プライベート VLAN の設定

プライベート VLAN について

プライベート VLAN(PVLAN)では VLAN のイーサネット ブロードキャスト ドメインがサブドメインに分割されるため、スイッチ上のポートを互いに分離することができます。サブドメインは、1 つのプライマリ VLAN と 1 つ以上のセカンダリ VLAN とで構成されます(次の図を参照)。1 つの PVLAN に含まれる VLAN はすべて、同じプライマリ VLAN を共有します。セカンダリ VLAN ID は、各サブドメインの区別に使用されます。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかの場合があります。独立 VLAN 上のホストは、そのプライマリ VLAN 上でアソシエートされている無差別ポートのみと通信できます。コミュニティ VLAN 上のホストは、それぞれのホスト間およびアソシエートされている無差別ポートと通信できますが、他のコミュニティ VLAN にあるポートとは通信できません。

Figure 1. プライベート VLAN ドメイン

Note

VLAN をプライマリまたはセカンダリの PVLAN に変換する場合は、あらかじめその VLAN を作成しておく必要があります。

プライベート VLAN のプライマリ VLAN とセカンダリ VLAN

プライベート VLAN ドメインには、プライマリ VLAN が 1 つのみ含まれています。プライベート VLAN ドメインの各ポートは、プライマリ VLAN のメンバーです。プライマリ VLAN は、プライベート VLAN ドメイン全体です。

セカンダリ VLAN は、同じプライベート VLAN ドメイン内のポート間を分離します。プライマリ VLAN 内のセカンダリ VLAN には、次の 2 つのタイプがあります。

  • 独立 VLAN:独立 VLAN 内のポートは、レイヤ 2 レベルで直接かつ相互には通信できません。

  • コミュニティ VLAN:コミュニティ VLAN 内のポートは相互通信できますが、他のコミュニティ VLAN またはレイヤ 2 レベルの独立 VLAN にあるポートとは通信できません。

プライベート VLAN ポート

PVLAN ポートには、次の 3 種類があります。

  • 無差別ポート:無差別ポートは、プライマリ VLAN に属します。無差別ポートは、無差別ポートとアソシエートされているセカンダリ VLAN に属し、プライマリ VLAN とアソシエートされている、すべてのインターフェイスと通信でき、この通信可能なインターフェイスには、コミュニティ ポートと独立ホスト ポートも含まれます。プライマリ VLAN には、複数の無差別ポートを含めることができます。各無差別ポートには、複数のセカンダリ VLAN を関連付けることができるほか、セカンダリ VLAN をまったく関連付けないことも可能です。無差別ポートとセカンダリ VLAN が同じプライマリ VLAN にある限り、セカンダリ VLAN は、複数の無差別ポートとアソシエートすることができます。ロード バランシングまたは冗長性を持たせる目的で、これを行う必要が生じる場合があります。無差別ポートとアソシエートされていないセカンダリ VLAN も、含めることができます。

    無差別ポートはアクセス ポートとして構成できます。

  • 独立ポート:独立ポートは、セカンダリ独立 VLAN に属するホスト ポートです。このポートは、同じ PVLAN ドメイン内の他のポートから完全に独立しています。ただし、関連付けられている無差別ポートと通信することはできます。PVLAN は、無差別ポートからのトラフィックを除き、独立ポート宛のトラフィックをすべてブロックします。独立ポートから受信されたトラフィックは、無差別ポートにだけ転送されます。指定した独立 VLAN には、複数の独立ポートを含めることができます。各ポートは、独立 VLAN にある他のすべてのポートから、完全に隔離されています。

    独立ポートはアクセス ポートとして構成できます。

  • コミュニティ ポート:コミュニティ ポートは、1 つのコミュニティ セカンダリ VLAN に属するホスト ポートです。コミュニティ ポートは、同じコミュニティ VLAN にある他のポートおよびアソシエートされている無差別ポートと通信します。これらのインターフェイスは、他のコミュニティにあるすべてのインターフェイス、および PVLAN ドメイン内のすべての独立ポートから分離されています。

    コミュニティ ポートは、アクセス ポートとして設定する必要があります。

プライマリ、独立、およびコミュニティ プライベート VLAN

プライマリ VLAN および 2 つのタイプのセカンダリ VLAN(独立 VLAN とコミュニティ VLAN)には、次のような特徴があります。

  • プライマリ VLAN:独立ポートおよびコミュニティ ポートであるホスト ポート、および他の無差別ポートに、無差別ポートからトラフィックを伝送します。

  • 独立 VLAN:ホストから無差別ポートにアップストリームに単方向トラフィックを伝送するセカンダリ VLAN です。1 つの PVLAN ドメイン内で設定できる独立 VLAN は 1 つだけです。独立 VLAN では、複数の独立ポートを使用できます。各独立ポートからのトラフィックも、完全に隔離された状態が維持されます。

  • コミュニティ VLAN:コミュニティ VLAN は、コミュニティ ポートから、無差別ポートおよび同じコミュニティにある他のホスト ポートへ、アップストリーム トラフィックを送信するセカンダリ VLAN です。1 つの PVLAN ドメインには、複数のコミュニティ VLAN を設定できます。1 つのコミュニティ内のポートは相互に通信できますが、これらのポートは、他のコミュニティにあるポートとも、プライベート VLAN にある独立 VLAN とも、通信できません。

次の図は、PVLAN 内でのトラフィック フローを VLAN およびポートのタイプ別に示したものです。

Figure 2. プライベート VLAN のトラフィック フロー

Note

PVLAN のトラフィック フローは、ホスト ポートから無差別ポートへの単方向です。プライマリ VLAN で受信したトラフィックによって隔離は行われず、転送は通常の VLAN として実行されます。

無差別アクセス ポートでは、ただ 1 つのプライマリ VLAN と複数のセカンダリ VLAN(コミュニティ VLAN および独立 VLAN)を処理できます。無差別ポートを使用すると、さまざまなデバイスを PVLAN への「アクセス ポイント」として接続できます。たとえば、すべての PVLAN サーバを管理ワークステーションから監視したりバックアップしたりするのに、無差別ポートを使用できます。

スイッチング環境では、個々のエンド ステーションに、または共通グループのエンド ステーションに、個別の PVLAN や、関連する IP サブネットを割り当てることができます。エンド ステーションはデフォルト ゲートウェイとの通信を行うだけで、プライベート VLAN の外部と通信することができます。

セカンダリ VLAN とプライマリ プライベート VLAN の関連付け

セカンダリ VLAN をプライマリ VLAN とアソシエートするときには、次の事項に注意してください。

  • secondary-vlan-list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目は、単一のセカンダリ VLAN ID、またはセカンダリ VLAN ID をハイフンでつないだ範囲にできます。

  • secondary-vlan-list パラメータには、コミュニティ VALN ID を複数指定できるほか、独立 VLAN ID も 1 つ指定することができます。

  • セカンダリ VLAN をプライマリ VLAN に関連付けるには、secondary-vlan-list パラメータを入力するか、または secondary-vlan-list パラメータを指定して add キーワードを使用します。

  • セカンダリ VLAN とプライマリ VLAN 間の関連付けを消去するには、 secondary-vlan-list パラメータを指定して remove キーワードを使用します。

  • セカンダリ VLAN とプライマリ VLAN とのアソシエーションを変更するには、既存のアソシエーションを削除し、次に必要なアソシエーションを追加します。

プライマリ VLAN とセカンダリ VLAN のいずれかを削除した場合、関連付けが設定されているポート上では、その VLAN は非アクティブになります。no private-vlan コマンドを入力すると、VLAN は通常の VLAN モードに戻ります。その VLAN におけるプライマリとセカンダリの関連付けはすべて一時停止されますが、インターフェイスは PVLAN モードのままです。指定した VLAN を PVLAN モードに再変換すると、関連付けも元の状態に戻ります。

プライマリ VLAN に対して no vlan コマンドを入力すると、その VLAN に関連付けされたすべての PVLAN は失われます。ただし、セカンダリ VLAN に対して no vlan コマンドを入力すると、その VLAN と PVLAN との関連付けは一時停止します。この VLAN を再作成して以前のセカンダリ VLAN として設定すると、関連付けは復活します。

Before you begin

PVLAN 機能がイネーブルであることを確認します。

SUMMARY STEPS

  1. switch# configure terminal
  2. switch(config)# vlan primary-vlan-id
  3. switch(config-vlan)# private-vlan association {[add] secondary-vlan-list | remove secondary-vlan-list}
  4. (Optional) switch(config-vlan)# no private-vlan association

DETAILED STEPS

  Command or Action Purpose

Step 1

switch# configure terminal

グローバル構成モードを開始します。

Step 2

switch(config)# vlan primary-vlan-id

PVLAN の設定作業を行うプライマリ VLAN の番号を入力します。

Step 3

switch(config-vlan)# private-vlan association {[add] secondary-vlan-list | remove secondary-vlan-list}

セカンダリ VLAN をプライマリ VLAN に関連付けます。セカンダリ VLAN とプライマリ VLAN 間の関連付けを消去するには、 secondary-vlan-list パラメータを指定して remove キーワードを使用します。

Step 4

(Optional) switch(config-vlan)# no private-vlan association

(Optional)

プライマリ VLAN からすべての関連付けを削除し、通常の VLAN モードに戻します。

Example

次の例は、コミュニティ VLAN 100 ~ 110 および独立 VLAN 200 をプライマリ VLAN 5 に関連付ける方法を示したものです。 

switch# configure terminal
switch(config)# vlan 5
switch(config-vlan)# private-vlan association 100-110, 200

プライベート VLAN 内のブロードキャスト トラフィック

プライベート VLAN にあるポートからのブロードキャスト トラフィックは、次のように流れます。

  • ブロードキャスト トラフィックは、プライマリ VLAN で、無差別ポートからすべてのポート(コミュニティ VLAN と独立 VLAN にあるすべてのポートも含む)に流れます。このブロードキャスト トラフィックは、プライベート VLAN パラメータで設定されていないポートを含め、プライマリ VLAN 内のすべてのポートに配信されます。

  • 独立ポートからのブロードキャスト トラフィックは、独立ポートにアソシエートされているプライマリ VLAN にある無差別ポートにのみ配信されます。

  • コミュニティ ポートからのブロードキャスト トラフィックは、そのポートのコミュニティ内のすべてのポート、およびそのコミュニティ ポートに関連付けられているすべての無差別ポートに配信されます。このブロードキャスト パケットは、プライマリ VLAN 内の他のコミュニティまたは独立ポートには配信されません。

プライベート VLAN ポートの分離

PVLAN を使用すると、次のように、エンド ステーションへのアクセスを制御できます。

  • 通信を防止するには、エンド ステーションに接続されているインターフェイスのうち、選択したインターフェイスを、独立ポートとして設定します。たとえば、エンド ステーションがサーバの場合、この設定により、サーバ間の通信が防止されます。

  • デフォルト ゲートウェイおよび選択したエンド ステーション(バックアップ サーバーなど)に接続されているインターフェイスを無差別ポートとして設定し、すべてのエンド ステーションがデフォルト ゲートウェイにアクセスできるようにします。

プライベート VLAN の設定に関する注意事項と制約事項

PVLAN を設定する場合は、次の注意事項に従ってください。

  • 指定した VLAN をプライベート VLAN として割り当てる前に、VLAN を作成しておく必要があります。

  • スイッチで PVLAN 機能を適用できるようにするには、あらかじめ PVLAN をイネーブルにしておく必要があります。

  • IGMP は、プライマリ VLAN 上でのみ実行され、すべてのセカンダリ VLAN にプライマリ VLAN の設定が使用されます。

  • セカンダリ VLAN 内の IGMP 加入要求は、プライマリ VLAN で受信されたものとして処理されます。

  • PVLAN モードで動作しているポートがスイッチにある場合、PVLAN をディセーブルにすることはできません。

  • マルチ スパニングツリー(MST)リージョン定義内から [private-vlan の同期(private-vlan synchronize)] コマンドを実行すると、プライマリ VLAN と同じ MST インスタンスにセカンダリ VLAN をマップすることができます。

  • 2 番目のスイッチを無差別または隔離された PVLAN トランクに接続することはできません。無差別または隔離された PVLAN トランクは、ホスト スイッチでのみサポートされます。

プライベート VLAN の設定

プライベート VLAN のイネーブル化

PVLAN 機能を使用するためには、スイッチ上で PVLAN をイネーブルにする必要があります。


Note

PVLAN コマンドは、PVLAN 機能をイネーブルにするまで表示されません。

SUMMARY STEPS

  1. switch# configure terminal
  2. switch(config)# feature private-vlan
  3. (Optional) switch(config)# no feature private-vlan

DETAILED STEPS

  Command or Action Purpose

Step 1

switch# configure terminal

グローバル構成モードを開始します。

Step 2

switch(config)# feature private-vlan

スイッチの PVLAN 機能をイネーブルにします。

Step 3

(Optional) switch(config)# no feature private-vlan

(Optional)

スイッチの PVLAN 機能をディセーブルにします。

Note

 

スイッチ上に PVLAN モードで動作しているポートがある場合は、PVLAN をディセーブルにすることはできません。

Example

次の例は、スイッチの PVLAN 機能をイネーブルにする方法を示したものです。 

switch# configure terminal
switch(config)# feature private-vlan

プライベート VLAN 上での IGMP スヌーピングのイネーブル化

Cisco NX-OS リリース 10.2(2)以降、プライベート VLAN で IGMP スヌーピングを有効にできます。

手順

  コマンドまたはアクション 目的

ステップ 1

switch(config)# feature private-vlan

スイッチの PVLAN 機能をイネーブルにします。

ステップ 2

(任意) switch(config)# no system multicast pvlan route-replication

(任意)

PVLAN にある IGMP スヌーピング機能をイネーブル化します。No オプションは IGMP スヌーピング機能を無効化にします。

次に、PVLAN にある IGMP スヌーピング機能をイネーブル化にする例を示します。

switch# configure terminal
switch(config)# feature private-vlan
switch(config)# system multicast pvlan route-replication

プライベート VLAN としての VLAN の構成

PVLAN を作成するには、まず VLAN を作成したうえで、その VLAN を PVLAN として設定します。

Before you begin

PVLAN 機能がイネーブルであることを確認します。

SUMMARY STEPS

  1. switch# configure terminal
  2. switch(config)# vlan {vlan-id | vlan-range}
  3. switch(config-vlan)# private-vlan {community | isolated | primary}
  4. (Optional) switch(config-vlan)# no private-vlan {community | isolated | primary}

DETAILED STEPS

  Command or Action Purpose

Step 1

switch# configure terminal

グローバル構成モードを開始します。

Step 2

switch(config)# vlan {vlan-id | vlan-range}

VLAN 設定サブモードにします。

Step 3

switch(config-vlan)# private-vlan {community | isolated | primary}

VLAN を、コミュニティ PVLAN、独立 PVLAN、またはプライマリ PVLAN として設定します。PVLAN には、プライマリ VLAN を 1 つ設定する必要があります。複数のコミュニティ VLAN と独立 VLAN を設定することができます。

Step 4

(Optional) switch(config-vlan)# no private-vlan {community | isolated | primary}

(Optional)

指定した VLAN から PVLAN の設定を削除し、通常の VLAN モードに戻します。プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。

Example

次の例は、VLAN 5 をプライマリ VLAN として PVLAN に割り当てる方法を示したものです。 

switch# configure terminal
switch(config)# vlan 5
switch(config-vlan)# private-vlan primary

次の例は、VLAN 100 をコミュニティ VLAN として PVLAN に割り当てる方法を示したものです。 

switch# configure terminal
switch(config)# vlan 100
switch(config-vlan)# private-vlan community

次の例は、VLAN 200 を隔離した VLAN として PVLAN に割り当てる方法を示したものです。 

switch# configure terminal
switch(config)# vlan 200
switch(config-vlan)# private-vlan isolated

セカンダリ VLAN とプライマリ プライベート VLAN の関連付け

セカンダリ VLAN をプライマリ VLAN とアソシエートするときには、次の事項に注意してください。

  • secondary-vlan-list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目は、単一のセカンダリ VLAN ID、またはセカンダリ VLAN ID をハイフンでつないだ範囲にできます。

  • secondary-vlan-list パラメータには、コミュニティ VALN ID を複数指定できるほか、独立 VLAN ID も 1 つ指定することができます。

  • セカンダリ VLAN をプライマリ VLAN に関連付けるには、secondary-vlan-list パラメータを入力するか、または secondary-vlan-list パラメータを指定して add キーワードを使用します。

  • セカンダリ VLAN とプライマリ VLAN 間の関連付けを消去するには、 secondary-vlan-list パラメータを指定して remove キーワードを使用します。

  • セカンダリ VLAN とプライマリ VLAN とのアソシエーションを変更するには、既存のアソシエーションを削除し、次に必要なアソシエーションを追加します。

プライマリ VLAN とセカンダリ VLAN のいずれかを削除した場合、関連付けが設定されているポート上では、その VLAN は非アクティブになります。no private-vlan コマンドを入力すると、VLAN は通常の VLAN モードに戻ります。その VLAN におけるプライマリとセカンダリの関連付けはすべて一時停止されますが、インターフェイスは PVLAN モードのままです。指定した VLAN を PVLAN モードに再変換すると、関連付けも元の状態に戻ります。

プライマリ VLAN に対して no vlan コマンドを入力すると、その VLAN に関連付けされたすべての PVLAN は失われます。ただし、セカンダリ VLAN に対して no vlan コマンドを入力すると、その VLAN と PVLAN との関連付けは一時停止します。この VLAN を再作成して以前のセカンダリ VLAN として設定すると、関連付けは復活します。

Before you begin

PVLAN 機能がイネーブルであることを確認します。

SUMMARY STEPS

  1. switch# configure terminal
  2. switch(config)# vlan primary-vlan-id
  3. switch(config-vlan)# private-vlan association {[add] secondary-vlan-list | remove secondary-vlan-list}
  4. (Optional) switch(config-vlan)# no private-vlan association

DETAILED STEPS

  Command or Action Purpose

Step 1

switch# configure terminal

グローバル構成モードを開始します。

Step 2

switch(config)# vlan primary-vlan-id

PVLAN の設定作業を行うプライマリ VLAN の番号を入力します。

Step 3

switch(config-vlan)# private-vlan association {[add] secondary-vlan-list | remove secondary-vlan-list}

セカンダリ VLAN をプライマリ VLAN に関連付けます。セカンダリ VLAN とプライマリ VLAN 間の関連付けを消去するには、 secondary-vlan-list パラメータを指定して remove キーワードを使用します。

Step 4

(Optional) switch(config-vlan)# no private-vlan association

(Optional)

プライマリ VLAN からすべての関連付けを削除し、通常の VLAN モードに戻します。

Example

次の例は、コミュニティ VLAN 100 ~ 110 および独立 VLAN 200 をプライマリ VLAN 5 に関連付ける方法を示したものです。 

switch# configure terminal
switch(config)# vlan 5
switch(config-vlan)# private-vlan association 100-110, 200

プライベート VLAN ホスト ポートとしてのインターフェイスの設定

PVLAN では、ホスト ポートはセカンダリ VLAN の一部であり、セカンダリ VLAN はコミュニティ VLAN または独立 VLAN のいずれかです。PVLAN のホスト ポートを設定する手順には 2 つのステップがあります。1 つ目はポートを PVLAN のホスト ポートとして定義すること、2 つ目はプライマリ VLAN とセカンダリ VLAN のホスト アソシエーションを設定することです。


Note

ホスト ポートとして設定したすべてのインターフェイスで BPDU ガードをイネーブルにすることを推奨します。

Before you begin

PVLAN 機能がイネーブルであることを確認します。

SUMMARY STEPS

  1. switch# configure terminal
  2. switch(config)# interface type [chassis/]slot/port
  3. switch(config-if)# switchport mode private-vlan host
  4. switch(config-if)# switchport private-vlan host-association {primary-vlan-id} {secondary-vlan-id}
  5. (Optional) switch(config-if)# no switchport private-vlan host-association

DETAILED STEPS

  Command or Action Purpose

Step 1

switch# configure terminal

グローバル構成モードを開始します。

Step 2

switch(config)# interface type [chassis/]slot/port

PVLAN のホスト ポートとして設定するポートを選択します。このポートとしては、FEX のポートを選択できます(chassis オプションで指定)。

Step 3

switch(config-if)# switchport mode private-vlan host

選択したポートを PVLAN のホスト ポートとして設定します。

Step 4

switch(config-if)# switchport private-vlan host-association {primary-vlan-id} {secondary-vlan-id}

選択したポートを、PVLAN のプライマリ VLAN とセカンダリ VLAN に関連付けます。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかとして設定できます。

Step 5

(Optional) switch(config-if)# no switchport private-vlan host-association

(Optional)

PVLAN の関連付けをポートから削除します。

Example

次の例は、PVLAN のホスト ポートとしてイーサネット ポート 1/12 を設定し、プライマリ VLAN 5 とセカンダリ VLAN 101 にそのポートを関連付ける方法を示したものです。 

switch# configure terminal
switch(config)# interface ethernet 1/12
switch(config-if)# switchport mode private-vlan host
switch(config-if)# switchport private-vlan host-association 5 101

プライベート VLAN 無差別ポートとしてのインターフェイスの設定

PVLAN ドメインでは、無差別ポートはプライマリ VLAN の一部です。無差別ポートを設定する手順には 2 つのステップがあります。1 つ目はポートを無差別ポートとして定義すること、2 つ目はセカンダリ VLAN とプライマリ VLAN とのマッピングを設定することです。

Before you begin

PVLAN 機能がイネーブルであることを確認します。

SUMMARY STEPS

  1. switch# configure terminal
  2. switch(config)# interface type slot/port
  3. switch(config-if)# switchport mode private-vlan promiscuous
  4. switch(config-if)# switchport private-vlan mapping {primary-vlan-id} {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}
  5. (Optional) switch(config-if)# no switchport private-vlan mapping

DETAILED STEPS

  Command or Action Purpose

Step 1

switch# configure terminal

グローバル構成モードを開始します。

Step 2

switch(config)# interface type slot/port

PVLAN の無差別ポートとして設定するポートを選択します。物理インターフェイスが必要です。このポートとして、FEX のポートを選択することはできません。

Step 3

switch(config-if)# switchport mode private-vlan promiscuous

選択したポートを PVLAN の無差別ポートとして設定します。物理イーサネット ポートのみを、無差別ポートとしてイネーブルにできます。

Step 4

switch(config-if)# switchport private-vlan mapping {primary-vlan-id} {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}

ポートを無差別ポートとして設定し、プライマリ VLAN と、セカンダリ VLAN の選択リストに、指定したポートをアソシエートします。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかとして設定できます。

Step 5

(Optional) switch(config-if)# no switchport private-vlan mapping

(Optional)

PVLAN から、マッピングをクリアします。

Example

次の例は、プライマリ VLAN 5 およびセカンダリ独立 VLAN 200 に関連付けられた無差別ポートとしてイーサネット インターフェイス 1/4 を設定する方法を示したものです。 

switch# configure terminal
switch(config)# interface ethernet 1/4
switch(config-if)# switchport mode private-vlan promiscuous
switch(config-if)# switchport private-vlan mapping 5 200

プライベート VLAN 独立トランク ポートとしてのレイヤ 2 インターフェイスの設定

レイヤ 2 インターフェイスをプライベート VLAN 独立トランス ポートとして設定できます。これらの独立トランク ポートは、複数のセカンダリ VLAN と通常の VLAN のトラフィックを伝送します。


(注)  

プライマリ VLAN とセカンダリ VLAN は、プライベート VLAN 独立トランク ポート上で動作可能になる前に関連付ける必要があります。

始める前に

プライベート VLAN 機能がイネーブルであることを確認してください。

手順の概要

  1. config t
  2. interface {type slot/port}
  3. switchport
  4. switchport mode private-vlan trunk secondary
  5. (任意) switchport private-vlan trunk native vlan vlan-id
  6. switchport private-vlan trunk allowed vlan {add vlan-list | all | except vlan-list | none | remove vlan-list}
  7. [no] switchport private-vlan association trunk {primary-vlan-id [secondary-vlan-id]}
  8. exit
  9. (任意) show interface switchport
  10. (任意) copy running-config startup-config

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

config t

例:

switch# config t
switch(config)#

コンフィギュレーション モードに入ります。

ステップ 2

interface {type slot/port}

例:

switch(config)# interface ethernet 2/11
switch(config-if)#

プライベート VLAN 独立トランク ポートとして設定するレイヤ 2 ポートを選択します。

ステップ 3

switchport

例:

switch(config-if)# switchport
switch(config-if)#

レイヤ 2 ポートをスイッチ ポートとして設定します。

ステップ 4

switchport mode private-vlan trunk secondary

例:

switch(config-if)# switchport mode private-vlan trunk secondary
switch(config-if)#

レイヤ 2 ポートを、複数の独立 VLAN のトラフィックを伝送する独立トランク ポートとして設定します。

(注)  

 

コミュニティ VLAN は独立トランク ポートにはできません。

ステップ 5

(任意) switchport private-vlan trunk native vlan vlan-id

例:

switch(config-if)# switchport private-vlan trunk native vlan 5
 (任意)

802.1Q トランクのネイティブ VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。デフォルト値は 1 です。

(注)  

 

プライベート VLAN を独立トランク ポートのネイティブ VLAN として使用している場合は、セカンダリ VLAN または標準 VLAN の値を入力する必要があります。プライマリ VLAN をネイティブ VLAN として設定することはできません。

ステップ 6

switchport private-vlan trunk allowed vlan {add vlan-list | all | except vlan-list | none | remove vlan-list}

例:

switch(config-if)# switchport private-vlan trunk allowed vlan add 1
switch(config-if)#

プライベート VLAN 独立トランク インターフェイスの許容 VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。

プライベート プライマリ VLAN およびセカンダリ VLAN を独立トランク ポートにマッピングすると、すべてのプライマリ VLAN がこのポートの許可される VLAN リストに自動的に追加されます。

(注)  

 

ネイティブ VLAN が許可される VLAN リストに含まれていることを確認します。このコマンドでは、デフォルトでこのインターフェイス上の VLAN が許可されないため、ネイティブ VLAN トラフィックを通過させるには、ネイティブ VLAN を許可される VLAN として設定する必要があります(関連する VLAN として追加済みでない場合)。

ステップ 7

[no] switchport private-vlan association trunk {primary-vlan-id [secondary-vlan-id]}

例:

switch(config-if)# switchport private-vlan association trunk 10 101
switch(config-if)#

レイヤ 2 独立トランク ポートを、プライベート VLAN のプライマリ VLAN およびセカンダリ VLAN に関連付けます。セカンダリ VLAN は独立 VLAN である必要があります。各独立トランク ポートに対し、最大 16 個のプライベート VLAN のプライマリとセカンダリのペアを関連付けられます。作業中のプライマリ VLAN とセカンダリ VLAN のペアごとに、コマンドを再入力する必要があります。

(注)  

 

独立トランク ポートの各セカンダリ VLAN は、別々のプライマリ VLAN に関連付ける必要があります。同じプライマリ VLAN に関連付けられた 2 つの独立 VLAN を、プライベート VLAN 独立トランク ポートに接続することはできません。これを行った場合、最新のエントリが前のエントリを上書きします。

または

プライベート VLAN 独立トランク ポートからプライベート VLAN の関連付けを削除します。

ステップ 8

exit

例:

switch(config-if)# exit
switch(config)#

インターフェイス コンフィギュレーション モードを終了します。

ステップ 9

(任意) show interface switchport

例:

switch# show interface switchport
 (任意)

スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。

ステップ 10

(任意) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
 (任意)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

次に、レイヤ 2 ポート 2/1 を、3 つの異なるプライマリ VLAN と関連セカンダリ VLAN に関連付けられたプライベート VLAN 独立トランク ポートとして設定する例を示します。 

switch# config t
switch(config)# interface ethernet 2/1
switch(config-if)# switchport mode private-vlan trunk secondary
switch(config-if)# switchport private-vlan trunk allowed vlan add 1
switch(config-if)# switchport private-vlan association trunk 10 101
switch(config-if)# switchport private-vlan association trunk 20 201
switch(config-if)# switchport private-vlan association trunk 30 102
switch(config-if)# exit
switch(config)#

プライベート VLAN 無差別トランク ポートとしてのレイヤ 2 インターフェイスの設定

レイヤ 2 インターフェイスをプライベート VLAN の無差別トランク ポートとして設定し、その無差別トランク ポートを複数のプライマリ VLAN に関連付けることができます。これらの無差別トランク ポートは、複数のプライマリ VLAN と通常の VLAN のトラフィックを伝送します。


(注)  

プライマリ VLAN とセカンダリ VLAN は、プライベート VLAN 無差別トランク ポート上で動作可能になる前に関連付ける必要があります。

始める前に

プライベート VLAN 機能がイネーブルであることを確認してください。

手順の概要

  1. config t
  2. interface {type slot/port}
  3. switchport
  4. switchport mode private-vlan trunk promiscuous
  5. (任意) switchport private-vlan trunk native vlan vlan-id
  6. switchport mode private-vlan trunk allowed vlan {add vlan-list | all | except vlan-list | none | remove vlan-list}
  7. [no]switchport private-vlan mapping trunk primary-vlan-id [secondary-vlan-id] {add secondary-vlan-list | remove secondary-vlan-id}
  8. exit
  9. (任意) show interface switchport
  10. (任意) copy running-config startup-config

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

config t

例:

switch# config t
switch(config)#

コンフィギュレーション モードに入ります。

ステップ 2

interface {type slot/port}

例:

switch(config)# interface ethernet 2/1
switch(config-if)#

プライベート VLAN 無差別トランク ポートとして設定するレイヤ 2 ポートを選択します。

ステップ 3

switchport

例:

switch(config-if)# switchport
switch(config-if)#

レイヤ 2 ポートをスイッチ ポートとして設定します。

ステップ 4

switchport mode private-vlan trunk promiscuous

例:

switch(config-if)# switchport mode private-vlan trunk promiscuous
switch(config-if)#

レイヤ 2 ポートを、複数のプライベート VLAN と通常の VLAN のトラフィックを伝送するための無差別トランク ポートして設定します。

ステップ 5

(任意) switchport private-vlan trunk native vlan vlan-id

例:

switch(config-if)# switchport private-vlan trunk native vlan 5
 (任意)

802.1Q トランクのネイティブ VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。デフォルト値は 1 です。

(注)  

 

プライベート VLAN を無差別トランク ポートのネイティブ VLAN として使用している場合は、プライマリ VLAN または標準 VLAN の値を入力する必要があります。セカンダリ VLAN をネイティブ VLAN として設定することはできません。

ステップ 6

switchport mode private-vlan trunk allowed vlan {add vlan-list | all | except vlan-list | none | remove vlan-list}

例:

switch(config-if)# switchport private-vlan trunk allowed vlan add 1
switch(config-if)#

プライベート VLAN 無差別トランク インターフェイスの許可 VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。

プライベート プライマリ VLAN およびセカンダリ VLAN を無差別トランク ポートにマッピングすると、すべてのプライマリ VLAN がこのポートの許可される VLAN リストに自動的に追加されます。

(注)  

 

ネイティブ VLAN が許可される VLAN リストに含まれていることを確認します。このコマンドでは、デフォルトでこのインターフェイス上の VLAN が許可されないため、ネイティブ VLAN トラフィックを通過させるには、ネイティブ VLAN を許可される VLAN として設定する必要があります(関連する VLAN として追加済みでない場合)。

ステップ 7

[no]switchport private-vlan mapping trunk primary-vlan-id [secondary-vlan-id] {add secondary-vlan-list | remove secondary-vlan-id}

例:

switch(config-if)# switchport private-vlan mapping trunk 4 add 5
switch(config-if)#

無差別トランク ポートと、プライマリ VLAN および選択した関連するセカンダリ VLAN のリストをマッピングするかマッピングを削除します。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかとして設定できます。トラフィックを通過させるには、プライマリ VLAN とセカンダリ VLAN の間のプライベート VLAN の関連付けが動作する必要があります。各無差別トランク ポートに対し、最大 16 個のプライベート VLAN のプライマリとセカンダリのペアをマッピングできます。作業しているプライマリ VLAN それぞれに対してコマンドを再入力する必要があります。

または

インターフェイスからプライベート VLAN 無差別トランク マッピングを削除します。

ステップ 8

exit

例:

switch(config-if)# exit
switch(config)#

インターフェイス コンフィギュレーション モードを終了します。

ステップ 9

(任意) show interface switchport

例:

switch# show interface switchport
 (任意)

スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。

ステップ 10

(任意) copy running-config startup-config

例:

switch(config)# copy running-config startup-config
 (任意)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

次に、レイヤ 2 ポート 2/1 を、2 つのプライマリ VLAN とそれに関連するセカンダリ VLAN に関連付けられた無差別トランク ポートとして設定する例を示します。 

switch# config t
switch(config)# interface ethernet 2/1
switch(config-if)# switchport
switch(config-if)# switchport mode private-vlan trunk promiscuous
switch(config-if)# switchport private-vlan trunk allowed vlan add 1
switch(config-if)# switchport private-vlan mapping trunk 2 add 3
switch(config-if)# switchport private-vlan mapping trunk 4 add 5
switch(config-if)# switchport private-vlan mapping trunk 1 add 20
switch(config-if)# exit
switch(config)#

プライマリ VLAN の VLAN インターフェイスへのセカンダリ VLAN のマッピング


Note
プライベート VLN のプライマリ VLAN の VLAN インターフェイスへの IP アドレスの割り当ての詳細については、[Cisco Nexus 7000 Series NX-OS インターフェイス構成ガイド’(Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide)] を参照してください。

セカンダリ VLAN を、プライマリ VLAN の VLAN インターフェイスにマッピングします。独立 VLAN およびコミュニティ VLAN は、ともにセカンダリ VLAN と呼ばれます。プライベート VLAN の入力トラフィックをレイヤ 3 で処理するには、セカンダリ VLAN をプライマリ VLAN の VLAN ネットワーク インターフェイスにマッピングします。


Note

VLAN ネットワーク インターフェイスを設定する前に、VLAN ネットワーク インターフェイスをイネーブルにする必要があります。プライマリ VLAN に関連付けられたコミュニティ VLAN または独立 VLAN 上の VLAN ネットワーク インターフェイスは、アウト オブ サービスになります。稼働するのは、プライマリ VLAN 上の VLAN ネットワーク インターフェイスだけです。

Before you begin

  • プライベート VLAN 機能をイネーブルにする。

  • VLAN インターフェイス機能をイネーブルにする。

  • 正しい VDC を開始していること(または switchto vdc コマンドを入力済みであること)を確認してください。VDC が異なっていても同じ VLAN 名と ID を使用できるので、正しい VDC で作業していることを確認する必要があります。

  • セカンダリ VLAN のマッピング先となる正しいプライマリ VLAN レイヤ 3 インターフェイスで作業をしていること。

SUMMARY STEPS

  1. config t
  2. interface vlan primary-vlan-ID
  3. 次のいずれかのコマンドを入力します。
  4. exit
  5. (Optional) show interface vlan primary-vlan-id private-vlan mapping
  6. (Optional) copy running-config startup-config

DETAILED STEPS

  Command or Action Purpose

Step 1

config t

Example:

switch# config t
switch(config)#

グローバル コンフィギュレーション モードを開始します

Step 2

interface vlan primary-vlan-ID

Example:

switch(config)# interface vlan 5
switch(config-if)#

プライベート VLAN の設定作業を行うプライマリ VLAN の番号を入力します。

Step 3

次のいずれかのコマンドを入力します。

オプション 説明
private-vlan mapping {[add] secondary-vlan-list | remove secondary-vlan-list}

セカンダリ VLAN を、プライマリ VLAN の SVI またはレイヤ 3 インターフェイスにマッピングします。これにより、プライベート VLAN 入力トラフィックのレイヤ 3 スイッチングが可能になります。

no private-vlan mapping

セカンダリ VLAN とプライマリ VLAN 間のレイヤ 3 インターフェイスへのマッピングを消去します。

Example:

switch(config-if)# private-vlan mapping 100-105, 109

Step 4

exit

Example:

switch(config-if)# exit
switch(config)#

インターフェイス コンフィギュレーション モードを終了します。

Step 5

(Optional) show interface vlan primary-vlan-id private-vlan mapping

Example:

switch(config)# show interface vlan 101 private-vlan mapping
 (Optional)

インターフェイスのプライベート VLAN 情報を表示します。

Step 6

(Optional) copy running-config startup-config

Example:

switch(config)# copy running-config startup-config
 (Optional)

実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

Example

次に、セカンダリ VLAN 100 ~ 105 および 109 を、プライマリ VLAN 5 のレイヤ 3 インターフェイスにマッピングする例を示します。 

switch # config t 
switch(config)# interface vlan 5
switch(config-if)# private-vlan mapping 100-105, 109
switch(config-if)# exit
switch(config)#

プライベート VLAN 設定の確認

PVLAN の設定情報を表示するには、次のコマンドを使用します。

コマンド

目的

switch# show feature

スイッチでイネーブル化されている機能を表示します。

switch# show interface switchport

スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。

switch# show vlan private-vlan [type]

PVLAN のステータスを表示します。

次の例は、PVLAN 設定の表示方法を示したものです。 

switch# show vlan private-vlan
Primary  Secondary  Type             Ports
-------  ---------  ---------------  -------------------------------------------
5        100        community
5        101        community        Eth1/12, Eth100/1/1
5        102        community
5        110        community
5        200        isolated         Eth1/2
switch# show vlan private-vlan type
Vlan Type
---- -----------------
5    primary
100  community
101  community
102  community
110  community
200  isolated

次の例は、イネーブル化されている機能の表示方法を示したものです(出力については一部割愛してあります)。 

switch# show feature
Feature Name          Instance  State
--------------------  --------  --------
fcsp                  1         enabled
...
interface-vlan        1         enabled
private-vlan          1         enabled
udld                  1         disabled
...