使用して、完全レイヤ 2 上における信頼できるポート上のホスト間のレイヤ 2 分離を可能にします。PACL は、レイヤ 2 フォワーディング制限をスイッチ ポートに課してホストを分離します。

ここでは、次のプライベート ホストの概念についてより詳しく説明します。

「VLAN における独立ホスト」

「トラフィック フローの制限(プライベート ホスト ポート モードと PACL を使用)」

「ポート ACL」

VLAN における独立ホスト

ホストを分離すると、サービス プロバイダーは同じセットのブロードバンド、またはメトロ イーサネット サービスを複数のエンド ユーザに配信する場合、1 セットの VLAN を使用できます。また、その VLAN 内でホスト同士が直接接続することもなくなります。たとえば、VLAN 10 を音声トラフィック、VLAN 20 をビデオ トラフィック、VLAN 30 をデータ トラフィックに使用できます。

スイッチが、Digital Subscriber Line Access Multiplexer(DSLAM; デジタル加入者線アクセス マルチプレクサ)ギガビット イーサネット アグリゲータとして使われている場合、DSLAM は、複数の VLAN にデータを伝送できるトランク ポートを介してスイッチに接続されます。サービス プロバイダーは、1 つの物理ポートと 1 セットの VLAN を使って、サービスの同じセットを異なるエンド ユーザ(独立ホスト)に配信できます。それぞれの VLAN は個別のサービス(音声、ビデオ、データ)に使用できます。

図 20-1 に、スイッチからDSLAM に接続している複数のエンド ユーザにトリプルプレイ サービスを配信する例を示します。図における次の点に注意してください。

スイッチ間のシングル トランク リンクおよび DSLAM は、3 つの VLAN すべてにトラフィックを伝送できます。

Virtual Circuit(VC; 仮想回線)は、DSLAM から個別のエンド ユーザへ VLAN トラフィックを伝送します。

図 20-1 VC から VLAN へのマッピング

 

 

1

トランク リンクは次の VLAN を伝送します。

音声 VLAN × 1

ビデオ VLAN × 1

データ VLAN × 1

2

DSLAM は、音声、ビデオ、およびデータ トラフィックを VLAN と VC の間にマッピングします。

3

各 VC は、DSLAM と各ホスト間で音声、ビデオ、およびデータ トラフィックを伝送します。

トラフィック フローの制限(プライベート ホスト ポート モードと PACL を使用)

プライベート ホスト機能は PACL を使い、プライベート ホスト用に設定された各ポートを通過するトラフィックのタイプを制限できます。ポートのモード(ポート上でプライベート ホストをイネーブルにした場合に指定)が、ポートに適用する PACL のタイプを判別します。各タイプの PACL は、それぞれ異なるタイプのトラフィックのトラフィック フローを制限します(たとえば、コンテンツ サーバから独立ホスト、独立ホストからサーバ、独立ホスト間のトラフィックなど)。

次のリストで、プライベート ホスト機能で使用されるポート モードを説明します(図 20-2 を参照)。

独立:エンド ユーザ(独立ホスト)が接続している DSLAM に接続されているポート。この場合ポートにおける VLAN 上のホストは、それぞれが独立している必要があります。このタイプのポートに接続されているホストは、アップストリーム デバイスだけにユニキャスト トラフィックを通過させることができます。

無差別:コア ネットワーク側か、Broadband Remote Access Server(BRAS; ブロードバンド リモート アクセス サーバ)デバイス側にあるポート、およびブロードバンド サービスを提供するマルチキャスト サーバ。

混合:スイッチを相互接続するポート。このタイプのポートは、Spanning Tree Protocol(STP; スパニング ツリー プロトコル)の変更により、独立ポートとしても、無差別ポートとしても機能します。これらのポートは、アップストリーム デバイス(BRAS またはマルチキャスト サーバなど)へのユニキャスト トラフィックだけが可能です。

プライベート ホスト機能は、次の方法でトラフィックのフローを制限します。

サービス プロバイダー ネットワークに入るブロードキャスト トラフィックは、BRAS およびマルチキャスト サーバ(ビデオ サーバなど)にリダイレクトされます。

アクセス スイッチ(相互に接続されているスイッチ)間のユニキャスト トラフィックは、すべてブロックされます(BRAS またはマルチキャスト サーバに誘導されるものを除く)。

Unknown Unicast Flood Blocking(UUFB; 不明なユニキャストフラッディングのブロック)機能は、DSLAM 側のポート上の不明なユニキャストのブロックに使用されます。

図 20-2 でプライベート ホストの設定で使用する各タイプのポート モード(独立、無差別、混合)を説明します。

図 20-2 プライベート ホストのポート タイプ(モード)

 

 

1

無差別ポート

BRAS からホストへのすべてのトラフィックを許可。

2

混合ポート

BRAS からのブロードキャスト トラフィックを許可。

ホストから無差別モード、および混合モードのポートへのブロードキャスト トラフィックをリダイレクト。

BRAS からホスト、およびホストから BRAS へのトラフィックを許可。

ホスト トラフィックへの他すべてのホストを拒否。

3

独立ポート

ホストから BRAS へのユニキャスト トラフィックだけを許可。ポート間のユニキャスト トラフィックをブロック。

ホストから BRAS へのすべてのブロードキャストをリダイレクト。

BRAS からのトラフィックを拒否(スプーフィング防止のため)。

マルチキャスト トラフィックを許可(IPv4 および IPv6)。

(注) このポート タイプの説明において、BRAS という用語は BRAS、マルチキャスト サーバ(ビデオ サーバなど)などのアップストリーム デバイス、またはこれらのデバイスへのアクセスを提供するコア ネットワーク デバイスを意味します。

ポート ACL

プライベート ホスト機能は、レイヤ 2 フォワーディングの制限をスイッチ ポートに課すために、ポート ACL(PACL)を数タイプ作成します。このソフトウェアは、ブロードバンド サービスと、これらのサービスを配信する独立ホストの VLAN ID を提供しているコンテンツ サーバの MAC アドレスに基づき、異なるタイプのプライベート ホスト ポート用に PACL を作成します。指定するポート モード(独立、無差別、または混合)に基づいて、各プライベート ホスト ポートが運用され、ソフトウェアが適切な PACL をポートに適用します。

次に、プライベート ホスト機能に使用される各タイプの PACL を示します。

独立ホスト PACL

独立ポート用 PACL の例:

deny host BRAS_MAC any
permit any host BRAS_MAC
redirect any host FFFF.FFFF.FFFF to LTLIndex 6
permit any 0100.5E00.0000/0000.007F.FFFF
permit any 3333.0000.0000/000.FFFF.FFFF
deny any any

Promiscuous Port PACL

無差別ポート用 PACL の例:

permit host BRAS_MAC any
deny any any

Mixed Port PACL

混合ポート用 PACL の例:

permit host BRAS_MAC ffff.ffff.ffff
redirect any host FFFF.FFFF.FFFF to LTLIndex 6
permit host BRAS_MAC any
permit any host BRAS_MAC
deny any any

設定時の注意事項および制約事項

プライベート ホスト機能を設定する場合は、次の注意事項および制約事項を守ってください。

SIP-400 および 拡張 FlexWAN モジュールはプライベート ホストをサポートしていません。

プライベート ホストおよびプライベート VLAN の両方は同じポート(インターフェイス)に設定できません。両方の機能はスイッチ上で共存できますが、それぞれの機能は異なるポートに設定する必要があります。

プライベート ホストはエンドツーエンド機能です。この機能は DSLAM とアップストリーム デバイス(BRAS またはマルチキャスト サーバなど)の間のすべてのスイッチ上でイネーブルにする必要があります。

現時点では、独立ポートとして設定できるのは trusted port だけです。

プライベート ホスト機能は、スイッチ ポート(802.1Q または Inter Switch Link [ISL; スイッチ間リンク] トランク ポート)として設定されているレイヤ 2 インターフェイス上でサポートされています。

プライベート ホスト機能は、ポートチャネル インターフェイス上(EtherChannel、ファスト EtherChannel、ギガビット EtherChannel)でサポートされています。プライベート ホストは、ポートチャネル インターフェイス上でイネーブルにします。この機能をメンバー ポート上でイネーブルにできません。

DAI および DHCP スヌーピングは、ポート上のすべての VLAN がスヌーピング対応に設定されている場合を除き、プライベート ホスト上でイネーブル化できません。

ACL の注意事項

Access Control List(ACL; アクセス コントロール リスト)には、次の設定時の注意事項および制約事項が適用されます。

このリリースのプライベート ホスト機能は、プロトコル独立型 MAC ACL を使用します。

プライベート ホスト用に設定されたポートには、IP ベース ACL を適用しないでください。適用すると、プライベート ホスト機能が無効になります(スイッチがポートにプライベート ホスト MAC ACL を適用できないため)。

次のインターフェイス タイプを プロトコル独立型 MAC ACL フィルタリングに設定できます。

IP アドレスのない VLAN インターフェイス

EoMPLS をサポートする物理 LAN ポート

EoMPLS をサポートする論理 LAN サブインターフェイス

プロトコル独立型 MAC ACL フィルタリングでは、MAC ACL をすべての入力トラフィック タイプ(MAC レイヤ トラフィックの他に IPv4 トラフィック、IPv6 トラフィック、MPLS トラフィックなど)に適用します。

プロトコル独立型 MAC ACL によって許可または拒否された入力トラフィックは、出力インターフェイスによって MAC レイヤ トラフィックとして処理されます。プロトコル独立型 MAC ACL フィルタリング用に設定されたインターフェイスの MAC ACL によって許可または拒否されたトラフィックに、出力 IP ACL を適用できません。

IP アドレスが設定されている VLAN インターフェイス上で、プロトコル独立型 MAC ACL フィルタリングを設定しないでください。

許可されたトラフィックがブリッジされる場合、またはレイヤ 3 がハードウェアで PFC3 によってスイッチングされる場合は、microflow ポリシングにプロトコル独立型 MAC ACL フィルタリングを設定しないでください。

許可されたトラフィックが Route Processor(RP; ルート プロセッサ)によってソフトウェアでルーティングされる場合は、プロトコル独立型 MAC ACL フィルタリングは microflow ポリシングをサポートします。

既存の VLAN ACL(VACL)およびルーティング ACL(RACL)とトランク ポートの PACL との干渉を避けるには、トランク ポート インターフェイス上のアクセス グループ モードをポート モード優先に設定します。プライベート ホスト用に設定されているポートに VACL または RACL を設定しないでください。

トランク ポート上の VLAN

VLAN には、次の注意事項および制約事項が適用されます。

プライベート ホスト用に設定されたトランクポートを使用して VLAN 上で IGMP スヌーピングをイネーブル化できます。

プライベート ホスト用に設定されたトランクポートを使用して VLAN 上で IP マルチキャストをイネーブル化できません。

PACL はトランク ポート上で、上書きモードで動作するため、VLAN ベースの機能をスイッチ ポートに適用できません。

Multicast VLAN Registration(MVR; マルチキャスト VLAN レジストレーション)機能は、マルチキャスト送信元が無差別ポートにある場合は、プライベート ホストと共存できます。

他の機能との相互作用

プライベート ホスト機能と、スイッチ上に設定された他の機能は、次のような相互作用があります。

プライベート ホストはレイヤ 2 ベースのサービス(MAC 制限、ユニキャスト フラッディング プロテクション [UFP]、不明なユニキャストフラッディングのブロック [UUFB])には影響しません。

プライベート ホスト機能は、IGMP スヌーピングには影響しません。ただし、IGMP スヌーピングがグローバルにディセーブル化されている場合は、IGMP 制御パケットは ACL チェックの影響を受けます。IGMP 制御パケットを許可するには、プライベート ホスト ソフトウェアでマルチキャスト許可ステートメントを独立ホスト用の PACL に追加します。この操作は自動で行われ、ユーザの介入を必要としません。

これらのポートにさらにセキュリティを提供するため、独立ポート上でポート セキュリティがイネーブル化されます。

無差別ポート、または混合ポートでイネーブル化された場合は、ポート セキュリティ機能がアップストリーム デバイス用(BRAS または マルチキャスト サーバなど)の送信元ポート内の変更を制限する場合があります。

アクセス ポートでイネーブル化された場合は、802.1X はプライベート ホスト機能の影響を受けません。

スプーフィングからの保護

プライベート ホスト機能は MAC アドレス スプーフィングを防ぎますが、カスタマー MAC または IP アドレスを有効化しません。MAC アドレス スプーフィングを防ぐため、プライベート ホスト機能は次の処理を行います。

BRAS または マルチキャスト サーバにスタティック MAC アドレスを使用します。

レイヤ 2 転送テーブル上での学習をディセーブル化します。

BRAS または マルチキャスト サーバが、ある送信元ポートから他の送信元ポートに移動した場合、スイッチ ソフトウェアに警告が出されます。ソフトウェアは移動を確認し、レイヤ 2 転送テーブルを更新します。

マルチキャストの動作

アップストリーム デバイス(BRAS やマルチキャスト サーバなど)から発信されるマルチキャスト トラフィックは常に許可されます。また、プライベート ホスト PACL はマルチキャスト制御パケット(IGMP クエリーや Join リクエストなど)には適用されません。この動作により独立ホストは、マルチキャスト グループに参加したり、IGMP クエリーに応答したり、関連するすべてのグループからのトラフィックを受信できるようになります。

ホストから発信されたマルチキャスト トラフィックは、プライベート ホスト PACL によりドロップされます。ただし、他のホストが、あるホストから発信されたマルチキャスト トラックを受信する必要がある場合、プライベート ホスト機能は PACL に multicast permit エントリを追加します。

プライベート ホストの設定

ここでは、Cisco IOS リリース 12.2SX における、プライベート ホスト機能の設定について説明します。

「設定の概要」

「詳細な設定手順」

「設定例」

設定の概要

次に、プライベート ホスト機能の設定手順の概要を示します。詳細な設定方法は次の項で説明します。

1. どのスイッチ ポート(インターフェイス)にプライベート ホスト機能を使用するか決定します。この機能をスイッチ ポート(802.1Q か ISL トランク ポート)、またはポートチャネル インターフェイス(EtherChannel、ファスト EtherChannel、および ギガビット EtherChannel)に設定できます。プライベート ホストは、ポートチャネル インターフェイス上でイネーブル化します。メンバー ポート上ではこの機能をイネーブル化できません。

2. 各ポート(インターフェイス)を標準、非プライベート ホスト サービス用に設定します。ポートのアクセス グループ モードをポート モード優先に設定します。この手順の VLAN 設定は、後で設定できます。

3. エンド ユーザにブロードバンド サービスを配信する VLAN または VLAN のセットを決定します。プライベート ホスト機能により、これらの VLAN におけるホスト間のレイヤ 2 分離が可能になります。

4. エンド ユーザ(独立ホスト)にブロードバンド サービスを提供するために使用するすべての BRAS とマルチキャスト サーバの MAC アドレスを識別します。


) サーバが直接スイッチに接続されていない場合は、サーバにアクセスを提供するコア ネットワーク デバイスの MAC アドレスを判別します。


5. (任意)異なるセットの独立ホストに、異なるタイプのブロードバンド サービスを提供する場合は、複数の MAC および VLAN リストを作成します。

各 MAC アドレス リストが、特定のタイプのサービスを提供するサーバまたはサーバのセットを識別します。

各 VLAN リストが、そのサービスを配信する独立ホストを識別します。

6. 無差別ポートを設定し、サーバと特定のタイプのサービスの受信ホストを識別するための MAC および VLAN リストを指定します。


) 異なるセットのホストに、異なるタイプのサービスを配信できるようにするには、複数の MAC と VLAN の組み合わせを指定できます。たとえば、xxxx.xxxx.xxxx の BRAS は VLAN 20、25、30 を使用してサービスの基本的なセットを配信するために使用し、yyyy.yyyy.yyyy の BRAS を VLAN 5、10、15 を使用してサービスのプレミア セットを配信するように指定できます。


7. プライベート ホストをグローバルにイネーブル化します。

8. 個々のポート(インターフェイス)でプライベート ホストをイネーブル化し、ポートの動作モードを指定します。ポート モードを決定するには、ポートがアップストリーム側(コンテント サーバ方向、またはコアネットワーク方向)か、またはダウンストリーム側(DSLAM および 独立ホスト方向)か、または他のスイッチに接続されているか(通常、リング トポロジの場合)を判断する必要があります。「トラフィック フローの制限(プライベート ホスト ポート モードと PACL を使用)」を参照してください。

個々のポートでこの機能をイネーブル化すると、スイッチでプライベート ホスト機能を実行する準備ができます。プライベート ホスト ソフトウェアは、ユーザが定義した MAC および VLAN リストを使用して、設定用の独立、無差別および混合モード PACL を作成します。次に、ソフトウェアが各プライベート ホストに適切な PACL を、ポート モードに基づいて適用します。

詳細な設定手順

プライベート ホスト機能を設定するには、次の手順を実行します。次の手順は、プライベート ホストに使用するレイヤ 2 インターフェイスの設定がすでに済んでいることを前提としています。


) プライベート ホストは、スイッチ ポート(802.1Q か ISL トランク ポート)上、または EtherChannel ポート上だけに設定できます。また、DSLAM とアップストリーム デバイス間にあるすべてのスイッチ上のプライベートホストをイネーブル化する必要があります。


 

コマンドまたはアクション
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# private-hosts mac-list mac-list-name mac-address [ remark device-name | comment ]

ブロードバンド サービスの提供に使用する BRAS とマルチキャスト サーバを識別する MAC アドレス リストを作成します。

mac-list-name は、このコンテンツサーバのリストに割り当てる名前を指定します。

mac-address は、特定のブロードバンド サービス(またはサービスのセット)の提供に使う BRAS、またはマルチキャスト サーバ(またはサーバのセット)を識別します。

remark を使用すると、この MAC リストに割り当てるオプションのデバイス名、またはコメントを指定できます。

サービスの配信に使用されている各コンテンツ サーバの MAC アドレスを指定します。異なるセットのホストに、異なるタイプのサービスを提供する場合は、特定のサービスを提供する各サーバ、またはサーバのセットに対して個別の MAC リストを作成します。

(注) サーバが直接スイッチに接続されていない場合は、サーバにアクセスを提供するコア ネットワーク デバイスの MAC アドレスを指定します。

ステップ 3

Router(config)# private-hosts vlan-list vlan-IDs

分離する必要があるホストの VLAN( vlan-IDs )リストを作成し、そのホストがブロードバンド サービスを受信できるようにします。

あるサービスを異なるホストのセットに提供する場合は、個別の VLAN リストを作成します。そうしないと、すべてのブロードバンド サービスが、すべての独立ホストに配信されてしまいます。

ステップ 4

Router(config)# private-hosts promiscuous mac-list-name [ vlan-list vlan-IDs ]

ブロードバンドで使用するコンテンツ サーバ、およびサービスを配信するエンド ユーザ(独立ホスト)を識別します。

mac-list-name は、特定のタイプのブロードバンド サービス、またはサービスのセットの提供に使用する BRAS、またはマルチキャスト サーバ(またはサーバのセット)を識別する MAC アドレス リストを指定します。

vlan-IDs は、ホストが上記のサーバからサービスを受信する VLAN または VLAN のセットを指定します。VLAN リストが指定されていない場合、ソフトウェアはグローバル VLAN リスト(ステップ 3 で設定)を使用します。

(注) 複数の MAC と VLAN の組み合わせを設定し、それぞれを特定のタイプのサービス用のサーバ、および受信ホストとして定義するために、このコマンドを複数回入力できます。

ステップ 5

Router(config)# private-hosts

スイッチ上でプライベート ホストをグローバルにイネーブル化します。

ステップ 6

Router(config)# interface interface

プライベート ホスト用にイネーブル化するスイッチ ポート(802.1Q または ISL トランク ポート)、または EtherChannel ポートを選択します。

ステップ 7

Router(config-if)# access-group mode prefer port

トランク ポート上に既存の VACL または RACL があれば、無視するように指定します。

ステップ 8

Router(config-if)# private-hosts mode { promiscuous | isolated | mixed }

ポート上でプライベート ホストをイネーブル化します。次のキーワードのうち 1 つを使い、ポートが動作するモードを定義します。

promiscuous :無差別。ブロードバンド サーバ(BRAS、マルチキャスト、またはビデオ)か、サーバにアクセスを提供するコア ネットワーク デバイスに接続しているアップストリーム側のポート。

isolated :独立。DSLAM に接続されているポート。

mixed :混合。他のスイッチに接続されているポート(通常、リング トポロジの場合)。

(注) プライベート ホストに使用される各ポートに対してこの手順を実行する必要があります。

ステップ 9

Router(config-if)# end

インターフェイスおよびグローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。これで、プライベート ホストの設定が完了です。

設定例

次に、MAC アドレス リストおよび VLAN リストを作成し、VLAN 10、12、15、および 200 ~ 300 でホストを独立させる場合の例を示します。この例では、BRAS 側のポートは無差別に、ホストに接続している 2 つのポートは独立にしています。

Router# configure terminal
Router(config)# private-hosts mac-list BRAS_list 0000.1111.1111 remark BRAS_SanJose
Router(config)# private-hosts vlan-list 10,12,15,200-300
Router(config)# private-hosts promiscuous BRAS_list vlan-list 10,12,15,200-300
Router(config)# private-hosts
Router(config)# interface gig 4/2
Router(config-if)# private-hosts mode promiscuous
Router(config-if)# exit
Router(config)# interface gig 5/2
Router(config-if)# private-hosts mode isolated
Router(config-if)# exit
Router(config)# interface gig 5/3
Router(config-if)# private-hosts mode isolated
Router(config-if)# end
Router#
 
 

次に、プライベート ホストの独立ポートにおけるインターフェイスの設定例を示します。

Router# show run interface gig 5/2
Building configuration...
 
Current configuration : 200 bytes
!
interface GigabitEthernet5/2
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
access-group mode prefer port
private-hosts mode isolated
end
 
 

次に、プライベート ホストの無差別ポートにおけるインターフェイスの設定例を示します。

Router# show run interface gig 4/2
Building configuration...
 
Current configuration : 189 bytes
!
interface GigabitEthernet4/2
switchport
switchport access vlan 200
switchport mode access
private-hosts mode promiscuous
end
 
private-hosts
private-hosts vlan-list 200
private-hosts promiscuous bras-list
private-hosts mac-list bras-list 0000.1111.1111 remark BRAS-SERVER