目的
仮想ローカルエリアネットワーク(VLAN)を使用すると、ローカルエリアネットワーク(LAN)を複数のブロードキャストドメインに論理的に分割できます。機密データがネットワーク上でブロードキャストされる可能性があるシナリオでは、特定の VLAN にブロードキャストを指定することで、セキュリティを強化するための VLAN を作成できます。VLAN に属するユーザーのみが、その VLAN 上のデータにアクセスして操作できます。VLAN を使用すると、ブロードキャストやマルチキャストを不要な宛先に送信する必要性を減らし、パフォーマンスを向上させることもできます。
複数のプロトコルが実行されているネットワークデバイスは、共通のVLANにグループ化できません。非標準デバイスは、特定のプロトコルに参加しているデバイスを含めるために、異なるVLAN間でトラフィックを渡すために使用されます。このため、ユーザはVLANの多くの機能を利用できません。
VLANグループは、レイヤ2ネットワークのトラフィックのロードバランシングに使用されます。パケットは異なる分類に基づいて分散され、VLANに割り当てられます。さまざまな分類が存在し、複数の分類スキームが定義されている場合、パケットは次の順序でVLANに割り当てられます。
- Tag:VLAN番号はタグから認識されます。
- MACベースのVLAN:VLANは、入力インターフェイスの送信元Media Access Control(MAC;メディアアクセス制御)からVLANへのマッピングによって認識されます。この機能の設定方法については、ここをクリックして手順を参照してください。
- サブネットベースVLAN:VLANは、入力インターフェイスの送信元IPサブネットとVLANのマッピングから認識されます。
- プロトコルベースのVLAN:VLANは、入力インターフェイスのイーサネットタイプのプロトコルとVLANのマッピングから認識されます。この機能の設定方法については、ここをクリックして手順を参照してください。
- PVID:VLANはポートのデフォルトVLAN IDから認識されます。
サブネットベースのグループVLAN分類では、パケットをサブネットに従って分類できます。その後、サブネットからVLANへのマッピングをインターフェイスごとに定義できます。また、各グループに異なるサブネットが含まれる、複数のサブネットベースのVLANグループを定義することもできます。これらのグループは、特定のポートまたはLAGに割り当てることができます。サブネットベースのVLANグループには、同じポート上で重複するサブネットの範囲を含めることはできません。
この記事では、Cisco Business 350シリーズスイッチでサブネットベースのグループを設定する方法について説明します。
該当するデバイス|ソフトウェアバージョン
スイッチでのサブネットベースのVLANグループの設定
サブネットベースのVLANグループの追加
手順 1
Webベースのユーティリティにログインし、Display ModeドロップダウンリストからAdvancedを選択します。
手順 2
VLAN Managementをクリックします。
手順 3
VLAN Groups > Subnet-Based Groupsの順にクリックします。
手順 4
Subnet-Based Groupテーブルで、add iconをクリックします。
手順 5
- VLANグループに割り当てるIPアドレスをIP Addressフィールドに入力します。これは、サブグループのベースとなる場所です。
- Prefix Maxフィールドに、サブネットを定義するプレフィックスマスクを入力します。
- Group IDフィールドに、サブネットベースのVLANグループを識別するIDを入力します。サブネットベースのVLANグループを識別するために使用される。
手順 6
Applyをクリックし、次にCloseをクリックします。
ステップ7
Saveをクリックして、スタートアップコンフィギュレーションファイルに設定を保存します。
これで、スイッチにサブネットベースのVLANグループが追加されました。
サブネットベースのVLANグループの削除
手順 1
VLAN Groups > Subnet-Based Groupsの順に選択します。
手順 2
サブネットベースのグループテーブルで、削除するサブネットベースのVLANグループの横にあるチェックボックスをオンにします。ごみ箱アイコンをクリックして、サブネットベースのVLANグループを削除します。
手順 3
save iconをクリックして、スタートアップコンフィギュレーションファイルに設定を保存します。
これで、サブネットベースのVLANグループがスイッチから削除されたはずです。
これで、スイッチにサブネットベースのVLANグループが設定されました。 サブネットベースのグループをVLANにマップする方法については、ここをクリックして手順を参照してください。
シスコのビジネススイッチのVLANの詳細については、詳細については、次のリンクを参照してください。
コンテンツ付きアーティクルスケルトン
目的
サブネットベースのグループVLAN分類では、パケットをサブネットに従って分類できます。その後、サブネットからVLANへのマッピングをインターフェイスごとに定義できます。また、各グループに異なるサブネットが含まれる、複数のサブネットベースのVLANグループを定義することもできます。これらのグループは、特定のポートまたはLAGに割り当てることができます。サブネットベースのVLANグループには、同じポート上で重複するサブネットの範囲を含めることはできません。
IPサブネットに基づいてパケットを転送するには、IPサブネットのグループを設定し、これらのグループをVLANにマッピングする必要があります。この記事では、CLIを使用してスイッチでサブネットベースのグループを設定する方法について説明します。
該当するデバイス|ソフトウェアバージョン
はじめに
仮想ローカルエリアネットワーク(VLAN)を使用すると、ローカルエリアネットワーク(LAN)を複数のブロードキャストドメインに論理的に分割できます。機密データがネットワーク上でブロードキャストされる可能性があるシナリオでは、特定の VLAN にブロードキャストを指定することで、セキュリティを強化するための VLAN を作成できます。VLAN に属するユーザーのみが、その VLAN 上のデータにアクセスして操作できます。VLAN を使用すると、ブロードキャストやマルチキャストを不要な宛先に送信する必要性を減らし、パフォーマンスを向上させることもできます。
Web ベースのユーティリティを使用してスイッチに VLAN を設定するには、こちらをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
複数のプロトコルが実行されているネットワークデバイスは、共通のVLANにグループ化できません。非標準デバイスは、特定のプロトコルに参加しているデバイスを含めるために、異なるVLAN間でトラフィックを渡すために使用されます。このため、VLANの多くの機能を利用できません。
VLANグループは、レイヤ2ネットワークのトラフィックのロードバランシングに使用されます。パケットは異なる分類に基づいて分散され、VLANに割り当てられます。さまざまな分類が存在し、複数の分類スキームが定義されている場合、パケットは次の順序でVLANに割り当てられます。
- Tag:VLAN番号はタグから認識されます。
- MACベースのVLAN:VLANは、入力インターフェイスの送信元Media Access Control(MAC;メディアアクセス制御)からVLANへのマッピングによって認識されます。
- サブネットベースのVLAN:VLANは、入力インターフェイスの送信元サブネットとVLANのマッピングから認識されます。
- プロトコルベースのVLAN:VLANは、入力インターフェイスのイーサネットタイプのプロトコルとVLANのマッピングから認識されます。
- PVID:VLANはポートのデフォルトVLAN IDから認識されます。
スイッチでサブネットベースのVLANグループを設定するには、次のガイドラインに従ってください。
1. VLAN を作成します。Web ベースのユーティリティを使用してスイッチに VLAN を設定するには、こちらをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
2. VLANへのインターフェイスを設定します。スイッチの Web ベースユーティリティを使用して、VLAN にインターフェイスを割り当てる方法については、こちらをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
インターフェイスがVLANに属さない場合、サブネットベースのグループからVLANへの設定は有効になりません。
3. サブネットベースのVLANグループを設定する。スイッチのWebベースのユーティリティを使用してサブネットベースのVLANグループを設定する方法については、ここをクリックしてください。
4. (オプション)次の項目も構成できます。
MACベースのVLANグループの概要:スイッチのWebベースのユーティリティを使用してサブネットベースのVLANグループを設定する方法の手順については、ここをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
プロトコルベースのVLANグループの概要:スイッチのWebベースのユーティリティを使用してプロトコルベースのVLANグループを設定する方法の手順については、ここをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
CLIによるスイッチでのサブネットベースのVLANグループの設定
サブネットベースのVLANグループの作成
手順 1
スイッチのコンソールにログインします。デフォルトのユーザー名とパスワードは、cisco/cisco です。新しいユーザー名またはパスワードを設定している場合は、代わりにそのログイン情報を入力します。
コマンドは、デバイスのモデルによって異なる場合があります。
手順 2
スイッチの特権EXECモードから、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure
手順 3
グローバルコンフィギュレーションモードで、次のように入力して、サブネットベースの分類ルールを設定します。
CBS350(config)#vlan database
手順 4
IPサブネットをIPサブネットグループにマッピングするには、次のように入力します。
CBS350(config)#map subnet [ip-address] [prefix-mask] subnets-group [group-id]
次のオプションがあります。
- ip-address:VLANグループにマッピングするサブネットのIPアドレスを指定します。このIPアドレスを他のVLANグループに割り当てることはできません。
- prefix-mask:IPアドレスのプレフィクスを指定します。IPアドレスのセクションだけを見て(左から右へ)、グループに配置します。長さ番号が小さいほど、検索されるビット数は少なくなります。つまり、一度に多数のIPアドレスをVLANグループに割り当てることができます。
- group-id:作成するグループ番号を指定します。グループIDの範囲は1 ~ 2147483647です。
この例では、サブネットベースのVLANグループ10および20が作成されます。グループ10はIPアドレスの最初の24ビットまたは3オクテット(192.168.100.x)をフィルタリングし、グループ20は最初の16ビットまたは2オクテット(192.168.x.x)をフィルタリングします。
手順 5
インターフェイスコンフィギュレーションコンテキストを終了するには、次のように入力します。
CBS350(config)#exit
これで、CLIを使用してスイッチにサブネットベースのVLANグループを設定できるはずです。
サブネットベースのVLANグループをVLANにマッピング
手順 1
グローバルコンフィギュレーションモードで、次のように入力してインターフェイスコンフィギュレーションコンテキストを入力します。
CBS350#[interface-id | range interface-range]
次のオプションがあります。
- interface-id:設定するインターフェイスIDを指定します。
- range interface-range:VLANのリストを指定します。連続していない VLAN はカンマ(スペースなし)で区切ります。VLAN の範囲を指定するには、ハイフンを使用します。
手順 2
インターフェイスコンフィギュレーションコンテキストで、switchport modeコマンドを使用して、VLANメンバシップモードを設定します。
CBS350(config-if)#switchport mode general
- general:このインターフェイスは、IEEE 802.1q仕様に定義されているすべての機能をサポートできます。インターフェイスは、1つ以上のVLANのタグ付きまたはタグなしのメンバにできます。
手順 3(オプション)
ポートをデフォルトのVLANに戻すには、次のように入力します。
CBS350(config-if)#no switchport mode general
手順 4
サブネットベースの分類ルールを設定するには、次のように入力します。
CBS350(config-if)#switchport general map subnets-group [group] vlan [vlan-id]
次のオプションがあります。
- group:ポートを通過するトラフィックをフィルタリングするためのサブネットベースのグループIDを指定します。範囲は1 ~ 2147483647です。
- vlan-id:VLANグループからのトラフィックの転送先のVLAN IDを指定します。範囲は1 ~ 4094です。
この例では、インターフェイスはVLAN 30にマッピングされているサブネットベースのグループ10に割り当てられています。
手順 5
インターフェイスコンフィギュレーションコンテキストを終了するには、次のように入力します。
CBS350(config-if)#exit
ステップ 6(オプション)
ポートまたはポートの範囲から分類ルールを削除するには、次のように入力します。
CBS350(config-if)#no switchport general map subnets-groups group
ステップ 7(オプション)
手順1 ~ 6を繰り返して、より一般的なポートを設定し、対応するサブネットベースのVLANグループに割り当てます。
この例では、ge1/0/20 ~ 25の範囲のインターフェイスは、サブネットベースのグループ20に割り当てられ、VLAN 30に割り当てられます。
手順 8
endコマンドを入力して、特権EXECモードに戻ります。
CBS350(config-if-range)#end
これで、CLIを使用してサブネットベースのVLANグループをスイッチ上のVLANにマッピングできました。
サブネットベースのVLANグループの表示
手順 1
定義されたサブネットベースの分類ルールに属するサブネットアドレスを表示するには、特権EXECモードで次のように入力します。
CBS350#show vlan subnets-groups
手順 2(オプション)
VLAN上の特定のポートの分類ルールを表示するには、次のように入力します。
CBS350#show interfaces switchport [interface-id]
- interface-id:インターフェイスIDを指定します。
各ポートモードには独自のプライベート設定があります。show interfaces switchportコマンドでは、これらすべての設定が表示されますが、「管理モード」領域に表示された現在のポートモードに対応するポートモード設定だけがアクティブになります。
この例では、インターフェイスge1/0/20の管理ステータスと動作ステータスが表示されます。分類ルールテーブルは、インターフェイスがMACベースのVLANグループ2とサブネットベースのVLANグループ20にマッピングされ、トラフィックがVLAN 30に転送されることを示しています。
手順 3(オプション)
スイッチの特権EXECモードで、次のように入力して、設定をスタートアップコンフィギュレーションファイルに保存します。
CBS350#copy running-config startup-config
手順 4
Overwrite file [startup-config]...プロンプトが表示されたら、キーボードでY(はい)またはN(いいえ)を押します。
これで、サブネットベースのVLANグループとポートの設定がスイッチに表示されるはずです。
重要:スイッチでVLANグループの設定を続けるには、上記のガイドラインに従ってください。
シスコのビジネススイッチのVLANの詳細については、詳細については、次のリンクを参照してください。
フィードバック