目的
仮想ローカルエリアネットワーク(VLAN)は、ホストが物理的に配置されている場所に関係なく、主にホスト間でグループを形成するために使用されます。したがって、VLANはホスト間のグループ形成の助けを借りてセキュリティを向上させます。VLANを設定する最も一般的な理由の1つは、音声用にVLANを設定し、データ用にVLANを個別に設定することです。これにより、同じネットワークを使用していても、両方のタイプのデータのパケットが転送されます。
この記事では、さまざまなプロトコルグループを定義し、新しいプロトコルベースのグループを追加する方法についても説明します。これらの設定により、プロトコルベースのグループを定義してポートにバインドできます。したがって、プロトコルグループから発信されるすべてのパケットは、ページ上の設定済みVLANに割り当てられます。
該当するデバイス|ソフトウェアバージョン
VLANの作成
手順 1
スイッチのWebベースのユーティリティにログインして、右上隅にあるDisplay ModeドロップダウンメニューからAdvancedを選択します。
手順 2
VLAN Managementをクリックします。
手順 3
下にスクロールして、VLAN Groups > Protocol-Based Groupsの順に選択します。
手順 4
Protocol-Based Group Tableにあるaddアイコンをクリックして、プロトコルベースのグループを作成します。
手順 5
Encapsulation領域で、使用するプロトコルタイプのオプションボタンを選択します。
- Ethernet V2:このパラメータは、イーサネットリンク上のデータパケットを参照します。
- LLC-SNAP(rfc1042):このパラメータはSub-Network Access Protocol(LLC-SNAP)を使用する論理リンク制御(LLC)を指します。 これらのプロトコルは、組み合わせて動作し、データがネットワーク内で効果的に伝送されることを保証します。
- LLC:このパラメータは論理リンク制御(LLC)を参照します。 これは、メディアアクセス制御(MAC)サブレイヤとネットワーク層の間のインターフェイスとして機能するデータリンク層のサブレイヤです。
イーサネットV2を選択した場合は、この手順を続行します。しない場合は、ステップ 6 に進みます。Ethernet Typeドロップダウンリストから、イーサネットフレームのペイロードにカプセル化するプロトコルを示すイーサネットタイプを選択します。次のオプションがあります。
- IP(0x0800):IPv4パケットを持つイーサネットV2フレーム。
- IPX(0x8137-0x8138):Internetwork Packet Exchange(IPX)を使用したイーサネットV2フレーム。
- IPv6(0x86DD):IPv6パケットを持つイーサネットV2フレーム。
- ARP(0x0806):アドレス解決プロトコル(ARP)パケットを含むイーサネットV2フレーム。
- User Defined:管理者は、プロトコル値とグループIDをそれぞれのフィールドに入力できます。
手順 6
LLC-SNAP(rfc1042)またはLLCを選択した場合は、このステップに進みます。Protocol Valueフィールドに、プロトコル値を入力します。範囲は0x0600-0xFFFFです。
Group IDフィールドに、プロトコルのグループIDを入力します。1 ~ 2147483647の数値を割り当てることができます。
ステップ7
[APPLY] をクリックします。
手順 8
画面の右上隅にある保存アイコンをクリックします。設定がスタートアップコンフィギュレーションファイルに保存されます。
これで、プロトコルベースのグループVLANが正常に設定されました。
シスコのビジネススイッチのVLANの詳細については、詳細については、次のリンクを参照してください。
コンテンツ付きアーティクルスケルトン
目的
この記事では、コマンドラインインターフェイス(CLI)を使用して、プロトコルグループを定義し、Cisco Business 350シリーズスイッチでプロトコルベースのグループをVLANに設定する方法について説明します。
はじめに
仮想ローカルエリアネットワーク(VLAN)を使用すると、ローカルエリアネットワーク(LAN)を複数のブロードキャストドメインに論理的に分割できます。機密データがネットワーク上でブロードキャストされる可能性があるシナリオでは、特定の VLAN にブロードキャストを指定することで、セキュリティを強化するための VLAN を作成できます。VLAN に属するユーザーのみが、その VLAN 上のデータにアクセスして操作できます。VLAN を使用すると、ブロードキャストやマルチキャストを不要な宛先に送信する必要性を減らし、パフォーマンスを向上させることもできます。
Web ベースのユーティリティを使用してスイッチに VLAN を設定するには、こちらをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
複数のプロトコルが実行されているネットワークデバイスは、共通のVLANにグループ化できません。非標準デバイスは、特定のプロトコルに参加しているデバイスを含めるために、異なるVLAN間でトラフィックを渡すために使用されます。このため、VLANの多くの機能を利用できません。
VLANグループは、レイヤ2ネットワークのトラフィックのロードバランシングに使用されます。パケットは異なる分類に基づいて分散され、VLANに割り当てられます。さまざまな分類が存在し、複数の分類スキームが定義されている場合、パケットは次の順序でVLANに割り当てられます。
- Tag:VLAN番号はタグから認識されます。
- MACベースのVLAN:VLANは、入力インターフェイスの送信元Media Access Control(MAC;メディアアクセス制御)からVLANへのマッピングによって認識されます。
- サブネットベースのVLAN:VLANは、入力インターフェイスの送信元サブネットとVLANのマッピングから認識されます。
- プロトコルベースのVLAN:VLANは、入力インターフェイスのイーサネットタイプのプロトコルとVLANのマッピングから認識されます。
- PVID:VLANはポートのデフォルトVLAN IDから認識されます。
スイッチでプロトコルベースのVLANグループを設定するには、次のガイドラインに従ってください。
1. VLAN を作成します。Web ベースのユーティリティを使用してスイッチに VLAN を設定するには、こちらをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
2. VLANへのインターフェイスを設定します。スイッチの Web ベースユーティリティを使用して、VLAN にインターフェイスを割り当てる方法については、こちらをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
インターフェイスがVLANに属さない場合、サブネットベースのグループからVLANへの設定は有効になりません。
3. プロトコルベースのVLANグループを設定します。スイッチのWebベースのユーティリティを使用してプロトコルベースのVLANグループを設定する方法については、ここをクリックしてください。
4. (オプション)次の項目も構成できます。
- MACベースのVLANグループの概要:スイッチのWebベースのユーティリティを使用してMACベースのVLANグループを設定する方法の手順については、ここをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
- サブネットベースのVLANグループの概要:スイッチのWebベースのユーティリティを使用してサブネットベースのVLANグループを設定する方法の手順については、ここをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
プロトコルのグループを定義して、ポートにバインドできます。プロトコルグループがポートにバインドされた後、グループ内のプロトコルから発信されるすべてのパケットには、プロトコルベースグループで設定されたVLANが割り当てられます。
プロトコルに基づいてパケットを転送するには、プロトコルグループを設定してから、これらのグループをVLANにマッピングする必要があります。
該当するデバイス|ソフトウェアバージョン
CLIによるスイッチでのプロトコルベースのVLANグループの設定
プロトコルベースのVLANグループの作成
ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザー名とパスワードは、cisco/cisco です。新しいユーザー名またはパスワードを設定している場合は、代わりにそのログイン情報を入力します。
コマンドは、デバイスのモデルによって異なる場合があります。
ステップ 2:スイッチの特権EXECモードから、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure
ステップ 3:グローバルコンフィギュレーションモードで、次のように入力して、プロトコルベースの分類ルールを設定します。
CBS350(config)#vlan database
ステップ 4:プロトコルをプロトコルグループにマッピングするには、次のように入力します。
CBS350(config-vlan)#map protocol [protocol[ [encapsulation-value] protocols-group [group-id]
次のオプションがあります。
- protocol:16ビットのプロトコル番号または予約された名前のいずれかを指定します。範囲は0x0600 ~ 0xFFFFです。値0x8100は、イーサネットカプセル化のプロトコル番号としては無効です。次のプロトコル名は、イーサネットカプセル化のために予約されています。
- IP:IPv4パケットを持つイーサネットV2フレーム。プロトコル番号は0x0800です。
- IPX:Internetwork Packet Exchange(IPX)を使用するイーサネットV2フレーム。 プロトコル番号の範囲は0x8137 ~ 0x8138です。
- IPv6:IPv6パケットを持つイーサネットV2フレーム。プロトコル番号は0x86DDです。
- ARP:アドレス解決プロトコル(ARP)パケットを含むイーサネットV2フレーム。プロトコル番号は0x0806です。
- User Defined:プロトコル値を4桁の長さの16進数で入力できます。
- encapsulation-value:(オプション)次のいずれかの値を指定します。
- ethernet:このパラメータは、イーサネットリンク上のデータパケットを参照します。これはデフォルトのカプセル化です。カプセル化値が定義されていない場合は、カプセル化タイプとしてイーサネットが使用されます。
- rfc1042:このパラメータはSub-Network Access Protocol(LLC-SNAP)による論理リンク制御(LLC)を指します。 これらのプロトコルは、組み合わせて動作し、データがネットワーク内で効果的に伝送されることを保証します。
- llcother:このパラメータは論理リンク制御(LLC)を参照します。 これは、メディアアクセス制御(MAC)サブレイヤとネットワーク層の間のインターフェイスとして機能するデータリンク層のサブレイヤです。
- group-id:作成するグループ番号を指定します。グループIDの範囲は1 ~ 2147483647です。
ステップ 5:インターフェイスコンフィギュレーションコンテキストを終了するには、次のように入力します。
CBS350(config-vlan)#exit
これで、CLIを使用してスイッチにプロトコルベースのVLANグループを設定できました。
プロトコルベースのVLANグループをVLANにマッピング
ステップ 1:グローバルコンフィギュレーションモードで、次のように入力してインターフェイスコンフィギュレーションコンテキストを入力します。
CBS350#interface [interface-id | range interface-range]
次のオプションがあります。
- interface-id:設定するインターフェイスの ID を指定します。
- range interface-range:VLANのリストを指定します。連続していない VLAN はカンマ(スペースなし)で区切ります。VLAN の範囲を指定するには、ハイフンを使用します。
ステップ 2:インターフェイスコンフィギュレーションコンテキストで、switchport modeコマンドを使用して、VLANメンバシップモードを設定します。
CBS350(config-if)#switchport mode general
- general:このインターフェイスは、IEEE 802.1q仕様に定義されているすべての機能をサポートできます。インターフェイスは、1つ以上のVLANのタグ付きまたはタグなしのメンバにできます。
ステップ 3: (任意)ポートをデフォルトの VLAN に戻すには、次のように入力します。
CBS350(config-if)#no switchport mode general
ステップ 4:プロトコルベースの分類ルールを設定するには、次のように入力します。
CBS350(config-if)#switchport general map protocols-group [group-id] vlan [vlan-id]
次のオプションがあります。
- group-id:ポートを通過するトラフィックをフィルタリングするためのプロトコルベースのグループIDを指定します。範囲は1 ~ 2147483647です。
- vlan-id:VLANグループからのトラフィックの転送先となるVLAN IDを指定します。範囲は1 ~ 4094です。
ステップ 5:インターフェイスコンフィギュレーションコンテキストを終了するには、次のように入力します。
CBS350(config-if)#exit
ステップ6:(オプション)ポートまたはポートの範囲から分類ルールを削除するには、次のように入力します。
CBS350(config-if)#no switchport general map protocols-groups group
ステップ7(オプション)ステップ1 ~ 6を繰り返して、より一般的なポートを設定し、対応するプロトコルベースのVLANグループに割り当てます。
ステップ 8:endコマンドを入力して、特権EXECモードに戻ります。
CBS350(config-if-range)#end
これで、CLIを使用して、プロトコルベースのVLANグループをスイッチ上のVLANにマッピングできました。
プロトコルベースのVLANグループの表示
ステップ 1:定義されたプロトコルベースの分類ルールに属するプロトコルを表示するには、特権EXECモードで次のように入力します。
CBS350#show vlan protocols-groups
ステップ2:(オプション)VLAN上の特定のポートの分類ルールを表示するには、次のように入力します。
CBS350#show interfaces switchport [interface-id]
- interface-id:インターフェイスIDを指定します。
各ポートモードには独自のプライベート設定があります。show interfaces switchportコマンドでは、これらすべての設定が表示されますが、「管理モード」領域に表示された現在のポートモードに対応するポートモード設定だけがアクティブになります。
ステップ 3: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。
CBS350#copy running-config startup-config
ステップ 4: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。
これで、プロトコルベースのVLANグループとポートの設定がスイッチに表示されました。
スイッチで VLAN グループ設定を続行するには、上記のガイドラインに従ってください。
シスコのビジネススイッチのVLANの詳細については、詳細については、次のリンクを参照してください。
フィードバック