PVLAN の設定

この章で説明する内容は、次のとおりです。

VXLAN 上のプライベート VLAN について

プライベート VLAN の機能は、VLAN のレイヤ 2 ブロードキャスト ドメインをサブドメインに分割できます。サブドメインは、プライマリ VLAN とセカンダリ VLAN で構成されるプライベート VLAN のペアで表されます。プライベート VLAN ドメインには複数のプライベート VLAN のペアを設定でき、それぞれのペアを各サブドメインに割り当てることができます。プライベート VLAN ドメイン内のすべての VLAN ペアは、同じプライマリ VLAN を共有します。セカンダリ VLAN ID は、各サブドメインの区別に使用されます。

プライベート VLAN over VXLAN は、プライベート VLAN を VXLAN 全体に拡張します。セカンダリ VLAN は、VXLAN 上の複数の VTEP に存在できます。MAC アドレスの学習は、プライマリ VLAN 上で行われ、BGP EVPN を介してアドバタイズされます。トラフィックがカプセル化される場合、使用される VNI はセカンダリ VLAN の VNI です。この機能は、エニーキャスト ゲートウェイもサポートします。エニーキャスト ゲートウェイは、プライマリ VLAN を使用して定義する必要があります。

図 1. L2VNI 30200 コミュニティ

VXLAN にわたるプライベート VLAN に関する注意事項および制約事項

VXLAN にわたるプライベート VLAN に関する注意事項と制約事項は次のとおりです。

  • 次のプラットフォームは、VXLAN 経由のプライベート VLAN をサポートします。

    • Cisco Nexus 9300-EX プラットフォーム スイッチ

    • Cisco Nexus 9300-FX/FX2 プラットフォーム スイッチ

    • Cisco Nexus 9300-GX プラットフォーム スイッチ

  • Cisco NX-OS リリース 9.3(9) 以降、vPC ピアリンク インターフェイスでは PVLAN 構成は許可されません。

  • Cisco NX-OS リリース 10.2(3)F 以降、VXLAN 経由のプライベート VLAN は Cisco Nexus 9300-FX3/GX2 プラットフォーム スイッチでサポートされます。

  • Cisco NX-OS リリース 10.4(1)F 以降、VXLAN 経由のプライベート VLAN は Cisco Nexus 9332D-H2R スイッチでサポートされます。

  • Cisco NX-OS リリース 10.4(2)F 以降、VXLAN 経由のプライベート VLAN は Cisco Nexus 93400LD-H1 スイッチでサポートされます。

  • Cisco NX-OS リリース 10.4(3)F 以降、VXLAN 経由のプライベート VLAN はCisco Nexus 9364C-H1 スイッチでサポートされます。

  • アンダーレイのフラッディングと学習はサポートされていません。

  • ファブリック エクステンダ(FEX)VLAN は、プライベート VLAN にマッピングできません。

  • vPC ファブリック ピアリングはプライベート VLAN をサポートします。

  • Cisco NX-OS リリース 10.4(1)F 以降、プライベート VLAN は Cisco Nexus C9348GC-FX3 および C9348GC-FX3PH でサポートされます。

  • Cisco NX-OS リリース 10.5(2)F 以降、プライベート VLAN は N9K-X9736C-FX3 ライン カードを搭載した Cisco Nexus 9500 シリーズ スイッチでサポートされます。

プライベート VLAN の設定例

次に、プライベート VLAN の設定例を示します。

vlan 500  
  private-vlan primary
  private-vlan association 501-503
  vn-segment 5000
vlan 501
  private-vlan isolated
  vn-segment 5001
vlan 502
  private-vlan community
  vn-segment 5002
vlan 503
  private-vlan community
  vn-segment 5003

vlan 1001
  !L3 VNI for tenant VRF
  vn-segment 900001

interface Vlan500
  no shutdown
  private-vlan mapping 501-503
  vrf member vxlan-900001
  no ip redirects  
  ip address 50.1.1.1/8
  ipv6 address 50::1:1:1/64
  no ipv6 redirects
  fabric forwarding mode anycast-gateway

interface Vlan1001
  no shutdown
  vrf member vxlan-900001
  no ip redirects  
  ip forward
  ipv6 forward
  ipv6 address use-link-local-only
  no ipv6 redirects

interface nve 1
  no shutdown
  host-reachability protocol bgp
  source-interface loopback0
  member vni 5000
    mcast-group 225.5.0.1
  member vni 5001
    mcast-group 225.5.0.2
  member vni 5002
    ingress-replication protocol bgp
  member vni 5003
    mcast-group 225.5.0.4
member vni 900001 associate-vrf

(注)  

外部ゲートウェイを使用する場合は、外部ルータへのインターフェイスを PVLAN 無差別ポートとして設定する必要があります。

 
interface ethernet 2/1
switchport
switchport mode private-vlan trunk promiscuous
switchport private-vlan mapping trunk 500 199,200,201
exit