Catalyst 3750 Metro スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)EY
プライベートVLANの設定
プライベートVLANの設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

プライベートVLANの設定

プライベートVLANの概要

プライベートVLANでのIPアドレス方式

複数のスイッチにまたがるプライベートVLAN

プライベートVLANと他の機能との相互作用

プライベートVLANと、ユニキャスト、ブロードキャスト、マルチキャスト トラフィック

プライベートVLANおよびSVI

プライベートVLANの設定

プライベートVLANの設定作業

プライベートVLANのデフォルト設定

プライベートVLAN設定時の注意事項

セカンダリおよびプライマリVLANの設定

プライベートVLANポートの設定

他の機能との制限

プライベートVLAN内のVLANの設定および対応付け

プライベートVLANホスト ポートとしてのレイヤ2インターフェイスの設定

プライベートVLAN混合ポートとしてのレイヤ2インターフェイスの設定

プライマリVLANレイヤ3 VLANインターフェイスへのセカンダリVLANのマッピング

プライベートVLANのモニタ

プライベートVLANの設定

この章では、Catalyst 3750 MetroスイッチでプライベートVLAN(仮想LAN)を設定する方法について説明します。この機能を使用するには、Enhanced Multilayer Image(EMI)がスイッチ上で稼働している必要があります。


) ここで使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「プライベートVLANの概要」

「プライベートVLANの設定」

「プライベートVLANのモニタ」


) プライベートVLANを設定する場合、スイッチはVTP(VLANトランク プロトコル)トランスペアレント モードでなければなりません。「VTPの設定」を参照してください。


プライベートVLANの概要

プライベートVLAN機能は、サービス プロバイダーがVLANを使用している間に直面する次の問題に対処します。

スケーラビリティ:スイッチは最大1005個のアクティブVLANをサポートします。サービス プロバイダーがカスタマーあたり1つのVLANを割り当てる場合、サービス プロバイダーがサポートできるカスタマー数はこれにより制限されます。

IPルーティングをイネーブルにするには、各VLANをサブネット アドレス スペース、またはアドレス ブロックに割り当てます。ただし、これにより未使用のIPアドレスを無駄にし、IPアドレス管理に問題が発生します。

プライベートVLANを使用すると、スケーラビリティ問題に対処します。また、サービス プロバイダーにとってはIPアドレス管理の利点が提供され、カスタマーに対してはレイヤ2のセキュリティを提供します。プライベートVLANでは、通常のVLANドメインをサブドメインに分割します。サブドメインは、 プライマリ VLANおよび セカンダリ VLANというVLANのペアで表現されます。プライベートVLANには複数のVLANペアがあり、各サブドメインにつき1ペアになります。プライベートVLAN内のすべてのVLANペアは、同じプライマリVLANを共有します。セカンダリVLAN IDは、あるサブドメインを別のサブドメインと区別します。図14-1を参照してください。

図14-1 プライベートVLANドメイン

 

セカンダリVLANには次の2種類があります。

隔離VLAN ― 隔離VLAN内のポートは、レイヤ2レベルでは互いに通信できません。

コミュニティVLAN ― コミュニティVLAN内のポートは互いに通信できますが、レイヤ2レベルでの他のコミュニティのポートとは通信できません。

プライベートVLANは、同じプライベートVLAN内のポートの間をレイヤ2レベルで切り離します。プライベートVLANは、次のいずれかのタイプのアクセス ポートです。

混合 ― 混合ポートはプライマリVLANに属し、プライマリVLANに対応付けられたセカンダリVLANに属するコミュニティおよび隔離ホスト ポートなどのすべてのインターフェイスと通信できます。

隔離 ― 隔離ポートは、隔離セカンダリVLANに属するホスト ポートです。これは、混合ポート以外の、同じプライベートVLAN内の他のポートからレイヤ2で完全に分離されています。プライベートVLANは、隔離ポートに対して、混合ポートからのトラフィック以外のトラフィックすべてをブロックします。隔離ポートから受信したトラフィックは混合ポートへのみ、転送されます。

コミュニティ ― コミュニティ ポートは、コミュニティ セカンダリVLANに属するホスト ポートです。コミュニティ ポートは同じコミュニティVLAN内の他のポートおよび混合ポートと通信します。このインターフェイスはレイヤ2で、他のコミュニティの他のインターフェイスすべてから、また同じプライベートVLAN内の隔離ポートから分離されます。


) トランク ポートは、通常のVLANからトラフィックを伝送し、またプライマリ、隔離、コミュニティVLANからもトラフィックを伝送します。


プライマリおよびセカンダリVLANには次の特性があります。

プライマリVLAN ― プライベートVLANにはプライマリVLANが1つだけあります。プライベートVLAN内の各ポートは、プライマリVLANのメンバーです。プライマリVLANは、混合ポートからの単一方向トラフィック ダウンストリームを、(隔離およびコミュニティ)ホスト ポートおよび他の混合ポートに伝送します。

隔離VLAN ― プライベートVLANには隔離VLANが1つだけあります。隔離VLANは、ホストからの単一方向トラフィック アップストリームを混合ポートおよびゲートウェイに向けて伝送するセカンダリVLANです。

コミュニティVLAN ― コミュニティVLANは、コミュニティ ポートからのアップストリーム トラフィックを混合ポート ゲートウェイおよび同じコミュニティ内の他のホスト ポートに伝送するセカンダリVLANです。複数のコミュニティVLANを1つのプライベートVLANに設定できます。

混合ポートでは、プライマリVLANを1つ、隔離VLANを1つ、複数のコミュニティVLANのみを処理できます。レイヤ3ゲートウェイは通常、混合ポートを介してスイッチに接続されます。混合ポートを使用すると、プライベートVLANへのアクセス ポイントとして幅広いデバイスを接続できます。たとえば、管理ワークステーションからすべてのプライベートVLANサーバをモニタ、またはバックアップするのに、混合ポートを使用できます。

スイッチングされた環境では、個別のプライベートVLANと対応するIPサブネットを、個々のエンド ステーションまたはエンド ステーションの共通グループに割り当てることができます。プライベートVLAN外で通信するには、エンド ステーションはデフォルト ゲートウェイとのみ通信する必要があります。

プライベートVLANを使用してエンド ステーションへのアクセスを次のように制御できます。

レイヤ2で通信を行わないようにするには、エンド ステーションに接続されたインターフェイスを選択して隔離ポートとして設定します。たとえば、エンド ステーションがサーバの場合、この設定によりサーバの間でレイヤ2通信は実施されません。

エンド ステーションすべてがデフォルト ゲートウェイにアクセスできるようにするには、デフォルト ゲートウェイと選択したエンド ステーション(バックアップ サーバなど)に接続されたインターフェイスを混合ポートとして設定します。

プライベートVLANをサポートする他のデバイスにプライマリ、隔離、コミュニティVLANをトランキングすることで、プライベートVLANを複数のデバイスに拡張できます。プライベートVLAN設定のセキュリティを維持し、プライベートVLANとして設定されたVLANの別の使用を避けるには、すべての中間デバイス(プライベートVLANポートのないデバイスを含む)でプライベートVLANを設定します。

プライベートVLANでのIPアドレス方式

個別のVLANを各カスタマーに割り当てると、IPアドレス方式が非効率的になります。

アドレス ブロックをカスタマーVLANに割り当てると、未使用のIPアドレスが出てきます。

VLAN内のデバイス数が増えた場合、それに対応するだけのアドレスを割り当てられない場合があります。

プライベートVLANのメンバーすべてが共通のアドレス スペースを共有しているプライベートVLANを使用することで、この問題を軽減できます。アドレス スペースはプライマリVLANに割り当てられています。ホストはセカンダリVLANに接続されます。DHCPサーバは、プライマリVLANに割り当てられたアドレス ブロックからホストにIPアドレスを割り当てます。後続のIPアドレスは、同じプライマリVLAN内の異なるセカンダリVLANのカスタマー デバイスに割り当てられます。新しいデバイスを追加する場合、DHCPサーバはサブネット アドレスの大きなプールから次に使用可能なアドレスをデバイスに割り当てます。

複数のスイッチにまたがるプライベートVLAN

通常のVLANの場合と同様に、プライベートVLANは複数のスイッチにまたがることができます。トランク ポートはプライマリVLANおよびセカンダリVLANを近接スイッチに伝送します。トランク ポートはプライベートVLANを他のVLANと同様に扱います。複数のスイッチにまたがるプライベートVLANの機能の場合、スイッチAの隔離ポートからのトラフィックがスイッチBの隔離ポートに到達しません。詳細については、図14-2を参照してください。

図14-2 複数のスイッチにまたがるプライベートVLAN

 

VTPがプライベートVLANをサポートしないので、レイヤ2ネットワーク内のすべてのスイッチ上でプライベートVLANを手動で設定する必要があります。ネットワーク内の一部のスイッチのプライマリおよびセカンダリVLANの関係を設定しない場合、それらのスイッチのレイヤ2データベースは統合されません。これにより、それらのスイッチで不要なプライベートVLANのフラッディングが発生します。


) スイッチ上でプライベートVLANを設定する場合、必ずデフォルトのSwitch Database Management(SDM)テンプレートを使用して、ユニキャスト ルートとレイヤ2エントリの間のシステム リソースを均衡化します。別のSDMテンプレートを設定する場合、sdm prefer defaultグローバル コンフィギュレーション コマンドを使用してデフォルトのテンプレートを設定します。「SDMテンプレートの設定」を参照してください。


プライベートVLANと他の機能との相互作用

プライベートVLANと他の機能との特有な相互作用は、次のとおりです。

「プライベートVLANと、ユニキャスト、ブロードキャスト、マルチキャスト トラフィック」

「プライベートVLANおよびSVI」

「プライベートVLAN設定時の注意事項」の章の「セカンダリおよびプライマリVLANの設定」も参照してください。

プライベートVLANと、ユニキャスト、ブロードキャスト、マルチキャスト トラフィック

通常のVLANでは、同じVLAN内のデバイスはレイヤ2レベルで互いに通信できますが、別のVLAN内のインターフェイスに接続されたデバイスはレイヤ3レベルで通信する必要があります。プライベートVLANでは、混合ポートはプライマリVLANのメンバーです。ホスト ポートはセカンダリVLANに所属します。セカンダリVLANはプライマリVLANに対応付けられているので、これらのVLANのメンバーはレイヤ2レベルで互いに通信できます。

通常のVLANでは、ブロードキャストはそのVLAN内のすべてのポートに転送されます。プライベートVLANブロードキャストの転送は、ブロードキャストを送信するポートによって異なります。

隔離ポートはブロードキャストを混合ポートまたはトランク ポートへのみ送信します。

コミュニティポートは、ブロードキャストをすべての混合ポート、トランク ポート、同じコミュニティVLAN内のポートに送信します。

混合ポートは、ブロードキャストをプライベートVLAN内のすべてのポート(他の混合ポート、トランク ポート、隔離ポート、コミュニティ ポート)に送信します。

マルチキャスト トラフィックは、プライベートVLAN境界を超え、単一のコミュニティVLAN内でルーティングおよびブリッジングされます。マルチキャスト トラフィックは、同じ隔離VLAN内のポートの間、または別のセカンダリVLAN内のポートの間では転送されません。

プライベートVLANおよびSVI

レイヤ3スイッチでは、Switch Virtual Intertface(SVI)がVLANのレイヤ3インターフェイスになります。レイヤ3デバイスは、セカンダリVLANではなく、プライマリVLANを介してのみプライベートVLANと通信します。レイヤ3 VLANインターフェイス(SVI)をプライマリVLANにのみ、設定します。セカンダリVLANには、レイヤ3 VLANインターフェイスを設定できません。VLANがセカンダリVLANとして設定されている場合、セカンダリVLANのSVIは非アクティブです。

アクティブなSVIを設定したVLANをセカンダリVLANとして設定しようとする場合、SVIをディセーブルにするまで設定は許可されません。

セカンダリVLANとして設定されたVLAN上でSVIを作成しようとしてセカンダリVLANがすでにレイヤ3でマッピングされている場合、SVIは作成されず、エラーが返されます。SVIがレイヤ3でマッピングされていない場合、SVIは作成されますが自動的にシャットダウンされます。

プライマリVLANがセカンダリVLANに対応付けられマッピングされている場合、プライマリVLANの設定はセカンダリVLANのSVIに伝播されます。たとえば、IPサブネットをプライマリVLANのSVIに割り当てる場合、このサブネットはプライベートVLAN全体のIPサブネット アドレスになります。

プライベートVLANの設定

ここでは、プライベートVLAN設定の注意事項と手順について説明します。内容は次のとおりです。

「プライベートVLANの設定作業」

「プライベートVLANのデフォルト設定」

「プライベートVLAN設定時の注意事項」

「プライベートVLAN内のVLANの設定および対応付け」

「プライベートVLANホスト ポートとしてのレイヤ2インターフェイスの設定」

「プライベートVLAN混合ポートとしてのレイヤ2インターフェイスの設定」

「プライマリVLANレイヤ3 VLANインターフェイスへのセカンダリVLANのマッピング」

プライベートVLANの設定作業

プライベートVLANを設定するには、次の手順を実行します。


ステップ 1 VTPモードをトランスペアレントに設定します。

ステップ 2 プライマリおよびセカンダリVLANを作成し、対応付けます。「プライベートVLAN内のVLANの設定および対応付け」を参照してください。


) VLANがまだ作成されていない場合、プライベートVLAN設定プロセスで作成します。


ステップ 3 インターフェイスを隔離またはコミュニティ ホスト ポートに設定し、VLANメンバーシップをホスト ポートに割り当てます。「プライベートVLANホスト ポートとしてのレイヤ2インターフェイスの設定」を参照してください。

ステップ 4 インターフェイスを混合ポートとして設定し、混合ポートをプライマリとセカンダリVLANのペアにマッピングします。「プライベートVLAN混合ポートとしてのレイヤ2インターフェイスの設定」を参照してください。

ステップ 5 VLAN間ルーティングを使用する場合、プライマリSVIを設定し、セカンダリVLANをプライマリにマッピングします。「プライマリVLANレイヤ3 VLANインターフェイスへのセカンダリVLANのマッピング」を参照してください。

ステップ 6 プライベートVLAN設定を確認します。


 

プライベートVLANのデフォルト設定

プライベートVLANは設定されていません。

プライベートVLAN設定時の注意事項

プライベートVLANの設定時の注意事項は、次のカテゴリに分類されます。

「セカンダリおよびプライマリVLANの設定」

「プライベートVLANポートの設定」

「他の機能との制限」

セカンダリおよびプライマリVLANの設定

プライベートVLANの設定を行うときは、次の注意事項に従ってください。

VTPをトランスペアレント モードに設定します。プライベートVLANを設定したあと、VTPモードをクライアントまたはサーバに変更しないでください。VTPの詳細については、「VTPの設定」を参照してください。

プライベートVLANを設定するには、VLAN設定(config-vlan)モードを使用する必要があります。VLANデータベース コンフィギュレーション モードではプライベートVLANを設定できません。VLAN設定の詳細については、「VLAN設定モードのオプション」を参照してください。

プライベートVLANを設定したあと、VTPトランスペアレント モード設定およびプライベートVLAN設定をスイッチのスタートアップ コンフィギュレーション ファイルに保存するには、 copy running-config startup config イネーブルEXECコマンドを使用します。保存しないと、スイッチをリセットした場合、デフォルトのVTPサーバ モードとなり、プライベートVLANをサポートしません。

VTPはプライベートVLANを伝播しません。プライベートVLANポートが必要な各デバイスで、プライベートVLANを設定する必要があります。

VLAN 1、またはVLAN 1002~1005をプライマリまたはセカンダリVLANとして設定できません。拡張VLAN(VLAN ID 1006~4094)はプライベートVLANに所属できます。

プライマリVLANには、1つの隔離VLANと、これに対応付けられた複数のコミュニティVLANを設定できます。隔離またはコミュニティVLANには、これに対応付けられたプライマリVLANが1つのみ設定できます。

プライベートVLANには、1つまたは複数のVLANがありますが、プライベートVLAN全体で稼働するのはSpanning-Tree Protocol(STP;スパニングツリー プロトコル)インスタンス1つだけです。セカンダリVLANがプライマリVLANに対応付けられている場合、プライマリVLANのSTPパラメータはセカンダリVLANに伝播されます。

プライベートVLANでDHCPスヌーピングをイネーブルにできます。プライマリVLANでDHCPスヌーピングをイネーブルにすると、セカンダリVLANに伝播されます。セカンダリVLANでDHCPを設定する場合、その設定はプライマリVLANがすでに設定されていると有効にはなりません。

プライベートVLANポートでIPソース ガードをイネーブルにする場合は、プライマリVLANでDHCPスヌーピングをイネーブルにする必要があります。

プライベートVLANのトラフィックを伝送しないデバイスのトランクからプライベートVLANをプルーニングすることを推奨します。

別のQuality of Service(QoS;サービス品質)設定をプライマリVLAN、隔離VLAN、コミュニティVLANに適用できます。

プライベートVLANを設定すると、デフォルトではsticky Address Resolution Protocol(ARP;アドレス解決プロトコル)はイネーブルになり、レイヤ3プライベートVLANインターフェイス上で学習されたARPエントリはsticky ARPエントリになります。セキュリティを確保するため、プライベートVLANポートsticky ARPエントリは期限切れになりません。


) プライベートVLANインターフェイスARPエントリを、表示して確認することを推奨します。


MAC(メディア アクセス制御)アドレスが違ってもIPアドレスが同じデバイスに接続すると、メッセージが生成されて、ARPエントリは作成されません。プライベートVLANポートsticky ARPエントリは期限切れにならないので、MACアドレスを変更する場合はプライベートVLANポートARPエントリを手動で削除する必要があります。

no arp ip-address グローバル コンフィギュレーション コマンドを使用すると、プライベートVLAN ARPエントリを削除できます。

arp ip -address hardware-address type グローバル コンフィギュレーション コマンドを使用すると、プライベートVLAN ARPエントリを追加できます。

VLANマップをプライマリおよびセカンダリVLANで設定できます(「VLANマップの設定」を参照)。ただし、同じVLANマップをプライベートVLANのプライマリおよびセカンダリVLANに設定することを推奨します。

フレームがプライベートVLAN内で転送されるレイヤ2の場合、同じVLANマップが入出力側で適用されます。フレームがプライベートVLAN内部から外部ポートにルーティングされた場合、プライベートVLANマップが入力側で適用されます。

ホスト ポートから混合ポートへアップストリームで送信されるフレームの場合、セカンダリVLANで設定されたVLANマップが適用されます。

混合ポートからホスト ポートへダウンストリームで送信されるフレームの場合、プライマリVLANで設定されたVLANマップが適用されます。

プライベートVLANの特定のIPトラフィックをフィルタリングするには、VLANマップをプライマリおよびセカンダリVLAN両方に適用する必要があります。

ルータACL(アクセス制御リスト)をプライマリVLANのSVIにのみ適用できます。ACLはプライマリおよびセカンダリVLANレイヤ3トラフィック両方に適用できます。

プライベートVLANはレイヤ2でホストを分離しますが、ホストはレイヤ3で互いに通信できます。

プライベートVLANは、Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)機能をサポートします。

プライベートVLANポートをSPAN送信元ポートとして設定できます。

出力または入力トラフィックを個別にモニタするには、プライマリVLAN、隔離VLAN、またはコミュニティVLANでVLAN-based SPAN(VSPAN)を使用できます。または1つのVLANでのみSPANを使用できます。

プライベートVLANポートの設定

プライベートVLANポートの設定を行うときは、次の注意事項に従ってください。

プライマリVLAN、隔離VLAN、またはコミュニティVLANにポートを割り当てるには、プライベートVLANコンフィギュレーション コマンドのみを使用します。VLANがプライベートVLAN設定の一部である間、プライマリVLAN、隔離VLAN、またはコミュニティVLANとして設定するVLANに割り当てられたレイヤ2アクセス ポートは、非アクティブです。レイヤ2トランク インターフェイスは、STPフォワーディング ステートのままです。

PAgPまたはLACP EtherChannelに所属するポートをプライベートVLANポートとして設定しないでください。ポートがプライベートVLAN設定の一部である間、ポートのEtherChannel設定は非アクティブです。

誤った設定によるSTPループを防ぎ、STPコンバージェンスを高速にするには、隔離およびコミュニティ ホスト ポートで、PortFastおよびBPDU(ブリッジ プロトコル データ ユニット)ガードをイネーブルにします(「オプションのスパニングツリー機能の設定」を参照)。イネーブルの場合、STPはBPDUガード機能をPortFastが設定されたレイヤ2 LANポートすべてに適用します。混合ポートで、PortFastおよびBPDUガードをイネーブルにしないでください。

プライベートVLAN設定で使用するVLANを削除した場合、VLANに対応付けられたプライベートVLANポートが非アクティブになります。

デバイスがトランク接続され、プライマリおよびセカンダリVLANがトランクから削除されていない場合、プライベートVLANポートは別のネットワーク デバイス上に存在できます。

他の機能との制限

プライベートVLANを設定する場合、他の機能との制限があることに注意してください。


) エラー メッセージが表示されずに設定が受け入れられても、コマンドが機能しない場合があります。


プライベートVLANを使用したスイッチ上で、代替ブリッジングを設定しないでください。

IGMPスヌーピングがスイッチ上でイネーブル(デフォルト)の場合、スイッチでは20個以上のプライベートVLANドメインがサポートされます。

Remote SPAN(RSPAN)VLANを、プライベートVLANのプライマリまたはセカンダリVLANとして設定しないでください。

SPANの詳細については、「SPANおよびRSPANの設定」を参照してください。

次の機能が設定されたインターフェイスに、プライベートVLANを設定しないでください。

ダイナミック アクセス ポートVLANメンバーシップ

Dynamic Trunking Protocol(DTP)

PAgP

LACP

Multicast VLAN Registration(MVR)

音声VLAN

プライベートVLANポートはセキュア ポートにできません。また保護ポートとして設定しないでください。

プライベートVLANポートでIEEE 802.1xポートベースの認証を設定できますが、プライベートVLANポートに、802.1xとポート セキュリティ、音声VLAN、またはユーザ単位ACLを設定できません。

プライベートVLANホストまたは混合ポートは、SPAN宛先ポートにできません。SPAN宛先ポートをプライベートVLANポートとして設定すると、ポートは非アクティブになります。

プライマリVLANの混合ポートにスタティックMACアドレスを設定する場合、同じスタティック アドレスを関連するセカンダリVLANすべてに追加する必要があります。セカンダリVLANのホスト ポートにスタティックMACアドレスを設定する場合、同じスタティックMACアドレスを関連するプライマリVLANに追加する必要があります。スタティックMACアドレスをプライベートVLANポートから削除する場合、設定されたMACアドレスのインスタンスをすべて、プライベートVLANから削除する必要があります。


) プライベートVLANのあるVLANで学習されたダイナミックMACアドレスは、対応付けられたVLANで複製されます。たとえば、セカンダリVLANで学習されたMACアドレスは、プライマリVLANで複製されます。元のダイナミックMACアドレスが削除、または期限切れになった場合、複製されたアドレスがMACアドレス テーブルから削除されます。


レイヤ3 VLANインターフェイス(SVI)をプライマリVLANにのみ、設定します。

プライベートVLAN内のVLANの設定および対応付け

プライベートVLANを設定するには、イネーブルEXECモードで次の手順を行います。


) VLANコンフィギュレーション モードを終了するまで、private-vlanコマンドは有効になりません。


 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

vtp mode transparent

VTPモードをトランスペアレントに設定します(VTPをディセーブルにします)。

ステップ 3

vlan vlan-id

VLANコンフィギュレーション モードを開始し、プライマリVLANとなるVLANを指定または作成します。指定できるVLAN ID範囲は2~1001および1006~4094です。

ステップ 4

private-vlan primary

プライマリVLANとしてVLANを指定します。

ステップ 5

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

vlan vlan-id

(任意)VLANコンフィギュレーション モードを開始し、隔離VLANとなるVLANを指定または作成します。指定できるVLAN ID範囲は2~1001および1006~4094です。

ステップ 7

private-vlan isolated

VLANを隔離VLANとして指定します。

ステップ 8

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 9

vlan vlan-id

(任意)VLANコンフィギュレーション モードを開始し、コミュニティVLANとなるVLANを指定または作成します。指定できるVLAN ID範囲は2~1001および1006~4094です。

ステップ 10

private-vlan community

VLANをコミュニティVLANとして指定します。

ステップ 11

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 12

vlan vlan-id

ステップ2で指定されたプライマリVLAN用のVLANコンフィギュレーション モードを開始します。

ステップ 13

private-vlan association [ add | remove ] secondary_vlan_list

セカンダリVLANとプライマリVLANを対応付けます。

ステップ 14

end

イネーブルEXECモードに戻ります。

ステップ 15

show vlan private-vlan [ type ]

または

show interfaces status

設定を確認します。

ステップ 16

copy running-config startup config

スイッチのスタートアップ コンフィギュレーション ファイルに設定を保存します。プライベートVLAN設定を保存するには、スイッチのスタートアップ コンフィギュレーション ファイルにVTPトランスペアレント モード設定とプライベートVLAN設定を保存する必要があります。保存しないと、スイッチをリセットした場合、デフォルトのVTPサーバ モードとなり、プライベートVLANをサポートしません。

セカンダリVLANとプライマリVLANを対応付ける場合、次の構文情報に注意してください。

secondary_vlan_list パラメータにスペースを含めることはできません。カンマで区切られた項目を複数指定できます。各項目は単一のプライベートVLAN IDまたはプライベートVLAN IDをハイフンでつないだ範囲です。

secondary_vlan_list パラメータに複数のコミュニティVLAN IDを含めることはできますが、隔離VLAN IDは1つのみです。

セカンダリVLANとプライマリVLANを対応付けるには、 secondary_vlan_list を入力、または secondary_vlan_list を指定して add キーワードを使用します。

セカンダリVLANとプライマリVLANの間の関連性を削除するには、 secondary_vlan_list を指定して remove キーワードを使用します。

VLANコンフィギュレーション モードを終了するまで、このコマンドは有効になりません。

次に、VLAN 20をプライマリVLANとして、VLAN 501を隔離VLANとして、VLAN 502および503をコミュニティVLANとして設定し、プライベートVLAN内で対応付け、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# vlan 20
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# exit
Switch(config)# vlan 501
Switch(config-vlan)# private-vlan isolated
Switch(config-vlan)# exit
Switch(config)# vlan 502
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# exit
Switch(config)# vlan 503
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# private-vlan association 501-503
Switch(config-vlan)# end
Switch(config)# show vlan private vlan
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
20 501 isolated
20 502 community
20 503 community
20 504 non-operational

プライベートVLANホスト ポートとしてのレイヤ2インターフェイスの設定

レイヤ2インターフェイスをプライベートVLANホスト ポートとして設定し、これとプライマリおよびセカンダリVLANを対応付けるには、イネーブルEXECモードで次の手順を実行します。


) 隔離およびコミュニティVLANは両方ともセカンダリVLANです。


 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するレイヤ2インターフェイスを指定して、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport mode private-vlan host

レイヤ2ポートをプライベートVLANホスト ポートとして設定します。

ステップ 4

switchport private-vlan host-association primary_vlan_id secondary_vlan_id

レイヤ2ポートとプライベートVLANを対応付けます。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show interfaces [ interface-id ] switchport

設定を確認します。

ステップ 7

copy running-config startup config

(任意)スイッチのスタートアップ コンフィギュレーション ファイルに設定を保存します。

次に、インターフェイスをプライベートVLANホスト ポートとして設定し、これをプライベートVLANペアと対応付け、その設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface fastethernet 1/0/22
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 20 25
Switch(config-if)# end
Switch# show interfaces fastethernet 1/0/22 switchport
Name: Fa1/0/22
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: private-vlan host
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: 20 (VLAN0020) 25 (VLAN0025)
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan:
20 (VLAN0020) 25 (VLAN0025)
 
(テキスト出力は省略)

プライベートVLAN混合ポートとしてのレイヤ2インターフェイスの設定

レイヤ2インターフェイスをプライベートVLAN混合ポートとして設定し、これをプライマリおよびセカンダリVLANにマッピングするには、イネーブルEXECモードで次の手順を実行します。


) 隔離およびコミュニティVLANは両方ともセカンダリVLANです。


 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するレイヤ2インターフェイスを指定して、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport mode private-vlan promiscuous

レイヤ2ポートをプライベートVLAN混合ポートとして設定します。

ステップ 4

switchport private-vlan mapping primary_vlan_id { add | remove } secondary_vlan_list

プライベートVLAN混合ポートを、プライマリVLANおよび選択したセカンダリVLANにマッピングします。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show interfaces [ interface-id ] switchport

設定を確認します。

ステップ 7

copy running-config startup config

(任意)スイッチのスタートアップ コンフィギュレーション ファイルに設定を保存します。

レイヤ2インターフェイスをプライベートVLAN混合ポートとして設定する場合、次の構文情報に注意してください。

secondary_vlan_list パラメータにスペースを含めることはできません。カンマで区切られた項目を複数指定できます。各項目は単一のプライベートVLAN IDまたはプライベートVLAN IDをハイフンでつないだ範囲です。

セカンダリVLANをプライベートVLAN混合ポートにマッピングするには、 secondary_vlan_list を入力、または secondary_vlan_list を指定して add キーワードを使用します。

セカンダリVLANとプライベートVLAN混合ポートの間のマッピングをクリアするには、
secondary_vlan_list
を指定して remove キーワードを使用します。

次に、インターフェイスをプライベートVLAN混合ポートとして設定し、これをプライベートVLANにマッピングする例を示します。このインターフェイスはプライマリVLAN 20のメンバーであり、セカンダリVLAN 501~503はこのインターフェイスにマッピングされます。

Switch# configure terminal
Switch(config)# interface fastethernet 1/0/2
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 20 add 501-503
Switch(config-if)# end
 

プライマリおよびセカンダリVLANとスイッチ上のプライベートVLANポートを表示するには、 show vlan private-vlan または show interface status イネーブルEXECコマンドを使用します。

プライマリVLANレイヤ3 VLANインターフェイスへのセカンダリVLANのマッピング

プライベートVLANをVLAN間ルーティングに使用する場合、プライマリVLANにSVIを設定し、セカンダリVLANをSVIにマッピングします。


) 隔離およびコミュニティVLANは両方ともセカンダリVLANです。


プライマリVLANのSVIにセカンダリVLANをマッピングして、プライベートVLANトラフィックのレイヤ3スイッチングを許可するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface vlan primary_vlan_id

プライマリVLANのインターフェイス コンフィギュレーション モードを開始し、VLANをSVIとして設定します。指定できるVLAN ID範囲は2~1001および1006~4094です。

ステップ 3

private-vlan mapping [ add | remove ] secondary_vlan_list

プライマリVLANのレイヤ3 VLANインターフェイスにセカンダリVLANをマッピングして、プライベートVLAN入力トラフィックのレイヤ3スイッチングを許可します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show interface private-vlan mapping

設定を確認します。

ステップ 6

copy running-config startup config

(任意)スイッチのスタートアップ コンフィギュレーション ファイルに設定を保存します。


private-vlan mappingインターフェイス コンフィギュレーション コマンドのみが、レイヤ3でスイッチングされるプライベートVLANトラフィックに影響を及ぼします。


プライマリVLANのレイヤ3 VLANインターフェイスにセカンダリVLANをマッピングする場合、次の構文情報に注意してください。

secondary_vlan_list パラメータにスペースを含めることはできません。カンマで区切られた項目を複数指定できます。各項目は単一のプライベートVLAN IDまたはプライベートVLAN IDをハイフンでつないだ範囲です。

セカンダリVLANをプライマリVLANにマッピングするには、 secondary_vlan_list を入力、または secondary_vlan_list を指定して add キーワードを使用します。

セカンダリVLANとプライマリVLANの間のマッピングをクリアするには、 secondary_vlan_list を指定して remove キーワードを使用します。

次に、VLAN 501および502のインターフェイスをプライマリVLAN 10にマッピングする例を示します。VLAN 10ではプライベートVLAN 501~502のセカンダリVLAN入力トラフィックのルーティングが許可されます。

Switch# configure terminal
Switch(config)# interface vlan 10
Switch(config-if)# private-vlan mapping 501-502
Switch(config-if)# end
Switch# show interfaces private-vlan mapping
Interface Secondary VLAN Type
--------- -------------- -----------------
vlan10 501 isolated
vlan10 502 community

プライベートVLANのモニタ

表14-1 に、プライベートVLANアクティビティ モニタ用のイネーブルEXECコマンドを示します。

 

表14-1 プライベートVLANモニタ コマンド

コマンド
説明

show interfaces status

インターフェイスが所属するVLANを含めたインターフェイスのステータスを表示します。

show vlan private-vlan [ type ]

スイッチのプライベートVLAN情報を表示します。

show interface switchport

インターフェイス上のプライベートVLAN設定を表示します。

show interface private-vlan mapping

VLAN SVIのプライベートVLANマッピング情報を表示します。

次に、 show vlan private-vlan コマンドの出力例を示します。

Switch(config)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
10 501 isolated Fa1/0/1, Gi1/0/1, Gi1/0/2
10 502 community Fa1/0/11, Gi1/0/1, Gi1/0/4
10 503 non-operational