セカンダリ VLAN およびプライマリ VLAN
• プライベート VLAN を設定して、VTP をトランスペアレント モードに設定した後は、VTP モードをクライアントまたはサーバに変更できません。VTP については、「VLAN トランキング プロトコル(VTP)」を参照してください。
• プライベート VLAN の設定後は、 copy running-config startup config 特権 EXEC コマンドを使用して、VTP トランスペアレント モード設定およびプライベート VLAN 設定を startup-config ファイルに保存してください。スイッチがリセットした場合、プライベート VLAN をサポートするためにデフォルトで VTP トランスペアレント モードになる必要があります。
• VTP バージョン 1 および 2 では、VTP は、プライベート VLAN 設定を伝播しません。プライベート VLAN ポートを使用する装置ごとにプライベート VLAN を設定する必要があります。VTP バージョン 3 では、VTP はプライベート VLAN 設定を自動的に伝播します。
• VLAN 1 または VLAN 1002 ~ 1005 をプライマリ VLAN またはセカンダリ VLAN として設定できません。拡張 VLAN(VLAN ID 1006 ~ 4094)は、プライベート VLAN に属することができません。イーサネット VLAN だけをプライベート VLAN にすることができます。
• プライマリ VLAN には、1 つの独立 VLAN および複数のコミュニティ VLAN を関連付けることができます。独立 VLAN またはコミュニティ VLAN には、1 つのプライマリ VLAN だけを関連付けることができます。
• セカンダリ VLAN をプライマリ VLAN に関連付けられている場合、ブリッジ プライオリティなどのプライマリ VLAN の STP パラメータは、セカンダリ VLAN に伝播されます。ただし、STP パラメータが必ずしもその他のデバイスに伝播されるとはかぎりません。STP 設定を手動でチェックして、プライマリ VLAN、独立 VLAN、コミュニティ VLAN のスパニングツリー トポロジが一致することを確認してください。これらの VLAN が同じ転送データベースを適切に共有できるようにするためです。
• スイッチの MAC アドレス リダクション機能をイネーブルにする場合は、プライベート VLAN の STP トポロジが一致するように、ネットワーク内のすべてのデバイス上で MAC アドレス リダクション機能をイネーブルにする必要があります。
• プライベート VLAN が設定されているネットワーク内で、一部のデバイスの MAC アドレス リダクション機能をイネーブルにし、他のデバイスでディセーブルにした場合は(混在環境)、プライマリ VLAN や、関連付けられたすべての独立 VLAN およびコミュニティ VLAN に対してルート ブリッジが共通となるように、デフォルトのブリッジ プライオリティを使用します。MAC アドレス リダクション機能がシステム上でイネーブルであるかどうかに関係なく、この機能の対象範囲に矛盾がないようにしてください。MAC アドレス リダクションは個々のレベルにしか対応せず、範囲としてはすべての中間値を内部的に使用します。プライベート VLAN および MAC アドレス リダクション機能を持つルート ブリッジをディセーブルにし、ルート ブリッジに、ルート ブリッジ以外で使用される最も高いプライオリティの範囲よりもさらに高いプライオリティを設定する必要があります。
• セカンダリ VLAN に VLAN ACL(VACL)を適用できません (「VLAN ACL(VACL)」 を参照)。
• DHCP スヌーピングはプライベート VLAN 上でイネーブルにできます。プライマリ VLAN で DHCP スヌーピングをイネーブルにすると、DHCP スヌーピングはセカンダリ VLAN に伝播されます。セカンダリ VLAN で DHCP を設定しても、プライマリ VLAN をすでに設定している場合、DHCP 設定は有効になりません。
• プライベート VLAN でトラフィックを伝送しないデバイスのトランクから、プライベート VLAN をプルーニングすることを推奨します。
• プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN には、別々の Quality of Service(QoS)設定を適用できます ( を参照)。
• プライベート VLAN を設定すると、スティッキ アドレス解決プロトコル(ARP)がデフォルトでイネーブルになり、レイヤ 3 プライベート VLAN インターフェイスで学習した ARP エントリはスティッキ ARP エントリになります。セキュリティ上の理由から、プライベート VLAN ポートのスティッキ ARP エントリには期限切れがありません。 スティッキ ARP の設定については、を参照してください。
• プライベート VLAN インターフェイスの ARP エントリを表示して確認することを推奨します。
• スティッキ ARP は、ARP エントリ(IP アドレス、MAC アドレス、および送信元 VLAN)が期限切れしないようにすることにより、MAC アドレス スプーフィングを防ぎます。スティッキ ARP はインターフェイスごとに設定できます。スティッキ ARP の設定については、を参照してください。次の注意事項および制約事項が、プライベート VLAN のスティッキ ARP に適用されます。
– レイヤ 3 プライベート VLAN インターフェイスで学習した ARP エントリは、 スティッキ ARP エントリ です。
– IP アドレスが同じでも、MAC アドレスが異なるデバイスを接続すると、メッセージが表示され、ARP エントリは作成されません。
– プライベート VLAN ポートのスティッキ ARP エントリには期限がないため、MAC アドレスが変更された場合は、プライベート VLAN ポートの ARP エントリを手動で削除する必要があります。プライベート VLAN の ARP エントリを手動で追加または削除する方法は、次のとおりです。
Router(config)# no arp 11.1.3.30
IP ARP:Deleting Sticky ARP entry 11.1.3.30
Router(config)# arp 11.1.3.30 0000.5403.2356 arpa
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by hw:0000.5403.2356
• プライマリ VLAN およびセカンダリ VLAN で VLAN マップを設定できます (「VLAN アクセス マップの適用」を参照)。ただし、プライベート VLAN のプライマリ VLAN およびセカンダリ VLAN では、同一 VLAN マップを設定することを推奨します。
• フレームがプライベート VLAN 内においてレイヤ 2 で転送されると、入力側と出力側で同じ VLAN マップが適用されます。プライベート VLAN 内部から外部ポートにフレームがルーティングされると、プライベート VLAN マップが入力側で適用されます。
– フレームがホスト ポートから無差別ポートにアップストリームで送信される場合は、セカンダリ VLAN で設定された VLAN マップが適用されます。
– フレームが無差別ポートからホスト ポートにダウンストリームで送信される場合は、プライマリ VLAN で設定された VLAN マップが適用されます。
プライベート VLAN の特定 IP トラフィックをフィルタリングするには、プライマリ VLAN およびセカンダリ VLAN の両方に VLAN マップを適用する必要があります。
• 発信されるすべてのプライベート VLAN トラフィックに Cisco IOS 出力 ACL を適用するには、プライマリ VLAN のレイヤ 3 VLAN インターフェイス上でこの ACL を設定します (「MAC アドレスベースのトラフィック ブロッキング」 を参照)。
• プライマリ VLAN のレイヤ 3 VLAN インターフェイスに適用された Cisco IOS ACL は、関連する独立 VLAN およびコミュニティ VLAN にも自動的に適用されます。
• Cisco IOS ACL を独立 VLAN またはコミュニティ VLAN には適用しないでください。独立 VLAN およびコミュニティ VLAN に適用される Cisco IOS ACL の設定は、VLAN がプライベート VLAN の設定に含まれている場合、非アクティブです。
• プライベート VLAN がレイヤ 2 でホストを分離していても、ホストはレイヤ 3 で互いに通信できます。
• プライベート VLAN では、次のスイッチド ポート アナライザ(SPAN)機能がサポートされます。
– プライベート VLAN ポートを SPAN 送信元ポートとして設定できます。
– プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN 上で VLAN-based SPAN(VSPAN; VLAN ベースの SPAN)を使用したり、単一の VLAN 上で SPAN を使用したりして、出力トラフィックまたは入力トラフィックを個別にモニタすることができます。
– SPAN の詳細については、を参照してください。
プライベート VLAN ポート
• プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN にポートを割り当てるには、プライベート VLAN コンフィギュレーション コマンドだけを使用します。プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN として設定する VLAN に割り当てられているレイヤ 2 アクセス ポートは、この VLAN がプライベート VLAN の設定に含まれている場合、非アクティブです。レイヤ 2 トランク インターフェイスは STP フォワーディング ステートのままです。
• PAgP または LACP EtherChannel に属するポートを、プライベート VLAN ポートとして設定しないでください。ポートがプライベート VLAN の設定に含まれている間は、そのポートの EtherChannel 設定はいずれも非アクティブです。
• 設定ミスによって STP ループが発生しないようにして、STP コンバージェンスを高速化するには、独立ホスト ポートおよびコミュニティ ホスト ポート上で PortFast および BPDU ガードをイネーブルにします (「オプションの STP 機能」を参照)。イネーブルにすると、STP によってすべての PortFast 設定済みレイヤ 2 LAN ポートに BPDU ガード機能が適用されます。無差別ポートでは、PortFast および BPDU ガードをイネーブルにしないでください。
• プライベート VLAN の設定で使用される VLAN を削除すると、この VLAN に関連付けられたプライベート VLAN ポートが非アクティブになります。
• ネットワーク デバイスをトランク接続し、プライマリ VLAN およびセカンダリ VLAN がトランクから削除されていない場合、プライベート VLAN ポートはさまざまなネットワーク デバイス上で使用できます。
• プライベート VLAN に関連するすべてのプライマリ VLAN、独立 VLAN、コミュニティ VLAN では、トランク間で同一トポロジーを維持する必要があります。すべての関連 VLAN で同じ STP ブリッジ パラメータとトランク ポート パラメータを設定し、同一トポロジーを維持することを強く推奨します。
その他の機能の制限事項
• VTP バージョン 3 はプライベート VLAN(PVLAN)ポートではサポートされません。
• 一部の状況では、エラー メッセージが表示されずに設定が受け入れられますが、コマンドには効果がありません。
• プライベート VLAN が設定されたスイッチにフォールバック ブリッジングを設定しないでください。
• ポートが現在プライベート VLAN モードになっており、ポートがプライマリ ポート、独立ポート、コミュニティ ポートのうちのいずれかであることをプライベート VLAN 設定が示している場合、ポートはプライベート VLAN 機能だけに影響されます。ダイナミック トランキング プロトコル(DTP)などのその他のモードにポートがなっている場合、ポートはプライベート ポートとして機能しません。
• 次のようなその他の機能用に設定したインターフェイスでは、プライベート VLAN ポートを設定しないでください。
– ポート集約プロトコル(PAgP)
– リンク集約制御プロトコル(LACP)
– 音声 VLAN
• IEEE 802.1x ポートベース認証をプライベート VLAN ポートで設定できますが、ポート セキュリティ、音声 VLAN、またはユーザごとの ACL と一緒に 802.1x をプライベート VLAN ポートに設定しないでください。
• プライベート VLAN のプライマリ VLAN またはセカンダリ VLAN として、Remote SPAN(RSPAN)VLAN を設定しないでください。SPAN の詳細については、を参照してください。
• プライベート VLAN ホストまたは無差別ポートは、SPAN 宛先ポートにはできません。SPAN 宛先ポートをプライベート VLAN ポートとして設定すると、ポートは非アクティブになります。
• 宛先 SPAN ポートを独立ポートにしないでください。送信元 SPAN ポートを独立ポートにすることはできます。VSPAN を設定して、プライマリ VLAN およびセカンダリ VLAN の両方を拡張するか、入力トラフィックまたは出力トラフィックだけが重要な場合はそのどちらかを拡張できます。
• 各 VLAN 間でショートカットを使用する場合(このうちいずれかの VLAN がプライベート VLAN である場合)は、プライマリ VLAN、独立 VLAN、コミュニティ VLAN を考慮してください。プライマリ VLAN は、宛先および仮想送信元の両方として使用する必要があります。セカンダリ VLAN(真の送信元)が、レイヤ 2 FID テーブルでプライマリ VLAN に常に再マッピングされるからです。
• プライマリ VLAN の無差別ポートでスタティック MAC アドレスを設定する場合は、すべての関連セカンダリ VLAN に同じスタティック アドレスを追加する必要があります。セカンダリ VLAN のホスト ポートでスタティック MAC アドレスを設定する場合は、関連プライマリ VLAN に同じスタティック MAC アドレスを追加する必要があります。プライベート VLAN ポートからスタティック MAC アドレスを削除する場合は、設定した MAC アドレスのすべてのインスタンスをプライベート VLAN から削除する必要があります。
(注) プライベート VLAN の 1 つの VLAN で学習したダイナミック MAC アドレスは、関連 VLAN で複製されます。たとえば、セカンダリ VLAN で学習した MAC アドレスは、プライマリ VLAN で複製されます。元のダイナミック MAC アドレスが削除されるか期限切れになると、複製されたアドレスは MAC アドレス テーブルから削除されます。
• プライベート VLAN ポートを EtherChannel として設定しないでください。ポートはプライベート VLAN 設定の一部にすることができますが、ポートの EtherChannel 設定はいずれも非アクティブになります。