Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド Software Release 8.4
VLANの設定
VLANの設定
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

VLANの設定

VLANの機能概要

VLANの範囲

VLANパラメータの設定

VLANのデフォルト設定

スイッチ上でのVLANの設定

標準範囲VLAN設定時の注意事項

標準範囲VLANの作成

標準範囲VLANの変更

スイッチ上での拡張範囲VLANの設定

拡張範囲VLAN設定時の注意事項

拡張範囲VLANの作成

VLANとVLANのマッピング

802.1Q VLANからISL VLANへのマッピング

802.1Q/ISL VLANマッピングの削除

内部VLANの割り当て

VLANへのスイッチ ポートの割り当て

VLANポート プロビジョニング検証のイネーブル化またはディセーブル化

VLANの削除

ポート単位またはASIC単位のVLANマッピングの設定

VLANマッピングの概要

設定時の注意事項および制限事項

ポート単位VLANマッピングのイネーブル化またはディセーブル化

ポート単位のVLANマッピングの設定

VLANマッピングの消去

VLANマッピング情報の表示

スイッチ上でのプライベートVLANの設定

プライベートVLANの機能概要

プライベートVLAN設定時の注意事項

プライマリ プライベートVLANの作成

プライベートVLANポートのポート機能の表示

プライベートVLANの削除

隔離VLAN、コミュニティVLANまたは双方向コミュニティVLANの削除

プライベートVLANマッピングの削除

MSFC上でのプライベートVLANサポート

スイッチ上でのFDDI VLANの設定

スイッチ上でのトークンリングVLANの設定

トークンリングTrBRF VLANの機能概要

トークンリングTrCRF VLANの機能概要

トークンリングVLAN設定時の注意事項

トークンリングTrBRF VLANの作成または変更

トークンリングTrCRF VLANの作成または変更

Firewall Services Module用のVLANの設定

VLANの設定

この章では、Catalyst 6500シリーズ スイッチにVLAN(仮想LAN)を設定する手順について説明します。


) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。


この章で説明する内容は、次のとおりです。

「VLANの機能概要」

「スイッチ上でのVLANの設定」

「スイッチ上での拡張範囲VLANの設定」

「VLANとVLANのマッピング」

「内部VLANの割り当て」

「VLANへのスイッチ ポートの割り当て」

「VLANポート プロビジョニング検証のイネーブル化またはディセーブル化」

「VLANの削除」

「ポート単位またはASIC単位のVLANマッピングの設定」

「スイッチ上でのプライベートVLANの設定」

「スイッチ上でのFDDI VLANの設定」

「スイッチ上でのトークンリングVLANの設定」

「Firewall Services Module用のVLANの設定」

VLANの機能概要

VLANは、物理的な位置にかかわりなく、共通の要件を持ったエンド ステーションのグループです。VLANは、物理LANと同じ属性をすべて備えていますが、物理的に同じLANセグメントに置かれていないエンド ステーションでもグループ化することができます。

VLANを使用すると、スイッチ上のポートをグループとしてまとめ、ユニキャスト、マルチキャスト、およびブロードキャスト トラフィックのフラッディングを制限することができます。特定のVLANから送信されたフラッディング トラフィックは、そのVLANに所属する他のポートだけにフラッディングされます。

図11-1図11-1に、論理的に定義されたネットワークへのVLANセグメンテーションの例を示します。

ここでは、VLANについて説明します。

「VLANの範囲」

「VLANパラメータの設定」

「VLANのデフォルト設定」

図11-1 論理的に定義されたネットワークとしてのVLAN

 

VLANは、IPサブネットワークとよく対応付けられます。たとえば、特定のIPサブネットに含まれるすべてのエンド ステーションは同じVLANに属します。VLAN間のトラフィックはルーティングが必要です。スイッチ上のポートのVLANメンバーシップは、ポート別に手動で割り当てます。この方法でスイッチ ポートをVLANに割り当てた場合、ポートベース(またはスタティック)VLANメンバーシップといいます。

スイッチの帯域内(sc0)インターフェイスを任意のVLANに割り当てることができるので、ルータを経由しなくても、同一VLAN上の他のスイッチに直接アクセスできます。帯域内インターフェイスに一度に割り当てることができるIPアドレスは、1つだけです。IPアドレスを変更し、インターフェイスを別のVLANに割り当てると、それまでのIPアドレスとVLAN割り当てが上書きされます。

VLANの範囲

Catalyst 6500シリーズ スイッチは、IEEE 802.1Q規格に従って、4,096個のVLANをサポートしています。これらのVLANは、2つの範囲で編成されます。各範囲の用途は、少しずつ異なります。VLAN Trunking Protocol(VTP;VLANトランキング プロトコル)などの管理プロトコルを使用すると、ネットワーク上の他のスイッチに伝播されるVLANもあります。伝播されず、個々の該当するスイッチ上で設定が必要なVLANもあります。

VLANは次の2つの範囲に分けられます。

標準範囲VLAN: 1~1023

拡張範囲VLAN: 1024~4094


) VTPバージョン3を使用して、VLAN 1006~4094を管理できます。これらのVLANはVTPバージョン3により伝播されます。


VLANパラメータの設定

VLAN 2~1005を作成または変更する場合、次のパラメータを設定できます。


) イーサネットVLAN 1および1025~4094については、デフォルト値しか使用できません。



) Release 8.3(1)以降のソフトウェア リリースでは、すべてのユーザVLANの名前を付けられます。この機能は、VTPのバージョンまたはモードに関係ありません。


VLAN番号

VLAN名

VLANタイプ:イーサネット、FDDI、FDDINET、Token Ring Bridge Relay Function(TrBRF;トークンリング ブリッジ リレー機能)、またはToken Ring Concentrator Relay Function(TrCRF;トークンリング コンセントレータ リレー機能)

VLANステート:アクティブまたは停止

Multi-Instance Spanning-Tree Protocol(MISTP)インスタンス

プライベートVLANタイプ:プライマリ、隔離、コミュニティ、双方向コミュニティ、またはなし

Security Association Identifier(SAID)

VLANのMaximum Transmission Unit(MTU;最大伝送ユニット)

FDDIおよびTrCRF VLANのリング番号

TrBRF VLANのブリッジ識別番号

TrCRF VLANの親VLAN番号

TrCRF VLANのSpanning-Tree Bridge Protocol(STP;スパニングツリー ブリッジ プロトコル)タイプ:IEEE、IBM、またはauto

VLANメディア間でタイプの変換を行うときに使用するVLAN(VLAN 1~1005のみ)。メディア タイプごとに異なるVLAN番号が必要

トークンリングVLAN用ソースルーティング ブリッジ モード:Source-Route Bridge(SRB;ソースルート ブリッジ)またはSource-Route Transparent(SRT;ソースルート トランスペアレント)ブリッジ

TrCRF VLANのバックアップ

トークンリング用の最大ホップVLAN All-Routes Explorer(ARE)フレームおよびSpanning-Tree Explorer(STE)フレーム

Remote Switched Port Analyzer(RSPAN)

VLANのデフォルト設定

表11-1 に、Catalyst 6500シリーズ スイッチのVLANデフォルト設定を示します。

 

表11-1 VLANのデフォルト設定

機能
デフォルト値

ネイティブ(デフォルト)VLAN

VLAN 1

ポートVLAN割り当て

すべてのポートをVLAN 1に割り当てる

トークンリング ポートをVLAN 1003(trcrf-default)に割り当てる

VLANステート

アクティブ

MTUサイズ

1,500バイト

トークンリングVLANの場合4,472バイト

SAID値

100,000 + VLAN番号(たとえば、VLAN 8のSAID値は100,008、VLAN 4050のSAID値は104,050)

プルーニングの適格性

VLAN 2~1000はプルーニング適格、VLAN 1025~4094はプルーニング不適格

MACアドレス リダクション

ディセーブル

スパニングツリー モード

PVST+

デフォルトのFDDI VLAN

VLAN 1002

デフォルトのFDDI NET VLAN

VLAN 1004

デフォルトのトークンリングTrBRF VLAN

VLAN 1005(trbrf-default)およびブリッジ番号0F

デフォルトのトークンリングTrCRF VLAN

VLAN 1003(trcrf-default)

TrBRF VLANのSTPバージョン

IBM

VLANポート プロビジョニング検証

ディセーブル

TrCRFブリッジ モード

SRB

RSPAN

ディセーブル

スイッチ上でのVLANの設定

ここでは、ユーザVLAN(1~4094)の設定手順について説明します。

「標準範囲VLAN設定時の注意事項」

「標準範囲VLANの作成」

「標準範囲VLANの変更」


) 標準範囲VLAN 1は、設定または変更できません。


標準範囲VLAN設定時の注意事項

ここでは、ネットワーク上でユーザVLANを作成および変更する場合の注意事項について説明します。

デフォルトのVLANタイプはイーサネットです。したがって、VLANタイプを指定しなかった場合、VLANはイーサネットVLANになります。

VTPを使用してネットワーク上のグローバルVLAN設定情報を維持する場合には、標準範囲VLANを作成する前に、VTPを設定してください。VTP設定の詳細については、 第10章「VTPの設定」 を参照してください(VTPを使用して拡張範囲VLAN 1025~4094を管理することはできません)。


) VTPバージョン3を使用して、VLAN 1006~4094を管理できます。これらのVLANはVTPバージョン3により伝播されます。


FlexWANモジュールおよびルーテッド ポートは、VLAN 1025で始まる一定数のVLANを独自に使用するため自動的に割り当てます。これらの装置を使用する場合は、必要数のVLANを残しておく必要があります。

標準範囲VLANの作成

VLANは一度に1つずつ作成することも、1つのコマンドで一定範囲のVLANを作成することもできます。一定範囲のVLANを作成する場合、VLAN名を指定することはできません。VLAN名は一意でなければならないためです。

標準範囲VLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

標準範囲のイーサネットVLANを作成します。

set vlan vlan [ name name ] [ said said ] [ mtu mtu ] [ translation vlan ]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

次に、スイッチがPer VLAN Spanning-Tree Plus(PVST+)モードのときに標準範囲VLANを作成し、設定を確認する例を示します。

Console> (enable) set vlan 500-520
Vlan 500 configuration successful
Vlan 501 configuration successful
Vlan 502 configuration successful
Vlan 503 configuration successful
.
.
.
Vlan 520 configuration successful
Console> (enable) show vlan 500-520
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
500 active 342
501 active 343
502 active 344
503 active 345
.
.
.
520 active 362
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
500 enet 100500 1500 - - - - - 0 0
501 enet 100501 1500 - - - - - 0 0
502 enet 100502 1500 - - - - - 0 0
503 enet 100503 1500 - - - - - 0 0
.
.
.
520 enet 100520 1500 - - - - - 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
Console> (enable)
 

標準範囲VLANの変更

既存の標準範囲VLANについてVLANパラメータを変更するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

既存の標準範囲VLANを変更します。

set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] [ translation vlan ]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

スイッチ上での拡張範囲VLANの設定

ここでは、拡張範囲VLAN 1025~4094の設定手順について説明します。

「拡張範囲VLAN設定時の注意事項」

「拡張範囲VLANの作成」

拡張範囲VLAN設定時の注意事項

ここでは、拡張範囲VLAN 1024~4094作成の際の注意事項について説明します。

拡張範囲には、イーサネット タイプのVLANしか作成できません。

拡張範囲VLANを使用するには、MAC(メディア アクセス制御)アドレス リダクションをイネーブルにする必要があります。

拡張範囲VLANの作成および削除は、CLI(コマンドライン インターフェイス)またはSNMP(簡易ネットワーク管理プロトコル)を通じてのみ行えます。

VTPを使用してこれらのVLANを管理することはできません。これらのVLANは、各スイッチ上でスタティックに設定する必要があります。


) VTPバージョン3を使用して、VLAN 1006~4094を管理できます。これらのVLANはVTPバージョン3により伝播されます。設定上の理由から、拡張範囲はVLAN 1025~4094で構成されます。


dot1q/islマッピングを使用する場合は、拡張範囲VLANを使用できません。

拡張範囲VLANには、プライベートVLANパラメータおよびRSPANを設定できます。ただし、これ以外の拡張範囲VLANパラメータは、いずれもシステム デフォルトだけを使用します。

スイッチは、内部的な使用のために、拡張範囲からVLANのブロックを割り当てる場合があります。たとえば、スイッチは、ルーテッド ポートまたはFlexWANモジュールにVLANを割り当てる場合があります。VLANのブロックは、常にVLAN 1006を起点として割り当てられます。FlexWANモジュールが必要とする範囲内にユーザが1つでもVLANを作成すると、必要なVLANがすべて割り当てられなくなります。ユーザのVLANエリアから、VLANが割り当てられることはないためです。


注意 FlexWANモジュールおよびルーテッド ポートは、VLAN 1006で始まる内部VLANの連続的なブロックを自動的に割り当てます。これらの装置を使用する場合は、装置用に必要数のVLANを残しておく必要があります。FlexWANモジュールに対して十分なVLANがない場合、一部のポートが機能しない可能性があります。詳細については、『Catalyst 6500 Series and Cisco 7600 Series Router FlexWAN Module Installation and Configuration Note』を参照してください。


注意 同一スイッチ上でFlexWANモジュールをあるスロットから別のスロットに移すと、FlexWANモジュールはそれまで使用していたVLANのブロックを削除せずに、新しいVLANのブロックを割り当てます。FlexWANモジュールを移動するときは、スイッチを再起動する必要があります。

拡張範囲VLANの作成

拡張範囲VLANを作成するには、まずMACアドレス リダクションをイネーブルにして、拡張範囲VLANのIDを提供させる必要があります。MACアドレス リダクションをイネーブルにした場合、拡張範囲VLANが存在するかぎり、ディセーブルにすることはできません。


) 拡張範囲VLANを使用する場合、システムに既存の802.1Q/ISL(スイッチ間リンク)マッピングがあれば、そのマッピングを削除する必要があります。詳細については、「802.1Q/ISL VLANマッピングの削除」を参照してください。



) Release 8.1(1)以降のソフトウェア リリースでは、拡張範囲VLANの名前を付けられます。この機能は、VTPのバージョンまたはモードに関係ありません。


MACアドレス リダクションをイネーブルにし、拡張範囲にイーサネットVLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

MACアドレス リダクションをイネーブルにします。

set spantree macreduction { enable | disable }

ステップ 2

VLANを作成します。

set vlan vlan

ステップ 3

VLANの設定を確認します。

show vlan [ vlan ]

次に、MACアドレス リダクションをイネーブルにし、拡張範囲のイーサネットVLANを作成する例を示します。

Console> (enable) set spantree macreduction enable
MAC address reduction enabled
Console> (enable) set vlan 2000
Vlan 2000 configuration successful
Console> (enable) show vlan 2000
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
2000 VLAN2000 active 61
 
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
2000 enet 102000 1500 - - - - - 0 0
 
VLAN Inst DynCreated RSPAN
---- ---- ---------- --------
2000 - static disabled
Console> (enable)
 

次に、アクティブ、停止、および拡張VLANの要約を表示する例を示します。

Console> (enable) show vlan summary
 
Vlan status Count Vlans
------------- --------------------------------------------------------
VTP Active 504 1-100,102-500,1000,1002-1005
 
VTP Suspended 1 101
 
Extended 1 2000
Console> (enable)

VLANとVLANのマッピング


) ポート単位またはASIC(特定用途向けIC)単位でVLANマッピングを設定するには、「ポート単位またはASIC単位のVLANマッピングの設定」を参照してください。



) Release 8.3(1)以降のソフトウェア リリースでは、ISLトランクによってVLAN範囲全体(1~4094)がサポートされるため、グローバルVLANマッピング機能が不要です。


他社製の装置のVLANに接続されている802.1Qトランクから、Catalyst 6500シリーズ スイッチ上の他のVLANに接続されているISLトランクに、VLANをマッピングできます。


) 802.1Q VLANをISL VLANにマッピングする場合、Catalyst 6500シリーズの旧ソフトウェア リリースからのマッピングを保持できますが、拡張範囲VLANは使用できません。


ここでは、VLANとVLANをマッピングする手順について説明します。

「802.1Q VLANからISL VLANへのマッピング」

「802.1Q/ISL VLANマッピングの削除」

802.1Q VLANからISL VLANへのマッピング

ネットワーク内の他社製の装置が、802.1Qトランクを通じてCatalyst 6500シリーズ スイッチに接続されている可能性があります。

ユーザが設定するISL VLANの有効範囲は1~1000(および1002~1005)、1025~4094です。IEEE 802.1Q規格に指定されているVLANの有効範囲は、0~4095です。他社製の装置が802.1Qトランクを通じてシスコ製スイッチに接続されているネットワーク環境では、1001以上の802.1Q VLAN番号をISL VLAN番号にマッピングできます。拡張範囲(1025~4094)のVLANをdot1qマッピングに使用する場合は、どの拡張範囲VLANもそれ以外の目的で使用することはできません。

1~1000の範囲の802.1Q VLANは、対応するISL VLANに自動的にマッピングされます。シスコ製スイッチで認識し、転送するためには、1001以上の802.1Q VLAN番号をISL VLANにマッピングする必要があります。

802.1Q VLANとISL VLANのマッピングには、次の制限事項があります。

グローバルVLANマッピング機能およびポート単位/ASIC単位のVLANマッピング機能(ポート単位またはASIC単位のVLANマッピングの設定を参照)は相互に排他的であり、同時にイネーブルにできる機能は1つのみです。

スイッチ上に拡張範囲VLANがある場合は、新しく802.1Q VLANをISL VLANにマッピングすることはできません。

1台のスイッチに設定できる802.1Q VLANとISL VLANのマッピング数は、最大8個です。

802.1Q VLANは、イーサネット タイプのISL VLANにしかマッピングできません。

802.1QトランクのネイティブVLANは、マッピング テーブルに入力しないでください。

802.1Q VLANをISL VLANにマッピングすると、マッピング後のISL VLANに対応する802.1Q VLAN上のトラフィックはブロックされます。たとえば、802.1Q VLAN 2000をISL VLAN 200にマッピングした場合、802.1Q VLAN 200のトラフィックはブロックされます。

VLANマッピングは、各スイッチにローカルに適用されます。ネットワーク内の該当するすべてのスイッチ上で、同じVLANマッピングを設定してください。

802.1Q VLANをISL VLANにマッピングするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

802.1Q VLANをISLイーサネットVLANにマッピングします。 dot1q_vlan の有効範囲は、1001~4095です。 isl_vlan の有効範囲は、1~1000です。

set vlan mapping dot1q dot1q_vlan isl isl_vlan

ステップ 2

VLANマッピングを確認します。

show vlan mapping

次に、802.1Q VLAN 2000、3000、4000をISL VLAN 200、300、400にマッピングし、設定を確認する例を示します。

Console> (enable) set vlan mapping dot1q 2000 isl 200
Vlan mapping successful
Console> (enable) set vlan mapping dot1q 3000 isl 300
Vlan mapping successful
Console> (enable) set vlan mapping dot1q 4000 isl 400
Vlan mapping successful
Console> (enable) show vlan mapping
802.1q vlan ISL vlan Effective
------------------------------------------
2000 200 true
3000 300 true
4000 400 true
Console> (enable)

802.1Q/ISL VLANマッピングの削除

802.1Q/ISL VLANマッピングを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

802.1Q/ISL VLANマッピングを削除します。

clear vlan mapping dot1q { dot1q_vlan | all }

ステップ 2

VLANマッピングを確認します。

show vlan mapping

次に、802.1Q VLAN 2000のVLANマッピングを削除する例を示します。

Console> (enable) clear vlan mapping dot1q 2000
Vlan 2000 mapping entry deleted
Console> (enable)
 

次に、すべての802.1Q/ISL VLANマッピングを削除する例を示します。

Console> (enable) clear vlan mapping dot1q all
All vlan mapping entries deleted
Console> (enable)

内部VLANの割り当て

VLANはユーザVLANまたは内部VLANのいずれかに分類されます。ユーザVLANは、ユーザが作成した1~4049のVLANになります。内部VLANは、ソフトウェア機能が使用するVLANで、動作するための専用VLANが必要です。内部VLANは、VLANマネージャーが必要に応じて割り当てます(VLAN 1006~4094を使用)。内部VLANの割り当てはVLAN 1006を起点として、昇順で行われます。ユーザVLANと内部VLANの競合を回避するために、ユーザVLANはできるだけVLAN 4094の近くに割り当てる必要があります。


) 使用可能なVLANの数は固定されているので、ユーザVLANを割り当てたあとに、十分な数のVLANが内部VLANの割り当て用に残されていることを確認してください。


VLANへのスイッチ ポートの割り当て

管理ドメイン内で作成されたVLANは、1つまたは複数のスイッチ ポートがVLANに割り当てられないかぎり、未使用の状態です。新しいVLANを作成してから、モジュールとポートを指定することも、またVLANの作成とモジュールおよびポートの指定を一度に行うこともできます。


) スイッチ ポートは必ず、適切なタイプのVLANに割り当ててください。たとえば、イーサネット タイプのVLANには、イーサネット、ファスト イーサネット、およびギガビット イーサネット ポートを割り当てます。


1つまたは複数のスイッチ ポートをVLANに割り当てるには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

VLANに1つまたは複数のスイッチ ポートを割り当てます。

set vlan vlan mod/port

ステップ 2

ポートのVLANメンバーシップを確認します。

show vlan [ vlan ]
show port [ mod [ / port ]]

次に、VLANにスイッチ ポートを割り当て、設定を確認する例を示します。

Console> (enable) set vlan 560 4/10
VLAN 560 modified.
VLAN 1 modified.
VLAN Mod/Ports
---- -----------------------
560 4/10
Console> (enable) show vlan 560
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
560 Engineering active 348 4/10
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
560 enet 100560 1500 - - - - - 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
Console> (enable) show port 4/10
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
4/10 connected 560 a-half a-100 10/100BaseTX
 
Port AuxiliaryVlan AuxVlan-Status
----- ------------- --------------
4/10 none none
 
.
.
.
 
Last-Time-Cleared
--------------------------
Tue Jun 6 2000, 16:45:18
Console> (enable)

VLANポート プロビジョニング検証のイネーブル化またはディセーブル化

VLANポート プロビジョニング検証がイネーブルの場合は、スイッチ ポートをVLANに割り当てる際、VLAN番号に 加えて 、VLAN名を指定する必要があります。VLAN名とVLAN番号の両方を指定する必要があるため、この検証機能は、ポートを不注意で誤ったVLANに配置しないように保証するのに役立ちます。

この機能がイネーブルの場合、 set vlan vlan mod/port コマンドを入力すれば新しいVLANを作成できますが、VLAN番号とVLAN名の両方を指定せずにポートをそのVLANに追加することはできません。この機能は、SNMP、ダイナミックVLAN、802.1xといった他の機能を使用したVLANへのポート割り当てには影響しません。VLANポート プロビジョニング検証機能は、デフォルトではディセーブルです。

VLANポート プロビジョニング検証をイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

VLANポート プロビジョニング検証をイネーブルまたはディセーブルにします。

set vlan verify-port-provisioning { enable | disable }

ステップ 2

VLANポート プロビジョニング検証のステータスを確認します。

show vlan verify-port-provisioning

次に、VLANポート プロビジョニング検証をイネーブルにする例を示します。

Console> (enable) set vlan verify-port-provisioning enable
vlan verify-port-provisioning feature enabled
Console> (enable)
 

次に、VLANポート プロビジョニング検証のステータスを確認する例を示します。

Console> (enable) show vlan verify-port-provisioning
Vlan Verify Port Provisioning feature enabled
Console> (enable)
 

次に、(VLANポート プロビジョニング検証をイネーブルにして)VLAN 150を作成し、ポート3/16を追加する例を示します。

Console> (enable) set vlan 150 3/16
Vlan 150 configuration successful
VLAN 150 modified.
VLAN 1 modified.
VLAN Mod/Ports
---- -----------------------
150 3/16
Console> (enable)
 

次に、VLANポート プロビジョニング検証をイネーブルにして、ポート3/17をVLAN 150に追加しようとした場合の出力例を示します。

Console> (enable) set vlan 150 3/17
Port Provisioning Verification is enabled on the switch.
To move port(s) into the VLAN, use 'set vlan <vlan> <port> <vlan_name>' command.
Console> (enable)
 

次に、VLANポート プロビジョニング検証をイネーブルにして、ポート3/17をVLAN 150に追加する例を示します。

Console> (enable) set vlan 150 name Eng
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 150 configuration successful
Console> (enable)
 
Console> (enable) set vlan 150 3/17 Eng
VLAN 150 modified.
VLAN 1 modified.
VLAN Mod/Ports
---- -----------------------
150 3/16-17
Console> (enable)

VLANの削除

ここでは、VLANを削除する場合の注意事項について説明します。

VTPサーバ モードで標準範囲イーサネットVLANを削除すると、VTPドメインのすべてのスイッチからそのVLANが削除されます。

VTPトランスペアレント モードで標準範囲VLANを削除すると、現在のスイッチ上に限ってVLANが削除されます。

拡張範囲VLANは、そのVLANを作成したスイッチ上でしか削除できません。

デフォルトVLANは削除できません。

トークンリングTrBRF VLANを削除する場合は、最初に子TrCRFを別の親TrBRFに割り当てるか、または子TrCRFを削除する必要があります。


注意 VLANを削除すると、そのVLANに割り当てられていたすべてのポートが非アクティブになります。これらのポートは、新しいVLANに割り当てられるまで、元のVLANに対応付けられています(つまり、非アクティブのままです)。

単一のVLANを削除することも、一定範囲のVLANを削除することもできます。スイッチ上のVLANを削除するには、イネーブル モードで次のコマンドを入力します。

 

作業
コマンド

VLANを削除します。

clear vlan vlan

次に、VLANを削除する例を示します(この場合、スイッチはVTPサーバです)。

Console> (enable) clear vlan 500
This command will deactivate all ports on vlan(s) 500
Do you want to continue(y/n) [n]?y
Vlan 500 deleted
Console> (enable)
 
This command will deactivate all ports on vlan(s) 10
All ports on normal range vlan(s) 10
will be deactivated in the entire management domain.
Do you want to continue(y/n) [n]?

ポート単位またはASIC単位のVLANマッピングの設定

ここでは、ポート単位またはASIC単位でVLANマッピングを設定する方法について説明します。

「VLANマッピングの概要」

「設定時の注意事項および制限事項」

「ポート単位VLANマッピングのイネーブル化またはディセーブル化」

「ポート単位のVLANマッピングの設定」

「VLANマッピングの消去」

「VLANマッピング情報の表示」

VLANマッピングの概要

Release 8.4(1)以降のソフトウェア リリースでは、VLAN範囲を制限しなくても、 任意 のVLANタイプをその他のVLANタイプにマッピングできるように、VLANマッピングが拡張されています。現在、VLANマッピングはポート単位またはASIC単位で設定できます。


) Release 8.4(1)より前のソフトウェア リリースでは、VLANマッピングはグローバルに設定されました。詳細については、「VLANとVLANのマッピング」を参照してください。


設定時の注意事項および制限事項

ここでは、VLANマッピングを設定する際の設定時の注意事項と制限事項を説明します。

VLANマッピングを使用した場合、スイッチング モジュールまたはスーパバイザ エンジンに搭載されたASICタイプに応じて、次のようになります(各モジュールASICの仕様については、 表11-2 を参照)。

VLANマッピングがサポートされない

ポート単位VLANマッピングがサポートされる

ASIC単位VLANマッピングがサポートされるが、VLANマッピングをポート単位でイネーブルまたはディセーブルにすることは できない

ASIC単位VLANマッピングがサポートされ、VLANマッピングをポート単位でイネーブルまたはディセーブルにすることが できる

モジュールがポート単位VLANマッピングをサポートしないで、ASIC単位VLANマッピングのみをサポートしている場合、VLANマッピングはASIC内のすべてのポートに適用されます。ASIC内の任意のポートのマッピングを変更すると、変更がこのASIC内のすべてのポートに適用されます。

グローバルVLANマッピング

グローバルVLANマッピング機能(VLANとVLANのマッピングを参照)およびポート単位/ASIC単位VLANマッピング機能は相互に排他的であり、同時にイネーブルにできる機能は1つのみです。

任意のVLANにグローバルVLANマッピングが設定されている場合に、ポート単位/ASIC単位VLANマッピングを設定しようとすると、コマンドは拒否され、エラー メッセージが表示されます。逆に、任意のVLANにポート単位/ASIC単位マッピングが設定されている場合に、グローバルVLANマッピングを設定しようとすると、コマンドは拒否され、エラー メッセージが表示されます。

グローバルVLANマッピングは、最大8つのVLANをサポートします。VLAN XがVLAN Yにマッピングされている場合、VLAN Yは内部で廃棄済みVLANにマッピングされます。ポート単位/ASIC単位VLANマッピングはこの方法では機能しません。VLAN XがVLAN Yにマッピングされている場合、VLAN Yの特定のポートに内部でスイッチングされるすべてのトラフィックはVLAN Xにマッピングされます。

VLANマッピングは両方の方向に適用されます。たとえば、ポートPにVLAN xからVLAN yへのマッピングが設定されている場合、VLAN XのポートPで受信されたすべてのトラフィックはVLAN Yにマッピングされ、そこで処理されます。VLAN Yが内部的にタグ付けされたトラフィックのうち、ポートPから送信されたものにはすべて、VLAN Xがタグ付けされます。

EtherChannel

VLANマッピングは、PAgPとLACPの両方のEtherChannelでサポートされます。EtherChannelの特定のポートでVLANマッピングをイネーブルまたはディセーブルにすると、EtherChannel内のすべてのポートでこの機能がイネーブルまたはディセーブルになります。同様に、EtherChannelの特定のポートにVLANマッピングを設定すると、EtherChannel内のすべてのポートにこのマッピングが適用されます。

EtherChannel内のすべてのポートで、VLANマッピングに関するポートASIC機能を同じに設定する必要があります。ポートASIC機能が異なるポートが存在するEtherChannelにVLANマッピングを設定しようとしても、コマンドは拒否されます。

SPANおよびRSPAN

ポート単位VLANマッピングがポート上でイネーブルの場合、ポートASICは変換元VLANを変換先VLANに変換します。すべてのSPAN(スイッチド ポート アナライザ)設定は、変換先VLANで機能します。

RSPAN VLANは変換できません。どのVLANにもRSPAN VLANをマッピングしないように設定する必要があります。同様に、変換先VLANをRSPAN VLANとして使用することはできません。

スパニングツリー

PVST+が実装されている場合、スパニングツリーBridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)には各トランク ポートの「VLAN ID」のTLVがタグ付けされています。このTLVは、ポートVLAN IDの一貫性を判別する際に役立ちます。PVST+およびRapid-PVST+では、このVLAN IDはスパニングツリー インスタンス番号(VLAN ID)と同じです。

Shared Spanning Tree Protocol(SSTP)が有効な場合は、ポート単位/ASIC単位VLANマッピングがポート上でイネーブルになっている際に注意する必要があります。たとえば、図11-2のスイッチ1およびスイッチ2は、VLAN 101を伝送するトランクTを使用して接続されています。スイッチ2のトランク ポートPでは、ポート単位/ASIC単位VLANマッピングがイネーブルであり、VLAN 101からVLAN 202へのマッピングが存在します。図11-2に示すように、トランク リンクのBPDUには、VLAN 101として802.1Q VLANおよびTLV VLANが設定されています。このBPDUがポートPに到達すると、このマッピングにより802.1Q VLANはVLAN 202に変更されますが、TLV VLANはVLAN 101のままです。BPDUがスパニングツリー プロセスに到達すると、スパニングツリーはVLAN 101 BPDUがVLAN 202に着信したと結論し、一貫性がないと判断して、このポートを矛盾ポートとして報告します。

この問題を解決するために、スパニングツリーはこのBPDUをVLAN 202内で処理します。TLV VLANは変換先VLANにマップされ、一貫性があるかチェックされます。この処理が発生した場合、スイッチ1のスパニングツリー インスタンス101はスイッチ2のスパニングツリー202とマージされます。このプロセスは、送信側でも実行されます。

図11-2 VLANマッピングおよびスパニングツリーの概要

 


ヒント スパニングツリー トポロジーを設計する前に、VLANのマージ方法を考慮する必要があります。VLANマッピングがイネーブル化されたポートから変換元VLANを消去し、近接側から変換先VLANを消去する必要があります。このようにすると、カスタマー ポートの変換元VLANおよびプロバイダー ポートの変換先VLANがマージされます。


 

表11-2 モジュール単位のポートASIC VLANマッピング機能

モジュール
サポートされているポート単位VLANマッピングの最大数
機能/制限

WS-X6548-RJ-45
WS-X6548-RJ-21
WS-X6148X2-RJ-45
WS-X6148X2-45AF
WS-X6196-RJ-211

32

ASIC単位VLANマッピング。マッピングはISLトランクのポート単位でイネーブルまたはディセーブルにできます。802.1Qトランクでは、常にマッピングが有効です。ディセーブルにすることはできません。マッピングはISLおよび802.1Qトランクに対してサポートされています。

WS-X6K-S2U-MSFC2
WS-X6K-S2-MSFC2
WS-X6K-S2-PFC2
WS-SUP720-3B
WS-SUP720-3BXL
WS-SUP720
WS-X6516A-GBIC2
WS-X6516-GE-TX

32

ASIC単位VLANのマッピング。マッピングはASICのポート単位でイネーブルまたはディセーブルにできます。任意のVLANタイプ間の変換がサポートされています。802.1Qトランクでのみサポートされています。3

WS-X6748-SFP4
WS-X6724-SFP
WS-X6748-GE-TX

128

ASIC単位VLANのマッピング。マッピングはASICのポート単位でイネーブルまたはディセーブルにできます。任意のVLANタイプ間の変換がサポートされています。マッピングはISLおよび802.1Qトランクに対してサポートされています。

WS-X6148A-GE-TX
WS-X6148A-GE-45A
WS-X6148-FE-SFP
WS-X6148A-RJ-45
WS-X6148A-45AF
WS-X6704-10GE5

8

ポート単位VLANマッピング。任意のVLANタイプ間の変換がサポートされています。マッピングはISLおよび802.1Qトランクに対してサポートされています。

WS-X6502-10GE

16

ポート単位VLANマッピング。任意のVLANタイプ間の変換がサポートされています。802.1Qトランクでのみサポートされています。

WS-SUP32-GE-3B

16

ポート単位VLANマッピング。任意のVLANタイプ間の変換がサポートされています。マッピングはISLおよび802.1Qトランクに対してサポートされています。

1.WS-X6196-RJ-21にはASIC単位VLANマッピング機能がありません。VLANマッピングの単位は2つのASICのポート1~96です(各ASICの48個のポートのみではありません)。

2.WS-X6516A-GBICにはASIC単位VLANマッピング機能がありません。VLANマッピングの単位は2つのASICのポート1~8およびポート9~16です(各ASICの4個のポートのみではありません)。

3.これらのモジュールのASICには、次の制限があります。dot1q-all-taggedがディセーブルの場合、ネイティブVLANで送信されたパケットには、VLAN変換が発生しません。

4.WS-X6748-SFPにはASIC単位VLANマッピング機能がありません。VLANマッピングの単位は2つのASICのポート1~24および25です(各ASICの12個のポートのみではありません)。

5.WS-X6704-10GE:マッピングはASICのポート単位でイネーブルまたはディセーブルにできます。128のポート単位VLANマッピングがサポートされています。

ポート単位VLANマッピングのイネーブル化またはディセーブル化


set port vlan-mappingコマンドを使用してポート単位でVLANマッピングを設定する前に、set port vlan-mapping mod/port enableコマンドを入力して、ポートVLANマッピングをイネーブルにする必要があります。


set port vlan-mapping mod/port { enable | disable } コマンドを入力して、ポート単位でVLANマッピングをイネーブルまたはディセーブルにします。VLAN変換が発生するのは、VLANマッピングがイネーブル化されていて、ポートがトランキングの場合のみです。ASIC単位のVLANマッピングのみをサポートするASICに関して、ポート単位でVLANマッピングをイネーブルまたはディセーブルにする機能が有効な場合、このコマンドはポート設定にのみ適用され、ASICには適用されません。VLANマッピングをディセーブルにした場合も、マッピングは保護されます。VLANマッピングはデフォルトでディセーブルです。

ポート単位でVLANマッピングをイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ポート単位でVLANマッピングをイネーブルまたはディセーブルにします。

set port vlan-mapping mod/port { enable | disable }

ステップ 2

VLANマッピング設定を表示します。

show port vlan-mapping [ mod | mod/port ]

次に、ポート単位でVLANマッピングをイネーブルにする例を示します。

Console>(enable) set port vlan-mapping 7/1 enable
VLAN mapping enabled on port 7/1.
Console>(enable)

ポート単位のVLANマッピングの設定


set port vlan-mappingコマンドを使用する前に、set port vlan-mapping mod/port enableコマンドを入力して、ポートVLANマッピングをイネーブルにする必要があります。



) 変換元VLANはトランクVLAN(スイッチ外部)、変換先VLANはスイッチ内部のVLANです。


set port vlan-mapping mod/port source-vlan-id translated-vlan-id コマンドを入力して、ポート単位でVLANマッピングを設定します。このコマンドにより、 source-vlan-id のトラフィックは translated-vlan-id に変換されます。内部的に translated-vlan-id がタグ付けされたすべてのトラフィックは、 source-vlan-id がタグ付けされたあとに、ポートから送信されます。VLAN変換が発生するのは、ポートがトランキングの場合のみです。このコマンドは、すべての範囲のポートを対象とします。

ポート単位でVLANマッピングを設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ポートVLANマッピングをイネーブルにします。

set port vlan-mapping mod/port { enable | disable }

ステップ 2

ポート単位でVLANマッピングを設定します。

set port vlan-mapping mod/port source-vlan-id translated-vlan-id

ステップ 3

VLANマッピング設定を表示します。

show port vlan-mapping [ mod | mod/port ]

次に、ポートVLANマッピングをイネーブルにし、ポート単位でVLANマッピングを設定する例を示します。この例では、モジュール7は48ポート10/100/1000スイッチング モジュール(WS-X6748-GE-TX)です。このモジュールは、ASIC単位VLANマッピングをサポートします。1つのASICで12個のポートをサポートします。

Console>(enable) set port vlan-mapping 7/1 enable
VLAN mapping enabled on port 7/1.
Console>(enable) set port vlan-mapping 7/1 2002 3003
VLAN 2002 mapped to VLAN 3003 on ports 7.1. 7/1-12.
Console>(enable) show port vlan-mapping 7/1
Mod/Port Source VLAN Translated VLAN State Max Allowed (Current) Entries
-------- ----------- --------------- ----------- -----------------------------
7/1 2002 3003 Enabled 128 (1)
Console>(enable)
 

次の例のモジュール5は、1ポート10GBASE-Eシリアル10ギガビット イーサネット モジュール(WS-X6502-10GE)です。このモジュールはポート単位VLANマッピングをサポートします。

Console>(enable) set port vlan-mapping 5/1 2002 3003
VLAN 2002 mapped to VLAN 3003 on port 5/1.
Console>(enable)
 

この例では、モジュール7は48ポート10/100/1000スイッチング モジュール(WS-X6748-GE-TX)です。このモジュールは、ASIC単位VLANマッピングをサポートします。1つのASICで12個のポートをサポートします。この例では、ポート7/1~4がEtherChannelに属しています。

Console>(enable) set port vlan-mapping 7/1 2002 3003
VLAN 2002 mapped to VLAN 3003 on ports 7/1-12.
Console>(enable)
 

この例では、モジュール7およびモジュール8は48ポート10/100/1000スイッチング モジュール(WS-X6748-GE-TX)です。これらのモジュールは、ASIC単位VLANマッピングをサポートします。1つのASICで12個のポートをサポートします。この例では、ポート7/1~4および8/1~4がEtherChannelに属しています。

Console>(enable) set port vlan-mapping 7/1 2002 3003
VLAN 2002 mapped to VLAN 3003 on ports 7/1-12,8/1-12.
Console>(enable)

VLANマッピングの消去

ポート単位で、すべてのポートで、または特定の変換元VLAN IDに関してVLANマッピングを消去するには、 clear port vlan-mapping コマンドを入力します。一部のモジュールでは、VLANマッピングはASIC単位でサポートされ、ポート単位のマッピングは保存されません。これらのモジュールに clear port vlan-mapping mod/port コマンドを入力すると、ASICのすべてのポート上のVLANマッピングが消去されます。 source_vlan_id 引数を入力すると、指定されたポートまたはASIC(ASICベース ポートの場合)のVLANマッピング テーブルから、該当する変換元VLANのVLANマッピングのみが消去されます。

VLANマッピングを消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

VLANマッピングを消去します。

clear port vlan-mapping mod/port all
clear port vlan-mapping
mod/port [ source-vlan-id ]
clear port vlan-mapping all

次に、ポート7/1からVLANマッピングを消去する例を示します。

Console>(enable) clear port vlan-mapping 7/1 2002
VLAN mapping for VLAN 2002 removed from port 7/1-12.
Console>(enable)

VLANマッピング情報の表示

VLANマッピング情報を表示するには、 show port vlan-mapping [ mod | mod/port ]コマンドを入力します。

VLANマッピング情報を表示するには、ユーザ モードで次の作業を行います。

 

作業
コマンド

VLANマッピング情報を表示します。

show port vlan-mapping [ mod | mod/port ]

次に、ポート7/1のVLANマッピング情報を表示する例を示します。

Console>(enable) show port vlan-mapping 7/1
Mod/Port Source VLAN Translated VLAN State Max Allowed (Current) Entries
-------- ----------- --------------- ----------- -----------------------------
7/1 2002 3003 Enabled 128 (1)
Console>(enable)

) ポートごとにマッピング タイプを表示するには、show port capabilities [mod | mod/port]コマンドを入力します。このコマンドは、ポートごとに許可されている最大マッピング数も表示します。


スイッチ上でのプライベートVLANの設定

ここでは、プライベートVLANの機能概要について説明します。

「プライベートVLANの機能概要」

「プライベートVLAN設定時の注意事項」

「プライマリ プライベートVLANの作成」

「プライベートVLANポートのポート機能の表示」

「プライベートVLANの削除」

「隔離VLAN、コミュニティVLANまたは双方向コミュニティVLANの削除」

「プライベートVLANマッピングの削除」

「MSFC上でのプライベートVLANサポート」

プライベートVLANの機能概要

プライベートVLANは、Catalyst 6500シリーズ スイッチ上の同一プライベートVLAN内でポート間のレイヤ2の隔離を行います。プライベートVLANに所属するポートは、そのプライベートVLAN構造を作成する共通のサポートVLANの集合に対応付けられます。

プライベートVLANポートには、次の3種類があります。

混合 ― 他のすべてのプライベートVLANポートと通信し、ルータ、LocalDirector、バックアップ サーバ、および管理ワークステーションとの通信に使用するポートです。


) ブロードキャストまたはマルチキャスト パケットが混合ポートに着信すると、そのパケットはプライベートVLANドメイン内のすべてのポートに、つまりすべてのコミュニティ ポートおよび隔離ポートに送信されます。


隔離 ― 同一プライベートVLAN内の混合ポート以外のポートから、レイヤ2上で完全に隔離されたポートです。

コミュニティ ― コミュニティ ポート間で通信するだけではなく、自身の混合ポートとも通信します。この種のポートは、同一プライベートVLANの他のコミュニティに属するポートまたは隔離ポートから、レイヤ2で隔離されています。

発信トラフィックをすべての隔離ポートにブロックすることにより、レイヤ2上でプライバシが確保されます。すべての隔離ポートは特定の隔離VLANに割り当てられており、そのVLANでこのハードウェア機能が実行されます。隔離ポートから受信したトラフィックは、混合ポートだけに転送されます。

プライベートVLANは、次の4つに分類されます。単一プライマリVLAN、単一隔離VLAN、および一連のコミュニティ、または双方向コミュニティVLANです。

プライベートVLANを設定するには、まずプライベートVLAN内の各サポートVLANを定義する必要があります。

プライマリVLAN ― 混合ポートからの着信トラフィックを、他のすべての混合ポート、隔離ポート、コミュニティ ポート、および双方向コミュニティ ポートに送信します。

隔離VLAN ― 隔離ポートが、混合ポートと通信するために使用します。隔離されたポートからのトラフィックは、所属するプライベートVLAN内のすべての隣接ポートでブロックされ、受信できるのは混合ポートだけになります。

コミュニティVLAN ― コミュニティ ポート間の通信を行い、指定の混合ポートを介してプライベートVLAN外部にトラフィックを送信するためにコミュニティ ポートのグループが使用する単一方向VLAN。

双方向コミュニティVLAN ― コミュニティ ポート間、コミュニティ ポートとMultilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャ カード)間の通信に、コミュニティ ポートのグループが使用する双方向VLAN。


) Release 6.2(1)以降のソフトウェア リリースでは、トラフィックがMSFC混合ポートを通ってプライベートVLANの境界を越えるとき、双方向コミュニティVLANを使用してプライマリVLANからセカンダリVLANへの逆マッピングを実行できます。発信トラフィックと着信トラフィックの両方を同一VLANで伝送できるので、VLAN Access Control List(VACL)などのVLANをベースにした機能をコミュニティ(または顧客)単位で両方向に適用できます。


プライベートVLANを作成するには、標準VLAN範囲の標準VLANを複数割り当てます。そのうち1つのVLANをプライマリVLAN、もう1つのVLANを隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANとして指定します。必要に応じて、それ以外のVLANをこのプライベートVLANでそれぞれ隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANとして指定することもできます。VLANを指定したあとは、それらのVLANを一括してバインドし、混合ポートに対応付ける必要があります。

プライベートVLANをサポートする他のスイッチにプライマリVLAN、隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANをトランキングすることにより、プライベートVLANを複数のイーサネット スイッチに拡張できます。

イーサネット スイッチド環境では、個々のVLANおよび対応するIPサブネットを、個々のステーションまたはステーションの共通のグループに割り当てることができます。サーバはデフォルト ゲートウェイと通信する能力さえあれば、そのVLAN自身の外部にあるエンド ポイントにアクセスできます。これらのステーションを、その所有権とは無関係に、1つのプライベートVLANにまとめることにより、次のような利点があります。

サーバ ポートを隔離ポートとして指定することにより、レイヤ2でのサーバ間通信を防止できます。

デフォルト ゲートウェイ、バックアップ サーバ、またはLocalDirectorが接続されたポートを混合ポートとして指定することにより、すべてのステーションがこれらのゲートウェイにアクセス可能になります。

VLANの消費が低減します。すべてのステーションが同一のプライベートVLANに存在するので、ステーションのグループ全体に1つのIPサブネットを割り当てるだけで済みます。

MSFCポートまたは非トランクの混合ポートでは、必要に応じて隔離VLANまたはコミュニティVLANをいくつでも再マッピングすることができます。ただし、非トランクの混合ポートが再マッピングできるのは1つのプライマリVLANだけであり、MSFCポートが接続できるのはMSFCルータだけです。非トランク混合ポートを使用すると、プライベートVLANへの「アクセス ポイント」としてさまざまな装置に接続できます。たとえば、非トランクの混合ポートをLocalDirectorの「サーバ ポート」に接続して、多くの隔離VLANまたはコミュニティVLANをそのサーバVLANに再マッピングすると、LocalDirectorによって隔離VLANまたはコミュニティVLAN内に存在するサーバの負荷を分散させることができます。また、管理ワークステーションからすべてのプライベートVLANのサーバをモニタしたりバックアップしたりする目的で、非トランクの混合ポートを使用することも可能です。


) 双方向コミュニティVLANは、MSFC混合ポート上にしかマッピングできません(非トランクまたはその他のタイプの混合ポート上にはマッピングできません)。


プライベートVLAN設定時の注意事項

ここでは、プライベートVLAN設定時の注意事項について説明します。


) ここでは、コミュニティVLANという用語は、特に明記しないかぎり、単一方向コミュニティVLANと双方向コミュニティVLANの両方を表す総称として使用しています。



) VLANポート プロビジョニング検証がイネーブルの場合は、スイッチ ポートをプライマリおよびセカンダリVLANに割り当てる際、VLAN番号に加えて、VLAN名を指定する必要があります。詳細は、「VLANポート プロビジョニング検証のイネーブル化またはディセーブル化」を参照してください。


1つのVLANをプライマリVLANとして指定してください。

任意で1つのVLANを隔離VLANとして指定することができますが、使用できる隔離VLANは1つだけです。

任意でプライベートVLANコミュニティを使用できますが、コミュニティごとに1つずつコミュニティVLANを指定する必要があります。

隔離VLANおよびコミュニティVLAN、またはそのどちらかのVLANをプライマリVLANにバインドし、隔離ポートまたはコミュニティ ポートを割り当ててください。その結果、次のようになります。

隔離VLANおよびコミュニティVLANのスパニングツリー特性は、それぞれのプライマリVLANの特性に設定されます。

VLANメンバーシップは、スタティックになります。

アクセス ポートは、ホスト ポートになります。

BPDUガード機能がアクティブになります。

隔離VLANおよびコミュニティVLANを混合ポート上のプライマリVLANにマッピングするVLAN自動変換を設定してください。非トランク ポートまたはMFSCポートを混合ポートとして設定します。

VTPをトランスペアレント モードに設定する必要があります。


) この制限はVTPバージョン3では当てはまりません。


プライベートVLANを設定したあとで、VTPモードをクライアントまたはサーバ モードに変更することはできません。VTPはプライベートVLANタイプおよびマッピングの伝播をサポートしないからです。

VLANをプライマリVLAN、隔離VLAN、またはコミュニティVLANとして設定できるのは、現在そのVLANにアクセス ポートがまったく割り当てられていない場合に限られます。VLANにアクセス ポートが割り当てられていないことを確認するには、 show port コマンドを使用します。

プライマリVLANに対応付けることができるのは、1つの隔離VLANまたは複数のコミュニティ、あるいはその両方です。

隔離VLANまたはコミュニティVLANに対応付けられるのは、1つのプライマリVLANだけです。

プライベートVLANは、VLAN 2~1000、および1025~4096を使用できます。

プライマリVLANまたはセカンダリVLANのどちらかを削除すると、そのVLANに対応付けられたポートが非アクティブになります。

プライベートVLANを設定するとき、次に説明するハードウェアとソフトウェアの相互作用について考慮してください。

プライベートVLANでは、帯域内ポート(sc0)は使用できません。


) Release 6.3(1)以降のソフトウェア リリースでは、sc0ポートはプライベートVLANポートとして設定できますが、sc0ポートを混合ポートとして設定することはできません。


プライベートVLANポートをトランキングまたはチャネリング モードに設定したり、ダイナミックVLANメンバーシップを持たせたりすることはできません。ただし例外として、MSFCポートでは常にトンランキングがアクティブです。

同じASICに属するポートを、1つのポートがトランキング モード、混合モード、またはSPAN宛先、もう1つのポートが 表11-3 に示すモジュール用の隔離ポートまたはコミュニティ ポートになるように設定することはできません。

このような設定を試みると、警告メッセージが表示され、コマンドが拒否されます。

 

表11-3 モジュールとポートの対応(ASICグループ別)

モジュール番号
説明
ポート(ASIC別)

WS-X6224-100FX-MT

24ポート100FXマルチモードMT-RJ

ポート1~12

ポート13~24

ポート25~36

ポート37~48

WS-X6248-RJ-45

48ポート10/100TX RJ-45

ポート1~12

ポート13~24

ポート25~36

ポート37~48

WS-X6248-TEL

48ポート10/100TX RJ-21

ポート1~12

ポート13~24

ポート25~36

ポート37~48

WS-X6348-RJ-45

48ポート10/100TX RJ-45

ポート1~12

ポート13~24

ポート25~36

ポート37~48

WS-X6024-10FL-MT

24ポート10BASE-FL MT-RJ

ポート1~12

ポート13~24

隔離ポートおよびコミュニティ ポートは、設定ミスに起因するスパニングツリー ループを防ぐため、BPDUガード機能を実行する必要があります。

プライマリVLANおよび対応する隔離VLANとコミュニティVLANは、スパニングツリーの設定が同じでなければなりません。この設定は、関連するプライマリVLAN、隔離VLAN、およびコミュニティVLANの間で一貫したスパニングツリー トポロジーを維持し、接続切断を防ぎます。設定されたプライオリティおよび各種パラメータは、プライマリVLANから隔離VLANおよびコミュニティVLANに自動的に伝播されます。

次のようにMISTPモードで動作するプライベートVLANを作成できます。

MISTPをディセーブルにすると、対応するすべての隔離VLANおよびコミュニティVLANにプライマリVLANの設定変更が伝播されます。隔離VLANまたはコミニュティVLANを変更することはできません。

MISTPをイネーブルにする場合、MISTPインスタンスを設定できるのはプライマリVLANだけです。プライマリVLANに適用された変更は、隔離VLANおよびコミュニティVLANに伝播されます。

ネットワークでMACアドレス リダクションを使用しているスイッチと使用していないスイッチが混在している場合、STPパラメータは必ずしも伝播されず、スパニングツリー トポロジーが一致しなくなる場合があります。STPの設定を手動でチェックし、プライマリVLAN、隔離VLAN、およびコミニュティVLANのスパニングツリー トポロジーが一致していることを確認する必要があります。

Catalyst 6500シリーズ スイッチ上でMACアドレス リダクションをイネーブルにする場合は、ネットワーク上のすべてのスイッチ上でMACアドレス リダクションをイネーブルにして、プライベートVLANのSTPトポロジーを一致させます。そうしない場合は、プライベートVLANのあるネットワーク上で、MACアドレス リダクションをイネーブルに設定したスイッチとディセーブルに設定したスイッチが混在していることになり、プライマリVLANと対応するすべての隔離VLANおよびコミニュティVLANでルート ブリッジを共通にするために、デフォルトのブリッジ プライオリティを使用せざるを得なくなります。システム上でMACアドレス リダクションをイネーブルにするかどうかにかかわらず、MACアドレス リダクション機能で使用する範囲には一貫性を持たせてください。MACアドレス リダクションは個々のレベルにしか対応せず、範囲としてはすべての中間値を内部的に使用します。プライベートVLANおよびMACアドレス リダクションのあるルート ブリッジはディセーブルにし、非ルート ブリッジが使用する最高のプライオリティ レンジより高いプライオリティでルート ブリッジを設定する必要があります。

BPDUガード モードはシステム全体を対象とし、プライベートVLANに最初のポートが追加された時点でイネーブルになります。

宛先SPANポートをプライベートVLANポートとして設定することはできません。また、その逆の設定もできません。

送信元SPANポートは、1つのプライベートVLANに所属できます。

VLAN-based SPAN(VSPAN)を使用してプライマリVLAN、隔離VLAN、およびコミュニティVLANを一括してSPANの対象にすることもできますし、また1つのVLANだけでSPANを使用して出力トラフィックまたは入力トラフィックを個別にモニタすることもできます。

RSPAN VLANは、プライベートVLANには使用できません。

隔離ポート、コミュニティ ポート、または混合ポート上でEtherChannelをイネーブルにすることはできません。

プライマリVLAN、隔離VLAN、およびコミュニティVLANには、それぞれ異なるVACLおよびQuality of Service(QoS;サービス品質)ACL(アクセス制御リスト)を適用できます。


) ACLの設定手順については、「プライベートVLAN上でのACLの設定」を参照してください。


MSFCからのすべての発信トラフィックに適用されるように、双方向コミュニティVLANとプライマリVLANの両方で出力ACLを設定する必要があります。

プライマリVLANにCisco IOS ACLをマッピングすると、対応する隔離VLANおよびコミュニティVLANにそのCisco IOS ACLが自動的にマッピングされます。

隔離VLANまたはコミュニティVLANにCisco IOS ACLをマッピングすることはできません。

プライベートVLANインターフェイスでPolicy-Based Routing(PBR;ポリシー ベース ルーティング)を使用することはできません。 ip policy route-map route_map_name コマンドを使用してプライベートVLANインターフェイスにポリシーを適用しようとすると、エラー メッセージが出力されます。

VLANにダイナミックAccess Control Entry(ACE;アクセス制御エントリ)が設定されている場合、そのVLANをプライベートVLANにすることはできません。

隔離VLANまたはコミュニティVLANのレイヤ3スイッチングを停止するには、そのVLANとプライマリVLANとのバインディングを破棄します。対応するマッピングを削除するだけでは不十分です。

プライマリ プライベートVLANの作成

プライマリ プライベートVLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

プライマリ プライベートVLANを作成します。

set vlan vlan pvlan-type primary

ステップ 2

隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANを設定します。

set vlan vlan pvlan-type {isolated | community | twoway-community }

ステップ 3

隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANをプライマリVLANにバインドします。

set pvlan primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan}

ステップ 4

隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートをプライマリ プライベートVLANに対応付けます。

set pvlan primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan} [ mod/ports | sc0 ]

ステップ 5

隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANを、混合ポートのプライマリ プライベートVLANにマッピングします。

set pvlan mapping primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan} mod/ports

ステップ 6

プライマリ プライベートVLANの設定を確認します。

show pvlan [ vlan ]

show pvlan mapping


) プライベートVLANに、隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートをバインドすると同時に、対応付けられた隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANをバインドするには、set pvlan primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan} mod/portコマンドを入力します。



) スイッチがトランクに接続され、そのトランクからプライベートVLANが削除されていないかぎり、ポートが同じスイッチに存在する必要はありません。



) プライベートVLANで混合ポートにMSFCを使用するとき、MSFC mod/port番号としては、スロット1にスーパバイザ エンジンが搭載されている場合は15/1を、スロット2に搭載されている場合は16/1を使用してください。



) 隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートのある装置、混合ポートのある装置、およびプライベートVLANをトランクで伝送する必要のあるすべての中間スイッチを含むプライベートVLANを作成する場合は、必ずset pvlanコマンドを使用する必要があります。隔離ポート、コミュニティ ポート、双方向コミュニティ ポート、または混合ポートのないエッジ装置(一般に、プライベート ポートを持たないアクセス装置)では、プライベートVLANを作成する必要はなく、セキュリティ上の理由でプライベートVLANをトランクからプルーニングすることができます。


次に、VLAN 7をプライマリVLANとして指定する例を示します。

Console> (enable) set vlan 7 pvlan-type primary
Vlan 7 configuration successful
Console> (enable)
 

次に、VLAN 901を隔離VLAN、VLAN 902および903をコミュニティVLANとして指定する例を示します。

Console> (enable) set vlan 901 pvlan-type isolated
Vlan 901 configuration successful
Console> (enable) set vlan 902 pvlan-type community
Vlan 902 configuration successful
Console> (enable) set vlan 903 pvlan-type community
Vlan 903 configuration successful
Console> (enable)
 

次に、VLAN 901をプライマリVLAN 7にバインドし、ポート4/3を隔離ポートとして割り当てる例を示します。

Console> (enable) set pvlan 7 901 4/3
Successfully set the following ports to Private Vlan 7,901: 4/3
Console> (enable)
 

次に、VLAN 902をプライマリVLAN 7にバインドし、ポート4/4~4/6をコミュニティ ポートとして割り当てる例を示します。

Console> (enable) set pvlan 7 902 4/4-6
Successfully set the following ports to Private Vlan 7,902:4/4-6
Console> (enable)
 

次に、VLAN 903をプライマリVLAN 7にバインドし、ポート4/7~4/9をコミュニティ ポートとして割り当てる例を示します。

Console> (enable) set pvlan 7 903
Successfully set association between 7 and 903.
Console> (enable) set pvlan 7 903 4/7-9
Successfully set the following ports to Private Vlan 7,903:4/7-9
Console> (enable)
 

次に、隔離VLANまたはコミュニティVLANを混合ポート3/1上のプライマリVLANにマッピングする例を示します。

Console> (enable) set pvlan mapping 7 901 3/1
Successfully set mapping between 7 and 901 on 3/1
Console> (enable) set pvlan mapping 7 902 3/1
Successfully set mapping between 7 and 902 on 3/1
Console> (enable) set pvlan mapping 7 903 3/1
Successfully set mapping between 7 and 903 on 3/1
 

次に、プライベートVLANの設定を確認する例を示します。

Console> (enable) show vlan 7
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
7 VLAN0007 active 35 4/4-6
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
7 enet 100010 1500 - - - - - 0 0
VLAN DynCreated RSPAN
---- ---------- --------
7 static disabled
VLAN AREHops STEHops Backup CRF 1q VLAN
---- ------- ------- ---------- -------
Primary Secondary Secondary-Type Ports
------- --------- ----------------- -----------------
7 901 Isolated 4/3
7 902 Community 4/4-6
7 903 Community 4/7-9
 
Console> (enable) show vlan 902
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
902 VLAN0007 active 38 4/4-6
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
7 enet 100010 1500 - - - - - 0 0
VLAN DynCreated RSPAN
---- ---------- --------
7 static disabled
VLAN AREHops STEHops Backup CRF 1q VLAN
---- ------- ------- ---------- -------
Primary Secondary Secondary-Type Ports
------- --------- ----------------- -----------------
7 902 Isolated 4/4-6
 
Console> (enable) show pvlan
Primary Secondary Secondary-Type Ports
------- --------- -------------- ------------
7 901 isolated 4/3
7 902 community 4/4-6
7 903 community 4/7-9
 
Console> (enable) show pvlan mapping
Port Primary Secondary
----- -------- ----------
3/1 7 901-903
Console> (enable) show port
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
(テキスト出力は省略)
4/3 notconnect 7,901 half 100 100BaseFX MM
4/4 notconnect 7,902 half 100 100BaseFX MM
4/5 notconnect 7,902 half 100 100BaseFX MM
4/6 notconnect 7,902 half 100 100BaseFX MM
4/7 notconnect 7,903 half 100 100BaseFX MM
4/8 notconnect 7,903 half 100 100BaseFX MM
4/9 notconnect 7,903 half 100 100BaseFX MM
(テキスト出力は省略)

プライベートVLANポートのポート機能の表示

プライベートVLANのポート機能を表示するには、show pvlan capability mod/portコマンドを入力します。

次に,下記の設定でいくつかのポートについてポート機能を表示する例を示します。

Console> (enable) set pvlan 10 20
Console> (enable) set pvlan mapping 10 20 3/1
Console> (enable) set pvlan mapping 10 20 5/2
Console> (enable) set trunk 5/1 desirable isl 1-1005,1025-4094
 
Console> (enable) show pvlan capability 5/20
Ports 5/13 - 5/24 are in the same ASIC range as port 5/20.
 
Port 5/20 can be made a private vlan port.
 
Console> (enable) show pvlan
Primary Secondary Secondary-Type Ports
------- --------- -------------- ------------
10 20 isolated
 
Console> (enable) show pvlan capability 3/1
Port 3/1 cannot be made a private vlan port due to:
------------------------------------------------------
Promiscuous ports cannot be made private vlan ports.
 
Console> (enable) show pvlan capability 5/1
Ports 5/1 - 5/12 are in the same ASIC range as port 5/1.
 
Port 5/1 cannot be made a private vlan port due to:
------------------------------------------------------
Trunking ports are not Private Vlan capable.
Conflict with Promiscuous port(s) : 5/2
 
Console> (enable) show pvlan capability 5/2
Ports 5/1 - 5/12 are in the same ASIC range as port 5/2.
 
Port 5/2 cannot be made a private vlan port due to:
------------------------------------------------------
Promiscuous ports cannot be made private vlan ports.
Conflict with Trunking port(s) : 5/1
 
Console> (enable) show pvlan capability 5/3
Ports 5/1 - 5/12 are in the same ASIC range as port 5/3.
 
Port 5/3 cannot be made a private vlan port due to:
------------------------------------------------------
Conflict with Promiscuous port(s) : 5/2
Conflict with Trunking port(s) : 5/1
 
Console> (enable) show pvlan capability 15/1
Port 15/1 cannot be made a private vlan port due to:
------------------------------------------------------
Only ethernet ports can be added to private vlans.

プライベートVLANの削除

プライベートVLANを削除するには、プライマリVLANを削除します。プライマリVLANを削除すると、そのプライマリVLANへのすべてのバインディングが破棄され、プライベートVLAN上のすべてのポートが非アクティブになり、混合ポート上の関連するマッピングがすべて削除されます。

プライベートVLANを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

プライマリVLANを削除します。

clear vlan primary_vlan

次に、プライマリVLAN 7を削除する例を示します。

Console> (enable) clear vlan 7
This command will de-activate all ports on vlan 7
Do you want to continue(y/n) [n]?y
Vlan 7 deleted
Console> (enable)

隔離VLAN、コミュニティVLANまたは双方向コミュニティVLANの削除

隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANを削除すると、プライマリVLANとのバインディングが破棄され、そのVLANに対応付けられていた隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートはすべて非アクティブになり、混合ポート上の関連するマッピングはすべて削除されます。

スイッチ上のVLANを削除するには、イネーブル モードで次のコマンドを入力します。

 

作業
コマンド

隔離VLANまたはコミュニティVLANを削除します。

clear vlan {isolated_vlan | community_vlan | twoway_community_vlan}

次に、コミュニティVLAN 902を削除する例を示します。

Console> (enable) clear vlan 902
This command will de-activate all ports on vlan 902
Do you want to continue(y/n) [n]?y
Vlan 902 deleted
Console> (enable)

プライベートVLANマッピングの削除

プライベートVLANのマッピングを削除すると、隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートと混合ポートとの間の接続が解除されます。混合ポート上のマッピングをすべて削除すると、その混合ポートは非アクティブになります。プライベートVLANポートが非アクティブになると、 show port の出力で、そのポートのVLAN番号は[pvlan-]と表示されます。

プライベートVLANポートが、非アクティブになる原因としては、次のものがあります。

ポートが属するプライマリVLAN、隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANが消去された場合。

MSFC以外の混合ポートからのマッピングがすべて削除された場合。

ポートをプライベートVLANに設定したときにエラーが発生する場合。

プライベートVLANからポートのマッピングを削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

プライベートVLANからポートのマッピングを削除します。

clear pvlan mapping primary_vlan {isolated | community | twoway-community } {mod/ports}

次に、ポート3/2~3/5上に設定されていた、VLAN 902から901へのマッピングを削除する例を示します。

Console> (enable) clear pvlan mapping 901 902 3/2-5
Successfully cleared mapping between 901 and 902 on 3/2-5
Console> (enable)

MSFC上でのプライベートVLANサポート

ここでは、MSFC上でのプライベートVLANのサポートについて説明します。

プライベートVLANに関する情報を表示するには、 show pvlan コマンドを使用します。 show pvlan コマンドでプライベートVLANに関する情報が表示されるのは、プライマリ プライベートVLANがアップになっている場合に限られます。

スーパバイザ エンジンに対して set pvlan mapping または clear pvlan mapping コマンドを入力すると、MSFC Syslogメッセージが表示されます。次に例を示します。

%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 101
%PV-6-PV_MSG:Created a private vlan mapping, Primary 200, Secondary 201
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 101
 

プライマリ プライベートVLANに対してだけレイヤ3パラメータを設定するには、 interface vlan コマンドを使用します。

MSFCで interface vlan コマンドで入力されているVLAN番号を使用して、スーパバイザ エンジン上で隔離VLANまたはコミュニティVLANを作成することはできません。

レイヤ3のプライベートVLANインターフェイス上で学習されたARPエントリは、 sticky ARP エントリです(プライベートVLANインターフェイスのARPエントリを表示して確認することを推奨します)。

プライベートVLANインターフェイスのsticky ARPエントリは、セキュリティ上の理由から、期限切れになりません。同じIPアドレスで新しい装置を接続しても、メッセージが生成され、ARPエントリは作成されません。

プライベートVLANインターフェイスのARPエントリは期限切れにならないので、MACアドレスを変更した場合はプライベートVLANインターフェイスのARPエントリを手動で削除する必要があります。

プライベートVLANのARPエントリは、手動で追加または削除する必要があります。次に例を示します。

obelix-rp(config)# no arp 11.1.3.30
IP ARP:Deleting Sticky ARP entry 11.1.3.30
 
obelix-rp(config)# arp 11.1.3.30 0000.5403.2356 arpa
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by hw:0000.5403.2356
 

一部のコマンドにより、プライベートVLANマッピングが消去および再作成されます。次に例を示します。

obelix-rp(config)# xns routing
obelix-rp(config)#
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 101
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 102
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 103
%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 101
%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 102
%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 103

スイッチ上でのFDDI VLANの設定

新しいFDDI VLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

新しいFDDI VLANまたはFDDI NETタイプのVLANを作成します。

set vlan vlan [ name name ] type { fddi | fddinet } [ said said ] [ mtu mtu ]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

既存のFDDI VLANのVLANパラメータを変更するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

既存のFDDI VLANまたはFDDI NETタイプのVLANを変更します。

set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

スイッチ上でのトークンリングVLANの設定

ここでは、VTPバージョン2で動作するスイッチ上でサポートされる、2種類のトークンリングVLANについて説明します。

「トークンリングTrBRF VLANの機能概要」

「トークンリングTrCRF VLANの機能概要」

「トークンリングVLAN設定時の注意事項」

「トークンリングTrBRF VLANの作成または変更」

「トークンリングTrCRF VLANの作成または変更」

トークンリングVLANを設定および管理するには、VTPバージョン2を使用する必要があります。


) Catalyst 6500シリーズ スイッチでは、ISLカプセル化トークンリング フレームはサポートされていません。


トークンリングTrBRF VLANの機能概要

TrBRF VLANは、スイッチド トークンリング ネットワーク環境において、複数のTrCRF VLANを相互接続します(図11-3を参照)。TrBRFは、トランク リンクによって相互接続されたスイッチで構成されるネットワーク全体に拡大することができます。TrCRFとTrBRF間の接続を 論理ポート といいます。

図11-3 相互接続されたトークンリングTrBRF VLANおよびTrCRF VLAN

 

ソース ルーティングでは、スイッチは論理リング間の単一ブリッジとなります。TrBRFは、IBMまたはIEEE STPを実行するSRBまたはSRTブリッジとして動作できます。SRBを使用する場合、重複するMACアドレスを異なる論理リングで定義できます。

トークンリング ソフトウェアは、TrBRF VLANごとに、また、TrCRF VLANごとに1つずつSTPのインスタンスを実行します。TrCRF VLANの場合、STPにより、論理リングのループが排除されます。TrBRF VLANの場合、STPはイーサネットVLAN上での動作と同様、外部ブリッジと対話して、ブリッジ トポロジーからループを排除します。


注意 特定の親TrBRF STPおよびTrCRFブリッジ モードを設定すると、TrBRFの論理ポート(TrBRFとTrCRF間の接続)がブロック ステートになる可能性があります。詳細については、「VLANのデフォルト設定」を参照してください。

ソース ルーティングでは、スイッチは論理リング間の単一ブリッジとなります。TrBRFは、IBMまたはIEEE STPを実行するSRBまたはSRTブリッジとして動作できます。SRBを使用する場合には、複数の異なる論理リングに重複したMACアドレスを定義できます。

IBMのSystem Network Architecture(SNA)トラフィックに対応するために、SRTモードとSRBモードを組み合わせて使用することができます。混在モードでは、TrBRFは一部のポート(TrCRFに接続された論理ポート)がSRBモードで動作し、他のポートがSRTモードで動作するものとみなします。

トークンリングTrCRF VLANの機能概要

TrCRF VLANでは、同じ論理リング番号でポート グループを定義します。ネットワークには、非分散型およびバックアップの2種類のTrCRFを設定できます。

通常、TrCRFは非分散型です。これは、各TrCRFが1台のスイッチ上のポートに限定されることを意味します。同一または異なるスイッチ上で、複数の非分散型TrCRFを1つの親TrBRFに対応させることができます(図11-4を参照)。親TrBRFは、マルチポート ブリッジとして動作し、非分散型TrCRF間でトラフィックを転送します。


) 異なるスイッチ上のリング間でデータを受け渡すには、リングを同一のTrBRFに対応付けて、そのTrBRFをSRBとして設定します。


図11-4 非分散型TrCRF

 


) デフォルトの設定では、トークンリング ポートはデフォルトのTrCRF(VLAN 1003、trcrf-default)に対応し、これにはデフォルトのTrBRF(VLAN 1005、trbrf-default)が親として存在します。この設定では、分散型TrCRFが可能であり(図11-5を参照)、スイッチがISLトランクで接続されている場合に、異なるスイッチ上のデフォルトのTrCRF間でトラフィックを流すことができます。


図11-5 分散型TrCRF

 

TrCRF内では、ソースルート スイッチングを使用し、MACアドレスまたはルート記述子に基づいて転送を行います。VLAN全体を1つのリングとして動作させ、フレームを1つのTrCRF内のポート間でスイッチングすることもできます。

TrCRFごとにAREフレームおよびSTEフレームの最大ホップ カウントを指定することによって、エクスプローラが通過できる最大ホップ数を制限することができます。ポートで、受け取ったエクスプローラ フレームが指定されたホップ数を超えて経由して来ていることが判別されると、そのフレームは転送されません。TrCRFでは、ルート情報フィールドのブリッジ ホップ数に基づいて、エクスプローラが経由したホップ数を判別します。

バックアップ TrCRFを使用すると、スイッチ間のISL接続で障害が発生した場合、TrBRFで接続されている複数のスイッチ上の非分散型TrCRF間を流れるトラフィック用に、代替ルートを設定することができます。また、TrBRFでバックアップTrCRFに割り当てることができるポートは、1台のスイッチで1つだけです。

スイッチ間のISL接続で問題が起きた場合、影響を受ける各スイッチ上のバックアップTrCRFポートがアクティブになり、バックアップTrCRFを介して非分散型TrCRF間のトラフィックが再ルーティングされます。ISL接続が再び確立されると、バックアップTrCRFの1ポートを除くすべてのポートがディセーブルになります。図11-6に、バックアップTrCRFを示します。

図11-6 バックアップTrCRF

 

トークンリングVLAN設定時の注意事項

ここでは、トークンリングVLAN作成または変更時の注意事項について説明します。

トークンリングVLANでは、デフォルトのTrBRF(VLAN 1005)は、デフォルトのTrCRF(VLAN 1003)の親としてだけ指定できます。ユーザ側で設定したTrCRFの親としてデフォルトのTrBRFを指定することはできません。

TrBRFを設定してから、TrCRFを設定する必要があります。つまり、TrCRFに指定する親TrBRF VLANがすでに存在していなければなりません。

トークンリング環境では、次のいずれかの条件が存在している場合、TrBRFの論理ポート(TrBRFとTrCRF間の接続)がブロック ステートになります。

TrBRFがIBM STPを実行していて、TrCRFがSRTモード

TrBRFがIEEE STPを実行していて、TrCRFがSRBモード

トークンリングTrBRF VLANの作成または変更

VTPバージョン2をイネーブルにしてから、トークンリングVLANを作成する必要があります。VTPバージョン2をイネーブルにする方法については、 第10章「VTPの設定」 を参照してください。

新しいTrBRFを作成する場合、ブリッジ番号を指定しなければなりません。

新しいトークンリングTrBRF VLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

新しいトークンリングTrBRFタイプのVLANを作成します。

set vlan vlan [ name name ] type trbrf [ said said ] [ mtu mtu ] bridge bridgeber [ stp { ieee | ibm }]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

次に、新しいトークンリングTrBRF VLANを作成し、設定を確認する例を示します。

Console> (enable) set vlan 999 name TrBRF_999 type trbrf bridge a
Vlan 999 configuration successful
Console> (enable) show vlan 999
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
999 TrBRF_999 active
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
999 trbrf 100999 4472 - - 0xa ibm - 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
Console> (enable)
 

既存のトークンリングTrBRF VLAN上でVLANパラメータを変更するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

既存のトークンリングTrBRFタイプのVLANを変更します。

set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] [ bridge bridgeber ] [ stp { ieee | ibm }]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

トークンリングTrCRF VLANの作成または変更


) VTPバージョン2をイネーブルにしてから、トークンリングVLANを作成する必要があります。VTPバージョン2をイネーブルにする方法については、第10章「VTPの設定」を参照してください。


新しいトークンリングTrCRF VLANを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

新しいトークンリングTrCRFタイプのVLANを作成します。

set vlan vlan [ name name ] type trcrf [ said said ] [ mtu mtu ] { ring hex_ringber | decring decimal_ringber } parent vlan

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]


) 新しいTrCRFを作成するときには、(16進数または10進数で)リング番号を指定し、さらに親のTrBRF VLANを指定しなければなりません。


次に、トークンリングTrCRF VLANを作成し、設定を確認する例を示します。

Console> (enable) set vlan 998 name TrCRF_998 type trcrf decring 10 parent 999
Vlan 998 configuration successful
Console> (enable) show vlan 998
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
998 TrCRF_998 active 352
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
998 trcrf 100998 4472 999 0xa - - srb 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
998 7 7 off
Console> (enable)
 

既存のトークンリングTrCRF VLAN上でVLANパラメータを変更するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

既存のトークンリングTrCRF VLANを変更します。

set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] [ ring hex_ring ] [ decring decimal_ring ] [ bridge bridge ] [ parent vlan ]

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]

バックアップTrCRFを作成するには、TrBRFが経由するスイッチごとに1ポートずつ、バックアップTrCRFに割り当てます。

TrCRF VLANをバックアップTrCRFとして設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

TrCRF VLANをバックアップTrCRFとして設定します。

set vlan vlan backupcrf on

ステップ 2

VLANの設定を確認します。

show vlan [ vlan ]


注意 トークンリングMultistation Access Unit(MSAU)にバックアップTrCRFポートを接続した場合、別の装置でリング速度とポート モードを設定しないかぎり、バックアップ パスは提供されません。バックアップTrCRF用にリング速度とポート モードを設定することを推奨します。

TrCRFにおけるAREフレームまたはSTEフレームの最大ホップ数を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

TrCRFにおけるAREフレームの最大ホップ数を指定します。

set vlan vlan aremaxhop hopcount

ステップ 2

TrCRFにおけるSTEフレームの最大ホップ数を指定します。

set vlan vlan stemaxhop hopcount

ステップ 3

VLANの設定を確認します。

show vlan [ vlan ]

次に、AREフレームおよびSTEフレームを10ホップに制限し、設定を確認する例を示します。

Console> (enable) set vlan 998 aremaxhop 10 stemaxhop 10
Vlan 998 configuration successful
Console> (enable) show vlan 998
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
998 VLAN0998 active 357
 
 
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
998 trcrf 100998 4472 999 0xff - - srb 0 0
 
 
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
998 10 10 off
Console> (enable)

Firewall Services Module用のVLANの設定

Firewall Services Module(WS-SVC-FWM-1-K9)によって保護されるVLANを指定するには、 set vlan { vlans } firewall-vlan { mod }コマンドを入力します。Firewall Services Moduleによって保護されるVLANを表示するには、 show vlan firewall-vlan mod コマンドを入力します。

Firewall Services ModuleでVLAN範囲を保護するには、次の条件が満たされなければなりません。

1. VLANにポート メンバーシップが定義され、VLANがアクティブ ステートになっている。

2. VLANに、アクティブ ステートになっているMSFCレイヤ3インターフェイスがない。

3. VLANが予約VLANでない。

上記の2の条件を満たしていないVLANは、Firewall Services Moduleで保護しようとするVLAN範囲から廃棄されます。

2と3の条件を満たしているものの1の条件を満たしていないVLANは、スーパバイザ エンジン データベースに保存されます。これらのVLANは、1の条件が満たされるとただちにFirewall Services Moduleへ送られます。

次に、Firewall Services ModuleでVLAN範囲を保護する例を示します。

Console> (enable) set vlan 2-55 firewall-vlan 7
Console> (enable)
 

Firewall Services Moduleの複数VLANインターフェイス機能を設定するには、set firewall multiple-vlan-interfaces { enable | disable }コマンドを入力します。複数VLANインターフェイス機能をディセーブル化すると、Firewall Services Moduleは単一VLANインターフェイス モードに設定されます。複数VLANインターフェイス機能は、デフォルトではディセーブルです。例は次のとおりです。

Console> (enable) set firewall multiple-vlan-interfaces enable
This command will enable multiple-vlan-interfaces feature for all firewall
modules in the chassis.
It can result in traffic bypassing the firewall module.
Do you want to continue (y/n) [n]? y
multiple-vlan-interfaces feature enabled for firewall module 5.
Console> (enable)
 

Release 8.4(1)以降のソフトウェア リリースでは、 set vlan { vlan } firewall-vlan { mod } msfc-fwsm-interface コマンドを入力して、指定されたVLANをMSFCとFirewall Services Module間の保護インターフェイスにすることができます。このコマンドを使用できるのは、単一VLANインターフェイス モードの場合のみです。複数のVLANインターフェイスがイネーブル化されている場合は、入力できません。例は次のとおりです。

Console> (enable) set vlan 3 firewall-vlan 5 msfc-fwsm-interface
Vlan 3 declared as Secure Vlan interface for module 5
Vlan 3 declared secure for firewall module 5
Console> (enable)

) Firewall Services Moduleの設定の詳細については、次のURLにあるFirewall Services Moduleのマニュアルを参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/mod_icn/fwsm/index.htm