 |
VLANは、ユーザの物理的な位置に関係なく、機能、プロジェクト チーム、またはアプリケーションによって論理的に分割されたスイッチド ネットワークです。VLANは物理VLANと同じ属性を備えていますが、エンド ステーションが物理的に同一のLANセグメントにない場合でもグループ化できます。どのスイッチ ポートもVLANに割り当てることができます。ユニキャスト、ブロードキャスト、およびマルチキャスト パケットは、VLAN内のエンド ステーションにだけフォワーディングおよびフラッディングが行われます。各VLANは1つの論理ネットワークとみなされ、VLANに属さないステーション宛のパケットは、ルータまたはブリッジを経由して伝送しなければなりません( 論理的に定義されたネットワークとしてのVLAN を参照)。VLANはそれぞれが独立した論理ネットワークとみなされるので、VLANごとに独自のブリッジManagement Information Base(MIB)情報があり、それぞれが独自にスパニングツリーの実装をサポートします。 STPの設定 および RSTPおよびMSTPの設定 を参照してください。
論理的に定義されたネットワークとしてのVLAN に、論理的に定義されたネットワークに分割したVLANの例を示します。
VLANは、多くの場合、IPサブネットワークと対応づけられます。たとえば、特定のIPサブネットのすべてのエンド ステーションを同一のVLANに属させることがあります。スイッチ上のインターフェイスVLANメンバーシップは、インターフェイスごとに手動で割り当てます。この方法でVLANにスイッチ インターフェイスを割り当てることを、インターフェイスベースまたはスタティックVLANメンバーシップと呼びます。
VLAN間のトラフィックはルーティングするか代替ブリッジングする必要があります。Catalyst 3550スイッチは、Switch Virtual Interface(SVI)を使用して、VLAN間でトラフィックをルーティングできます。VLAN間でトラフィックをルーティングするには、SVIを明示的に設定してIPアドレスを割り当てる必要があります。詳細については、 SVI および レイヤ3インターフェイスの設定 を参照してください。
Catalyst 3550スイッチは、VTPクライアント、サーバ、およびトランスペアレント モードの1005 VLANをサポートします。VLANは、1〜4094の番号で識別されます。VLAN ID1002〜1005は、トークン リングおよびFDDI VLAN用です。VTPは、VLAN IDが1〜1005の標準範囲VLANだけを学習します。1005を超えるVLAN IDは拡張範囲VLANであり、VLANデータベースには保管されません。1006〜4094のVLAN IDを作成するときには、スイッチはVTPトランスペアレント モードである必要があります。
スイッチは、最大128のスパニングツリー インスタンスを備えたPer-VLAN Spanning Tree(PVST)およびPer-VLAN Rapid Spanning Tree(PVRST)をサポートします。VLANごとに1つのスパニングツリー インスタンスがサポートされます。スパニングツリー インスタンスの数とVLAN番号の詳細については、 標準範囲VLANの設定時の注意事項 を参照してください。スイッチは、イーサネットポート経由のVLANトラフィックの送信方式として、Inter-Switch Link(ISL;スイッチ間リンク)およびIEEE 802.1Qトランキングの両方をサポートしています。
VLANに属するポートは、メンバーシップ モードを指定して設定します。メンバーシップ モードにより、各ポートが搬送できるトラフィックの種類、および属すことができるVLANの数が決まります。 ポート メンバーシップ モード に、各種メンバーシップ モード、メンバーシップ、VTP特性を示します。
|
スタティックアクセス ポートは、1つのVLANだけに属し、手動でそのVLANに割り当てられます。詳細については、 VLANへのスタティックアクセス ポートの割り当て を参照してください。 |
VTPは必須ではありません。VTPにグローバルに情報を伝播させないようにする場合は、VTPモードをトランスペアレントに設定してVTPをディセーブルにします。VTPに加入するには、あるスイッチのトランク ポートに接続した別のスイッチ上に1つ以上のトランク ポートがなければなりません。 |
|
|
トランク ポートは、拡張範囲VLANも含めて、デフォルトで全VLANのメンバーですが、許可VLANリストを設定することにより、メンバーシップを制限できます。プルーニング適格リストを変更して、リストに含まれるトランク ポート上でVLANに対するフラッディング トラフィックをブロックすることもできます。トランク ポートの設定の詳細については、 トランク ポートとしてのイーサネット インターフェイスの設定 を参照してください。 |
VTPは、推奨はしますが、必須ではありません。VTPは、ネットワーク全体にわたってVLANの追加、削除、名前変更を管理することにより、VLAN設定の整合性を維持します。VTPはトランク リンクを通じて他のスイッチとVLANコンフィギュレーション メッセージを交換します。 |
|
|
ダイナミック アクセス ポートは、1つの標準範囲VLAN(VLAN IDが1〜1005)だけに属し、VMPSによって動的に割り当てられます。たとえば、 同じスイッチ上にダイナミック アクセス ポートとトランク ポートを設定できますが、ダイナミック アクセス ポートはエンド ステーションに接続する必要があります。別のスイッチに接続してはなりません。 設定の詳細については、 VMPSクライアントのダイナミック アクセス ポートの設定 を参照してください。 |
||
|
音声VLANポートはCisco IP Phoneに接続されたアクセス ポートで、Cisco IP Phoneに接続されたデバイスからの音声トラフィックとデータ トラフィックが別々のVLANを使用するように設定されています。音声VLANの詳細については、 音声VLANの設定 を参照してください。 |
||
|
トンネル ポートは802.1Qトンネリングに使用し、サービス プロバイダー ネットワークでカスタマーVLANの完全性をメンテナンスします。サービス プロバイダー ネットワークのエッジ スイッチ上にトンネル ポートを設定してカスタマー インターフェイス上の802.1Qトランク ポートに接続し、非対称リンクを作成します。トンネル ポートは、トンネリング専用の1つのVLANに属します。 トンネル ポートの詳細については、 802.1Qおよびレイヤ2プロトコル トンネリングの設定 を参照してください。 |
VTPは必須ではありません。 switchport access vlan インターフェイス コンフィギュレーション コマンドを使用して、手動でVLANにトンネル ポートを割り当てます。 |
モードおよびその機能の詳細については、 レイヤ2インターフェイス モード を参照してください。
VLANにポートを割り当てると、スイッチはVLAN単位で、ポートに対応するアドレスを学習して管理します。詳細については、 MACアドレス テーブルの管理 を参照してください。
標準範囲VLAN とは、 VLAN IDが1〜1005のVLANのことです。スイッチがVTPサーバまたはトランスペアレント モードにある場合は、VLANデータベース内のVLAN 2〜1001について設定を追加、変更、または削除できます(VLAN IDの1と1002〜1005は、自動作成され、削除できません)。
VLAN IDが1〜1005の設定はファイル vlan.dat (VLANデータベース)に保存され、 show vlan イネーブルEXECコマンドを入力すると表示できます。 vlan.dat ファイルは、NVRAM(不揮発性RAM)に保存されます。
さらに、インターフェイス コンフィギュレーション モードを使用して、ポートのメンバーシップ モードの定義、VLANに対するポートの追加および削除を行います。このモードのコマンド実行結果は実行コンフィギュレーション ファイルに書き込まれ、 show running-config イネーブルEXECコマンドを入力することによって表示できます。
VLANデータベースに新しい標準範囲VLANを作成する場合、またはVLANデータベース内の既存のVLANを変更する場合、次のパラメータを設定できます。
ここでは標準範囲VLANについて説明します。内容は次のとおりです。
スイッチはトークンリング接続をサポートしていませんが、トークンリング接続を行っているCatalyst 5000シリーズ スイッチなどのリモート装置を、サポート対象スイッチのうちの1台から管理することができます。VTPバージョン2が稼働するスイッチは、次のトークン リングVLANに関する情報をアドバタイズします。
トークン リングVLANの設定の詳細については、『 Catalyst 5000 Series Software Configuration Guide 』を参照してください。
ネットワーク内で 標準範囲VLANを作成または変更する場合には、次の注意事項に従ってください。
スイッチ上のVLAN数が、サポートされているスパニングツリー インスタンス数を超える場合は、スイッチ上にIEEE 802.1s Multiple STP(MSTP)を設定して複数のVLANを1つのSTPインスタンスにマップすることをお勧めします。MSTPの詳細については、 RSTPおよびMSTPの設定 を参照してください。
標準範囲VLAN(VLAN IDが1〜1005)は、次の2つの設定モードを使用して設定できます。
config-vlanモードは、 vlan vlan-id グローバル コンフィギュレーション コマンドを入力するとアクセスできます。
VLANデータベースの設定モードは、 vlan database イネーブルEXECコマンドを入力してアクセスします。
config-vlanモードにアクセスするには、VLAN IDを指定して vlan グローバル コンフィギュレーション コマンドを入力します。VLANを新規に作成するには、新しいVLAN IDを入力します。既存のVLANを変更するには、そのVLAN IDを入力します。デフォルトのVLAN設定( イーサネットVLANのデフォルト値および範囲 を参照)を使用するか、複数のコマンドを入力してVLANを設定します。このモードで使用できるコマンドの詳細については、このリリースのコマンド リファレンスに記載されている vlan グローバル コンフィギュレーション コマンドを参照してください。設定が終了したら、設定が有効になるようにconfig-vlanモードを終了する必要があります。VLAN設定を表示するには、 show vlan イネーブルEXECコマンドを入力します。
拡張範囲VLAN(1005を超えるVLAN ID)の作成時は、このconfig-vlanモードを使用する必要があります。 拡張範囲VLANの設定 を参照してください。
VLAN設定モードにアクセスするには、 vlan database イネーブルEXECコマンドを入力します。VLANを新規に作成するには、新しいVLAN IDを指定して vlan コマンドを入力します。既存のVLANを変更するには、そのVLAN IDを入力します。デフォルトのVLAN設定( イーサネットVLANのデフォルト値および範囲 を参照)を使用するか、複数のコマンドを入力してVLANを設定します。このモードで使用できるキーワードの詳細については、このリリースのコマンド リファレンスに記載されている vlan VLANコンフィギュレーション コマンドを参照してください。設定が終了したら、設定が有効になるように apply または exit を入力する必要があります。 exit コマンドを入力すると、すべてのコマンドが適用され、VLANデータベースが更新されます。VTPドメイン内の他のスイッチにVTPメッセージが送信され、イネーブルEXECモード プロンプトが表示されます。
IDが1〜1005のVLANの設定は、常にVLANデータベース(vlan.datファイル)に保存されます。VTPモードがトランスペアレントな場合は、スイッチの実行コンフィギュレーション ファイルへの保存も行われるので、 copy running-config startup-config イネーブルEXECコマンドを入力して設定をスタートアップ コンフィギュレーション ファイルに保存できます。 show running-config vlan イネーブルEXECコマンドを使用すればスイッチの実行コンフィギュレーション ファイルを表示できます。VLAN設定を表示するには、 show vlan イネーブルEXECコマンドを入力します。
スタートアップ コンフィギュレーション ファイルにVLANおよびVTP情報(拡張範囲VLAN設定も含む)を保存してスイッチを再起動すると、スイッチの設定が次のように決定されます。
イーサネットVLANのデフォルト値および範囲 に、イーサネットVLANのデフォルト設定を示します。
VLANデータベースの各イーサネットVLANは一意の4桁(1〜1001)のIDを持ちます。VLAN IDの1002〜1005はトークン リングおよびFDDI VLAN用です。VLANデータベースにVLAN標準範囲VLANを追加するには、VLANに番号と名前を割り当てます。
標準範囲VLANの設定 を参照してください。
config-vlanモードを使用してイーサネットVLANを作成または変更するには、イネーブルEXECモードで次の手順を実行します。
|
|
||
|
|
VLAN IDを入力し、config-vlanモードを開始します。VLANを新規に作成するには新しいVLAN IDを、既存のVLANを変更するには、そのVLAN IDを入力します。 
|
|
|
|
(任意)VLANの名前を入力します。VLAN名を指定しない場合には、デフォルトとして、VLANという文字列の後ろに先頭の0付きで vlan-id が付加されます。たとえば、VLAN 4のデフォルトのVLAN名はVLAN0004です。 |
|
|
|
||
|
|
SPANおよびRSPANの設定 を参照してください。 |
|
|
|
||
|
|
||
|
|
(任意)スイッチがVTPトランスペアレント モードにある場合は、VLAN設定は、VLANデータベースだけでなく実行コンフィギュレーション ファイルにも保存されます。これは、スイッチのスタートアップ コンフィギュレーション ファイルに設定を保存します。 |
VLAN名をデフォルト設定に戻すには、 no vlan name 、 no vlan mtu 、または no remote span config-vlanコマンドを使用します。
次の例は、config-vlanモードを使用してイーサネットVLAN 20を作成し、 test20 と名前を付け、VLANデータベースに追加する方法を示しています。
Switch(config-vlan)# name test20
VLAN設定モードを使用してイーサネットVLANを作成または変更するには、イネーブルEXECモードで次の手順を実行します。
VLAN名をデフォルト設定に戻すには、 no vlan vlan-id name または no vlan vlan-id mtu VLANコンフィギュレーション コマンドを使用します。
次の例は、VLANデータベース コンフィギュレーション モードを使用してイーサネットVLAN 20を作成し、 test20 と名前を付け、VLANデータベースに追加する方法を示しています。
VTPサーバ モードのスイッチからVLANを削除すると、VTPドメイン内にあるすべてのスイッチのVLANデータベースからそのVLANが削除されます。VTPトランスペアレント モードのスイッチからVLANを削除した場合、そのスイッチに限りVLANが削除されます。
メディア タイプが異なるデフォルトのVLANを削除することはできません。たとえば、イーサネットVLAN 1、およびFDDIまたはトークン リングVLANの1002〜1005を削除することはできません。
スイッチ上でVLANを削除するには、イネーブルEXECモードでグローバル コンフィギュレーション モードを使用して次の手順を実行します。
VTPをディセーブルに設定してVTPにVLAN設定情報をグローバルに伝播させずに(VTPトランスペアレント モード)、スタティックアクセス ポートをVLANに割り当てることができます。VLANにクラスタ メンバー スイッチのポートを割り当てる場合は、最初に rcommand イネーブルEXECコマンドを使用してメンバー スイッチにログインします。
VLANデータベース内のVLANにポートを割り当てるには、イネーブルEXECモードで次の手順を実行します。
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
表示された Administrative Mode および Access Mode VLAN フィールドの設定を確認します。 |
|
|
|
インターフェイスの設定をデフォルトに戻すには、 default interfac e interface-id インターフェイス コンフィギュレーション コマンドを使用します。
次の例は、インターフェイスFast Ethernet 0/1をVLAN 2のアクセス ポートとして設定する例を示しています。
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
スイッチがVTPトランスペアレント モード(VTPがディセーブル)にある場合は、拡張範囲VLAN(1006〜4094の範囲)を作成できます。拡張範囲VLANにより、サービス プロバイダーはインフラストラクチャをさらに多数のカスタマーに拡張できます。拡張範囲VLAN IDは、VLAN IDを認めるどのスイッチポート コマンドでも認められます。拡張範囲VLANは、常にconfig-vlanモード( vlan vlan-id グローバル コンフィギュレーション コマンドを入力してアクセス)を使用して設定します。拡張範囲は、VLANデータベース コンフィギュレーション モード( vlan database イネーブルEXECコマンドを入力してアクセス)ではサポートされていません。
拡張範囲VLANの設定は、VLANデータベースには保存されませんが、VTPモードがトランスペアレントなので、スイッチの実行コンフィギュレーション ファイルに保存されます。また、 copy running-config startup-config イネーブルEXECコマンドを使用するとスタートアップ コンフィギュレーション ファイルに設定を保存できます。
ここでは拡張範囲VLANについて説明します。内容は次のとおりです。
イーサネットVLANのデフォルト値および範囲 を参照してください。拡張範囲VLANについてはMTUサイズしか変更できません。残りの特性はデフォルト状態のままでなければなりません。
拡張範囲VLANは、グローバル コンフィギュレーション モードで、1006〜4094のVLAN IDを指定して vlan イーサネットVLANのデフォルト値および範囲 を参照)、MTUサイズが唯一変更できるパラメータです。全パラメータのデフォルト設定については、コマンド リファレンスに記載されている vlan グローバル コンフィギュレーション コマンドを参照してください。スイッチがVTPトランスペアレント モードにない場合に拡張範囲VLAN IDを入力すると、config-vlanモードの終了時にエラー メッセージが生成され、拡張範囲VLANは作成されません。
拡張範囲VLANはVLANデータベースに保存されません。スイッチの実行コンフィギュレーション ファイルに保存されます。 copy running-config startup-config イネーブルEXECコマンドを使用すると、スイッチのスタートアップ コンフィギュレーション ファイルに拡張範囲VLANの設定を保存できます。
拡張範囲VLANを作成するには、イネーブルEXECモードで次の手順を実行します。
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
スイッチのスタートアップ コンフィギュレーション ファイルに設定を保存します。拡張範囲VLAN設定を保存するには、スイッチのスタートアップ コンフィギュレーション ファイルにVTPトランスペアレント モード設定と拡張範囲VLAN設定を保存する必要があります。そうしないとスイッチをリセットした場合に、デフォルトでVTPサーバ モードになり、拡張範囲VLAN IDは保存されません。 |
拡張範囲VLANを削除するには、 no vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。
VLANへのスタティックアクセス ポートの割り当て を参照してください。
次の例は、すべてのデフォルト特性を備えた新しい拡張範囲VLANを作成し、config-vlanモードを開始し、スイッチのスタートアップ コンフィギュレーション ファイルに新しいVLANを保存する方法を示しています。
Switch(config)# vtp mode transparent
内部VLANに割り当て済みの拡張範囲VLAN IDを入力すると、エラー メッセージが生成され、拡張範囲VLANは拒否されます。内部VLAN IDを手動で解放するには、内部VLAN IDを使用しているルーテッド ポートを一時的にシャットダウンする必要があります。
内部VLANに割り当てられたVLAN IDを解放してそのIDで拡張範囲VLANを作成するには、イネーブルEXECモードで次の手順を実行します。
拡張範囲VLANを含めてスイッチ上のすべてのVLANのリストを表示するには、 show vlan イネーブルEXECコマンドを使用します。表示には、VLANのステータス、ポート、およびコンフィギュレーション情報が含まれます。VLANデータベースの標準範囲VLAN(1〜1005)を表示するには、 show VLANコンフィギュレーション コマンド( vlan database イネーブルEXECコマンドを入力してアクセス)を使用します。スイッチ上のVLAN IDのリストについては、 show running-config vlan イネーブルEXECコマンドを使用し、任意でVLAN IDの範囲を入力します。
VLANモニタ コマンド に、VLANモニタ用のコマンドを示します。
ここでは、スイッチ上のVLANトランクの機能について説明します。
トランクは、1つまたは複数のイーサネット スイッチ インターフェイスと、ルータやスイッチといった他のネットワーキング デバイス間のポイントツーポイント リンクです。ファスト イーサネットおよびギガビット イーサネット トランクは1つのリンクを介して複数のVLANトラフィックを搬送するので、VLANをネットワーク全体に拡張することができます。
次の2種類のトランキング カプセル化方式が、すべてのイーサネット インターフェイスで使用できます。
ISLトランキング環境のスイッチ に、ISLトランクで接続されているスイッチ ネットワークを示します。
EtherChannelの設定 を参照してください。
レイヤ2インターフェイス モード を参照)。インターフェイスをトランキングまたは非トランキングとして設定することも、あるいは近接インターフェイスとトランキングをネゴシエーションするように設定することもできます。トランキングの自動ネゴシエーションを設定するには、インターフェイスが同じVTPドメイン内にある必要があります。
トランク ネゴシエーションは、PPP(ポイントツーポイント プロトコル)であるDynamic Trunking Protocol(DTP)によって管理されます。ただし、一部のインターネットワーキング デバイスは、不正にDTPフレームを伝送することがあり、これによって誤った設定になることがあります。
これを避けるには、DTPをサポートしないデバイスに接続しているインターフェイスがDTPフレームを転送しないように設定する(DTPをオフにする)必要があります。
トランクでのISLまたは802.1Qカプセル化の使用、あるいはカプセル化タイプの自動ネゴシエーションを指定することもできます。DTPは、ISLと802.1Qトランクの両方の自動ネゴシエーションをサポートします。
|
インターフェイス(アクセス ポート)は永続的な非トランキング モードになり、リンクを非トランク リンクに変換するようにネゴシエーションします。近接インターフェイスがトランク インターフェイスでなくても、インターフェイスは非トランク インターフェイスになります。 |
|
|
インターフェイスがリンクのトランク リンクへの変換をアクティブに試行するようにします。近接インターフェイスが trunk 、 desirable 、または auto モードに設定されていれば、インターフェイスはトランク インターフェイスになります。すべてのイーサネット インターフェイスのデフォルトのスイッチポート モードは、 dynamic desirable です。 |
|
|
インターフェイスがリンクをトランク リンクに変換できるようにします。近接インターフェイスが trunk または desirable モードに設定されていれば、インターフェイスはトランク インターフェイスになります。 |
|
|
インターフェイスは永続的なトランキング モードになり、リンクをトランク リンクに変換するようにネゴシエーションします。近接インターフェイスがトランク インターフェイスでなくても、インターフェイスはトランク インターフェイスになります。 |
|
|
インターフェイスがDTPフレームを生成しないようにします。このコマンドを使用できるのは、インターフェイスのスイッチポート モードが access または trunk の場合だけです。近接インターフェイスを手動でトランク インターフェイスとして設定して、トランク リンクを確立する必要があります。 |
|
|
802.1Qおよびレイヤ2プロトコル トンネリングの設定 を参照してください。 |
イーサネット トランクのカプセル化タイプ に、イーサネット トランクのカプセル化タイプおよびキーワードを示します。
|
インターフェイスが近接インターフェイスとネゴシエーションを行い、近接インターフェイスの設定および機能に応じて、ISLトランク(優先)または802.1Qトランクになるように指定します。 |
リンクがISLトランクまたは802.1Qトランクのどちらになるかは、接続された2つのインターフェイスのトランキング モード、トランク カプセル化タイプ、およびハードウェア機能によって決まります。
802.1Qトランクでは、ネットワークのトランキング方式に次の制約があります。
802.1Qトランクを使用して他社製のデバイスにシスコ スイッチを接続する場合、シスコ スイッチは、トランクのVLANのスパニングツリー インスタンスを他社製802.1Qスイッチのスパニングツリー インスタンスと結合します。ただし、各VLANのスパニングツリー情報は、他社製の802.1Qスイッチからなるクラウドにより分離されたシスコ スイッチによって維持されます。シスコ スイッチを分離する他社製の802.1Qスイッチ クラウドは、スイッチ間の1つのトランク リンクとして取り扱われます。
レイヤ2イーサネット インターフェイスVLANのデフォルト設定 に、レイヤ2イーサネット インターフェイスVLANのデフォルト設定を示します。
トランク ポートはVTPアドバタイズを送受信するので、VTPを使用するためには、スイッチに少なくとも1つのトランクポートが設定されており、そのトランク ポートが別のスイッチのトランク ポートに接続されていることを確認する必要があります。そうでない場合、スイッチはVTPアドバタイズを受信できません。
ここでは、スイッチ上でイーサネット インターフェイスをトランク ポートとして設定する手順について説明します。
ポートをISLトランク ポートまたは802.1Qトランク ポートとして設定するには、イネーブルEXECモードで次の手順を実行します。
インターフェイスの設定をデフォルトに戻すには、 default interface interface-id インターフェイス コンフィギュレーション コマンドを 使用します。トランキング インターフェイスのすべてのトランキング特性をデフォルトにリセットするには、 no switchport trunk インターフェイス コンフィギュレーション コマンドを使用します。トランキングをディセーブルにするには、 switchport mode access インターフェイス コンフィギュレーション コマンドを使用してポートをスタティックアクセス ポートとして設定します。
次に、インターフェイスFast Ethernet 0/4を802.1Qトランクとして設定する例を示します。ここでは、近接インターフェイスが802.1Qトランキングをサポートするよう設定されていると仮定しています。
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet0/4
Switch(config-if)# switchport mode dynamic desirable
デフォルトでは、トランク ポートはすべてのVLANに対してトラフィックの送受信を行います。各トランクで、すべてのVLAN ID(1〜4094)が許可されます。ただし、許可リストからVLANを削除することにより、それらのVLANからのトラフィックがトランク上を流れないようにすることができます。トランクが伝送するトラフィックを制限するには、 switchport trunk allowed vlan remove vlan-list インターフェイス コンフィギュレーション コマンドを使用して、許可リストから特定のVLANを削除します。
トランクポートは、VLANがイネーブルになっており、VTPがVLANを認識し、かつポートの許可リストにそのVLANが登録されている場合に、VLANのメンバーになることができます。VTPが新しくイネーブルにされたVLANを認識し、そのVLANがトランク ポートの許可リストに登録されている場合、トランク ポートは自動的にそのイネーブルにされたVLANのメンバーになります。VTPが新しいVLANを認識し、そのVLANがトランク ポートの許可リストに登録されていない場合には、トランク ポートはその新しいVLANのメンバーにはなりません。
ISLトランクまたは802.1Qトランクの許可リストを変更するには、イネーブルEXECモードで次の手順を実行します。
すべてのVLANの許可VLANリストをデフォルトに戻すには、 no switchport trunk allowed vlan インターフェイス コンフィギュレーション コマンドを使用します。
次の例は、許可VLANリストからVLAN 2を削除する方法を示しています。
Switch(config)# interface fastethernet0/1
VTPプルーニングのイネーブル化 を参照してください。
トランク ポートのプルーニング適格リストからVLANを削除するには、イネーブルEXECモードで次の手順を実行します。
|
|
||
|
|
||
|
|
switchport trunk pruning vlan { add | except | none | remove } vlan-list [ ,vlan [ ,vlan [ ,,, ]] |
VTPプルーニング を参照)。 add 、 except 、 none 、および remove キーワードの使用法については、このリリースのコマンド リファレンスを参照してください。 連続しないVLAN IDは、スペースを入れずにカンマで区切ります。IDの範囲を表すには、ハイフンを使用します。有効なIDは、2〜1001です。 拡張範囲VLAN(VLAN IDが1006〜4094)はプルーニングできません。 |
|
|
||
|
|
||
|
|
すべてのVLANのプルーニング適格リストをデフォルトに戻すには、 no switchport trunk pruning vlan インターフェイス コンフィギュレーション コマンドを使用します。
802.1Qタギングが設定されたトランク ポートは、タグ付きトラフィックおよびタグなしトラフィックの両方を受信できます。デフォルトでは、スイッチはタグなしトラフィックをポートに設定されたネイティブVLANに伝送します。ネイティブVLANは、デフォルトではVLAN 1です。
802.1Qの設定に関する注意事項 を参照してください。
ロード シェアリングにより、スイッチに接続しているパラレル トランクの提供する帯域幅が分割されます。STPは通常、ループを防止するために、スイッチ間で1つのパラレル リンク以外のすべてのリンクをブロックします。ロード シェアリングを行うと、トラフィックが属するVLANに基づいて、リンク間でトラフィックが分割されます。
STPの設定 を参照してください。
同一スイッチ上の2つのポートがループを形成すると、STPポート プライオリティの設定により、イネーブルになるポートとブロッキング ステートになるポートが決まります。パラレル トランク ポートにプライオリティを設定すると、そのポートは、特定のVLANのすべてのトラフィックを搬送させることができます。VLANに対するプライオリティがより高い(より小さい値)トランク ポートがそのVLANのトラフィックを伝送します。同じVLANに対してプライオリティのより低い(より大きい値)トランク ポートは、そのVLANに対してブロッキング ステートのままです。1つのトランク ポートが特定のVLANに関するすべてのトラフィックを送受信することになります。
STPポート プライオリティによるロード シェアリング に、サポート対象スイッチを接続する2つのトランクを示します。この例では、スイッチは次のように設定されています。
このように設定すると、トランク1がVLAN 8〜10のトラフィックを搬送し、トランク2がVLAN 3〜6のトラフィックを搬送します。アクティブ トランクで障害が起きた場合には、プライオリティのより低いトランクが引き継ぎ、すべてのVLANのトラフィックを搬送します。どのトランク ポート上でも、トラフィックの重複は発生しません。
トランクに異なるパス コストを設定し、各パス コストを異なるVLANセットに対応づけることにより、VLANトラフィックを分担するようにパラレル トランクを設定できます。VLANはトラフィックを個別に維持します。ループが発生しないのでSTPによってポートがディセーブルになることもなく、またリンクが切断された場合には冗長性が維持されます。
パス コストによってトラフィックが分散されるロード シェアリング トランク で、トランク ポート1および2は100BASE-Tポートです。VLANのパス コストは次のように設定されています。
このスイッチはVMPSサーバとしては使用できませんが、VMPSのクライアントとして動作し、VLAN Query Protocol(VQP)を介してVMPSと通信します。VMPSは、ダイナミック アクセス ポートVLANメンバーシップを動的に割り当てます。
クライアント スイッチからVQP要求を受信したVMPSは、データベースを検索してMACアドレスとVLANのマッピングを調べます。サーバはこのマッピングと、サーバがセキュア モードであるかどうかに基づいて応答を返します。ポート上でVLANが許可されていない場合にポートをシャットダウンするのか、または単にVLANへのポート アクセスを拒否するのかはセキュア モードにより決まります。
要求への応答として、VMPSは次のいずれかの動作を実行します。
VMPSから アクセス拒否 応答を受信したスイッチは、引き続き、そのMACアドレスまたはポートからのトラフィックをブロックします。また、スイッチは引き続きそのポート宛てのパケットをモニタし、新しいアドレスを検出するたびに、VMPSにクエリを送ります。VMPSから ポート シャットダウン 応答を受け取ったスイッチは、ポートをディセーブルにします。このポートは、CLI、CMS、またはSNMPを使用して、手動で再びイネーブルにする必要があります。
コンフィギュレーション テーブルの明示的なエントリを使用して、特定のMACアドレスに対するアクセスをセキュリティ上の理由で拒否することもできます。VLAN名に none キーワードを指定すると、VMPSのセキュア モード設定に応じて、VMPSから アクセス拒否 または ポートシャットダウン 応答が送信されます。
スイッチ上のダイナミック(非トランキング)ポートは1つのVLAN(VLAN IDが1〜1005)にしか属せません。リンクがアクティブになっても、VMPSによってVLAN割り当てが行われるまで、スイッチとこのポート間ではトラフィックの伝送は行われません。VMPSはダイナミック ポートに接続された新しいホストの最初のパケットから送信元MACアドレスを受信し、VMPSデータベースに登録されているVLANとそのMACアドレスを照合します。
MACアドレスとVMPSデータベース内のVLANが一致した場合には、VMPSがそのポートのVLAN番号を送信します。クライアント スイッチがまだ設定されていない場合には、クライアント スイッチは、トランク ポートでVMPSから受信した最初のVTPパケットに指定されているドメイン名を使用します。クライアント スイッチがすでに設定されている場合には、VMPSへのクエリ パケットに自身のドメイン名を指定して、VLAN番号を取得します。VMPSはパケットに指定されたドメイン名が自身のドメイン名と一致することを確認してから、要求を受け入れ、そのクライアント用に割り当てたVLAN番号を使用してクライアントに応答します。一致しなかった場合、VMPSは(VMPSのセキュア モードの設定に応じて)要求を拒否するか、またはポートをシャットダウンします。
ダイナミック ポート上で複数のホスト(MACアドレス)がアクティブになるのは、それらのホストがすべて同じVLANに属する場合に限られます。ただし、同一ダイナミック ポート上でアクティブのホストが20を超えると、VMPSはそのポートをシャットダウンします。
ダイナミック ポート上でリンクがダウンすると、そのポートは切り離された状態に戻り、VLANから離脱します。このポートを介してオンラインになるホストは、VQPにより再びVMPSのチェックを受けた後に、ポートがVLANに割り当てられます。
VMPSには、ユーザが設定変更可能なデータベース コンフィギュレーション ファイルがあります。このASCIIテキスト ファイルは、スイッチからアクセス可能で、VMPSのサーバとして機能するTFTPサーバに格納されます。このファイルには、ドメイン名、代替VLAN名、およびMACアドレスとVLANのマッピングなどのVMPS情報が含まれます。このスイッチはVMPSとしては機能できませんが、Catalyst 5000または6000シリーズスイッチはVMPSとして使用できます。
代替VLAN名を設定できます。データベースに登録されていないMACアドレスを持つデバイスを接続すると、VMPSは代替VLAN名をクライアントに送信します。代替VLANを設定しておらず、かつ、MACアドレスがデータベースに含まれていない場合、VMPSは アクセス拒否 応答を送信します。VMPSがセキュア モードになっている場合には、 ポート シャットダウン 応答を送信します。
VMPSデータベース コンフィギュレーション ファイルでポート名が使用される場合、スイッチの規則に従ってポート名を指定する必要があります。たとえば、Fa0/4は固定ファスト イーサネット ポート番号4です。スイッチがクラスタ メンバーである場合は、コマンド スイッチはタイプの前にスイッチの名前を追加します。たとえば、 es3%Fa0/4 はメンバースイッチ3上の固定ファスト イーサネット ポート4を表します。ポート名が必要な場合、クラスタをサポートするように設定するには、VMPSデータベース コンフィギュレーション ファイルでこのような命名規則に従う必要があります。
次に、Catalyst 6000シリーズ スイッチ上でのVMPSデータベース コンフィギュレーション ファイル例を示します。このファイルの特徴は次のとおりです。
!VMPS File Format, version 1.1
! Always begin the configuration file with
! The VMPS domain must be defined.
!vmps no-domain-req { allow | deny }
! address <addr> vlan-name <vlan_name>
address 0012.2233.4455 vlan-name hardware
address 0000.6509.a080 vlan-name hardware
address aabb.ccdd.eeff vlan-name Green
address 1223.5678.9abc vlan-name ExecStaff
address fedc.ba98.7654 vlan-name --NONE--
address fedc.ba23.1245 vlan-name Purple
! device <device-id> { port <port-name> | all-ports }
vmps-port-group "Executive Row"
device 198.4.254.223 all-ports
!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }
! { port-group <group-name> | device <device-id> port <port-name> }
vmps-port-policies vlan-group Engineering
vmps-port-policies vlan-name Green
VMPSクライアントおよびダイナミック ポートのデフォルト設定 に、クライアント スイッチ上のVMPSおよびダイナミック ポートのデフォルト設定を示します。
ダイナミック アクセス ポートVLANメンバーシップには、次の注意事項および制限事項があります。
ダイナミック アクセスの設定を有効にするには、ポートのトランキングをオフにする必要があります。
ダイナミックVLANはVMPS(サーバ)を使用して設定します。スイッチはVMPSクライアントにすることはできますが、VMPSサーバにはできません。
スイッチをクライアントとして設定するには、最初にサーバのIPアドレスを入力する必要があります。
クラスタ メンバー スイッチのポートをダイナミック ポートとして設定する場合は、最初に rcommand イネーブルEXECコマンドを使用してメンバー スイッチにログインします。
VMPSクライアント スイッチにダイナミック アクセス ポートを設定するには、イネーブルEXECモードで次の手順を実行します。
|
|
||
|
|
インターフェイス コンフィギュレーション モードを開始し、エンド ステーションに接続しているスイッチ ポートを入力します。 |
|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
インターフェイスの設定をデフォルトに戻すには、 default interface interface-id インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスのスイッチ ポート モードの設定をデフォルト(dynamic desirable)に戻すには、 no switchport mode インターフェイス コンフィギュレーション コマンドを使用します。アクセス モードをスイッチのデフォルトVLANにリセットするには、 no switchport access インターフェイス コンフィギュレーション コマンドを使用します。
VMPSクライアントは、VMPSから受信したVLANメンバーシップ情報を定期的に再確認します。この再確認を行う間隔を分単位で設定できます。
クラスタ内のメンバー スイッチを設定する場合、このパラメータをコマンド スイッチ上の再確認設定値以上にする必要があります。この場合もまた、 rcommand イネーブルEXECコマンドを使用してメンバー スイッチにログインする必要があります。
VMPS情報を表示するには、 show vmps イネーブルEXECコマンドを使用します。VMPSについて、次の情報が表示されます。
次に、 show vmps イネーブルEXECコマンドの出力例を示します。
VMPSは次の条件が発生したときに、ダイナミック ポートをシャットダウンします。
シャットダウンしたダイナミック ポートを再びイネーブルにするには、 no shutdown インターフェイス コンフィギュレーション コマンドを入力します。
ダイナミック ポートVLANメンバーシップの構成 に、VMPSサーバ スイッチと、ダイナミック ポートの設定されたVMPSクライアント スイッチで構成されるネットワークを示します。この例の前提条件は次のとおりです。
All contents copyright (C) 1992--2003 Cisco Systems K.K.
