- はじめに
- 製品の概要
- CLI
- スイッチのIPアドレスおよびデフォル ト ゲートウェイの設定
- イーサネット、ファスト イーサネット、 ギガビット イーサネット、および10ギ ガビット イーサネット スイッチング の設定
- イーサネットVLANトランクの設定
- EtherChannelの設定
- IEEE 802.1Qトンネリングおよびレイ ヤ2プロトコル トンネリングの設定
- スパニングツリーの設定
- スパニングツリーPortFast、 UplinkFast、BackboneFast、および ループ ガードの設定
- VTPの設定
- VLANの設定
- VLAN間ルーティングの設定
- CEF for PFC2およびCEF for PFC3A の設定
- MLSの設定
- NDEの設定
- アクセス制御の設定
- GVRPの設定
- VMPSによるダイナミック ポート VLANメンバーシップの設定
- ステータスおよび接続の確認
- スイッチの管理
- AAAによるスイッチ アクセスの設定
- 冗長機能の設定
- スイッチの起動設定の変更
- フラッシュ ファイル システムの使用
- システム ソフトウェア イメージの操作
- コンフィギュレーション ファイルの操 作
- システム メッセージ ロギングの設定
- DNSの設定
- CDPの設定
- UDLDの設定
- DHCPスヌーピングおよびIPソース ガードの設定
- NTPの設定
- ブロードキャスト抑制の設定
- レイヤ3プロトコル フィルタリングの 設定
- IP許可リストの設定
- ポート セキュリティの設定
- 802.1x認証の設定
- ユニキャスト フラッディング ブロッ クの設定
- SNMPの設定
- RMONの設定
- SPANおよびRSPANの設定
- スイッチTopNレポートの使用方法
- マルチキャスト サービスの設定
- QoSの設定
- 自動QoSの使用
- ASLBの設定
- スイッチ ファブリック モジュールの 設定
- VoIPネットワークの設定
- 略語
- 索引
Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド Software Release 8.4
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月27日
章のタイトル: VLANの設定
VLANの設定
この章では、Catalyst 6500シリーズ スイッチにVLAN(仮想LAN)を設定する手順について説明します。
(注) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。
•
「VLANポート プロビジョニング検証のイネーブル化またはディセーブル化」
VLANの機能概要
VLANは、物理的な位置にかかわりなく、共通の要件を持ったエンド ステーションのグループです。VLANは、物理LANと同じ属性をすべて備えていますが、物理的に同じLANセグメントに置かれていないエンド ステーションでもグループ化することができます。
VLANを使用すると、スイッチ上のポートをグループとしてまとめ、ユニキャスト、マルチキャスト、およびブロードキャスト トラフィックのフラッディングを制限することができます。特定のVLANから送信されたフラッディング トラフィックは、そのVLANに所属する他のポートだけにフラッディングされます。
図11-1図11-1に、論理的に定義されたネットワークへのVLANセグメンテーションの例を示します。
VLANは、IPサブネットワークとよく対応付けられます。たとえば、特定のIPサブネットに含まれるすべてのエンド ステーションは同じVLANに属します。VLAN間のトラフィックはルーティングが必要です。スイッチ上のポートのVLANメンバーシップは、ポート別に手動で割り当てます。この方法でスイッチ ポートをVLANに割り当てた場合、ポートベース(またはスタティック)VLANメンバーシップといいます。
スイッチの帯域内(sc0)インターフェイスを任意のVLANに割り当てることができるので、ルータを経由しなくても、同一VLAN上の他のスイッチに直接アクセスできます。帯域内インターフェイスに一度に割り当てることができるIPアドレスは、1つだけです。IPアドレスを変更し、インターフェイスを別のVLANに割り当てると、それまでのIPアドレスとVLAN割り当てが上書きされます。
VLANの範囲
Catalyst 6500シリーズ スイッチは、IEEE 802.1Q規格に従って、4,096個のVLANをサポートしています。これらのVLANは、2つの範囲で編成されます。各範囲の用途は、少しずつ異なります。VLAN Trunking Protocol(VTP;VLANトランキング プロトコル)などの管理プロトコルを使用すると、ネットワーク上の他のスイッチに伝播されるVLANもあります。伝播されず、個々の該当するスイッチ上で設定が必要なVLANもあります。
(注) VTPバージョン3を使用して、VLAN 1006~4094を管理できます。これらのVLANはVTPバージョン3により伝播されます。
VLANパラメータの設定
VLAN 2~1005を作成または変更する場合、次のパラメータを設定できます。
(注) イーサネットVLAN 1および1025~4094については、デフォルト値しか使用できません。
(注) Release 8.3(1)以降のソフトウェア リリースでは、すべてのユーザVLANの名前を付けられます。この機能は、VTPのバージョンまたはモードに関係ありません。
• VLANタイプ:イーサネット、FDDI、FDDINET、Token Ring Bridge Relay Function(TrBRF;トークンリング ブリッジ リレー機能)、またはToken Ring Concentrator Relay Function(TrCRF;トークンリング コンセントレータ リレー機能)
• Multi-Instance Spanning-Tree Protocol(MISTP)インスタンス
• プライベートVLANタイプ:プライマリ、隔離、コミュニティ、双方向コミュニティ、またはなし
• Security Association Identifier(SAID)
• VLANのMaximum Transmission Unit(MTU;最大伝送ユニット)
• TrCRF VLANのSpanning-Tree Bridge Protocol(STP;スパニングツリー ブリッジ プロトコル)タイプ:IEEE、IBM、またはauto
• VLANメディア間でタイプの変換を行うときに使用するVLAN(VLAN 1~1005のみ)。メディア タイプごとに異なるVLAN番号が必要
• トークンリングVLAN用ソースルーティング ブリッジ モード:Source-Route Bridge(SRB;ソースルート ブリッジ)またはSource-Route Transparent(SRT;ソースルート トランスペアレント)ブリッジ
• トークンリング用の最大ホップVLAN All-Routes Explorer(ARE)フレームおよびSpanning-Tree Explorer(STE)フレーム
VLANのデフォルト設定
表11-1 に、Catalyst 6500シリーズ スイッチのVLANデフォルト設定を示します。
|
|
|
|---|---|
100,000 + VLAN番号(たとえば、VLAN 8のSAID値は100,008、VLAN 4050のSAID値は104,050) |
|
スイッチ上でのVLANの設定
ここでは、ユーザVLAN(1~4094)の設定手順について説明します。
標準範囲VLAN設定時の注意事項
ここでは、ネットワーク上でユーザVLANを作成および変更する場合の注意事項について説明します。
• デフォルトのVLANタイプはイーサネットです。したがって、VLANタイプを指定しなかった場合、VLANはイーサネットVLANになります。
• VTPを使用してネットワーク上のグローバルVLAN設定情報を維持する場合には、標準範囲VLANを作成する前に、VTPを設定してください。VTP設定の詳細については、 第10章「VTPの設定」 を参照してください(VTPを使用して拡張範囲VLAN 1025~4094を管理することはできません)。
(注) VTPバージョン3を使用して、VLAN 1006~4094を管理できます。これらのVLANはVTPバージョン3により伝播されます。
• FlexWANモジュールおよびルーテッド ポートは、VLAN 1025で始まる一定数のVLANを独自に使用するため自動的に割り当てます。これらの装置を使用する場合は、必要数のVLANを残しておく必要があります。
標準範囲VLANの作成
VLANは一度に1つずつ作成することも、1つのコマンドで一定範囲のVLANを作成することもできます。一定範囲のVLANを作成する場合、VLAN名を指定することはできません。VLAN名は一意でなければならないためです。
標準範囲VLANを作成するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
set vlan vlan [ name name ] [ said said ] [ mtu mtu ] [ translation vlan ] |
||
次に、スイッチがPer VLAN Spanning-Tree Plus(PVST+)モードのときに標準範囲VLANを作成し、設定を確認する例を示します。
標準範囲VLANの変更
既存の標準範囲VLANについてVLANパラメータを変更するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] [ translation vlan ] |
||
スイッチ上での拡張範囲VLANの設定
ここでは、拡張範囲VLAN 1025~4094の設定手順について説明します。
拡張範囲VLAN設定時の注意事項
ここでは、拡張範囲VLAN 1024~4094作成の際の注意事項について説明します。
• 拡張範囲には、イーサネット タイプのVLANしか作成できません。
• 拡張範囲VLANを使用するには、MAC(メディア アクセス制御)アドレス リダクションをイネーブルにする必要があります。
• 拡張範囲VLANの作成および削除は、CLI(コマンドライン インターフェイス)またはSNMP(簡易ネットワーク管理プロトコル)を通じてのみ行えます。
• VTPを使用してこれらのVLANを管理することはできません。これらのVLANは、各スイッチ上でスタティックに設定する必要があります。
(注) VTPバージョン3を使用して、VLAN 1006~4094を管理できます。これらのVLANはVTPバージョン3により伝播されます。設定上の理由から、拡張範囲はVLAN 1025~4094で構成されます。
• dot1q/islマッピングを使用する場合は、拡張範囲VLANを使用できません。
• 拡張範囲VLANには、プライベートVLANパラメータおよびRSPANを設定できます。ただし、これ以外の拡張範囲VLANパラメータは、いずれもシステム デフォルトだけを使用します。
• スイッチは、内部的な使用のために、拡張範囲からVLANのブロックを割り当てる場合があります。たとえば、スイッチは、ルーテッド ポートまたはFlexWANモジュールにVLANを割り当てる場合があります。VLANのブロックは、常にVLAN 1006を起点として割り当てられます。FlexWANモジュールが必要とする範囲内にユーザが1つでもVLANを作成すると、必要なVLANがすべて割り当てられなくなります。ユーザのVLANエリアから、VLANが割り当てられることはないためです。
拡張範囲VLANの作成
拡張範囲VLANを作成するには、まずMACアドレス リダクションをイネーブルにして、拡張範囲VLANのIDを提供させる必要があります。MACアドレス リダクションをイネーブルにした場合、拡張範囲VLANが存在するかぎり、ディセーブルにすることはできません。
(注) 拡張範囲VLANを使用する場合、システムに既存の802.1Q/ISL(スイッチ間リンク)マッピングがあれば、そのマッピングを削除する必要があります。詳細については、「802.1Q/ISL VLANマッピングの削除」を参照してください。
(注) Release 8.1(1)以降のソフトウェア リリースでは、拡張範囲VLANの名前を付けられます。この機能は、VTPのバージョンまたはモードに関係ありません。
MACアドレス リダクションをイネーブルにし、拡張範囲にイーサネットVLANを作成するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
次に、MACアドレス リダクションをイネーブルにし、拡張範囲のイーサネットVLANを作成する例を示します。
次に、アクティブ、停止、および拡張VLANの要約を表示する例を示します。
VLANとVLANのマッピング
(注) ポート単位またはASIC(特定用途向けIC)単位でVLANマッピングを設定するには、「ポート単位またはASIC単位のVLANマッピングの設定」を参照してください。
(注) Release 8.3(1)以降のソフトウェア リリースでは、ISLトランクによってVLAN範囲全体(1~4094)がサポートされるため、グローバルVLANマッピング機能が不要です。
他社製の装置のVLANに接続されている802.1Qトランクから、Catalyst 6500シリーズ スイッチ上の他のVLANに接続されているISLトランクに、VLANをマッピングできます。
(注) 802.1Q VLANをISL VLANにマッピングする場合、Catalyst 6500シリーズの旧ソフトウェア リリースからのマッピングを保持できますが、拡張範囲VLANは使用できません。
ここでは、VLANとVLANをマッピングする手順について説明します。
• 「802.1Q VLANからISL VLANへのマッピング」
802.1Q VLANからISL VLANへのマッピング
ネットワーク内の他社製の装置が、802.1Qトランクを通じてCatalyst 6500シリーズ スイッチに接続されている可能性があります。
ユーザが設定するISL VLANの有効範囲は1~1000(および1002~1005)、1025~4094です。IEEE 802.1Q規格に指定されているVLANの有効範囲は、0~4095です。他社製の装置が802.1Qトランクを通じてシスコ製スイッチに接続されているネットワーク環境では、1001以上の802.1Q VLAN番号をISL VLAN番号にマッピングできます。拡張範囲(1025~4094)のVLANをdot1qマッピングに使用する場合は、どの拡張範囲VLANもそれ以外の目的で使用することはできません。
1~1000の範囲の802.1Q VLANは、対応するISL VLANに自動的にマッピングされます。シスコ製スイッチで認識し、転送するためには、1001以上の802.1Q VLAN番号をISL VLANにマッピングする必要があります。
802.1Q VLANとISL VLANのマッピングには、次の制限事項があります。
• グローバルVLANマッピング機能およびポート単位/ASIC単位のVLANマッピング機能(ポート単位またはASIC単位のVLANマッピングの設定を参照)は相互に排他的であり、同時にイネーブルにできる機能は1つのみです。
• スイッチ上に拡張範囲VLANがある場合は、新しく802.1Q VLANをISL VLANにマッピングすることはできません。
• 1台のスイッチに設定できる802.1Q VLANとISL VLANのマッピング数は、最大8個です。
• 802.1Q VLANは、イーサネット タイプのISL VLANにしかマッピングできません。
• 802.1QトランクのネイティブVLANは、マッピング テーブルに入力しないでください。
• 802.1Q VLANをISL VLANにマッピングすると、マッピング後のISL VLANに対応する802.1Q VLAN上のトラフィックはブロックされます。たとえば、802.1Q VLAN 2000をISL VLAN 200にマッピングした場合、802.1Q VLAN 200のトラフィックはブロックされます。
• VLANマッピングは、各スイッチにローカルに適用されます。ネットワーク内の該当するすべてのスイッチ上で、同じVLANマッピングを設定してください。
802.1Q VLANをISL VLANにマッピングするには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
802.1Q VLANをISLイーサネットVLANにマッピングします。 dot1q_vlan の有効範囲は、1001~4095です。 isl_vlan の有効範囲は、1~1000です。 |
||
次に、802.1Q VLAN 2000、3000、4000をISL VLAN 200、300、400にマッピングし、設定を確認する例を示します。
802.1Q/ISL VLANマッピングの削除
802.1Q/ISL VLANマッピングを削除するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
次に、802.1Q VLAN 2000のVLANマッピングを削除する例を示します。
次に、すべての802.1Q/ISL VLANマッピングを削除する例を示します。
内部VLANの割り当て
VLANはユーザVLANまたは内部VLANのいずれかに分類されます。ユーザVLANは、ユーザが作成した1~4049のVLANになります。内部VLANは、ソフトウェア機能が使用するVLANで、動作するための専用VLANが必要です。内部VLANは、VLANマネージャーが必要に応じて割り当てます(VLAN 1006~4094を使用)。内部VLANの割り当てはVLAN 1006を起点として、昇順で行われます。ユーザVLANと内部VLANの競合を回避するために、ユーザVLANはできるだけVLAN 4094の近くに割り当てる必要があります。
(注) 使用可能なVLANの数は固定されているので、ユーザVLANを割り当てたあとに、十分な数のVLANが内部VLANの割り当て用に残されていることを確認してください。
VLANへのスイッチ ポートの割り当て
管理ドメイン内で作成されたVLANは、1つまたは複数のスイッチ ポートがVLANに割り当てられないかぎり、未使用の状態です。新しいVLANを作成してから、モジュールとポートを指定することも、またVLANの作成とモジュールおよびポートの指定を一度に行うこともできます。
(注) スイッチ ポートは必ず、適切なタイプのVLANに割り当ててください。たとえば、イーサネット タイプのVLANには、イーサネット、ファスト イーサネット、およびギガビット イーサネット ポートを割り当てます。
1つまたは複数のスイッチ ポートをVLANに割り当てるには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
次に、VLANにスイッチ ポートを割り当て、設定を確認する例を示します。
VLANポート プロビジョニング検証のイネーブル化またはディセーブル化
VLANポート プロビジョニング検証がイネーブルの場合は、スイッチ ポートをVLANに割り当てる際、VLAN番号に 加えて 、VLAN名を指定する必要があります。VLAN名とVLAN番号の両方を指定する必要があるため、この検証機能は、ポートを不注意で誤ったVLANに配置しないように保証するのに役立ちます。
この機能がイネーブルの場合、 set vlan vlan mod/port コマンドを入力すれば新しいVLANを作成できますが、VLAN番号とVLAN名の両方を指定せずにポートをそのVLANに追加することはできません。この機能は、SNMP、ダイナミックVLAN、802.1xといった他の機能を使用したVLANへのポート割り当てには影響しません。VLANポート プロビジョニング検証機能は、デフォルトではディセーブルです。
VLANポート プロビジョニング検証をイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
次に、VLANポート プロビジョニング検証をイネーブルにする例を示します。
次に、VLANポート プロビジョニング検証のステータスを確認する例を示します。
次に、(VLANポート プロビジョニング検証をイネーブルにして)VLAN 150を作成し、ポート3/16を追加する例を示します。
次に、VLANポート プロビジョニング検証をイネーブルにして、ポート3/17をVLAN 150に追加しようとした場合の出力例を示します。
次に、VLANポート プロビジョニング検証をイネーブルにして、ポート3/17をVLAN 150に追加する例を示します。
VLANの削除
ここでは、VLANを削除する場合の注意事項について説明します。
• VTPサーバ モードで標準範囲イーサネットVLANを削除すると、VTPドメインのすべてのスイッチからそのVLANが削除されます。
• VTPトランスペアレント モードで標準範囲VLANを削除すると、現在のスイッチ上に限ってVLANが削除されます。
• 拡張範囲VLANは、そのVLANを作成したスイッチ上でしか削除できません。
• トークンリングTrBRF VLANを削除する場合は、最初に子TrCRFを別の親TrBRFに割り当てるか、または子TrCRFを削除する必要があります。
単一のVLANを削除することも、一定範囲のVLANを削除することもできます。スイッチ上のVLANを削除するには、イネーブル モードで次のコマンドを入力します。
|
|
|
|---|---|
次に、VLANを削除する例を示します(この場合、スイッチはVTPサーバです)。
ポート単位またはASIC単位のVLANマッピングの設定
ここでは、ポート単位またはASIC単位でVLANマッピングを設定する方法について説明します。
• 「ポート単位VLANマッピングのイネーブル化またはディセーブル化」
VLANマッピングの概要
Release 8.4(1)以降のソフトウェア リリースでは、VLAN範囲を制限しなくても、 任意 のVLANタイプをその他のVLANタイプにマッピングできるように、VLANマッピングが拡張されています。現在、VLANマッピングはポート単位またはASIC単位で設定できます。
(注) Release 8.4(1)より前のソフトウェア リリースでは、VLANマッピングはグローバルに設定されました。詳細については、「VLANとVLANのマッピング」を参照してください。
設定時の注意事項および制限事項
ここでは、VLANマッピングを設定する際の設定時の注意事項と制限事項を説明します。
• VLANマッピングを使用した場合、スイッチング モジュールまたはスーパバイザ エンジンに搭載されたASICタイプに応じて、次のようになります(各モジュールASICの仕様については、 表11-2 を参照)。
–ASIC単位VLANマッピングがサポートされるが、VLANマッピングをポート単位でイネーブルまたはディセーブルにすることは できない
–ASIC単位VLANマッピングがサポートされ、VLANマッピングをポート単位でイネーブルまたはディセーブルにすることが できる 。
• モジュールがポート単位VLANマッピングをサポートしないで、ASIC単位VLANマッピングのみをサポートしている場合、VLANマッピングはASIC内のすべてのポートに適用されます。ASIC内の任意のポートのマッピングを変更すると、変更がこのASIC内のすべてのポートに適用されます。
グローバルVLANマッピング機能(VLANとVLANのマッピングを参照)およびポート単位/ASIC単位VLANマッピング機能は相互に排他的であり、同時にイネーブルにできる機能は1つのみです。
任意のVLANにグローバルVLANマッピングが設定されている場合に、ポート単位/ASIC単位VLANマッピングを設定しようとすると、コマンドは拒否され、エラー メッセージが表示されます。逆に、任意のVLANにポート単位/ASIC単位マッピングが設定されている場合に、グローバルVLANマッピングを設定しようとすると、コマンドは拒否され、エラー メッセージが表示されます。
グローバルVLANマッピングは、最大8つのVLANをサポートします。VLAN XがVLAN Yにマッピングされている場合、VLAN Yは内部で廃棄済みVLANにマッピングされます。ポート単位/ASIC単位VLANマッピングはこの方法では機能しません。VLAN XがVLAN Yにマッピングされている場合、VLAN Yの特定のポートに内部でスイッチングされるすべてのトラフィックはVLAN Xにマッピングされます。
• VLANマッピングは両方の方向に適用されます。たとえば、ポートPにVLAN xからVLAN yへのマッピングが設定されている場合、VLAN XのポートPで受信されたすべてのトラフィックはVLAN Yにマッピングされ、そこで処理されます。VLAN Yが内部的にタグ付けされたトラフィックのうち、ポートPから送信されたものにはすべて、VLAN Xがタグ付けされます。
VLANマッピングは、PAgPとLACPの両方のEtherChannelでサポートされます。EtherChannelの特定のポートでVLANマッピングをイネーブルまたはディセーブルにすると、EtherChannel内のすべてのポートでこの機能がイネーブルまたはディセーブルになります。同様に、EtherChannelの特定のポートにVLANマッピングを設定すると、EtherChannel内のすべてのポートにこのマッピングが適用されます。
EtherChannel内のすべてのポートで、VLANマッピングに関するポートASIC機能を同じに設定する必要があります。ポートASIC機能が異なるポートが存在するEtherChannelにVLANマッピングを設定しようとしても、コマンドは拒否されます。
ポート単位VLANマッピングがポート上でイネーブルの場合、ポートASICは変換元VLANを変換先VLANに変換します。すべてのSPAN(スイッチド ポート アナライザ)設定は、変換先VLANで機能します。
RSPAN VLANは変換できません。どのVLANにもRSPAN VLANをマッピングしないように設定する必要があります。同様に、変換先VLANをRSPAN VLANとして使用することはできません。
PVST+が実装されている場合、スパニングツリーBridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)には各トランク ポートの「VLAN ID」のTLVがタグ付けされています。このTLVは、ポートVLAN IDの一貫性を判別する際に役立ちます。PVST+およびRapid-PVST+では、このVLAN IDはスパニングツリー インスタンス番号(VLAN ID)と同じです。
Shared Spanning Tree Protocol(SSTP)が有効な場合は、ポート単位/ASIC単位VLANマッピングがポート上でイネーブルになっている際に注意する必要があります。たとえば、図11-2のスイッチ1およびスイッチ2は、VLAN 101を伝送するトランクTを使用して接続されています。スイッチ2のトランク ポートPでは、ポート単位/ASIC単位VLANマッピングがイネーブルであり、VLAN 101からVLAN 202へのマッピングが存在します。図11-2に示すように、トランク リンクのBPDUには、VLAN 101として802.1Q VLANおよびTLV VLANが設定されています。このBPDUがポートPに到達すると、このマッピングにより802.1Q VLANはVLAN 202に変更されますが、TLV VLANはVLAN 101のままです。BPDUがスパニングツリー プロセスに到達すると、スパニングツリーはVLAN 101 BPDUがVLAN 202に着信したと結論し、一貫性がないと判断して、このポートを矛盾ポートとして報告します。
この問題を解決するために、スパニングツリーはこのBPDUをVLAN 202内で処理します。TLV VLANは変換先VLANにマップされ、一貫性があるかチェックされます。この処理が発生した場合、スイッチ1のスパニングツリー インスタンス101はスイッチ2のスパニングツリー202とマージされます。このプロセスは、送信側でも実行されます。
ヒント スパニングツリー トポロジーを設計する前に、VLANのマージ方法を考慮する必要があります。VLANマッピングがイネーブル化されたポートから変換元VLANを消去し、近接側から変換先VLANを消去する必要があります。このようにすると、カスタマー ポートの変換元VLANおよびプロバイダー ポートの変換先VLANがマージされます。
|
|
|
|
|---|---|---|
WS-X6548-RJ-45 |
ASIC単位VLANマッピング。マッピングはISLトランクのポート単位でイネーブルまたはディセーブルにできます。802.1Qトランクでは、常にマッピングが有効です。ディセーブルにすることはできません。マッピングはISLおよび802.1Qトランクに対してサポートされています。 |
|
WS-X6K-S2U-MSFC2 |
ASIC単位VLANのマッピング。マッピングはASICのポート単位でイネーブルまたはディセーブルにできます。任意のVLANタイプ間の変換がサポートされています。802.1Qトランクでのみサポートされています。3 |
|
WS-X6748-SFP4 |
ASIC単位VLANのマッピング。マッピングはASICのポート単位でイネーブルまたはディセーブルにできます。任意のVLANタイプ間の変換がサポートされています。マッピングはISLおよび802.1Qトランクに対してサポートされています。 |
|
WS-X6148A-GE-TX |
ポート単位VLANマッピング。任意のVLANタイプ間の変換がサポートされています。マッピングはISLおよび802.1Qトランクに対してサポートされています。 |
|
ポート単位VLANマッピング。任意のVLANタイプ間の変換がサポートされています。802.1Qトランクでのみサポートされています。 |
||
ポート単位VLANマッピング。任意のVLANタイプ間の変換がサポートされています。マッピングはISLおよび802.1Qトランクに対してサポートされています。 |
ポート単位VLANマッピングのイネーブル化またはディセーブル化
(注) set port vlan-mappingコマンドを使用してポート単位でVLANマッピングを設定する前に、set port vlan-mapping mod/port enableコマンドを入力して、ポートVLANマッピングをイネーブルにする必要があります。
set port vlan-mapping mod/port { enable | disable } コマンドを入力して、ポート単位でVLANマッピングをイネーブルまたはディセーブルにします。VLAN変換が発生するのは、VLANマッピングがイネーブル化されていて、ポートがトランキングの場合のみです。ASIC単位のVLANマッピングのみをサポートするASICに関して、ポート単位でVLANマッピングをイネーブルまたはディセーブルにする機能が有効な場合、このコマンドはポート設定にのみ適用され、ASICには適用されません。VLANマッピングをディセーブルにした場合も、マッピングは保護されます。VLANマッピングはデフォルトでディセーブルです。
ポート単位でVLANマッピングをイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
次に、ポート単位でVLANマッピングをイネーブルにする例を示します。
ポート単位のVLANマッピングの設定
(注) set port vlan-mappingコマンドを使用する前に、set port vlan-mapping mod/port enableコマンドを入力して、ポートVLANマッピングをイネーブルにする必要があります。
(注) 変換元VLANはトランクVLAN(スイッチ外部)、変換先VLANはスイッチ内部のVLANです。
set port vlan-mapping mod/port source-vlan-id translated-vlan-id コマンドを入力して、ポート単位でVLANマッピングを設定します。このコマンドにより、 source-vlan-id のトラフィックは translated-vlan-id に変換されます。内部的に translated-vlan-id がタグ付けされたすべてのトラフィックは、 source-vlan-id がタグ付けされたあとに、ポートから送信されます。VLAN変換が発生するのは、ポートがトランキングの場合のみです。このコマンドは、すべての範囲のポートを対象とします。
ポート単位でVLANマッピングを設定するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
set port vlan-mapping mod/port source-vlan-id translated-vlan-id |
||
次に、ポートVLANマッピングをイネーブルにし、ポート単位でVLANマッピングを設定する例を示します。この例では、モジュール7は48ポート10/100/1000スイッチング モジュール(WS-X6748-GE-TX)です。このモジュールは、ASIC単位VLANマッピングをサポートします。1つのASICで12個のポートをサポートします。
次の例のモジュール5は、1ポート10GBASE-Eシリアル10ギガビット イーサネット モジュール(WS-X6502-10GE)です。このモジュールはポート単位VLANマッピングをサポートします。
この例では、モジュール7は48ポート10/100/1000スイッチング モジュール(WS-X6748-GE-TX)です。このモジュールは、ASIC単位VLANマッピングをサポートします。1つのASICで12個のポートをサポートします。この例では、ポート7/1~4がEtherChannelに属しています。
この例では、モジュール7およびモジュール8は48ポート10/100/1000スイッチング モジュール(WS-X6748-GE-TX)です。これらのモジュールは、ASIC単位VLANマッピングをサポートします。1つのASICで12個のポートをサポートします。この例では、ポート7/1~4および8/1~4がEtherChannelに属しています。
VLANマッピングの消去
ポート単位で、すべてのポートで、または特定の変換元VLAN IDに関してVLANマッピングを消去するには、 clear port vlan-mapping コマンドを入力します。一部のモジュールでは、VLANマッピングはASIC単位でサポートされ、ポート単位のマッピングは保存されません。これらのモジュールに clear port vlan-mapping mod/port コマンドを入力すると、ASICのすべてのポート上のVLANマッピングが消去されます。 source_vlan_id 引数を入力すると、指定されたポートまたはASIC(ASICベース ポートの場合)のVLANマッピング テーブルから、該当する変換元VLANのVLANマッピングのみが消去されます。
VLANマッピングを消去するには、イネーブル モードで次の作業を行います。
|
|
|
|---|---|
clear port vlan-mapping mod/port all |
次に、ポート7/1からVLANマッピングを消去する例を示します。
VLANマッピング情報の表示
VLANマッピング情報を表示するには、 show port vlan-mapping [ mod | mod/port ]コマンドを入力します。
VLANマッピング情報を表示するには、ユーザ モードで次の作業を行います。
|
|
|
|---|---|
次に、ポート7/1のVLANマッピング情報を表示する例を示します。
(注) ポートごとにマッピング タイプを表示するには、show port capabilities [mod | mod/port]コマンドを入力します。このコマンドは、ポートごとに許可されている最大マッピング数も表示します。
スイッチ上でのプライベートVLANの設定
ここでは、プライベートVLANの機能概要について説明します。
• 「隔離VLAN、コミュニティVLANまたは双方向コミュニティVLANの削除」
プライベートVLANの機能概要
プライベートVLANは、Catalyst 6500シリーズ スイッチ上の同一プライベートVLAN内でポート間のレイヤ2の隔離を行います。プライベートVLANに所属するポートは、そのプライベートVLAN構造を作成する共通のサポートVLANの集合に対応付けられます。
• 混合 ― 他のすべてのプライベートVLANポートと通信し、ルータ、LocalDirector、バックアップ サーバ、および管理ワークステーションとの通信に使用するポートです。
(注) ブロードキャストまたはマルチキャスト パケットが混合ポートに着信すると、そのパケットはプライベートVLANドメイン内のすべてのポートに、つまりすべてのコミュニティ ポートおよび隔離ポートに送信されます。
• 隔離 ― 同一プライベートVLAN内の混合ポート以外のポートから、レイヤ2上で完全に隔離されたポートです。
• コミュニティ ― コミュニティ ポート間で通信するだけではなく、自身の混合ポートとも通信します。この種のポートは、同一プライベートVLANの他のコミュニティに属するポートまたは隔離ポートから、レイヤ2で隔離されています。
発信トラフィックをすべての隔離ポートにブロックすることにより、レイヤ2上でプライバシが確保されます。すべての隔離ポートは特定の隔離VLANに割り当てられており、そのVLANでこのハードウェア機能が実行されます。隔離ポートから受信したトラフィックは、混合ポートだけに転送されます。
プライベートVLANは、次の4つに分類されます。単一プライマリVLAN、単一隔離VLAN、および一連のコミュニティ、または双方向コミュニティVLANです。
プライベートVLANを設定するには、まずプライベートVLAN内の各サポートVLANを定義する必要があります。
• プライマリVLAN ― 混合ポートからの着信トラフィックを、他のすべての混合ポート、隔離ポート、コミュニティ ポート、および双方向コミュニティ ポートに送信します。
• 隔離VLAN ― 隔離ポートが、混合ポートと通信するために使用します。隔離されたポートからのトラフィックは、所属するプライベートVLAN内のすべての隣接ポートでブロックされ、受信できるのは混合ポートだけになります。
• コミュニティVLAN ― コミュニティ ポート間の通信を行い、指定の混合ポートを介してプライベートVLAN外部にトラフィックを送信するためにコミュニティ ポートのグループが使用する単一方向VLAN。
• 双方向コミュニティVLAN ― コミュニティ ポート間、コミュニティ ポートとMultilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャ カード)間の通信に、コミュニティ ポートのグループが使用する双方向VLAN。
(注) Release 6.2(1)以降のソフトウェア リリースでは、トラフィックがMSFC混合ポートを通ってプライベートVLANの境界を越えるとき、双方向コミュニティVLANを使用してプライマリVLANからセカンダリVLANへの逆マッピングを実行できます。発信トラフィックと着信トラフィックの両方を同一VLANで伝送できるので、VLAN Access Control List(VACL)などのVLANをベースにした機能をコミュニティ(または顧客)単位で両方向に適用できます。
プライベートVLANを作成するには、標準VLAN範囲の標準VLANを複数割り当てます。そのうち1つのVLANをプライマリVLAN、もう1つのVLANを隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANとして指定します。必要に応じて、それ以外のVLANをこのプライベートVLANでそれぞれ隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANとして指定することもできます。VLANを指定したあとは、それらのVLANを一括してバインドし、混合ポートに対応付ける必要があります。
プライベートVLANをサポートする他のスイッチにプライマリVLAN、隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANをトランキングすることにより、プライベートVLANを複数のイーサネット スイッチに拡張できます。
イーサネット スイッチド環境では、個々のVLANおよび対応するIPサブネットを、個々のステーションまたはステーションの共通のグループに割り当てることができます。サーバはデフォルト ゲートウェイと通信する能力さえあれば、そのVLAN自身の外部にあるエンド ポイントにアクセスできます。これらのステーションを、その所有権とは無関係に、1つのプライベートVLANにまとめることにより、次のような利点があります。
• サーバ ポートを隔離ポートとして指定することにより、レイヤ2でのサーバ間通信を防止できます。
• デフォルト ゲートウェイ、バックアップ サーバ、またはLocalDirectorが接続されたポートを混合ポートとして指定することにより、すべてのステーションがこれらのゲートウェイにアクセス可能になります。
• VLANの消費が低減します。すべてのステーションが同一のプライベートVLANに存在するので、ステーションのグループ全体に1つのIPサブネットを割り当てるだけで済みます。
MSFCポートまたは非トランクの混合ポートでは、必要に応じて隔離VLANまたはコミュニティVLANをいくつでも再マッピングすることができます。ただし、非トランクの混合ポートが再マッピングできるのは1つのプライマリVLANだけであり、MSFCポートが接続できるのはMSFCルータだけです。非トランク混合ポートを使用すると、プライベートVLANへの「アクセス ポイント」としてさまざまな装置に接続できます。たとえば、非トランクの混合ポートをLocalDirectorの「サーバ ポート」に接続して、多くの隔離VLANまたはコミュニティVLANをそのサーバVLANに再マッピングすると、LocalDirectorによって隔離VLANまたはコミュニティVLAN内に存在するサーバの負荷を分散させることができます。また、管理ワークステーションからすべてのプライベートVLANのサーバをモニタしたりバックアップしたりする目的で、非トランクの混合ポートを使用することも可能です。
(注) 双方向コミュニティVLANは、MSFC混合ポート上にしかマッピングできません(非トランクまたはその他のタイプの混合ポート上にはマッピングできません)。
プライベートVLAN設定時の注意事項
ここでは、プライベートVLAN設定時の注意事項について説明します。
(注) ここでは、コミュニティVLANという用語は、特に明記しないかぎり、単一方向コミュニティVLANと双方向コミュニティVLANの両方を表す総称として使用しています。
(注) VLANポート プロビジョニング検証がイネーブルの場合は、スイッチ ポートをプライマリおよびセカンダリVLANに割り当てる際、VLAN番号に加えて、VLAN名を指定する必要があります。詳細は、「VLANポート プロビジョニング検証のイネーブル化またはディセーブル化」を参照してください。
• 1つのVLANをプライマリVLANとして指定してください。
• 任意で1つのVLANを隔離VLANとして指定することができますが、使用できる隔離VLANは1つだけです。
• 任意でプライベートVLANコミュニティを使用できますが、コミュニティごとに1つずつコミュニティVLANを指定する必要があります。
• 隔離VLANおよびコミュニティVLAN、またはそのどちらかのVLANをプライマリVLANにバインドし、隔離ポートまたはコミュニティ ポートを割り当ててください。その結果、次のようになります。
–隔離VLANおよびコミュニティVLANのスパニングツリー特性は、それぞれのプライマリVLANの特性に設定されます。
• 隔離VLANおよびコミュニティVLANを混合ポート上のプライマリVLANにマッピングするVLAN自動変換を設定してください。非トランク ポートまたはMFSCポートを混合ポートとして設定します。
• VTPをトランスペアレント モードに設定する必要があります。
• プライベートVLANを設定したあとで、VTPモードをクライアントまたはサーバ モードに変更することはできません。VTPはプライベートVLANタイプおよびマッピングの伝播をサポートしないからです。
• VLANをプライマリVLAN、隔離VLAN、またはコミュニティVLANとして設定できるのは、現在そのVLANにアクセス ポートがまったく割り当てられていない場合に限られます。VLANにアクセス ポートが割り当てられていないことを確認するには、 show port コマンドを使用します。
• プライマリVLANに対応付けることができるのは、1つの隔離VLANまたは複数のコミュニティ、あるいはその両方です。
• 隔離VLANまたはコミュニティVLANに対応付けられるのは、1つのプライマリVLANだけです。
• プライベートVLANは、VLAN 2~1000、および1025~4096を使用できます。
• プライマリVLANまたはセカンダリVLANのどちらかを削除すると、そのVLANに対応付けられたポートが非アクティブになります。
• プライベートVLANを設定するとき、次に説明するハードウェアとソフトウェアの相互作用について考慮してください。
–プライベートVLANでは、帯域内ポート(sc0)は使用できません。
(注) Release 6.3(1)以降のソフトウェア リリースでは、sc0ポートはプライベートVLANポートとして設定できますが、sc0ポートを混合ポートとして設定することはできません。
–プライベートVLANポートをトランキングまたはチャネリング モードに設定したり、ダイナミックVLANメンバーシップを持たせたりすることはできません。ただし例外として、MSFCポートでは常にトンランキングがアクティブです。
–同じASICに属するポートを、1つのポートがトランキング モード、混合モード、またはSPAN宛先、もう1つのポートが 表11-3 に示すモジュール用の隔離ポートまたはコミュニティ ポートになるように設定することはできません。
このような設定を試みると、警告メッセージが表示され、コマンドが拒否されます。
|
|
|
|
|---|---|---|
• 隔離ポートおよびコミュニティ ポートは、設定ミスに起因するスパニングツリー ループを防ぐため、BPDUガード機能を実行する必要があります。
• プライマリVLANおよび対応する隔離VLANとコミュニティVLANは、スパニングツリーの設定が同じでなければなりません。この設定は、関連するプライマリVLAN、隔離VLAN、およびコミュニティVLANの間で一貫したスパニングツリー トポロジーを維持し、接続切断を防ぎます。設定されたプライオリティおよび各種パラメータは、プライマリVLANから隔離VLANおよびコミュニティVLANに自動的に伝播されます。
• 次のようにMISTPモードで動作するプライベートVLANを作成できます。
–MISTPをディセーブルにすると、対応するすべての隔離VLANおよびコミュニティVLANにプライマリVLANの設定変更が伝播されます。隔離VLANまたはコミニュティVLANを変更することはできません。
–MISTPをイネーブルにする場合、MISTPインスタンスを設定できるのはプライマリVLANだけです。プライマリVLANに適用された変更は、隔離VLANおよびコミュニティVLANに伝播されます。
• ネットワークでMACアドレス リダクションを使用しているスイッチと使用していないスイッチが混在している場合、STPパラメータは必ずしも伝播されず、スパニングツリー トポロジーが一致しなくなる場合があります。STPの設定を手動でチェックし、プライマリVLAN、隔離VLAN、およびコミニュティVLANのスパニングツリー トポロジーが一致していることを確認する必要があります。
• Catalyst 6500シリーズ スイッチ上でMACアドレス リダクションをイネーブルにする場合は、ネットワーク上のすべてのスイッチ上でMACアドレス リダクションをイネーブルにして、プライベートVLANのSTPトポロジーを一致させます。そうしない場合は、プライベートVLANのあるネットワーク上で、MACアドレス リダクションをイネーブルに設定したスイッチとディセーブルに設定したスイッチが混在していることになり、プライマリVLANと対応するすべての隔離VLANおよびコミニュティVLANでルート ブリッジを共通にするために、デフォルトのブリッジ プライオリティを使用せざるを得なくなります。システム上でMACアドレス リダクションをイネーブルにするかどうかにかかわらず、MACアドレス リダクション機能で使用する範囲には一貫性を持たせてください。MACアドレス リダクションは個々のレベルにしか対応せず、範囲としてはすべての中間値を内部的に使用します。プライベートVLANおよびMACアドレス リダクションのあるルート ブリッジはディセーブルにし、非ルート ブリッジが使用する最高のプライオリティ レンジより高いプライオリティでルート ブリッジを設定する必要があります。
• BPDUガード モードはシステム全体を対象とし、プライベートVLANに最初のポートが追加された時点でイネーブルになります。
• 宛先SPANポートをプライベートVLANポートとして設定することはできません。また、その逆の設定もできません。
• 送信元SPANポートは、1つのプライベートVLANに所属できます。
• VLAN-based SPAN(VSPAN)を使用してプライマリVLAN、隔離VLAN、およびコミュニティVLANを一括してSPANの対象にすることもできますし、また1つのVLANだけでSPANを使用して出力トラフィックまたは入力トラフィックを個別にモニタすることもできます。
• RSPAN VLANは、プライベートVLANには使用できません。
• 隔離ポート、コミュニティ ポート、または混合ポート上でEtherChannelをイネーブルにすることはできません。
• プライマリVLAN、隔離VLAN、およびコミュニティVLANには、それぞれ異なるVACLおよびQuality of Service(QoS;サービス品質)ACL(アクセス制御リスト)を適用できます。
(注) ACLの設定手順については、「プライベートVLAN上でのACLの設定」を参照してください。
• MSFCからのすべての発信トラフィックに適用されるように、双方向コミュニティVLANとプライマリVLANの両方で出力ACLを設定する必要があります。
• プライマリVLANにCisco IOS ACLをマッピングすると、対応する隔離VLANおよびコミュニティVLANにそのCisco IOS ACLが自動的にマッピングされます。
• 隔離VLANまたはコミュニティVLANにCisco IOS ACLをマッピングすることはできません。
• プライベートVLANインターフェイスでPolicy-Based Routing(PBR;ポリシー ベース ルーティング)を使用することはできません。 ip policy route-map route_map_name コマンドを使用してプライベートVLANインターフェイスにポリシーを適用しようとすると、エラー メッセージが出力されます。
• VLANにダイナミックAccess Control Entry(ACE;アクセス制御エントリ)が設定されている場合、そのVLANをプライベートVLANにすることはできません。
• 隔離VLANまたはコミュニティVLANのレイヤ3スイッチングを停止するには、そのVLANとプライマリVLANとのバインディングを破棄します。対応するマッピングを削除するだけでは不十分です。
プライマリ プライベートVLANの作成
プライマリ プライベートVLANを作成するには、イネーブル モードで次の作業を行います。
(注) プライベートVLANに、隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートをバインドすると同時に、対応付けられた隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANをバインドするには、set pvlan primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan} mod/portコマンドを入力します。
(注) スイッチがトランクに接続され、そのトランクからプライベートVLANが削除されていないかぎり、ポートが同じスイッチに存在する必要はありません。
(注) プライベートVLANで混合ポートにMSFCを使用するとき、MSFC mod/port番号としては、スロット1にスーパバイザ エンジンが搭載されている場合は15/1を、スロット2に搭載されている場合は16/1を使用してください。
(注) 隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートのある装置、混合ポートのある装置、およびプライベートVLANをトランクで伝送する必要のあるすべての中間スイッチを含むプライベートVLANを作成する場合は、必ずset pvlanコマンドを使用する必要があります。隔離ポート、コミュニティ ポート、双方向コミュニティ ポート、または混合ポートのないエッジ装置(一般に、プライベート ポートを持たないアクセス装置)では、プライベートVLANを作成する必要はなく、セキュリティ上の理由でプライベートVLANをトランクからプルーニングすることができます。
次に、VLAN 7をプライマリVLANとして指定する例を示します。
次に、VLAN 901を隔離VLAN、VLAN 902および903をコミュニティVLANとして指定する例を示します。
次に、VLAN 901をプライマリVLAN 7にバインドし、ポート4/3を隔離ポートとして割り当てる例を示します。
次に、VLAN 902をプライマリVLAN 7にバインドし、ポート4/4~4/6をコミュニティ ポートとして割り当てる例を示します。
次に、VLAN 903をプライマリVLAN 7にバインドし、ポート4/7~4/9をコミュニティ ポートとして割り当てる例を示します。
次に、隔離VLANまたはコミュニティVLANを混合ポート3/1上のプライマリVLANにマッピングする例を示します。
プライベートVLANポートのポート機能の表示
プライベートVLANのポート機能を表示するには、show pvlan capability mod/portコマンドを入力します。
次に,下記の設定でいくつかのポートについてポート機能を表示する例を示します。
プライベートVLANの削除
プライベートVLANを削除するには、プライマリVLANを削除します。プライマリVLANを削除すると、そのプライマリVLANへのすべてのバインディングが破棄され、プライベートVLAN上のすべてのポートが非アクティブになり、混合ポート上の関連するマッピングがすべて削除されます。
プライベートVLANを削除するには、イネーブル モードで次の作業を行います。
|
|
|
|---|---|
Console> (enable) clear vlan 7
This command will de-activate all ports on vlan 7
Do you want to continue(y/n) [n]?y
Vlan 7 deleted
Console> (enable)
隔離VLAN、コミュニティVLANまたは双方向コミュニティVLANの削除
隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANを削除すると、プライマリVLANとのバインディングが破棄され、そのVLANに対応付けられていた隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートはすべて非アクティブになり、混合ポート上の関連するマッピングはすべて削除されます。
スイッチ上のVLANを削除するには、イネーブル モードで次のコマンドを入力します。
|
|
|
|---|---|
clear vlan {isolated_vlan | community_vlan | twoway_community_vlan} |
Console> (enable) clear vlan 902
This command will de-activate all ports on vlan 902
Do you want to continue(y/n) [n]?y
Vlan 902 deleted
Console> (enable)
プライベートVLANマッピングの削除
プライベートVLANのマッピングを削除すると、隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートと混合ポートとの間の接続が解除されます。混合ポート上のマッピングをすべて削除すると、その混合ポートは非アクティブになります。プライベートVLANポートが非アクティブになると、 show port の出力で、そのポートのVLAN番号は[pvlan-]と表示されます。
プライベートVLANポートが、非アクティブになる原因としては、次のものがあります。
• ポートが属するプライマリVLAN、隔離VLAN、コミュニティVLAN、または双方向コミュニティVLANが消去された場合。
• MSFC以外の混合ポートからのマッピングがすべて削除された場合。
• ポートをプライベートVLANに設定したときにエラーが発生する場合。
プライベートVLANからポートのマッピングを削除するには、イネーブル モードで次の作業を行います。
|
|
|
|---|---|
clear pvlan mapping primary_vlan {isolated | community | twoway-community } {mod/ports} |
次に、ポート3/2~3/5上に設定されていた、VLAN 902から901へのマッピングを削除する例を示します。
Console> (enable)
MSFC上でのプライベートVLANサポート
ここでは、MSFC上でのプライベートVLANのサポートについて説明します。
• プライベートVLANに関する情報を表示するには、 show pvlan コマンドを使用します。 show pvlan コマンドでプライベートVLANに関する情報が表示されるのは、プライマリ プライベートVLANがアップになっている場合に限られます。
• スーパバイザ エンジンに対して set pvlan mapping または clear pvlan mapping コマンドを入力すると、MSFC Syslogメッセージが表示されます。次に例を示します。
• プライマリ プライベートVLANに対してだけレイヤ3パラメータを設定するには、 interface vlan コマンドを使用します。
• MSFCで interface vlan コマンドで入力されているVLAN番号を使用して、スーパバイザ エンジン上で隔離VLANまたはコミュニティVLANを作成することはできません。
• レイヤ3のプライベートVLANインターフェイス上で学習されたARPエントリは、 sticky ARP エントリです(プライベートVLANインターフェイスのARPエントリを表示して確認することを推奨します)。
• プライベートVLANインターフェイスのsticky ARPエントリは、セキュリティ上の理由から、期限切れになりません。同じIPアドレスで新しい装置を接続しても、メッセージが生成され、ARPエントリは作成されません。
• プライベートVLANインターフェイスのARPエントリは期限切れにならないので、MACアドレスを変更した場合はプライベートVLANインターフェイスのARPエントリを手動で削除する必要があります。
• プライベートVLANのARPエントリは、手動で追加または削除する必要があります。次に例を示します。
• 一部のコマンドにより、プライベートVLANマッピングが消去および再作成されます。次に例を示します。
スイッチ上でのFDDI VLANの設定
新しいFDDI VLANを作成するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
set vlan vlan [ name name ] type { fddi | fddinet } [ said said ] [ mtu mtu ] |
||
既存のFDDI VLANのVLANパラメータを変更するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] |
||
スイッチ上でのトークンリングVLANの設定
ここでは、VTPバージョン2で動作するスイッチ上でサポートされる、2種類のトークンリングVLANについて説明します。
トークンリングVLANを設定および管理するには、VTPバージョン2を使用する必要があります。
(注) Catalyst 6500シリーズ スイッチでは、ISLカプセル化トークンリング フレームはサポートされていません。
トークンリングTrBRF VLANの機能概要
TrBRF VLANは、スイッチド トークンリング ネットワーク環境において、複数のTrCRF VLANを相互接続します(図11-3を参照)。TrBRFは、トランク リンクによって相互接続されたスイッチで構成されるネットワーク全体に拡大することができます。TrCRFとTrBRF間の接続を 論理ポート といいます。
図11-3 相互接続されたトークンリングTrBRF VLANおよびTrCRF VLAN
ソース ルーティングでは、スイッチは論理リング間の単一ブリッジとなります。TrBRFは、IBMまたはIEEE STPを実行するSRBまたはSRTブリッジとして動作できます。SRBを使用する場合、重複するMACアドレスを異なる論理リングで定義できます。
トークンリング ソフトウェアは、TrBRF VLANごとに、また、TrCRF VLANごとに1つずつSTPのインスタンスを実行します。TrCRF VLANの場合、STPにより、論理リングのループが排除されます。TrBRF VLANの場合、STPはイーサネットVLAN上での動作と同様、外部ブリッジと対話して、ブリッジ トポロジーからループを排除します。
ソース ルーティングでは、スイッチは論理リング間の単一ブリッジとなります。TrBRFは、IBMまたはIEEE STPを実行するSRBまたはSRTブリッジとして動作できます。SRBを使用する場合には、複数の異なる論理リングに重複したMACアドレスを定義できます。
IBMのSystem Network Architecture(SNA)トラフィックに対応するために、SRTモードとSRBモードを組み合わせて使用することができます。混在モードでは、TrBRFは一部のポート(TrCRFに接続された論理ポート)がSRBモードで動作し、他のポートがSRTモードで動作するものとみなします。
トークンリングTrCRF VLANの機能概要
TrCRF VLANでは、同じ論理リング番号でポート グループを定義します。ネットワークには、非分散型およびバックアップの2種類のTrCRFを設定できます。
通常、TrCRFは非分散型です。これは、各TrCRFが1台のスイッチ上のポートに限定されることを意味します。同一または異なるスイッチ上で、複数の非分散型TrCRFを1つの親TrBRFに対応させることができます(図11-4を参照)。親TrBRFは、マルチポート ブリッジとして動作し、非分散型TrCRF間でトラフィックを転送します。
(注) 異なるスイッチ上のリング間でデータを受け渡すには、リングを同一のTrBRFに対応付けて、そのTrBRFをSRBとして設定します。
(注) デフォルトの設定では、トークンリング ポートはデフォルトのTrCRF(VLAN 1003、trcrf-default)に対応し、これにはデフォルトのTrBRF(VLAN 1005、trbrf-default)が親として存在します。この設定では、分散型TrCRFが可能であり(図11-5を参照)、スイッチがISLトランクで接続されている場合に、異なるスイッチ上のデフォルトのTrCRF間でトラフィックを流すことができます。
TrCRF内では、ソースルート スイッチングを使用し、MACアドレスまたはルート記述子に基づいて転送を行います。VLAN全体を1つのリングとして動作させ、フレームを1つのTrCRF内のポート間でスイッチングすることもできます。
TrCRFごとにAREフレームおよびSTEフレームの最大ホップ カウントを指定することによって、エクスプローラが通過できる最大ホップ数を制限することができます。ポートで、受け取ったエクスプローラ フレームが指定されたホップ数を超えて経由して来ていることが判別されると、そのフレームは転送されません。TrCRFでは、ルート情報フィールドのブリッジ ホップ数に基づいて、エクスプローラが経由したホップ数を判別します。
バックアップ TrCRFを使用すると、スイッチ間のISL接続で障害が発生した場合、TrBRFで接続されている複数のスイッチ上の非分散型TrCRF間を流れるトラフィック用に、代替ルートを設定することができます。また、TrBRFでバックアップTrCRFに割り当てることができるポートは、1台のスイッチで1つだけです。
スイッチ間のISL接続で問題が起きた場合、影響を受ける各スイッチ上のバックアップTrCRFポートがアクティブになり、バックアップTrCRFを介して非分散型TrCRF間のトラフィックが再ルーティングされます。ISL接続が再び確立されると、バックアップTrCRFの1ポートを除くすべてのポートがディセーブルになります。図11-6に、バックアップTrCRFを示します。
トークンリングVLAN設定時の注意事項
ここでは、トークンリングVLAN作成または変更時の注意事項について説明します。
• トークンリングVLANでは、デフォルトのTrBRF(VLAN 1005)は、デフォルトのTrCRF(VLAN 1003)の親としてだけ指定できます。ユーザ側で設定したTrCRFの親としてデフォルトのTrBRFを指定することはできません。
• TrBRFを設定してから、TrCRFを設定する必要があります。つまり、TrCRFに指定する親TrBRF VLANがすでに存在していなければなりません。
• トークンリング環境では、次のいずれかの条件が存在している場合、TrBRFの論理ポート(TrBRFとTrCRF間の接続)がブロック ステートになります。
トークンリングTrBRF VLANの作成または変更
VTPバージョン2をイネーブルにしてから、トークンリングVLANを作成する必要があります。VTPバージョン2をイネーブルにする方法については、 第10章「VTPの設定」 を参照してください。
新しいTrBRFを作成する場合、ブリッジ番号を指定しなければなりません。
新しいトークンリングTrBRF VLANを作成するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
set vlan vlan [ name name ] type trbrf [ said said ] [ mtu mtu ] bridge bridgeber [ stp { ieee | ibm }] |
||
次に、新しいトークンリングTrBRF VLANを作成し、設定を確認する例を示します。
既存のトークンリングTrBRF VLAN上でVLANパラメータを変更するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] [ bridge bridgeber ] [ stp { ieee | ibm }] |
||
トークンリングTrCRF VLANの作成または変更
(注) VTPバージョン2をイネーブルにしてから、トークンリングVLANを作成する必要があります。VTPバージョン2をイネーブルにする方法については、第10章「VTPの設定」を参照してください。
新しいトークンリングTrCRF VLANを作成するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
set vlan vlan [ name name ] type trcrf [ said said ] [ mtu mtu ] { ring hex_ringber | decring decimal_ringber } parent vlan |
||
(注) 新しいTrCRFを作成するときには、(16進数または10進数で)リング番号を指定し、さらに親のTrBRF VLANを指定しなければなりません。
次に、トークンリングTrCRF VLANを作成し、設定を確認する例を示します。
既存のトークンリングTrCRF VLAN上でVLANパラメータを変更するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] [ ring hex_ring ] [ decring decimal_ring ] [ bridge bridge ] [ parent vlan ] |
||
バックアップTrCRFを作成するには、TrBRFが経由するスイッチごとに1ポートずつ、バックアップTrCRFに割り当てます。
TrCRF VLANをバックアップTrCRFとして設定するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
TrCRFにおけるAREフレームまたはSTEフレームの最大ホップ数を指定するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
次に、AREフレームおよびSTEフレームを10ホップに制限し、設定を確認する例を示します。
Firewall Services Module用のVLANの設定
Firewall Services Module(WS-SVC-FWM-1-K9)によって保護されるVLANを指定するには、 set vlan { vlans } firewall-vlan { mod }コマンドを入力します。Firewall Services Moduleによって保護されるVLANを表示するには、 show vlan firewall-vlan mod コマンドを入力します。
Firewall Services ModuleでVLAN範囲を保護するには、次の条件が満たされなければなりません。
1. VLANにポート メンバーシップが定義され、VLANがアクティブ ステートになっている。
2. VLANに、アクティブ ステートになっているMSFCレイヤ3インターフェイスがない。
上記の2の条件を満たしていないVLANは、Firewall Services Moduleで保護しようとするVLAN範囲から廃棄されます。
2と3の条件を満たしているものの1の条件を満たしていないVLANは、スーパバイザ エンジン データベースに保存されます。これらのVLANは、1の条件が満たされるとただちにFirewall Services Moduleへ送られます。
次に、Firewall Services ModuleでVLAN範囲を保護する例を示します。
Firewall Services Moduleの複数VLANインターフェイス機能を設定するには、set firewall multiple-vlan-interfaces { enable | disable }コマンドを入力します。複数VLANインターフェイス機能をディセーブル化すると、Firewall Services Moduleは単一VLANインターフェイス モードに設定されます。複数VLANインターフェイス機能は、デフォルトではディセーブルです。例は次のとおりです。
Release 8.4(1)以降のソフトウェア リリースでは、 set vlan { vlan } firewall-vlan { mod } msfc-fwsm-interface コマンドを入力して、指定されたVLANをMSFCとFirewall Services Module間の保護インターフェイスにすることができます。このコマンドを使用できるのは、単一VLANインターフェイス モードの場合のみです。複数のVLANインターフェイスがイネーブル化されている場合は、入力できません。例は次のとおりです。
(注) Firewall Services Moduleの設定の詳細については、次のURLにあるFirewall Services Moduleのマニュアルを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/mod_icn/fwsm/index.htm
フィードバック