この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
プライベート VLAN では、デバイスの分離を実現するために 3 種類のポート指定が使用されます。これらはそれぞれ独自のルール セットが定義されており、接続されたエンドポイントが同じプライベート VLAN ドメイン内の他の接続済みエンドポイントと通信できるかどうかは、ポート指定ごとに異なります。
プライベート VLAN ドメインは、1 つまたは複数の VLAN ペアから成ります。 プライマリ VLAN がドメインを形成し、各 VLAN ペアがサブドメインを形成します。 ペアになっている VLAN は、プライマリ VLAN とセカンダリ VLAN と呼ばれます。 1 つのプライベート VLAN 内の VLAN ペアはすべて、同一のプライマリ VLAN を持ちます。 セカンダリ VLAN ID が、サブドメイン間を区別するためのものです。 次の図を参照してください。
プライベート VLAN は、通常の VLAN とまったく同じように、複数のスイッチにまたがることができます。 スイッチ間リンク ポートは、特殊な VLAN タイプを認識する必要がなく、これらの VLAN でタグ付けされたフレームもその他のフレームとまったく同じように伝送します。 プライベート VLAN は、1 つのスイッチ内の独立ポートからのトラフィックが、スイッチ間リンクを伝送されたあと、別のスイッチ内の他の独立ポートまたはコミュニティ ポートに到達しない状態を確保します。 VLAN レベルでの分離情報を埋め込み、それをパケットと一緒に伝送することにより、ネットワーク全体での一貫した動作の維持が可能になります。 このため、レイヤ 2 通信を同一スイッチ内の 2 つの独立ポート間に限定するメカニズムが、2 つの異なるスイッチ内の 2 つの独立ポート間へのレイヤ 2 通信の限定も行います。
プライベート VLAN ドメイン内には、3 つの独立したポート指定があります。 各ポート指定が独自の一連のルールを持っており、これが、1 つのエンドポイントが同一プライベート VLAN ドメイン内にある他の接続エンドポイントと通信する能力を制御します。 次に示すのが、その 3 つのポート指定です。
次の図で、プライベート VLAN ポートを示します。
プライマリ VLAN には、プライベート VLAN ドメイン全体が含まれます。 これは各サブドメインの一部で、VLAN からのレイヤ 3 ゲートウェイを提供します。 プライベート VLAN ドメインには、プライマリ VLAN が 1 つのみ含まれています。 プライベート VLAN ドメインのポートはすべて、プライマリ VLAN のメンバです。 言い換えれば、プライマリ VLAN はプライベート VLAN ドメイン全体です。
名前が示すように、無差別ポートは、他のどのタイプのポートとも通信できます。 無差別ポートは独立ポートやコミュニティ ポートと通信できます。また、独立ポートやコミュニティ ポートは無差別ポートと通信できます。 レイヤ 3 ゲートウェイ、DHCP サーバ、およびカスタマー エンドポイントの通信を必要とするその他の信頼済みデバイスは、通常、無差別ポートと接続されています。 IEEE 802.1Q 仕様書の Annex D に記載されている用語によると、無差別ポートはアクセス ポート、またはハイブリッド/トランク ポートのいずれかです。
セカンダリ VLAN は、プライベート VLAN ドメイン内のポートの間でレイヤ 2 分離を提供します。 プライベート VLAN ドメインには 1 つ以上の VLAN サブドメインがあります。 1 つのサブドメインは 1 組の VLAN ペアから構成され、このペアはプライマリ VLAN とセカンダリ VLAN から構成されます。 プライマリ VLAN はすべてのサブドメインの一部であるため、VLAN サブドメインはセカンダリ VLAN により区別されます。
レイヤ 3 インターフェイスと通信するには、セカンダリ VLAN を、プライマリ VLAN にある少なくとも 1 つの無差別ポートと関連付ける必要があります。 たとえば、ロード バランシングや冗長性のために必要であれば、セカンダリ VLAN を、同一のプライベート VLAN ドメインにある複数の無差別ポートと関連付けることができます。 無差別ポートと関連付けられていないセカンダリ VLAN は、レイヤ 3 インターフェイスと通信できません。
セカンダリ VLAN は、次のタイプのいずれかです。
(注) |
プライベート VLAN ドメインは複数のコミュニティ VLAN を持つことができますが、独立 VLAN 1 つで、複数のお客様に十分サービスを提供することができます。 そのポートに接続されているエンドポートはすべて、レイヤ 2 で分離されます。 サービス プロバイダーは同じ独立 VLAN に複数のお客様を割り当てることができます。また、同じ独立 VLAN を共有する他のお客様が、レイヤ 2 トラフィックを傍聴できないことが保証されます。 |
(注) |
トランクはポート間でトラフィックを運ぶ VLAN をサポートできるため、VLAN トラフィックはトランク インターフェイスを介してデバイスに出入りすることができます。 |
次のテーブルは、プライベート VLAN ポートのタイプに応じて、どのようにアクセスが許可、または拒否されるかを示しています。
独立 | 無差別 | コミュニティ 1 | コミュニティ 2 | スイッチ間リンク ポート1 | |
---|---|---|---|---|---|
独立 |
Deny |
Permit |
Deny |
Deny |
Permit |
無差別 |
Permit |
Permit |
Permit |
Permit |
Permit |
コミュニティ 1 |
Deny |
Permit |
Permit |
Deny |
Permit |
コミュニティ 2 |
Deny |
Permit |
Deny |
Permit |
Permit |
スイッチ間リンク ポート |
Deny2 | Permit |
Permit |
Permit |
Permit |
プライベート VLAN に関する注意事項と制約事項は次のとおりです。
コントロール VLAN、パケット VLAN、および管理 VLAN は、プライベート VLAN ではなく、通常の VLAN として設定する必要があります。
パラメータ | デフォルト |
---|---|
プライベート VLAN |
無効 |
次の項では、プライベート VLAN の設定プロセスについて説明します。 1 つの手順を終了するたびに、この項に戻って、必要なすべての手順を正しい順序で実施しているか確認してください。
ステップ 1 | プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化。 プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化を参照してください。 |
ステップ 2 | プライマリ VLAN としての VLAN の設定。 プライマリ VLAN としての VLAN の設定を参照してください。 |
ステップ 3 | セカンダリ VLAN としての VLAN の設定。 セカンダリ VLAN としての VLAN の設定を参照してください。 |
ステップ 4 | PVLAN での VLAN の関連付け。 PVLAN での VLAN の関連付けを参照してください。 |
ステップ 5 | プライベート VLAN ホスト ポートの設定。 プライベート VLAN ホスト ポートの設定を参照してください。 |
ステップ 6 | ホスト ポートとプライベート VLAN の関連付け。 ホスト ポートとプライベート VLAN の関連付けを参照してください。 |
ステップ 7 | プライベート VLAN コンフィギュレーションの確認。 プライベート VLAN コンフィギュレーションの確認を参照してください。 |
プライベート VLAN 機能をグローバルにイネーブルまたはディセーブルにするには、次の手順を実行します。
switch# configure terminal switch(config)# feature private-vlan switch(config-vlan)# show feature Feature Name Instance State -------------------- -------- -------- dhcp-snooping 1 enabled http-server 1 enabled ippool 1 enabled lacp 1 enabled lisp 1 enabled lisphelper 1 enabled netflow 1 disabled port-profile-roles 1 enabled private-vlan 1 enabled sshServer 1 enabled tacacs 1 enabled telnetServer 1 enabled switch(config-vlan)#
VLAN を、PVLAN のプライマリ VLAN として動作するように設定するには、ここで説明する手順を実行します。
(注) |
この VLAN がまだ存在しない場合、プライマリ VLAN を作成する際に、その作成を促すメッセージが表示されます。 VLAN の作成方法については、VLAN の作成を参照してください。 |
switch# configure terminal switch(config)# vlan 202 switch(config-vlan)# private-vlan primary switch(config-vlan)# show vlan private-vlan Primary Secondary Type Ports ------- --------- --------------- ------------------------------------------- 202 primary switch(config-vlan)#
VLAN を、PVLAN のプライマリ VLAN として動作するように設定するには、ここで説明する手順を実行します。
(注) |
この VLAN がまだ存在しない場合、セカンダリ VLAN を作成する際に、その作成を促すメッセージが表示されます。 VLAN の作成方法については、VLAN の作成を参照してください。 |
switch# configure terminal switch(config)# vlan 202 switch(config-vlan)# private-vlan primary switch(config-vlan)# show vlan private-vlan Primary Secondary Type Ports ------- --------- --------------- ------------------------------------------- 202 primary switch(config-vlan)#
PVLAN のプライマリ VLAN をセカンダリ VLAN と関連付けるには、ここで説明する手順を実行します。
switch# configure terminal switch(config)# vlan 202 switch(config-vlan)# private-vlan association add 303 switch(config-vlan)# show vlan private-vlan Primary Secondary Type Ports ------- --------- --------------- ------------------------------------------- 202 303 community Veth1 n1000v(config-vlan)#
PVLAN で機能するように、インターフェイスをホスト ポートとして設定するには、ここで説明する手順を実行します。
switch# configure terminal switch(config)# interface veth1 switch(config-if)# switchport mode private-vlan host switch(config-if)# show interface veth1 Vethernet1 is up Hardware is Virtual, address is 0050.56b0.34c8 Owner is VM "HAM61-RH5-32bit-ENVM-7.60.1.3" Active on module 2, host VISOR-HAM61.localdomain 0 VMware DVS port 16777215 Port-Profile is vlan631 Port mode is Private-vlan host Rx 48600 Input Packets 34419 Unicast Packets 0 Multicast Packets 14181 Broadcast Packets 4223732 Bytes Tx 34381 Output Packets 34359 Unicast Packets 22 Multicast Packets 0 Broadcast Packets 0 Flood Packets 3368196 Bytes 5 Input Packet Drops 11 Output Packet Drops switch(config-if)#
PVLAN のプライマリ VLAN およびセカンダリ VLAN をホスト ポートと関連付けるには、ここで説明する手順を実行します。
switch# configure terminal switch(config)# interface veth1 switch(config-if)# switchport private-vlan host-association 202 303 switch(config-if)# show interface veth1 Name: Vethernet1 Switchport: Enabled Switchport Monitor: Not enabled Operational Mode: access Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: 1-3967,4048-4093 Administrative private-vlan primary host-association: 202 Administrative private-vlan secondary host-association: 203 Administrative private-vlan primary mapping: none Administrative private-vlan secondary mapping: none Administrative private-vlan trunk native VLAN: 1 Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: Operational private-vlan: 202, 203 switch(config-if)#
レイヤ 2 インターフェイスを、次の操作を行う無差別トランク ポートとして設定するには、ここで説明する手順を実行します。
(注) |
無差別ポートはアクセス ポート、またはトランク ポートのいずれかです。 プライマリ VLAN が 1 つである場合、無差別アクセス ポートを使用できます。 複数のプライマリ VLAN がある場合、無差別トランク ポートを使用できます。 |
switch# configure terminal switch(config)# int eth2/6 switch(config-if)# switchport mode private-vlan trunk promiscuous switch(config-if)# switchport private-vlan trunk allowed vlan all switch(config-if)# switchport private-vlan mapping trunk 202 303, 440 switch(config-if)# switchport private-vlan mapping trunk 210 310, 450 switch(config-if)# switchport private-vlan mapping trunk 210 add 451,460 switch(config-if)# switchport private-vlan mapping trunk 210 remove 310 switch(config-if)# switchport private-vlan trunk native vlan 100 switch(config-if)#show interface eth 2/6 switchport Name: Ethernet2/6 Switchport: Enabled Switchport Monitor: Not enabled Operational Mode: Private-vlan trunk promiscuous Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: 25-27 Administrative private-vlan primary host-association: none Administrative private-vlan secondary host-association: none Administrative private-vlan primary mapping: none Administrative private-vlan secondary mapping: none Administrative private-vlan trunk native VLAN: 100 Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: 1-3967, 4048-4093 Administrative private-vlan trunk private VLANs: (202,303) (202,440) (210,450) (210,451) (210,460) Operational private-vlan: 202,210,303,440,450-451,460 switch(config-if)#
PVLAN の無差別アクセス ポートとして使用されるようにポートを設定するには、個々で説明する手順を実行します。
switch# configure terminal switch(config)# interface eth3/2 switch(config-if)# switchport mode private-vlan promiscuous switch(config-if)# show interface eth3/2 Ethernet3/2 is up Hardware is Ethernet, address is 0050.5655.2e85 (bia 0050.5655.2e85) MTU 1500 bytes, BW -1942729464 Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA Port mode is promiscuous full-duplex, 1000 Mb/s Beacon is turned off Auto-Negotiation is turned on Input flow-control is off, output flow-control is off Rx 276842 Input Packets 100419 Unicast Packets 138567 Multicast Packets 37856 Broadcast Packets 25812138 Bytes Tx 128154 Output Packets 100586 Unicast Packets 1023 Multicast Packets 26545 Broadcast Packets 26582 Flood Packets 11630220 Bytes 173005 Input Packet Drops 37 Output Packet Drops switch(config-if)#
switch# configure terminal switch(config)# interface vethernet1 n1000v(config-if)# switchport mode private-vlan promiscuous switch(config-if)# show interface vethernet 1 Vethernet1 is up Port description is VM-1, Network Adapter 7 Hardware: Virtual, address: 0050.569e.009f (bia 0050.569e.009f) Owner is VM "VM-1", adapter is Network Adapter 7 Active on module 5 VMware DVS port 5404 Port-Profile is pri_25 Port mode is Private-vlan promiscuous 5 minute input rate 0 bits/second, 0 packets/second 5 minute output rate 7048 bits/second, 2 packets/second Rx 20276 Input Packets 379239 Unicast Packets 24 Multicast Packets 1395 Broadcast Packets 1428168 Bytes Tx 256229 Output Packets 74946 Unicast Packets 16247 Multicast Packets 2028117 Broadcast Packets 190123 Flood Packets 44432239 Bytes 162 Input Packet Drops 159 Output Packet Drops switch(config-if)#
PVLAN のプライマリ VLAN およびセカンダリ VLAN を無差別アクセス ポートと関連付けるには、ここで説明する手順を実行します。
switch# configure terminal switch(config)# interface eth3/2 switch(config-if)# switchport private-vlan mapping 202 303 switch(config-if)# show vlan private-vlan Primary Secondary Type Ports ------- --------- --------------- ------------------------------------------- 202 303 community Eth3/2, Veth1 switch(config-if)#
プライベート VLAN コンフィギュレーションを削除し、VLAN を標準 VLAN モードに戻すには、ここで説明する手順を実行します。
switch# configure terminal switch(config)# vlan 5 switch(config-vlan)# no private-vlan primary switch(config-vlan)# show vlan private-vlan Primary Secondary Type Ports ------- --------- --------------- ------------------------------------------- switch(config-vlan)#
プライベート VLAN コンフィギュレーションを検証するには、次のコマンドを使用します。
コマンド | 目的 |
---|---|
show feature |
PVLAN などの使用可能な機能と、それらがグローバルにイネーブルかどうかを表示します。 |
show running-config vlan vlan-id |
VLAN 情報を表示します。 |
show vlan private-vlan [type] |
プライベート VLAN に関する情報を表示します。 |
show interface switchport |
スイッチ ポートとして設定されているすべてのインターフェイスの情報を表示します。 |
ここでは、次のようにインターフェイス イーサネット 2/6 設定する例を示します。
switch# configure terminal switch(config)# vlan 303,310 switch(config-vlan)# private-vlan community switch(config)# vlan 440,450 switch(config-vlan)# private-vlan isolated switch(config)# vlan 202 switch(config-vlan)# private-vlan primary switch(config-vlan)# private-vlan association 303,440 switch(config)# vlan 210 switch(config-vlan)# private-vlan primary switch(config-vlan)# private-vlan association 310,450 switch# configure terminal switch(config)# int eth2/6 switch(config-if)# switchport mode private-vlan trunk promiscuous switch(config-if)# switchport private-vlan trunk allowed vlan all switch(config-if)# switchport private-vlan mapping trunk 202 303, 440 switch(config-if)# switchport private-vlan mapping trunk 210 310, 450 switch(config-if)# show interface switchport Name: Ethernet2/6 Switchport: Enabled Operational Mode: Private-vlan trunk promiscuous Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: 1-3967,4048-4093 Administrative private-vlan primary host-association: none Administrative private-vlan secondary host-association: none Administrative private-vlan primary mapping: none Administrative private-vlan secondary mapping: none Administrative private-vlan trunk native VLAN: 1 Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: 1-3967, 4048-4093 Administrative private-vlan trunk private VLANs: (202,303) (202,440) (210,310) (210,450) Operational private-vlan: 202,210,303,310,440,450 switch(config-if)#
次の例では、インターフェイス eth2/6 をポート プロファイル uppvlanpromtrunk156 を使用して設定する方法を示します。
この設定では、セカンダリ インターフェイス 153、154、および 155 のパケットは、コマンド switchport private-vlan mapping trunk 156 153-155 の結果として、プライマリ VLAN 156 に変換されます。
vlan 153-154 private-vlan community vlan 155 private-vlan isolated vlan 156 private-vlan association 153-155 private-vlan primary switch# show run int eth2/6 version 4.0(1) interface Ethernet2/6 switchport inherit port-profile uppvlanpromtrunk156 switch# show port-profile name uppvlanpromtrunk156 port-profile uppvlanpromtrunk156 description: status: enabled capability privileged: no capability uplink: yes port-group: uppvlanpromtrunk156 config attributes: switchport mode private-vlan trunk promiscuous switchport private-vlan trunk allowed vlan all switchport private-vlan mapping trunk 156 153-155 no shutdown evaluated config attributes: switchport mode trunk switchport trunk allowed vlan all switchport private-vlan mapping trunk 156 153-155 no shutdown assigned interfaces: Ethernet2/6 switch# show interface eth 2/6 switchport Name: Ethernet2/6 Switchport: Enabled Switchport Monitor: Not enabled Operational Mode: Private-vlan trunk promiscuous Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: 1-3967,4048-4093 Administrative private-vlan primary host-association: none Administrative private-vlan secondary host-association: none Administrative private-vlan primary mapping: none Administrative private-vlan secondary mapping: none Administrative private-vlan trunk native VLAN: 1 Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: 1-155,157-3967,4048-4093 Administrative private-vlan trunk private VLANs: (156,153) (156,155) Operational private-vlan: 156,153,155 inherit port-profile uppvlanpromtrunk156 switch#
機能名 |
機能名 |
リリース |
---|---|---|
feature private-vlan コマンド |
4.2(1)SV1(4) |
プライベート VLAN 機能をグローバルにイネーブルにする機能。 |
プライベート VLAN |
4.0(4)SV1(1) |
この機能が導入されました。 |