この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco NX-OS デバイスでプライベート VLAN を設定する手順について説明します。プライベート VLAN は、レイヤ 2 レベルでさらなる保護機能を提供します。
この章は、次の項で構成されています。
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
(注) | レイヤ 2 ポートは、トランク ポート、アクセス ポート、またはプライベート VLAN ポートとして機能します。 |
(注) | Cisco NX-OS Release 5.0(2) 以降では、プライベート VLAN の無差別トランク ポートおよび独立トランク ポートがサポートされます。プライベート VLAN コミュニティ ポートはトランク ポートになることはできません。 |
(注) | この機能を設定する前に、プライベート VLAN 機能をイネーブルにする必要があります。 |
同様のシステム間で直接通信する必要がない特定の状況では、プライベート VLAN により、レイヤ 2 レベルの保護を強化できます。プライベート VLAN は、プライマリ VLAN とセカンダリ VLAN の関連付けです。
プライマリ VLAN は、セカンダリ VLAN を関連付けるブロードキャスト ドメインを定義します。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかの場合があります。独立 VLAN 上のホストは、プライマリ VLAN 内で関連付けられた無差別ポートとだけ通信します。コミュニティ VLAN 上のホストは、同じコミュニティ VLAN 上のホスト間および関連付けられた無差別ポートとだけ通信し、独立ポートまたは他のコミュニティ VLAN 内のポートとは通信しません。
統合スイッチングおよびルーティング機能を使用するコンフィギュレーションでは、各プライベート VLAN に単一のレイヤ 3 VLAN ネットワーク インターフェイスを割り当てることにより、ルーティングを提供できます。VLAN ネットワーク インターフェイスは、プライマリ VLAN 用に作成します。このようなコンフィギュレーションでは、セカンダリ VLAN はすべて、プライマリ VLAN 上の VLAN ネットワーク インターフェイスとのマッピングにより、レイヤ 3 でのみ通信します。セカンダリ VLAN 上の既存の VLAN ネットワーク インターフェイスは、すべてサービス停止状態になります。
デバイスでプライベート VLAN 機能を適用するには、プライベート VLAN をイネーブルにする必要があります。
プライベート VLAN モードで動作しているポートがデバイスに設定されている場合は、プライベート VLAN をディセーブルにすることはできません。
(注) | 特定の VLAN をプライマリまたはセカンダリのどちらかのプライベート VLAN として設定するには、事前に VLAN を作成しておく必要があります。 |
プライベート VLAN 機能では、VLAN の使用時にユーザが直面する 2 つの問題に対処できます。
各 VDC は、最大 4096 の VLAN をサポートします。各カスタマーに 1 つの VLAN を割り当てると、サービス プロバイダーがサポートできるカスタマー数は制限されます。
IP ルーティングをイネーブルにするには、各 VLAN にサブネット アドレス空間またはアドレス ブロックを割り当てます。これにより未使用の IP アドレスが無駄になり、IP アドレスの管理に問題が生じます。
プライベート VLAN を使用することにより、スケーラビリティの問題が解決され、IP アドレスの管理が容易になり、カスタマーにレイヤ 2 セキュリティが提供されます。
プライベート VLAN の機能は、VLAN のレイヤ 2 ブロードキャスト ドメインをサブドメインに分割できます。サブドメインは、プライマリ VLAN とセカンダリ VLAN で構成されるプライベート VLAN のペアで表されます。プライベート VLAN ドメインには複数のプライベート VLAN のペアを設定でき、それぞれのペアを各サブドメインに割り当てることができます。プライベート VLAN ドメイン内のすべての VLAN ペアは、同じプライマリ VLAN を共有します。セカンダリ VLAN ID は、各サブドメインの区別に使用されます。
(注) | プライベート VLAN ドメインには、プライマリ VLAN が 1 つのみ含まれています。 |
セカンダリ VLAN は、同じプライベート VLAN 内のポートをレイヤ 2 で分離します。プライマリ VLAN 内のセカンダリ VLAN には、次の 2 つのタイプがあります。
(注) | コミュニティ プライベート VLAN および独立プライベート VLAN のポートは、いずれも PVLAN ホスト ポートというラベルが付けられます。PVLAN ホスト ポートは、関連付けられているセカンダリ VLAN のタイプによって、コミュニティ PVLAN ポートまたは独立 PVLAN ポートのどちらかになります。 |
プライベート VLAN ポートのタイプは、次のとおりです。
無差別ポート:無差別ポートは、プライマリ VLAN に属します。無差別ポートは、無差別ポートとアソシエートされているセカンダリ VLAN に属し、プライマリ VLAN とアソシエートされている、すべてのインターフェイスと通信でき、この通信可能なインターフェイスには、コミュニティ ポートと独立ホスト ポートも含まれます。プライマリ VLAN には、複数の無差別ポートを含めることができます。各無差別ポートには、ポートに関連付けられている複数のセカンダリ VLAN を含めることができ、また、セカンダリ VLAN を含めないこともできます。無差別ポートとセカンダリ VLAN が同じプライマリ VLAN にある限り、セカンダリ VLAN は、複数の無差別ポートとアソシエートすることができます。このアソシエーションは、ロード バランシングまたは冗長性のために使用することもできます。セカンダリ VLAN を無差別ポートに関連付けないこともできますが、その場合、セカンダリ VLAN はレイヤ 3 インターフェイスと通信できません。
Cisco NX-OS Release 5.0(2) 以降、プライマリ VLAN にマッピングされているすべてのセカンダリ VLAN を削除すると、そのプライマリ VLAN は非アクティブになります。
無差別トランク:Cisco Nexus 7000 シリーズ デバイス用の Cisco NX-OS Release 5.0(2) と Cisco DCNM Release 5.1(1) 以降では、複数のプライマリ VLAN のトラフィックを伝送するように無差別トランク ポートを設定できます。プライベート VLAN のプライマリ VLAN およびすべてまたは選択した関連付けられた VLAN を無差別トランク ポートにマップします。各プライマリ VLAN と関連付けられた 1 つのセカンダリ VLAN はプライベート VLAN のペアとなります。また、各無差別トランク ポートに最大 16 のプライベート VLAN のペアを設定できます。
(注) | プライマリ プライベート VLAN に加え、標準の VLAN でもプライベート VLAN 無差別トランク ポートでトラフィックが伝送されます。 |
独立ポート:独立ポートは、セカンダリ独立 VLAN に属するホスト ポートです。このポートは同一プライベート VLAN ドメイン内のその他のポートからレイヤ 2 で完全に分離されていますが、関連付けられた無差別ポートとは通信できます。プライベート VLAN は、無差別ポートからのトラフィックを除き、独立ポート宛てのトラフィックをすべてブロックします。独立ポートから受信されたトラフィックは、無差別ポートにだけ転送されます。特定の独立 VLAN に複数の独立ポートを設定し、その独立 VLAN 内で各ポートを他のすべてのポートから完全に分離できます。
独立トランクまたはセカンダリ トランク:Cisco NX-OS Release 5.0(2) および Cisco DCNM Release 5.1(1) 以降、Cisco Nexus 7000 シリーズ デバイスでは、複数の独立 VLAN のトラフィックを伝送するように独立トランク ポートを設定できます。独立トランク ポートの各セカンダリ VLAN は、別々のプライマリ VLAN に関連付ける必要があります。同じプライマリ VLAN に関連付けられた 2 つのセカンダリ VLAN は、1 つの独立トランク ポートにはできません。各プライマリ VLAN と関連付けられた 1 つのセカンダリ VLAN はプライベート VLAN のペアとなります。また、各独立トランク ポートに最大 16 のプライベート VLAN のペアを設定できます。
(注) | セカンダリ プライベート VLAN に加え、標準の VLAN でもプライベート VLAN 独立トランク ポートでトラフィックが伝送されます。 |
コミュニティ ポート:コミュニティ ポートは、1 つのコミュニティ セカンダリ VLAN に属するホスト ポートです。コミュニティ ポートは、同じコミュニティ VLAN にある他のポートおよびアソシエートされている無差別ポートと通信します。これらのインターフェイスは、他のコミュニティにある他のすべてのインターフェイスおよびプライベート VLAN ドメイン内のすべての独立ポートから、レイヤ 2 で分離されています。
(注) | トランクは、無差別、独立、およびコミュニティの各ポート間のトラフィックを伝送する VLAN をサポートできるので、独立ポートとコミュニティ ポートのトラフィックはトランク インターフェイスを経由してデバイスと送受信されることがあります。 |
プライマリ VLAN にはレイヤ 3 ゲートウェイがあるので、プライベート VLAN の外部と通信するには、セカンダリ VLAN をプライマリ VLAN に関連付けます。プライマリ VLAN および 2 種類のセカンダリ VLAN(独立 VLAN およびコミュニティ VLAN)には、次の特性があります。
プライマリ VLAN:プライマリ VLAN は、無差別ポートから(独立およびコミュニティ)ホスト ポートおよび他の無差別ポートへのトラフィックを伝送します。
独立 VLAN:独立 VLAN は、ホストから無差別ポートおよびレイヤ 3 ゲートウェイへの単方向アップストリーム トラフィックを伝送するセカンダリ VLAN です。1 つのプライベート VLAN ドメインには複数の独立 VLAN を設定できます。すべてのトラフィックはそれぞれの独立 VLAN 内で分離されます。また、各独立 VLAN に複数の独立ポートを設定し、各独立ポートからのトラフィックを完全に分離することもできます。
コミュニティ VLAN:コミュニティ VLAN は、アップストリーム トラフィックをコミュニティ ポートから無差別ポート ゲートウェイおよび同じコミュニティ内の他のホスト ポートに伝送するセカンダリ VLAN です。プライベート VLAN には、複数のコミュニティ VLAN を設定できます。1 つのコミュニティ内のポートは相互に通信できますが、これらのポートは、他のコミュニティにあるポートとも、プライベート VLAN にある独立 VLAN とも、通信できません。
次の図に、プライマリまたはプライベート VLAN 内のレイヤ 2 トラフィック フロー、および VLAN のタイプとポートのタイプを示します。
(注) | プライベート VLAN のトラフィック フローは、ホスト ポートから無差別ポートへの単方向です。無差別ポートから出力されるトラフィックは、標準 VLAN 内のトラフィックと同様に処理され、関連付けられたセカンダリ VLAN でトラフィックが分離されることはありません。 |
無差別ポートは 1 つのプライマリ VLAN の専用ポートになりますが、複数の独立 VLAN および複数のコミュニティ VLAN で使用できます(レイヤ 3 ゲートウェイは、無差別ポートを介してデバイスに接続されます)。無差別ポートでは、広範囲なデバイスをプライベート VLAN のアクセス ポイントとして接続できます。たとえば、すべてのプライベート VLAN サーバを管理ワークステーションから監視したりバックアップしたりするのに、無差別ポートを使用できます。
(注) | Nexus 7000 シリーズ デバイス用の Cisco NX-OS Release 5.0(2) 以降では、プライベート VLAN の無差別トランク ポートと独立トランク ポートを設定できます。これらの無差別トランク ポートと独立トランク ポートは、標準の VLAN に加え、複数のプライマリおよびセカンダリ VLAN のトラフィックを伝送できます。 |
プライマリ VLAN には複数の無差別ポートを設定できますが、各プライマリ VLAN に設定できるレイヤ 3 ゲートウェイは 1 つだけです。
スイッチング環境では、個々のエンド ステーションに、または共通グループのエンド ステーションに、個別のプライベート VLAN や、関連する IP サブネットを割り当てることができます。エンド ステーションはデフォルト ゲートウェイとの通信を行うだけで、プライベート VLAN の外部と通信することができます。
(注) | レイヤ 3 ゲートウェイを設定するには、VLAN インターフェイス機能をイネーブルにしておく必要があります。VLAN ネットワーク インターフェイスと IP アドレス設定の詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide』を参照してください。 |
セカンダリ VLAN 内のホスト ポートでプライベート VLAN 外と通信するには、セカンダリ VLAN をプライマリ VLAN に関連付ける必要があります。関連付けが正常に動作していない場合、セカンダリ VLAN のホスト ポート(独立ポートおよびコミュニティ ポート)はダウン ステートになります。
(注) | セカンダリ VLAN は、1 つのプライマリ VLAN のみにアソシエートすることができます。 |
アソシエーションの操作を可能にするには、次の条件を満たす必要があります。
プライマリ VLAN が存在する。
セカンダリ VLAN が存在する。
プライマリ VLAN がプライマリ VLAN として設定されている。
セカンダリ VLAN が、独立 VLAN またはコミュニティ VLAN として設定されている。
(注) | 関連付けが動作していることを確認するには、show コマンドの出力を調べます。関連付けが動作していなくても、エラー メッセージは発行されません |
プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。指定の VLAN をプライベート VLAN モードに再変換すると、元のアソシエーションが復元されます。
関連付けがプライベート VLAN トランク ポートで動作していない場合、ポート全体はダウンせずに、その VLAN だけがダウンします。
no private-vlan コマンドを入力すると、VLAN は通常の VLAN モードに戻ります。その VLAN 上の関連付けはすべて一時停止されますが、インターフェイスはプライベート VLAN モードのままになります。
プライマリ VLAN に対して no vlan コマンドを入力すると、その VLAN に関連付けされたすべてのプライベート VLAN は失われます。ただし、セカンダリ VLAN に対して no vlan コマンドを入力した場合、その VLAN とプライベート VLAN の関連付けは一時停止します。この VLAN を再作成してセカンダリ VLAN として設定すると元に戻ります。
(注) | この動作は、Catalyst デバイスの動作と異なります。 |
セカンダリ VLAN とプライマリ VLAN の関連付けを変更するには、現在の関連付けを削除してから目的の関連付けを追加します。
プライベート VLAN にあるポートからのブロードキャスト トラフィックは、次のように流れます。
ブロードキャスト トラフィックは、すべての無差別ポートからプライマリ VLAN 内のすべてのポートに流れます。このブロードキャスト トラフィックは、プライベート VLAN パラメータで設定されていないポートを含め、プライマリ VLAN 内のすべてのポートに配信されます。
すべての独立ポートからのブロードキャスト トラフィックは、その独立ポートに関連付けられているプライマリ VLAN の無差別ポートにだけ配信されます。
コミュニティ ポートからのブロードキャスト トラフィックは、そのポートのコミュニティ内のすべてのポート、およびそのコミュニティ ポートに関連付けられているすべての無差別ポートに配信されます。このブロードキャスト パケットは、プライマリ VLAN 内の他のコミュニティまたは独立ポートには配信されません。
プライベート VLAN を使用すると、次のように、エンド ステーションへのアクセスを制御できます。
レイヤ 2 VLAN への VLAN インターフェイスは、スイッチ仮想インターフェイス(SVI)とも呼ばれます。レイヤ 3 デバイスは、セカンダリ VLAN ではなく、プライマリ VLAN だけを介してプライベート VLAN と通信します。
VLAN ネットワーク インターフェイスは、プライマリ VLAN だけに対して設定します。セカンダリ VLAN には VLAN インターフェイスを設定しないでください。VLAN がセカンダリ VLAN として設定されている場合、セカンダリ VLAN の VLAN ネットワーク インターフェイスは非アクティブになります。VLAN インターフェイスの設定が正しくない場合、次のような状況になります。
アクティブな VLAN ネットワーク インターフェイスが設定された VLAN をセカンダリ VLAN として設定しようとすると、VLAN インターフェイスをディセーブルにするまでは、設定が許可されません。
セカンダリ VLAN として設定されている VLAN 上で VLAN ネットワーク インターフェイスを作成してイネーブルにしようとすると、その VLAN インターフェイスはディセーブルのままで、システムからエラーが返されます。
プライマリ VLAN がセカンダリ VLAN に関連付けられ、マッピングされている場合、プライマリ VLAN 上のすべての設定がセカンダリ VLAN に伝播されます。たとえば、プライマリ VLAN 上の VLAN ネットワーク インターフェイスに IP サブネットを割り当てると、このサブネットはプライベート VLAN 全体の IP サブネット アドレスになります。
(注) | VLAN インターフェイスを設定するには、VLAN インターフェイス機能をイネーブルにしておく必要があります。VLAN インターフェイスと IP アドレス設定の詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide』を参照してください。 |
複数のデバイスにわたるようにプライベート VLAN を拡張するには、プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN を、プライベート VLAN をサポートする他のデバイスにトランキングします。プライベート VLAN 設定のセキュリティを保持して、プライベート VLAN として設定された VLAN が他の目的に使用されないようにするには、プライベート VLAN ポートが設定されていないデバイスを含め、すべての中間デバイスにプライベート VLAN を設定します。
このソフトウェアは、コールド リブート時に、プライベート VLAN のステートフルおよびステートレスの両方の再起動において、ハイ アベイラビリティをサポートしています。ステートフルな再起動では、最大 3 回の再試行がサポートされます。再起動から 10 秒以内に 4 回以上の再試行を行うと、スーパーバイザ モジュールがリロードされます。
プライベート VLAN ごとに、ソフトウェアのアップグレードまたはダウングレードをシームレスに実行できます。
Cisco NX-OS Release 5.0(2) 以降、プライベート VLAN の無差別トランク ポートまたは独立トランク ポートを設定している場合は、ソフトウェアをダウングレードするために、これらのポートの設定を解除する必要があります。
(注) | ハイ アベイラビリティ機能の詳細については、『Cisco Nexus 7000 Series NX-OS High Availability and Redundancy Guide』を参照してください。 |
このソフトウェアは、仮想デバイス コンテキスト(VDC)をサポートしています。
(注) | VDC およびリソース割り当ての詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。 |
各 VLAN は、プライマリ VLAN およびすべてのセカンダリ VLAN のプライベート VLAN ポートが、すべて同じ VDC に属している必要があります。プライベート VLAN は、複数の VDC に対しては設定できません。
ファブリック エクステンダ(FEX)ホスト インターフェイス(HIF)での独立プライベート VLAN(PVLAN)サポート機能により、ユーザは、親スイッチが Cisco Nexus 7000 シリーズ スイッチである FEX ポート上で、PVLAN 独立ホストおよびセカンダリ トランク ポートを設定できます。この機能により、ユーザは、トランク ポートからホスト インターフェイス ポートまでのエンドツーエンドのプライベート VLAN(PVLAN)ドメインを作成できます。
FEX HIF 上の独立 PVLAN は、単一のホームおよびデュアル ホーム vPC トポロジでサポートされます。
次の表に、この機能のライセンス要件を示します。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
プライベート VLAN にライセンスは必要ありません。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
ただし、VDC を使用するには、Advanced Services ライセンスが必要です。
プライベート VLAN には次の前提条件があります。
デバイスでプライベート VLAN 機能を適用するには、プライベート VLAN をイネーブルにする必要があります。
デバイスでこの機能を適用するには、VLAN インターフェイス機能をイネーブルにする必要があります。
セカンダリ VLAN を設定する前に、セカンダリ VLAN として設定するすべての VLAN の VLAN ネットワーク インターフェイスをシャットダウンします。
Cisco NX-OS Release 6.0(x) は、F2 シリーズ モジュールの PVLAN 機能をサポートしません。
共有インターフェイスがプライベート VLAN の一部となるように設定することはできません。詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide』を参照してください。
FEX HIF 上の独立 PVLAN には、M2、F2、F2e および F3 ファブリック ポート モジュールのみサポートされます。
プライマリ VLAN には 1 つの独立 VLAN のみ関連付けできます。
FEX HIF ポートでは、独立ホストおよびトランク セカンダリ PVLAN ポート モードのみがサポートされます。
system private-vlan fex trunk disable コマンドが設定されている場合は、PVLAN を FEX 上の HIF トランク ポートで実行できません。
PVLAN 無差別、コミュニティおよびトランク無差別は、FEX HIF ポートではサポートされません。
M1 および M1-XL ファブリック モジュールは、FEX HIF ポートでサポートされません。
FEX ポートでの独立トランクの設定は、system private-vlan fex trunk グローバル コンフィギュレーションと互換性がありません。
プライベート VLAN でのセカンダリ LAN またはプライマリ LAN の設定時は、次の注意事項に従ってください。
デフォルト VLAN(VLAN1)または内部的に割り当てられた VLAN を、プライマリ VLAN またはセカンダリ VLAN として設定できません。
プライベート VLAN を設定するには VLAN コンフィギュレーション(config-vlan)モードを使用する必要があります。
1 つのプライマリ VLAN に、複数の独立 VLAN およびコミュニティ VLAN を関連付けることができます。独立 VLAN またはコミュニティ VLAN には、1 つのプライマリ VLAN のみを関連付けることができます。
プライベート VLAN がレイヤ 2 でホストを分離していても、ホストはレイヤ 3 で互いに通信できます。
セカンダリ VLAN をプライマリ VLAN に関連付けられている場合、ブリッジ プライオリティなどのプライマリ VLAN の STP パラメータは、セカンダリ VLAN に伝播されます。ただし、STP パラメータが必ずしもその他のデバイスに伝播されるとはかぎりません。プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN のスパニングツリー トポロジが正確に一致し、これらの VLAN が同じ転送データベースを適切に共有できるかどうかを確認するには、STP 設定を手動でチェックする必要があります。
標準トランク ポートの場合、次の事項に注意してください。
非トランク ポートの場合、次の事項に注意してください。
(注) | ホスト ポートとして設定するすべてのポート上で BPDU ガードをイネーブルにすることを推奨します。この機能は、無差別モード ポート上ではイネーブルにしないでください。 |
プライベート VLAN 独立トランク ポートの場合は、次の点に注意してください。
プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN には、別々の Quality of Service(QoS)を適用できます。
すべてのプライベート VLAN トラフィックに VACL を適用するには、プライマリ VLAN の VLAN ネットワーク インターフェイスにセカンダリ VLAN をマッピングしてから、プライマリ VLAN の VLAN ネットワーク インターフェイス上に VACL を設定します。
プライマリ VLAN の VLAN ネットワーク インターフェイスに適用した VACL は、マッピングが設定されている場合に限り、関連付けられた独立 VLAN およびコミュニティ VLAN に自動的に適用されます。
プライマリ VLAN の VLAN ネットワーク インターフェイスにセカンダリ VLAN をマッピングしない場合は、プライマリ VLAN とセカンダリ VLAN に異なる VACL を設定できますが、問題が発生する可能性があります。
プライベート VLAN のトラフィックは、異なる VLAN では異なる方向に伝送されるので、マッピングを設定する前に、入力トラフィック用と出力トラフィック用にそれぞれ異なる VACL を設定できます。
(注) | プライベート VLAN 内のプライマリ VLAN とすべてのセカンダリ VLAN では、同じ VACL を保持する必要があります。 |
DHCP スヌーピングはプライベート VLAN 上でイネーブルにできます。プライマリ VLAN 上で DHCP スヌーピングをイネーブルにすると、DHCP 設定がセカンダリ VLAN に伝播されます。セカンダリ VLAN で DHCP を設定しても、プライマリ VLAN をすでに設定している場合、DHCP 設定は有効になりません。
VLAN をセカンダリ VLAN として設定する前に、セカンダリ VLAN の VLAN ネットワーク インターフェイスをシャットダウンする必要があります。
無差別ポートが設定された独立プライベート VLAN 内でのホスト間通信を防ぐには、そのサブネット内のホストの相互通信を拒否するロールベース ACL(RBACL)を設定します。
プライベート VLAN ポートの設定時は、次の注意事項に従ってください。
Release 6.2(10) 以前では、ネイティブ VLAN はプライベート VLAN 設定でサポートされていません。
プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN にポートを割り当てるには、プライベート VLAN コンフィギュレーション コマンドだけを使用します。
プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN として設定する VLAN に割り当てられているレイヤ 2 アクセス ポートは、この VLAN がプライベート VLAN の設定に含まれている場合、非アクティブになります。プライベート VLAN を伝送するレイヤ 2 トランク インターフェイスはアクティブで、STP データベースの一部として保持されます。
プライベート VLAN 設定に使用される VLAN を削除すると、その VLAN に関連付けられたプライベート VLAN ポートは非アクティブになります。
プライベート VLAN の設定時は、他の機能に関連する設定上の制約事項を考慮してください。
(注) | 一部の状況では、エラー メッセージが表示されずに設定が受け入れられますが、コマンドには効果がありません。 |
IGMP は、プライマリ VLAN 上でのみ実行され、すべてのセカンダリ VLAN にプライマリ VLAN の設定が使用されます。
セカンダリ VLAN 内の IGMP 加入要求は、プライマリ VLAN で受信されたものとして処理されます。
プライベート VLAN では、次のスイッチド ポート アナライザ(SPAN)機能がサポートされます。
プライベート VLAN ホストまたは無差別ポートは、宛先 SPAN ポートにはできません。
宛先 SPAN ポートは、独立ポートにしないでください(ただし、送信元 SPAN ポートは独立ポートにできます)。
SPAN は、プライマリ VLAN およびセカンダリ VLAN の両方に対して設定できます。また、出力トラフィックまたは入力トラフィックのうち、どちらか一方だけに対して設定することもできます。
プライマリ VLAN とセカンダリ VLAN 間のアソシエーションを設定すると、セカンダリ VLAN を学習したダイナミック MAC アドレスがすぐに消去されます。
プライマリ VLAN とセカンダリ VLAN 間の関連付けを設定すると、セカンダリ VLAN 上で作成されたすべてのスタティック MAC アドレスが、プライマリ VLAN に挿入されます。関連付けを削除すると、スタティック MAC アドレスはセカンダリ VLAN だけの設定に戻ります。
プライマリ VLAN とセカンダリ VLAN 間の関連付けの設定後に、セカンダリ VLAN 用のスタティック MAC アドレスは作成できません。
プライマリ VLAN とセカンダリ VLAN 間のアソシエーションの設定後、このアソシエーションを削除すると、プライマリ VLAN 上に作成されたすべてのスタティック MAC アドレスは、プライマリ VLAN 上に限り存続します。
プライベート VLAN では、ポート セキュリティ機能はサポートされません。
プライベート VLAN では、STP はプライマリ VLAN だけを制御します。
プライベート VLAN、MST、または vPC の設定時に vPC トランクからセカンダリ VLAN の一部を削除しているか、セカンダリ VLAN の一部を削除している場合、ARP や HSRP hello のようなマルチキャストまたはブロードキャスト メッセージをプライベート VLAN によってフラッディングすることはできません。この場合、削除したセカンダリ VLAN をトランクとして再設定するか、または削除したセカンダリ VLAN を再設定します。
(注) | スタティック MAC アドレスの設定の詳細については、『Cisco Nexus 7000 Series NX-OS Security Configuration Guide』を参照してください。 |
パラメータ |
デフォルト |
---|---|
プライベート VLAN |
ディセーブル |
指定した VLAN をプライベート VLAN として割り当てる前に、VLAN を作成しておく必要があります。
VLAN インターフェイスへの IP アドレスの割り当ての詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide』を参照してください。
(注) | Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。 |
プライベート VLAN 機能を使用するには、デバイス上でプライベート VLAN をイネーブルにする必要があります。
(注) | プライベート VLAN コマンドは、プライベート VLAN 機能をイネーブルにするまで表示されません。 |
次に、デバイス上でプライベート VLAN 機能をイネーブルにする例を示します。
switch# config t switch(config)# feature private-vlan switch(config)#
(注) | VLAN をセカンダリ VLAN(つまり、コミュニティ VLAN または独立 VLAN のいずれか)として設定する前に、まず VLAN ネットワーク インターフェイスをシャットダウンする必要があります。 |
VLAN は、プライベート VLAN として設定できます。
プライベート VLAN を作成するには、最初に VLAN を作成して、その VLAN をプライベート VLAN として設定します。
プライベート VLAN 内で、プライマリ VLAN、コミュニティ VLAN、または独立 VLAN として使用するすべての VLAN を作成します。そのあとで、複数の独立 VLAN および複数のコミュニティ VLAN を 1 つのプライマリ VLAN に関連付けます。複数のプライマリ VLAN と関連付けを設定できます。つまり、複数のプライベート VLAN を設定できます。
プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。
プライベート VLAN トラック ポート上でセカンダリ VLAN またはプライマリ VLAN のいずれかを削除した場合、その特定の VLAN だけが非アクティブになり、トランク ポートはアップしたままです。
プライベート VLAN 機能がイネーブルであることを確認してください。
正しい VDC を開始していること(または switchto vdc コマンドを入力済みであること)を確認してください。VDC が異なっていても同じ VLAN 名と ID を使用できるので、正しい VDC で作業していることを確認する必要があります。
コマンドまたはアクション | 目的 | |||||||
---|---|---|---|---|---|---|---|---|
ステップ 1 | config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||||||
ステップ 2 | vlan {vlan-id | vlan-range} 例: switch(config)# vlan 5 switch(config-vlan)# |
VLAN コンフィギュレーション サブモードにします。 | ||||||
ステップ 3 | 次のいずれかのコマンドを入力します。
例: switch(config-vlan)# private-vlan primary | |||||||
ステップ 4 | exit 例: switch(config-vlan)# exit switch(config)# |
VLAN コンフィギュレーション サブモードを終了します。 | ||||||
ステップ 5 | show vlan private-vlan [type] 例: switch# show vlan private-vlan | (任意)
プライベート VLAN の設定を表示します。 | ||||||
ステップ 6 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
switch# config t switch(config)# vlan 5 switch(config-vlan)# private-vlan primary switch(config-vlan)# exit switch(config)#
セカンダリ VLAN をプライマリ VLAN に関連付けるときは、次の注意事項に従ってください。
secondary-vlan-list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目は、単一のセカンダリ VLAN ID、またはセカンダリ VLAN ID をハイフンでつないだ範囲にできます。
secondary-vlan-list パラメータには、複数のコミュニティ VLAN ID と独立 VLAN ID を含めることができます。
セカンダリ VLAN をプライマリ VLAN に関連付けるには、secondary-vlan-list と入力するか、secondary-vlan-list に add キーワードを入力します。
セカンダリ VLAN とプライマリ VLAN との関連付けをクリアするには、secondary-vlan-list に remove キーワードを入力します。
セカンダリ VLAN とプライマリ VLAN とのアソシエーションを変更するには、既存のアソシエーションを削除し、次に必要なアソシエーションを追加します。
プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。
no private-vlan コマンドを入力すると、VLAN は通常の VLAN モードに戻ります。その VLAN 上の関連付けはすべて一時停止されますが、インターフェイスはプライベート VLAN モードのままになります。
指定の VLAN をプライベート VLAN モードに再変換すると、元のアソシエーションが復元されます。
プライマリ VLAN に対して no vlan コマンドを入力すると、その VLAN に関連付けされたすべてのプライベート VLAN は失われます。ただし、セカンダリ VLAN に対して no vlan コマンドを入力した場合、その VLAN とプライベート VLAN の関連付けは一時停止します。この VLAN を再作成して以前のセカンダリ VLAN として設定すると元に戻ります。
プライベート VLAN 機能がイネーブルであることを確認してください。
正しい VDC を開始していること(または switchto vdc コマンドを入力済みであること)を確認してください。VDC が異なっていても同じ VLAN 名と ID を使用できるので、正しい VDC で作業していることを確認する必要があります。
コマンドまたはアクション | 目的 | |||||||
---|---|---|---|---|---|---|---|---|
ステップ 1 | config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||||||
ステップ 2 | vlan primary-vlan-id 例: switch(config)# vlan 5 switch(config-vlan)# |
プライベート VLAN の設定作業を行うプライマリ VLAN の番号を入力します。 | ||||||
ステップ 3 | 次のいずれかのコマンドを入力します。
例: switch(config-vlan)# private-vlan association 100-105,109 | |||||||
ステップ 4 | exit 例: switch(config-vlan)# exit switch(config)# |
VLAN コンフィギュレーション サブモードを終了します。 | ||||||
ステップ 5 | show vlan private-vlan [type] 例: switch# show vlan private-vlan | (任意)
プライベート VLAN の設定を表示します。 | ||||||
ステップ 6 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、コミュニティ VLAN 100 ~ 105 および独立 VLAN 109 をプライマリ VLAN 5 に関連付ける例を示します。
switch(config)# vlan 5 switch(config-vlan)# private-vlan association 100-105, 109 switch(config-vlan)# exit switch(config)#
(注) | プライベート VLAN のプライマリ VLAN の VLAN インターフェイスへの IP アドレスの割り当ての詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide』を参照してください。 |
セカンダリ VLAN を、プライマリ VLAN の VLAN インターフェイスにマッピングします。独立 VLAN およびコミュニティ VLAN は、ともにセカンダリ VLAN と呼ばれます。プライベート VLAN の入力トラフィックをレイヤ 3 で処理するには、セカンダリ VLAN をプライマリ VLAN の VLAN ネットワーク インターフェイスにマッピングします。
(注) | VLAN ネットワーク インターフェイスを設定する前に、VLAN ネットワーク インターフェイスをイネーブルにする必要があります。プライマリ VLAN に関連付けられたコミュニティ VLAN または独立 VLAN 上の VLAN ネットワーク インターフェイスは、アウト オブ サービスになります。稼働するのは、プライマリ VLAN 上の VLAN ネットワーク インターフェイスだけです。 |
コマンドまたはアクション | 目的 | |||||||
---|---|---|---|---|---|---|---|---|
ステップ 1 | config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||||||
ステップ 2 | interface vlanprimary-vlan-ID 例: switch(config)# interface vlan 5 switch(config-if)# |
プライベート VLAN の設定作業を行うプライマリ VLAN の番号を入力し、プライマリ VLAN をインターフェイス コンフィギュレーション モードにします。 | ||||||
ステップ 3 | 次のいずれかのコマンドを入力します。
例: switch(config-if)# private-vlan mapping 100-105, 109 | |||||||
ステップ 4 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 | ||||||
ステップ 5 | show interface vlan primary-vlan-id private-vlan mapping 例: switch(config)# show interface vlan 101 private-vlan mapping | (任意)
インターフェイスのプライベート VLAN 情報を表示します。 | ||||||
ステップ 6 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、セカンダリ VLAN 100 ~ 105 および 109 を、プライマリ VLAN 5 のレイヤ 3 インターフェイスにマッピングする例を示します。
switch # config t switch(config)# interface vlan 5 switch(config-if)# private-vlan mapping 100-105, 109 switch(config-if)# exit switch(config)#
レイヤ 2 インターフェイスをプライベート VLAN のホスト ポートとして設定できます。プライベート VLAN では、ホスト ポートがセカンダリ VLAN の一部です。セカンダリ VLAN は、コミュニティ VLAN または独立 VLAN のいずれかです。
(注) | ホスト ポートとして設定されているすべてのインターフェイスで、BPDU ガードをイネーブルにすることを推奨します。 |
次に、ホスト ポートを、プライマリ VLAN とセカンダリ VLAN の両方にアソシエートします。
プライベート VLAN 機能がイネーブルであることを確認してください。
正しい VDC を開始していること(または switchto vdc コマンドを入力済みであること)を確認してください。VDC が異なっていても同じ VLAN 名と ID を使用できるので、正しい VDC で作業していることを確認する必要があります。
コマンドまたはアクション | 目的 | |||||||
---|---|---|---|---|---|---|---|---|
ステップ 1 | config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||||||
ステップ 2 | interface type slot/port 例: switch(config)# interface ethernet 2/1 switch(config-if)# |
プライベート VLAN ホスト ポートとして設定するレイヤ 2 ポートを選択します。 | ||||||
ステップ 3 | switchport mode private-vlan host 例: switch(config-if)# switchport mode private-vlan host switch(config-if)# |
レイヤ 2 ポートをプライベート VLAN のホスト ポートとして設定します。 | ||||||
ステップ 4 | 次のいずれかのコマンドを入力します。
例: switch(config-if)# switchport private-vlan host-association 10 50 | |||||||
ステップ 5 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 | ||||||
ステップ 6 | show interface switchport 例: switch# show interface switchport | (任意)
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 | ||||||
ステップ 7 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、レイヤ 2 ポート 2/1 をプライベート VLAN のホスト ポートとして設定し、プライマリ VLAN 10 およびセカンダリ VLAN 50 に関連付ける例を示します。
switch# config t switch(config)# interface ethernet 2/1 switch(config-if)# switchport mode private-vlan host switch(config-if)# switchport private-vlan host-association 10 50 switch(config-if)# exit switch(config)#
Cisco NX-OS Release 5.0(2) から、レイヤ 2 インターフェイスをプライベート VLAN 独立トランク ポートとして設定できるようになりました。これらの独立トランク ポートは、複数のセカンダリ VLAN と通常の VLAN のトラフィックを伝送します。
(注) | プライマリ VLAN とセカンダリ VLAN は、プライベート VLAN 独立トランク ポート上で動作可能になる前に関連付ける必要があります。 |
プライベート VLAN 機能がイネーブルであることを確認してください。
正しい VDC を開始していること(または switchto vdc コマンドを入力済みであること)を確認してください。VDC が異なっていても同じ VLAN 名と ID を使用できるので、正しい VDC で作業していることを確認する必要があります。
コマンドまたはアクション | 目的 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|
ステップ 1 | config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||||||||
ステップ 2 | interface {type slot/port} 例: switch(config)# interface ethernet 2/11 switch(config-if)# | プライベート VLAN 独立トランク ポートとして設定するレイヤ 2 ポートを選択します。 | ||||||||
ステップ 3 | switchport 例: switch(config-if)# switchport switch(config-if)# | レイヤ 2 ポートをスイッチ ポートとして設定します。 | ||||||||
ステップ 4 | switchport mode private-vlan trunk secondary 例: switch(config-if)# switchport mode private-vlan trunk secondary switch(config-if)# | レイヤ 2 ポートを、複数の独立 VLAN のトラフィックを伝送する独立トランク ポートとして設定します。
| ||||||||
ステップ 5 | switchport private-vlan trunk native vlan vlan-id 例: switch(config-if)# switchport private-vlan trunk native vlan 5 | (任意)
802.1Q トランクのネイティブ VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。デフォルト値は 1 です。
| ||||||||
ステップ 6 | switchport private-vlan trunk allowed vlan {add vlan-list | all | except vlan-list | none | remove vlan-list} 例: switch(config-if)# switchport private-vlan trunk allowed vlan add 1 switch(config-if)# | プライベート VLAN 独立トランク インターフェイスの許容 VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。 プライベート プライマリ VLAN およびセカンダリ VLAN を独立トランク ポートにマッピングすると、すべてのプライマリ VLAN がこのポートの許可される VLAN リストに自動的に追加されます。
| ||||||||
ステップ 7 | 次のいずれかのコマンドを入力します。
例: switch(config-if)# switchport private-vlan association trunk 10 101 switch(config-if)# | |||||||||
ステップ 8 | exit 例: switch(config-if)# exit switch(config)# | インターフェイス コンフィギュレーション モードを終了します。 | ||||||||
ステップ 9 | show interface switchport 例: switch# show interface switchport | (任意)
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 | ||||||||
ステップ 10 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、レイヤ 2 ポート 2/1 を、3 つの異なるプライマリ VLAN と関連セカンダリ VLAN に関連付けられたプライベート VLAN 独立トランク ポートとして設定する例を示します。
switch# config t switch(config)# interface ethernet 2/1 switch(config-if)# switchport mode private-vlan trunk secondary switch(config-if)# switchport private-vlan trunk allowed vlan add 1 switch(config-if)# switchport private-vlan association trunk 10 101 switch(config-if)# switchport private-vlan association trunk 20 201 switch(config-if)# switchport private-vlan association trunk 30 102 switch(config-if)# exit switch(config)#
レイヤ 2 インターフェイスをプライベート VLAN の無差別ポートとして設定し、その無差別ポートをプライマリ VLAN およびセカンダリ VLAN に関連付けることができます。
プライベート VLAN 機能がイネーブルであることを確認してください。
正しい VDC を開始していること(または switchto vdc コマンドを入力済みであること)を確認してください。VDC が異なっていても同じ VLAN 名と ID を使用できるので、正しい VDC で作業していることを確認する必要があります。
コマンドまたはアクション | 目的 | |||||||
---|---|---|---|---|---|---|---|---|
ステップ 1 | config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||||||
ステップ 2 | interface {type slot/port} 例: switch(config)# interface ethernet 2/1 switch(config-if)# |
プライベート VLAN 無差別ポートとして設定するレイヤ 2 ポートを選択します。 | ||||||
ステップ 3 | switchport mode private-vlan promiscuous 例: switch(config-if)# switchport mode private-vlan promiscuous |
レイヤ 2 ポートをプライベート VLAN の無差別ポートとして設定します。 | ||||||
ステップ 4 | 次のいずれかのコマンドを入力します。
例: switch(config-if)# switchport private-vlan mapping 10 50 | |||||||
ステップ 5 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 | ||||||
ステップ 6 | show interface switchport 例: switch# show interface switchport | (任意)
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 | ||||||
ステップ 7 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、レイヤ 2 ポート 2/1 を無差別ポートとして設定し、プライマリ VLAN 10 とセカンダリ独立 VLAN 50 に関連付ける例を示します。
switch# config t switch(config)# interface ethernet 2/1 switch(config-if)# switchport mode private-vlan promiscuous switch(config-if)# switchport private-vlan mapping 10 50 switch(config-if)# exit switch(config)#
Cisco NX-OS Release 5.0(2) から、レイヤ 2 インターフェイスをプライベート VLAN 無差別トランク ポートとして設定し、その無差別トランク ポートを複数のプライマリ VLAN に関連付けることができるようになりました。これらの無差別トランク ポートは、複数のプライマリ VLAN と通常の VLAN のトラフィックを伝送します。
(注) | プライマリ VLAN とセカンダリ VLAN は、プライベート VLAN 無差別トランク ポート上で動作可能になる前に関連付ける必要があります。 |
プライベート VLAN 機能がイネーブルであることを確認してください。
正しい VDC を開始していること(または switchto vdc コマンドを入力済みであること)を確認してください。VDC が異なっていても同じ VLAN 名と ID を使用できるので、正しい VDC で作業していることを確認する必要があります。
コマンドまたはアクション | 目的 | |||||||
---|---|---|---|---|---|---|---|---|
ステップ 1 | config t 例: switch# config t switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||||||
ステップ 2 | interface{type slot/port} 例: switch(config)# interface ethernet 2/1 switch(config-if)# |
プライベート VLAN 無差別トランク ポートとして設定するレイヤ 2 ポートを選択します。 | ||||||
ステップ 3 | switchport 例: switch(config-if)# switchport switch(config-if)# |
レイヤ 2 ポートをスイッチ ポートとして設定します。 | ||||||
ステップ 4 | switchport mode private-vlan trunk promiscuous 例: switch(config-if)# switchport mode private-vlan trunk promiscuous switch(config-if)# |
レイヤ 2 ポートを、複数のプライベート VLAN と通常の VLAN のトラフィックを伝送するための無差別トランク ポートして設定します。 | ||||||
ステップ 5 | switchport private-vlan trunk native vlanvlan-id 例: switch(config-if)# switchport private-vlan trunk native vlan 5 | (任意)
802.1Q トランクのネイティブ VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。デフォルト値は 1 です。
| ||||||
ステップ 6 | switchport private-vlan trunk allowed vlan{addvlan-list| all | exceptvlan-list | none | removevlan-list} 例: switch(config-if)# switchport private-vlan trunk allowed vlan add 1 switch(config-if)# |
プライベート VLAN 無差別トランク インターフェイスの許可 VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。 プライベート プライマリ VLAN およびセカンダリ VLAN を無差別トランク ポートにマッピングすると、すべてのプライマリ VLAN がこのポートの許可される VLAN リストに自動的に追加されます。
| ||||||
ステップ 7 | 次のいずれかのコマンドを入力します。
例: switch(config-if)# switchport private-vlan mapping trunk 4 add 5 switch(config-if)# | |||||||
ステップ 8 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 | ||||||
ステップ 9 | show interface switchport 例: switch# show interface switchport | (任意)
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 | ||||||
ステップ 10 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、レイヤ 2 ポート 2/1 を、2 つのプライマリ VLAN とそれに関連するセカンダリ VLAN に関連付けられた無差別トランク ポートとして設定する例を示します。
switch# config t switch(config)# interface ethernet 2/1 switch(config-if)# switchport switch(config-if)# switchport mode private-vlan trunk promiscuous switch(config-if)# switchport private-vlan trunk allowed vlan add 1 switch(config-if)# switchport private-vlan mapping trunk 2 add 3 switch(config-if)# switchport private-vlan mapping trunk 4 add 5 switch(config-if)# switchport private-vlan mapping trunk 1 add 20 switch(config-if)# exit switch(config)#
FEX HIF ポートでの独立 PVLAN の設定
switch(config)# system private-vlan fex trunk disable
|
ステップ 1 | FEX 独立ホスト ポートのインターフェイスおよびインターフェイス ポートを設定し、インターフェイス コンフィギュレーション モードを開始します。FEX 独立ホスト ポートは、PVLAN が設定されたポートです。
switch(config)# interface interface-type/slot/port |
ステップ 2 | インターフェイスのスイッチ ポートをイネーブルにします。
switch(config-if)# switchport |
ステップ 3 | ポート モードを private-vlan host に設定します。
switch(config-if)# switchport mode private-vlan host |
ステップ 4 | ポートで PVLAN の関連付けを設定します。
switch(config-if)# switchport private-vlan association primary-vlan-id secondary-vlan-id |
switch(config)# interface Ethernet100/1/13 switch(config-if)# switchport switch(config-if)# switchport mode private-vlan host switch(config-if)# switchport private-vlan host-association 550 551
ステップ 1 | セカンダリ トランク ポートのインターフェイスおよびインターフェイス ポートを設定し、インターフェイス コンフィギュレーション モードを開始します。
switch(config)# interface interface-type/slot/port |
ステップ 2 | インターフェイスのスイッチ ポートをイネーブルにします。
switch(config-if)# switchport |
ステップ 3 | ポートをトランク セカンダリ モードにします。
switch(config-if)# switchport mode private-vlan trunk secondary |
ステップ 4 | プライマリおよびセカンダリ VLAN 間の PVLAN 関連付けペアを設定します。
switch(config-if)# switchport private-vlan association trunk primary-vlan-id secondary-vlan-id |
ステップ 5 | プライマリ PVLAN と独立 PVLAN 間の関連付けを設定します。
switch(config-if)# vlan primary-vlan-id switch(config-vlan)# private-vlan association secondary-vlan-id switch(config-vlan)# vlan secondary-vlan-id switch(config-vlan)# private-vlan isolated |
switch(config)# interface Ethernet100/1/13 switch(config-if)# switchport switch(config-if)# switchport mode private-vlan trunk secondary switch(config-if)# switchport private-vlan association trunk 550 551 switch(config-if)# vlan 550 switch(config-vlan)# private-vlan association 551 switch(config-vlan)# vlan 551 switch(config-vlan)# private-vlan isolated switch(config-vlan)# exit
switch# show vlan private-vlan |
switch# show vlan private-vlan Primary Secondary Type Ports ------- --------- --------------- 550 551 isolated Eth100/1/13
プライベート VLAN の設定情報を表示するには、次のいずれかの作業を行います。
コマンド |
目的 |
---|---|
show running-config vlanvlan-id |
VLAN 情報を表示します。 |
show vlan private-vlan [type] |
プライベート VLAN に関する情報を表示します。 |
show interface private-vlan mapping |
プライベート VLAN マッピングのインターフェイスの情報を表示します。 |
show interface vlanprimary-vlan-id private-vlan mapping |
プライベート VLAN マッピングのインターフェイスの情報を表示します。 |
show interface switchport |
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 |
これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Layer 2 Switching Command Reference』を参照してください。
コマンド |
目的 |
---|---|
clear vlan [id vlan-id] counters |
すべての VLAN または指定した VLAN のカウンタをクリアします。 |
show vlan counters |
各 VLAN のレイヤ 2 パケット情報を表示します。 |
次に、3 種類のプライベート VLAN を作成し、セカンダリ VLAN をプライマリ VLAN に関連付け、プライベート VLAN のホスト ポートと無差別ポートを作成して適正な VLAN に関連付け、VLAN インターフェイスまたは SVI を作成して、プライマリ VLAN がネットワーク全体と通信できるように設定する例を示します。
switch# configure terminal switch(config)# vlan 2 switch(config-vlan)# private-vlan primary switch(config-vlan)# exit switch(config)# vlan 3 switch(config-vlan)# private-vlan community switch(config-vlan)# exit switch(config)# vlan 4 switch(config-vlan)# private-vlan isolated switch(config-vlan)# exit switch(config)# vlan 2 switch(config-vlan)# private-vlan association 3,4 switch(config-vlan)# exit switch(config)# interface ethernet 1/11 switch(config-if)# switchport switch(config-if)# switchport mode private-vlan host switch(config-if)# exit switch(config)# interface ethernet 1/12 switch(config-if)# switchport switch(config-if)# switchport mode private-vlan promiscuous switch(config-if)# exit switch(config)# interface ethernet 1/11 switch(config-if)# switchport private-vlan host-association 2 3 switch(config-if)# exit switch(config)# interface ethernet 1/12 switch(config-if)# switchport private-vlan mapping 2 3,4 switch(config-if)# exit switch(config)# interface vlan 2 switch(config-vlan)# private-vlan mapping 3,4 switch(config-vlan)# exit switch(config)#
関連項目 |
マニュアル タイトル |
---|---|
コマンド リファレンス |
『Cisco Nexus 7000 Series NX-OS Layer 2 Switching Command Reference』 |
VLAN インターフェイス、IP アドレス指定 |
『Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide』 |
スタティック MAC アドレス、セキュリティ |
『Cisco Nexus 7000 Series NX-OS Security Configuration Guide』 |
Cisco NX-OS の基礎 |
『Cisco Nexus 7000 Series NX-OS Fundamentals Configuration Guide』 |
ハイ アベイラビリティ |
『Cisco Nexus 7000 Series NX-OS High Availability and Redundancy Guide』 |
システム管理 |
『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』 |
VDC |
『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』 |
ライセンス |
『Cisco NX-OS Licensing Guide』 |
リリース ノート |
『Cisco Nexus 7000 Series NX-OS Release Notes』 |
標準 |
タイトル |
---|---|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
MIB |
MIB のリンク |
---|---|
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
この表には、機能の追加や変更によるリリースの更新内容のみが記載されています。
機能名 |
リリース |
機能情報 |
---|---|---|
FEX HIF(Cisco Nexus 7000 Parent)上の PVLAN(独立) |
7.3(0)D1(1) |
この機能により、ユーザは、FEX ポート上で PVLAN 独立ホストおよびセカンダリ トランク ポートを設定できます。 |
プライベート VLAN 無差別トランク ポートと独立トランク ポート |
5.0(2) |
この機能では、無差別ポートから複数のプライベート VLAN および通常の VLAN のトラフィックを伝送でき、独立ポートから複数の独立 VLAN および通常の VLAN のトラフィックを伝送できます。 |
変更なし |
4.2(1) |
– |
デバイス上でイネーブルになっている機能の表示 |
4.1(2) |
次のコマンドを入力すると、デバイス上でイネーブルになっている機能を表示できます。 |