この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
プライベート VLAN をデバイスに設定するときに、ユニキャストルートとレイヤ 2 エントリとの間のシステムリソースのバランスを取るために、常にデフォルトの Switch Database Management(SDM)テンプレートを使用してください。別の SDM テンプレートが設定されている場合は、sdm prefer default グローバル コンフィギュレーション コマンドを使用してデフォルトのテンプレートを設定します。
 (注) |
プライベート VLAN は、VTP 1、2、および 3 のトランスペアレント モードでサポートされます。プライベート VLAN は、VTP 3 のサーバー モードでもサポートされます。 |
(注) |
一部の状況では、エラー メッセージが表示されずに設定が受け入れられますが、コマンドには効果がありません。 |
プライベート VLAN が設定されているデバイスでは、フォールバックブリッジングを設定しないでください。
リモート SPAN(RSPAN)をプライベート VLAN のプライマリまたはセカンダリ VLAN として設定しないでください。
次のようなその他の機能用に設定したインターフェイスでは、プライベート VLAN ポートを設定しないでください。
ダイナミック アクセス ポート VLAN メンバーシップ
ダイナミック トランキング プロトコル(DTP)
IP ソース ガード
Cisco IPv6 First Hop Security(FHS)
IPv6 Security Group(SG)
マルチキャスト VLAN レジストレーション(MVR)
音声 VLAN
Web Cache Communication Protocol(WCCP)
Port Aggregation Protocol(PAgP)および Link Aggregation Control Protocol(LACP)は、プライベート VLAN 無差別トランクポートおよびプライベート VLAN 独立トランクポートでのみサポートされています。
IEEE 802.1x ポートベース認証をプライベート VLAN ポートに設定できますが、802.1x とポート セキュリティ、音声 VLAN、またはポート単位のユーザー ACL は、プライベート VLAN ポートに設定できません。
プライベート VLAN ホストまたは無差別ポートは SPAN 宛先ポートにはできません。SPAN 宛先ポートをプライベート VLAN ポートに設定した場合、ポートは非アクティブになります。
プライマリ VLAN の無差別ポートでスタティック MAC アドレスを設定する場合は、すべての関連セカンダリ VLAN に同じスタティック アドレスを追加する必要はありません。同様に、セカンダリ VLAN のホスト ポートでスタティック MAC アドレスを設定する場合は、関連プライマリ VLAN に同じスタティック MAC アドレスを追加する必要はありません。さらに、スタティック MAC アドレスをプライベート VLAN ポートから削除する際に、設定されている MAC アドレスのすべてのインスタンスをプライベート VLAN から削除する必要はありません。
(注) |
プライベート VLAN のセカンダリ VLAN で学習したダイナミック MAC アドレスは、関連プライマリ VLAN で複製されます。プライマリ VLAN からトラフィックが入力される場合でも、すべての MAC エントリはセカンダリ VLAN で学習されます。MAC アドレスがプライマリ VLAN で動的に学習される場合は、関連セカンダリ VLAN では複製されません。 |
レイヤ 3 VLAN インターフェイス(スイッチ仮想インターフェイス)はプライマリ VLAN にだけ設定してください。
同じ VLAN 上で MACsec または仮想プライベート LAN サービス(VPLS)または Cisco SD-Access ソリューションを使用して設定されたプライベート VLAN は機能しません。
ここでは、プライベート VLAN について説明します。
PVLAN 機能を使用すると、サービス プロバイダが VLAN を使用したときに直面する 2 つの問題に対処できます。
Network Essentials または Network Advantage ライセンスを実行している場合、最大で 4094 個のアクティブ VLAN がデバイスでサポートされます。サービス プロバイダーが 1 カスタマーあたり 1 つの VLAN を割り当てる場合、サービス プロバイダーがサポートできるカスタマー数はこれに制限されます。
IP ルーティングをイネーブルにするには、各 VLAN にサブネット アドレス空間またはアドレス ブロックを割り当てますが、これにより、未使用の IP アドレスが無駄になり、IP アドレスの管理に問題が起きます。
セカンダリ VLAN には、次の 2 種類があります。
独立 VLAN:独立 VLAN 内のポートは、レイヤ 2 レベルでは相互に通信できません。
コミュニティ VLAN:コミュニティ VLAN 内のポートは互いに通信できますが、レイヤ 2 レベルにある他のコミュニティ内のポートとは通信できません。
プライベート VLAN では、同じプライベート VLAN 内のポート間をレイヤ 2 で分離します。プライベート VLAN ポートは、次のいずれかの種類に属するアクセス ポートです。
無差別:無差別ポートは、プライベート VLAN に属し、プライマリ VLAN と関連しているセカンダリ VLAN に属するコミュニティ ポートや独立ホスト ポートなどの、すべてのインターフェイスと通信できます。
独立:独立ポートは、独立セカンダリ VLAN に属しているホスト ポートです。これは、無差別ポートを除く、同じプライベート VLAN 内の他のポートからレイヤ 2 で完全に分離されています。プライベート VLAN は、無差別ポートからのトラフィックを除き、独立ポート宛のトラフィックをすべてブロックします。独立ポートから受信されたトラフィックは、無差別ポートにだけ転送されます。
コミュニティ:コミュニティ ポートは、1 つのコミュニティ セカンダリ VLAN に属しているホスト ポートです。コミュニティ ポートは、同一コミュニティ VLAN のその他のポート、および無差別ポートと通信します。これらのインターフェイスは、他のコミュニティの他のすべてのインターフェイスおよびプライベート VLAN 内の独立ポートとレイヤ 2 で分離されます。
(注) |
トランク ポートは、通常の VLAN からのトラフィックを伝送し、またプライマリ、独立、およびコミュニティ VLAN からのトラフィックも伝送します。 |
プライマリおよびセカンダリ VLAN には次のような特性があります。
プライマリ VLAN:プライベート VLAN には、プライマリ VLAN を 1 つだけ設定できます。プライベート VLAN 内のすべてのポートは、プライマリ VLAN のメンバーです。プライマリ VLAN は、無差別ポートからの単一方向トラフィックのダウンストリームを、(独立およびコミュニティ)ホスト ポートおよび他の無差別ポートへ伝送します。
独立 VLAN:プライベート VLAN の独立 VLAN は 1 つだけです。独立 VLAN はセカンダリ VLAN であり、ホストから無差別ポートおよびゲートウェイに向かう単一方向トラフィック アップストリームを搬送します。
コミュニティ VLAN:コミュニティ VLAN は、アップストリーム トラフィックをコミュニティ ポートから無差別ポート ゲートウェイおよび同じコミュニティ内の他のホスト ポートに伝送するセカンダリ VLAN です。複数のコミュニティ VLAN を 1 つのプライベート VLAN に設定できます。
無差別ポートは、1 つのプライマリ VLAN、1 つの独立 VLAN、複数のコミュニティ VLAN だけで動作できます。レイヤ 3 ゲートウェイは通常、無差別ポートを介してデバイスに接続されます。無差別ポートでは、広範囲なデバイスをプライベート VLAN のアクセス ポイントとして接続できます。たとえば、すべてのプライベート VLAN サーバーを管理ワークステーションから監視したりバックアップしたりするのに、無差別ポートを使用できます。
スイッチング環境では、個々のエンド ステーションに、または共通グループのエンド ステーションに、個別のプライベート VLAN や、関連する IP サブネットを割り当てることができます。エンド ステーションはデフォルト ゲートウェイとの通信を行うだけで、プライベート VLAN の外部と通信することができます。
プライベート VLAN を使用し、次の方法でエンド ステーションへのアクセスを制御できます。
エンド ステーションに接続されているインターフェイスを選択して独立ポートとして設定し、レイヤ 2 の通信をしないようにします。たとえば、エンド ステーションがサーバーの場合、この設定によりサーバー間のレイヤ 2 通信ができなくなります。
デフォルト ゲートウェイおよび選択したエンド ステーション(バックアップ サーバーなど)に接続されているインターフェイスを無差別ポートとして設定し、すべてのエンド ステーションがデフォルト ゲートウェイにアクセスできるようにします。
複数のデバイスにわたるようにプライベート VLAN を拡張するには、プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN を、プライベート VLAN をサポートする他のデバイスにトランキングします。使用するプライベート VLAN 設定のセキュリティを確保して、プライベート VLAN として設定された VLAN が他の目的に使用されないようにするには、プライベート VLAN ポートがないデバイスを含めて、すべての中間デバイスでプライベート VLAN を設定します。
各カスタマーに個別の VLAN を割り当てると、次のように IP アドレッシング方式が非効率的になります。
カスタマー VLAN にアドレスのブロックを割り当てると、未使用 IP アドレスが発生することがあります。
VLAN 内のデバイス数が増加した場合、それに対応するだけのアドレスを割り当てられない場合があります。
この問題は、プライベート VLAN を使用すると軽減します。プライベート VLAN では、プライベート VLAN のすべてのメンバーが、プライマリ VLAN に割り当てられている共通アドレス空間を共有するためです。ホストはセカンダリ VLAN に接続され、プライマリ VLAN に割り当てられているアドレスのブロックから IP アドレスが DHCP サーバーによってホストに割り当てられますが、同一プライマリ VLAN 内のセカンダリ VLAN には割り当てられません。さまざまなセカンダリ VLAN のカスタマー デバイスには後続 IP アドレスが割り当てられます。新しいデバイスを追加すると、サブネット アドレスの巨大プールから次に使用できるアドレスが、DHCP サーバーによって割り当てられます。
ここでは、次の内容について説明します。
標準トランク ポート
独立 PVLAN トランク ポート
無差別 PVLAN トランク ポート
通常の VLAN と同様に、プライベート VLAN を複数のスイッチにまたがるように設定できます。トランク ポートはプライマリ VLAN およびセカンダリ VLAN を隣接スイッチに伝送します。トランク ポートはプライベート VLAN を他の VLAN として扱います。複数のスイッチにまたがるプライベート VLAN の機能の特徴として、スイッチ A にある独立ポートからのトラフィックはスイッチ B 上の独立ポートに到達しません。
プライベート VLAN は、VTP 1、2、および 3 のトランスペアレント モードでサポートされます。プライベート VLAN は VTP 3 のサーバーモードでもサポートされます。VTP 3 を使用して設定したサーバークライアントがある場合、サーバーに設定されているプライベート VLAN をクライアント上に反映させる必要があります。
PVLAN 独立ホストポートを使用して、通常の VLAN を複数伝送するか、複数の PVLAN ドメインで VLAN を複数伝送する場合、独立 PVLAN トランクポートを使用します。PVLAN をサポートしないダウンストリームスイッチ(Catalyst 2950 など)を接続できます。
この図では、Catalyst 9k スイッチで、PVLAN をサポートしないダウンストリームスイッチに接続しています。
ルータから host1 へのダウン ストリーム方向に送信されるトラフィックは、
無差別ポートとプライマリ VLAN(VLAN 10)の Catalyst 9k シリーズ スイッチによって受信されます。そして、パケットは独立 PVLAN トランクからスイッチングされますが、プライマリ VLAN(VLAN 10)にタグ付けされずに独立 VLAN(VLAN 11)にタグ付けされて送信されます。パケットが非 PVLAN スイッチに着信すると、宛先ホストのアクセスポートにブリッジングされます。
アップストリーム方向のトラフィックは、host1 から非 PVLAN スイッチへ送信され、VLAN 11 に着信します。そしてパケットは、トランクポート経由でこの VLAN(VLAN 11)のタグにタグ付けされる Catalyst 9k シリーズ スイッチに送信されます。Catalyst 9k シリーズ スイッチでは、VLAN 11 が独立 VLAN として設定され、トラフィックは独立ホストポートから送信されたかのように転送されます。
(注) |
Catalyst 9k シリーズ スイッチは独立トランクと直接接続しているホスト(host3 など)とを分離することができますが、非 PVLAN スイッチに接続しているホスト(host1 および host2 など)を分離することはできません。これらのホストの分離は、Catalyst 2950 上の保護ポートなどの機能を使用して、非 PVLAN スイッチによって行う必要があります。 |
無差別プライベート VLAN トランクポートが使用されるのは、一般的には PVLAN 無差別ホストポートを使用する場合ですが、通常の VLAN を複数伝送するか、複数の PVLAN ドメインで VLAN を複数伝送する必要がある場合です。Cisco 7200 ルータなどの PVLAN をサポートしないアップストリームルータを接続できます。
この図では、Catalyst 9k シリーズ スイッチで、PVLAN ドメインを PVLAN をサポートしないアップストリームルータに接続しています。host1 によってアップ ストリームに送信されるトラフィックは、
コミュニティ VLAN(VLAN 12)の Catalyst 9k シリーズ スイッチに到達します。このトラフィックは、このルータ宛てに無差別 PVLAN トランクにブリッジングされる場合にプライマリ VLAN(VLAN 10)にタグ付けされ、ルータで設定された正しいサブインターフェイスを使用してルーティングされます。
ダウン ストリーム方向のトラフィックは、
無差別ホストポートで受信された場合と同様に、プライマリ VLAN(VLAN 10)の Catalyst 9k スイッチによって無差別 PVLAN トランクポートで受信されます。トラフィックは PVLAN ドメイン内にあるかのように、宛先ホストにブリッジングされます。
PVLAN 無差別トランクは、VLAN QoS と相互に作用します。
ここでは、プライベート VLAN の他の機能との連携について説明します。
通常の VLAN では、同じ VLAN にあるデバイスはレイヤ 2 レベルで互いに通信しますが、別の VLAN にあるインターフェイスに接続されたデバイスとはレイヤ 3 レベルで通信する必要があります。プライベート VLAN の場合、無差別ポートはプライマリ VLAN のメンバーであり、ホスト ポートはセカンダリ VLAN に属します。セカンダリ VLAN はプライマリ VLAN に対応付けられているため、これらの VLAN のメンバはレイヤ 2 レベルで互いに通信できます。
通常の VLAN の場合、ブロードキャストはその VLAN のすべてのポートに転送されます。プライベート VLAN のブロードキャストの転送は、次のようにブロードキャストを送信するポートによって決まります。
独立ポートは、無差別ポートまたはトランク ポートだけにブロードキャストを送信します。
コミュニティ ポートは、すべての無差別ポート、トランク ポート、同一コミュニティ VLAN のポートにブロードキャストを送信します。
無差別ポートは、プライベート VLAN のすべてのポート(その他の無差別ポート、トランク ポート、独立ポート、コミュニティ ポート)にブロードキャストを送信します。
マルチキャスト トラフィックのルーティングとブリッジングは、プライベート VLAN 境界を横断して行われ、単一コミュニティ VLAN 内でも行われます。マルチキャスト トラフィックは、同一独立 VLAN のポート間、または別々のセカンダリ VLAN のポート間で転送されません。
プライベート VLAN のマルチキャスト転送は次の状況をサポートします。
送信側が VLAN 外に存在する可能性があり、受信側が VLAN ドメイン内に存在している可能性がある。
送信側が VLAN 内に存在する可能性があり、受信側が VLAN ドメイン外に存在している可能性がある。
送信側と受信側が同一のコミュニティ VLAN に存在している可能性がある。
スイッチ仮想インターフェイス(SVI)は VLAN のレイヤ 3 インターフェイスを表します。レイヤ 3 デバイスは、セカンダリ VLAN ではなく、プライマリ VLAN だけを介してプライベート VLAN と通信します。レイヤ 3 VLAN インターフェイス(SVI)はプライマリ VLAN にだけ設定してください。レイヤ 3 VLAN インターフェイスをセカンダリ VLAN 用に設定できません。VLAN がセカンダリ VLAN として設定されている間、セカンダリ VLAN の SVI はアクティブになりません。
SVI がアクティブである VLAN をセカンダリ VLAN として設定する場合、SVI をディセーブルにしないと、この設定は許可されません。
セカンダリ VLAN として設定されている VLAN に SVI を作成しようとしてセカンダリ VLAN がすでにレイヤ 3 にマッピングされている場合、SVI は作成されず、エラーが返されます。SVI がレイヤ 3 にマッピングされていない場合、SVI は作成されますが、自動的にシャットダウンされます。
プライマリ VLAN をセカンダリ VLAN と関連付けてマッピングすると、プライマリ VLAN の設定がセカンダリ VLAN の SVI に伝播されます。たとえば、プライマリ VLAN の SVI に IP サブネットを割り当てると、このサブネットは、プライベート VLAN 全体の IP サブネット アドレスになります。
プライベート VLAN はスイッチスタック内で動作することができ、プライベート VLAN ポートはスタック内のさまざまなメンバスイッチに存在することができます。ただし、スタックを次のように変更すると、プライベート VLAN の動作に影響が及ぶ可能性があります。
スタックにプライベート VLAN 無差別ポートが 1 つだけ含まれ、このポートを含めたメンバスイッチがスタックから削除された場合、プライベート VLAN のホストポートとプライベート VLAN 外との接続が不能になります。
スタック内にプライベート VLAN 無差別ポートのみがあるアクティブスイッチに障害が発生した場合、またはスタックを残し、新しいアクティブスイッチが選択された場合、古いアクティブスイッチに無差別ポートがあるプライベート VLAN のホストポートとプライベート VLAN 外との接続が不能になります。
2 つのスタックが統合した場合、権利を獲得したスタックのプライベート VLAN は影響を受けませんが、スイッチを再起動したときに、権利を獲得しなかったスイッチのプライベート VLAN 設定が失われます。
セカンダリ VLAN で学習された MAC アドレスはプライマリ VLAN で複製されますが、その逆はありません。これにより、ハードウェアの L2 CAM スペースを節約できます。プライマリ VLAN は常に、両方向で正引きを実行するのに使用されます。
ダイナミック MAC アドレスは、プライベート VLAN のプライマリ VLAN で学習されると、必要に応じて、セカンダリ VLAN で複製されます。たとえば、MAC アドレスがセカンダリ VLAN で動的に受信されると、プライマリ VLAN の一部として学習されます。隔離 VLAN の場合、同じ MAC のブロックされたエントリは MAC アドレス テーブルのセカンダリ VLAN に追加されます。このため、セカンダリドメインのホストポートで学習された MAC は、ブロックされたタイプのエントリとしてインストールされます。プライマリ VLAN からトラフィックが入力される場合でも、すべての MAC エントリはセカンダリ VLAN で学習されます。
MAC アドレスがプライマリ VLAN で動的に学習される場合、関連セカンダリ VLAN では複製されません。
ユーザーは、従来型のようにプライベート VLAN のホストにスタティック MAC アドレス CLI を複製する必要はありません。
例:
従来のモデルでは、ユーザーはスタティック MAC アドレスを設定すると、関連 VLAN 内にも同じスタティック MAC アドレスを追加する必要がありました。たとえば、MAC アドレス A が VLAN 101 のポート 1/0/1 でユーザー設定され、VLAN 101 ではセカンダリ VLAN で、VLAN 100 がプライマリ VLAN である場合は、ユーザーは設定する必要があります
mac-address static A vlan 101 interface G1/0/1
mac-address static A vlan 100 interface G1/0/1このデバイスでは、ユーザーは関連 VLAN に MAC アドレスを複製する必要はありません。上記の例のみで、ユーザーは設定する必要があります。
mac-address static A vlan 101 interface G1/0/1 プライベート VLAN は、このデバイスの場合、他のプラットフォームの「単方向」と比べ、双方向です。
レイヤ 2 の正引き後には、適切な出力 VLAN マッピングが行われ、すべての出力 VLAN ベースの機能による処理が出力 VLAN のコンテキストで実行されます。
レイヤ 2 のフレームがプライベート VLAN 内で転送されると、入力側と出力側とで VLAN マップが適用されます。フレームがプライベート VLAN の内側から外部ポートにルーティングされる場合、プライベート VLAN マップが入力側に適用されます。同様に、フレームが外部ポートからプライベート VLAN にルーティングされると、プライベート VLAN は出力側に適用されます。これは、ブリッジされたトラフィックとルーティングされたトラフィックの両方に適用されます。
ブリッジング:
セカンダリ VLAN からプライマリ VLAN へのアップストリーム トラフィックの場合、セカンダリ VLAN の MAP は入力側に適用され、プライマリ VLAN の MAP は出力側に適用されます。
プライマリ VLAN からセカンダリ VLAN へのダウンストリーム トラフィックの場合は、プライマリ VLAN の MAP は入力方向で適用され、セカンダリ VLAN のMAP は出力方向で適用されます。
ルーティング
プライベート VLAN ドメインが 2 つ(PV1(sec1、prim1)および PV2(sec2、prim2))ある場合を想定します。PV1 から PV2 にルーティングされるフレームについては次のようになります。
sec1 の MAP および prim1 の L3 ACL は、入力ポートに適用されます。
sec2 の MAP および prim2 の L3 ACL は、出力ポートに適用されます。
分離されたホスト ポートから無差別ポートへのアップストリームまたはダウンストリームに従うパケットの場合、分離された VLAN の VACL は入力方向に適用され、プライマリ VLAN の VACL は出力方向に適用されます。これにより、ユーザーは同じプライマリ VLAN ドメインの別のセカンダリ VLAN に異なる VACL を設定することができます。
(注) |
このデバイスでのプライベート VLAN は常に双方向であるため、双方向のコミュニティ VLAN は不要です。 |
PVLAN は、高可用性(HA)機能とシームレスに連携します。切り替えの前に、アクティブスイッチにあるプライベート VLAN は、切り替え後と同じである必要があります(新しいアクティブスイッチは IOS 側および、FED 側両方で以前のアクティブスイッチと同様の PVLAN 設定が必要です)。
ここでは、プライベート VLAN 設定時の注意事項について説明します。
プライベート VLAN は設定されていません。
プライベート VLAN の設定時は、次の注意事項に従ってください。
プライベート VLAN は、VTP 1、2、および 3 のトランスペアレント モードでサポートされます。デバイスで VTP バージョン 1 または 2 が稼働している場合は、VTP をトランスペアレントモードに設定する必要があります。プライベート VLAN を設定した後で、VTP モードをクライアントまたはサーバーに変更できません。VTP バージョン 3 は、すべてのモードでプライベート VLAN をサポートします。
VTP バージョン 1 または 2 でプライベート VLAN を設定した後、copy running-config startup config 特権 EXEC コマンドを使用して、VTP トランスペアレントモード設定とプライベート VLAN 設定をデバイス スタートアップ コンフィギュレーション ファイルに保存します。保存しないと、デバイスをリセットした場合、デフォルトの VTP サーバーモードになり、プライベート VLAN をサポートしなくなります。VTP バージョン 3 ではプライベート VLAN をサポートします。
VTP バージョン 1 および 2 では、プライベート VLAN 設定の伝播は行われません。プライベート VLAN ポートが必要なデバイスで VTP バージョン 3 が実行されていない場合は、VTP3 はプライベート VLAN を伝播するため、そのデバイス上でプライベート VLAN を設定する必要があります。
VLAN 1 または VLAN 1002 ~ 1005 をプライマリ VLAN またはセカンダリ VLAN として設定できません。拡張 VLAN(VLAN ID 1006 ~ 4094)はプライベート VLAN に属することができます。
プライマリ VLAN には、1 つの独立 VLAN および複数のコミュニティ VLAN を関連付けることができます。独立 VLAN またはコミュニティ VLAN には、1 つのプライマリ VLAN だけを関連付けることができます。
プライベート VLAN には複数の VLAN が含まれますが、プライベート VLAN 全体で実行可能なスパニングツリー プロトコル(STP)インスタンスは 1 つだけです。セカンダリ VLAN がプライマリ VLAN に関連付けられている場合、プライマリ VLAN の STP パラメータがセカンダリ VLAN に伝播されます。
TFTP サーバーから PVLAN 設定をコピーし、それを実行中の設定に適用しても、PVLAN の関連付けは形成されません。プライマリ VLAN がすべてのセカンダリ VLAN に確実に関連付けられていることを確認する必要があります。
copy flash:config_file running-config の代わりにconfigure replace flash:config_file force を使用することもできます。
DHCP スヌーピングはプライベート VLAN 上でイネーブルにできます。プライマリ VLAN で DHCP スヌーピングをイネーブルにすると、DHCP スヌーピングはセカンダリ VLAN に伝播されます。セカンダリ VLAN で DHCP を設定しても、プライマリ VLAN をすでに設定している場合、DHCP 設定は有効になりません。
プライベート VLAN ポートで IP ソース ガードをイネーブルにする場合は、プライマリ VLAN で DHCP スヌーピングをイネーブルにする必要があります。
プライベート VLAN でトラフィックを伝送しないデバイスのトランクから、プライベート VLAN をプルーニングすることを推奨します。
プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN には、別々の Quality of Service(QoS)設定を適用できます
sticky ARP には、次の考慮事項があります。
sticky ARP エントリとは、SVI およびレイヤ 3 インターフェイス上で学習されるエントリです。これらのエントリは、期限切れになることはありません。
ip sticky-arp グローバル コンフィギュレーション コマンドは、プライベート VLAN に属する SVI でだけサポートされます。
ip sticky-arp インターフェイス コンフィギュレーション コマンドは、以下でのみサポートされます。
レイヤ 3 インターフェイス
標準 VLAN に属する SVI
プライベート VLAN に属する SVI
ip sticky-arp グローバル コンフィギュレーションおよび ip sticky-arp interface コンフィギュレーション コマンドの使用の詳細については、このリリースのコマンドリファレンスを参照してください。
プライマリ VLAN およびセカンダリ VLAN で VLAN マップを設定できますただし、プライベート VLAN のプライマリおよびセカンダリ VLAN に同じ VLAN マップを設定することを推奨します。
PVLAN は双方向です。これらは、入力側と出力側の両方に適用されます。
レイヤ 2 のフレームがプライベート VLAN 内で転送されると、入力側と出力側で VLAN マップが適用されます。フレームがプライベート VLAN の内側から外部ポートにルーティングされる場合、プライベート VLAN マップが入力側に適用されます。同様に、フレームが外部ポートからプライベート VLAN にルーティングされると、プライベート VLAN は出力側に適用されます。
ブリッジング
セカンダリ VLAN からプライマリ VLAN へのアップストリーム トラフィックの場合、セカンダリ VLAN の MAP は入力側に適用され、プライマリ VLAN の MAP は出力側に適用されます。
プライマリ VLAN からセカンダリ VLAN へのダウンストリーム トラフィックの場合は、プライマリ VLAN の MAP は入力方向で適用され、セカンダリ VLAN のMAP は出力方向で適用されます。
ルーティング
プライベート VLAN ドメインが 2 つ(PV1(sec1、prim1)および PV2(sec2、prim2))ある場合を想定します。PV1 から PV2 にルーティングされるフレームについては次のようになります。
sec1 の MAP および prim1 の L3 ACL は入力ポートに適用されます。
sec1 の MAP および prim2 の L3 ACL は出力ポートに適用されます。
分離されたホスト ポートから無差別ポートへのアップストリームまたはダウンストリームに従うパケットの場合、分離された VLAN の VACL は入力方向に適用され、プライマリ VLAN の VACL は出力方向に適用されます。これにより、ユーザーは同じプライマリ VLAN ドメインの別のセカンダリ VLAN に異なる VACL を設定することができます。
プライベート VLAN の特定 IP トラフィックをフィルタリングするには、プライマリ VLAN およびセカンダリ VLAN の両方に VLAN マップを適用する必要があります。
プライマリ VLAN SVI にだけルータ ACL を適用できます。ACL はプライマリおよびセカンダリ VLAN のレイヤ 3 トラフィックに適用されます。
プライベート VLAN がレイヤ 2 でホストを分離していても、ホストはレイヤ 3 で互いに通信できます。
プライベート VLAN では、次のスイッチド ポート アナライザ(SPAN)機能がサポートされます。
プライベート VLAN を SPAN 送信元ポートとして設定できます。
プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN 上で VLAN ベースの SPAN(VSPAN)を使用したり、単一の VLAN 上で SPAN を使用したりして、出力トラフィックまたは入力トラフィックを個別に監視することができます。
プライベート VLAN ポートの設定時は、次の注意事項に従ってください。
プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN にポートを割り当てるには、プライベート VLAN コンフィギュレーション コマンドだけを使用します。プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN として設定する VLAN に割り当てられているレイヤ 2 アクセス ポートは、この VLAN がプライベート VLAN の設定に含まれている場合、非アクティブです。レイヤ 2 トランク インターフェイスは STP フォワーディング ステートのままです。
PAgP または LACP EtherChannel に属するポートを、プライベート VLAN ポートとして設定しないでください。ポートがプライベート VLAN の設定に含まれている間は、そのポートの EtherChannel 設定はいずれも非アクティブです。
設定ミスによる STP ループの発生を防ぎ、STP コンバージェンスを高速化するには、独立ホスト ポートおよびコミュニティ ホスト ポート上で PortFast および BPDU ガードをイネーブルにします。イネーブルの場合、STP はすべての PortFast が設定されたレイヤ 2 LAN ポートに BPDU ガード機能を適用します。PortFast および BPDU ガードを無差別ポートでイネーブルにしないでください。
プライベート VLAN の設定で使用される VLAN を削除すると、この VLAN に関連付けられたプライベート VLAN ポートが非アクティブになります。
ネットワーク デバイスをトランク接続し、プライマリ VLAN およびセカンダリ VLAN がトランクから削除されていない場合、プライベート VLAN ポートはさまざまなネットワーク デバイス上で使用できます。
ここでは、プライベート VLAN の設定について説明します。
プライベート VLAN を設定するには、次の手順を実行します。
(注) |
プライベート VLAN は、VTP 1、2、および 3 のトランスペアレント モードでサポートされます。プライベート VLAN は、VTP 3 のサーバー モードでもサポートされます。 |
|
ステップ 1 |
VTP モードを次に設定します: transparent
|
||
|
ステップ 2 |
プライマリおよびセカンダリ VLAN を作成してこれらを対応付けします。
|
||
|
ステップ 3 |
インターフェイスを独立ポートまたはコミュニティ ホスト ポートに設定して、ホスト ポートに VLAN メンバーシップを割り当てます。 |
||
|
ステップ 4 |
インターフェイスを無差別ポートとして設定し、無差別ポートをプライマリおよびセカンダリ VLAN のペアにマッピングします。 |
||
|
ステップ 5 |
VLAN 間ルーティングを使用している場合、プライマリ SVI を設定し、セカンダリ VLAN をプライマリ SVI にマッピングします。 |
||
|
ステップ 6 |
プライマリ VLAN 設定を確認します。 |
VLAN コンフィギュレーション モードを終了するまで、private-vlan コマンドは有効ではありません。
プライベート VLAN 内で VLAN を設定し、関連付けるには、次の手順を実行します。
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
enable 例: |
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
||
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
ステップ 3 |
vtp mode transparent 例: |
VTP モードをトランスペアレントに設定します(VTP をディセーブルにします)。
|
||
|
ステップ 4 |
vlan vlan-id 例: |
VLAN コンフィギュレーション モードを開始して、プライマリ VLAN となる VLAN を指定または作成します。VLAN ID の範囲は 2 ~ 1001 および 1006 ~ 4094 です。 |
||
|
ステップ 5 |
private-vlan primary 例: |
VLAN をプライマリ VLAN として指定します。 |
||
|
ステップ 6 |
exit 例: |
グローバル コンフィギュレーション モードに戻ります。 |
||
|
ステップ 7 |
vlan vlan-id 例: |
(任意)VLAN コンフィギュレーション モードを開始して、独立 VLAN となる VLAN を指定または作成します。VLAN ID の範囲は 2 ~ 1001 および 1006 ~ 4094 です。 |
||
|
ステップ 8 |
private-vlan isolated 例: |
VLAN を独立 VLAN として指定します。 |
||
|
ステップ 9 |
exit 例: |
グローバル コンフィギュレーション モードに戻ります。 |
||
|
ステップ 10 |
vlan vlan-id 例: |
(任意)VLAN コンフィギュレーション モードを開始して、コミュニティ VLAN となる VLAN を指定または作成します。VLAN ID の範囲は 2 ~ 1001 および 1006 ~ 4094 です。 |
||
|
ステップ 11 |
private-vlan community 例: |
VLAN をコミュニティ VLAN として指定します。 |
||
|
ステップ 12 |
exit 例: |
グローバル コンフィギュレーション モードに戻ります。 |
||
|
ステップ 13 |
vlan vlan-id 例: |
(任意)VLAN コンフィギュレーション モードを開始して、コミュニティ VLAN となる VLAN を指定または作成します。VLAN ID の範囲は 2 ~ 1001 および 1006 ~ 4094 です。 |
||
|
ステップ 14 |
private-vlan community 例: |
VLAN をコミュニティ VLAN として指定します。 |
||
|
ステップ 15 |
exit 例: |
グローバル コンフィギュレーション モードに戻ります。 |
||
|
ステップ 16 |
vlan vlan-id 例: |
ステップ 4 で指定したプライマリ VLAN に関して VLAN コンフィギュレーション モードを開始します。 |
||
|
ステップ 17 |
private-vlan association [add | remove] secondary_vlan_list 例: |
セカンダリ VLAN をプライマリ VLAN に関連付けます。単一のプライベート VLAN ID でも、またはハイフンで連結したプライベート VLAN ID でもかまいません。
|
||
|
ステップ 18 |
end 例: |
特権 EXEC モードに戻ります。 |
||
|
ステップ 19 |
show vlan private-vlan [type] or show interfaces status 例: |
設定を確認します。 |
||
|
ステップ 20 |
copy running-config startup config 例: |
デバイス スタートアップ コンフィギュレーション ファイルに設定項目を保存します。 |
レイヤ 2 インターフェイスをプライベート VLAN ホスト ポートとして設定し、これをプライマリおよびセカンダリ VLAN に関連付けるには、次の手順を実行します。
(注) |
独立およびコミュニティ VLAN はいずれもセカンダリ VLAN です。 |
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
enable 例: |
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
||
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
ステップ 3 |
interface interface-id 例: |
設定するレイヤ 2 インターフェイスに対して、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
ステップ 4 |
switchport mode private-vlan host 例: |
レイヤ 2 ポートをプライベート VLAN ホスト ポートとして設定します。 |
||
|
ステップ 5 |
switchport private-vlan host-association primary_vlan_id secondary_vlan_id 例: |
レイヤ 2 ポートをプライベート VLAN と関連付けます。
|
||
|
ステップ 6 |
end 例: |
特権 EXEC モードに戻ります。 |
||
|
ステップ 7 |
show interfaces [interface-id] switchport 例: |
設定を確認します。 |
||
|
ステップ 8 |
copy running-config startup-config 例: |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
レイヤ 2 インターフェイスをプライベート VLAN 無差別ポートとして設定し、これをプライマリおよびセカンダリ VLAN にマッピングするには、次の手順を実行します。
(注) |
独立およびコミュニティ VLAN はいずれもセカンダリ VLAN です。 |
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
enable 例: |
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
interface interface-id 例: |
設定するレイヤ 2 インターフェイスに対して、インターフェイス コンフィギュレーション モードを開始します。 |
|
ステップ 4 |
switchport mode private-vlan promiscuous 例: |
レイヤ 2 ポートをプライベート VLAN 無差別ポートとして設定します。 |
|
ステップ 5 |
switchport private-vlan mapping primary_vlan_id {add | remove} secondary_vlan_list 例: |
プライベート VLAN 無差別ポートをプライマリ VLAN、および選択したセカンダリ VLAN にマッピングします。
|
|
ステップ 6 |
end 例: |
特権 EXEC モードに戻ります。 |
|
ステップ 7 |
show interfaces [interface-id] switchport 例: |
設定を確認します。 |
|
ステップ 8 |
copy running-config startup config 例: |
デバイス スタートアップ コンフィギュレーション ファイルに設定項目を保存します。 |
レイヤ 2 インターフェイスを独立 PVLAN トランク ポートとして設定するには、次の作業を行います。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
interface interface-id 例: |
設定するレイヤ 2 インターフェイスに対して、インターフェイス コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
switchport mode private-vlan { host | promiscuous | trunk promiscuous | trunk [secondary]} 例: |
独立プライベート VLAN トランクポートとしてレイヤ 2 インターフェイスを設定します。 |
|
ステップ 4 |
switchport private-vlan association trunk primary_vlan_id secondary_vlan_id 例: |
プライベート VLAN トランクポートをプライマリ VLAN、および選択したセカンダリ VLAN にマッピングします。 |
|
ステップ 5 |
switchport private-vlan trunk allowed vlan { word | add |all | except |none | remove } vlan_list 例: |
PVLAN トランクポートで許容される VLAN のリストを設定します。リストにはプライマリ VLAN を含める必要があります。また、通常の VLAN も設定できます。 no キーワードを使用すると、PVLAN トランクポートで許容される VLAN をすべて削除できます。 |
|
ステップ 6 |
switchport private-vlan trunk native vlan vlan_id 例: |
PVLAN トランク ポートに(IEEE 802.1Q タグとしての)タグなしパケットが割り当てられる VLAN を設定します。 no キーワードを使用すると、独立 PVLAN トランクポートでネイティブ VLAN 設定を削除できます。ネイティブ VLAN がデフォルトの VLAN1 に設定されます。 |
|
ステップ 7 |
end 例: |
特権 EXEC モードに戻ります。 |
|
ステップ 8 |
show interfaces [interface-id] switchport 例: |
設定を確認します。 |
|
ステップ 9 |
copy running-config startup config 例: |
デバイス スタートアップ コンフィギュレーション ファイルに設定項目を保存します。 |
レイヤ 2 インターフェイスを無差別プライベート VLAN トランクポートとして設定するには、次の作業を行います。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
interface interface-id 例: |
設定するレイヤ 2 インターフェイスに対して、インターフェイス コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
switchport mode private-vlan { host | promiscuous | trunk promiscuous | trunk [secondary]} 例: |
レイヤ 2 ポートを無差別プライベート VLAN トランクポートとして設定します。 |
|
ステップ 4 |
switchport private-vlan mapping trunk primary_vlan_id [add | remove] secondary_vlan_list 例: |
無差別プライベート VLAN トランクポートをプライマリ VLAN、および選択したセカンダリ VLAN にマッピングします。
|
|
ステップ 5 |
switchport private-vlan trunk allowed vlan { word | add |all | except |none | remove } vlan_list 例: |
PVLAN トランクポートで許容される VLAN のリストを設定します。リストにはプライマリ VLAN を含める必要があります。また、通常の VLAN も設定できます。 no キーワードを使用すると、PVLAN 無差別トランクポートで許可されているすべての VLAN を削除できます。 |
|
ステップ 6 |
switchport private-vlan trunk native vlan vlan_id 例: |
PVLAN トランク ポートに(IEEE 802.1Q タグとしての)タグなしパケットが割り当てられる VLAN を設定します。 no キーワードを使用すると、PVLAN 無差別トランクポートのネイティブ VLAN 設定を削除できます。ネイティブ VLAN がデフォルトの VLAN1 に設定されます。 |
|
ステップ 7 |
end 例: |
特権 EXEC モードに戻ります。 |
|
ステップ 8 |
show interfaces [interface-id] switchport 例: |
設定を確認します。 |
|
ステップ 9 |
copy running-config startup config 例: |
デバイス スタートアップ コンフィギュレーション ファイルに設定項目を保存します。 |
レイヤ 2 インターフェイスをポートチャネルの独立プライベート VLAN トランクポートとして設定するには、次の作業を行います。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
interface interface range 例: |
設定するレイヤ 2 インターフェイス範囲に対して、インターフェイス コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
switchport mode private-vlan { host | promiscuous | trunk promiscuous | trunk [secondary]} 例: |
プライベート VLAN 独立トランクポートとしてのレイヤ 2 インターフェイス範囲の設定 |
|
ステップ 4 |
switchport private-vlan association trunk primary_vlan_id secondary_vlan_id 例: |
プライベート VLAN トランクポートをプライマリ VLAN、および選択したセカンダリ VLAN にマッピングします。 |
|
ステップ 5 |
switchport private-vlan trunk allowed vlan { word | add |all | except |none | remove } vlan_list 例: |
PVLAN トランクポートで許容される VLAN のリストを設定します。リストにはプライマリ VLAN を含める必要があります。また、通常の VLAN も設定できます。 no キーワードを使用すると、独立プライベート VLAN トランクポートで許可されているすべての VLAN を削除できます。 |
|
ステップ 6 |
channel-group channel group number mode { active | auto | desirable | on | passive } 例: |
チャネル グループ内にポートを設定し、モードを設定します。channel-number の指定できる範囲は 1 ~ 128 です。ポート チャネルがない場合は、このチャネル グループに関連付けられたポート チャネルが自動的に作成されます。 |
|
ステップ 7 |
end 例: |
特権 EXEC モードに戻ります。 |
|
ステップ 8 |
show etherchannel summary 例: |
設定を確認します。 |
|
ステップ 9 |
copy running-config startup config 例: |
デバイス スタートアップ コンフィギュレーション ファイルに設定項目を保存します。 |
レイヤ 2 インターフェイスをポートチャネルの無差別プライベート VLAN トランクポートとして設定するには、次の作業を行います。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
interface interface range 例: |
設定するレイヤ 2 インターフェイス範囲に対して、インターフェイス コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
switchport mode private-vlan { host | promiscuous | trunk promiscuous | trunk [secondary]} 例: |
レイヤ 2 ポートをプライベート VLAN 無差別トランクポートとして設定します。 |
|
ステップ 4 |
switchport private-vlan mapping trunk primary_vlan_id [add | remove] secondary_vlan_list 例: |
プライベート VLAN 無差別トランクポートをプライマリ VLAN、および選択したセカンダリ VLAN にマッピングします。
|
|
ステップ 5 |
switchport private-vlan trunk allowed vlan { word | add |all | except |none | remove } vlan_list 例: |
PVLAN トランクポートで許容される VLAN のリストを設定します。リストにはプライマリ VLAN を含める必要があります。また、通常の VLAN も設定できます。 no キーワードを使用すると、無差別プライベート VLAN トランクポートで許可されているすべての VLAN を削除できます。 |
|
ステップ 6 |
channel-group channel group number mode { active | auto | desirable | on | passive } 例: |
チャネル グループ内にポートを設定し、モードを設定します。channel-number の指定できる範囲は 1 ~ 128 です。ポート チャネルがない場合は、このチャネル グループに関連付けられたポート チャネルが自動的に作成されます。 |
|
ステップ 7 |
end 例: |
特権 EXEC モードに戻ります。 |
|
ステップ 8 |
show etherchannel summary 例: |
設定を確認します。 |
|
ステップ 9 |
copy running-config startup config 例: |
デバイス スタートアップ コンフィギュレーション ファイルに設定項目を保存します。 |
プライベート VLAN が VLAN 間ルーティングに使用される場合、SVI をプライマリ VLAN に設定してセカンダリ VLAN を SVI にマッピングできます。
(注) |
独立およびコミュニティ VLAN はいずれもセカンダリ VLAN です。 |
セカンダリ VLAN をプライマリ VLAN の SVI にマッピングしてプライベート VLAN トラフィックのレイヤ 3 スイッチングを可能にするには、次の手順を実行します。
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
enable 例: |
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
||
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
ステップ 3 |
interface vlan primary_vlan_id 例: |
プライマリ VLAN でインターフェイス コンフィギュレーション モードを開始して、VLAN を SVI として設定します。VLAN ID の範囲は 2 ~ 1001 および 1006 ~ 4094 です。 |
||
|
ステップ 4 |
private-vlan mapping [add | remove] secondary_vlan_list 例: |
セカンダリ VLAN をプライマリ VLAN のレイヤ 3 VLAN インターフェイスにマッピングして、プライベート VLAN 入力トラフィックのレイヤ 3 スイッチングを可能にします。
|
||
|
ステップ 5 |
end 例: |
特権 EXEC モードに戻ります。 |
||
|
ステップ 6 |
show interfaces private-vlan mapping 例: |
設定を確認します。 |
||
|
ステップ 7 |
copy running-config startup config 例: |
デバイス スタートアップ コンフィギュレーション ファイルに設定項目を保存します。 |
次の表に、プライベート VLAN をモニターするために使用するコマンドを記載します。
|
コマンド |
目的 |
|---|---|
|
show interfaces status |
所属する VLAN を含む、インターフェイスのステータスを表示します。 |
|
show vlan private-vlan [type] |
スイッチスタックのプライベート VLAN 情報を表示します |
|
show interface switchport |
インターフェイス上のプライベート VLAN 設定を表示します。 |
|
show interface private-vlan mapping |
VLAN SVI のプライベート VLAN マッピングに関する情報を表示します。 |
次のセクションにプライベート VLAN の設定例を示します。
次に、VLAN 20 をプライマリ VLAN、VLAN 501 を独立 VLAN、VLAN 502 および 503 をコミュニティ VLAN として設定し、これらをプライベート VLAN 内で関連付けして、設定を確認する例を示します。
Device# configure terminal
Device(config)# vlan 20
Device(config-vlan)# private-vlan primary
Device(config-vlan)# exit
Device(config)# vlan 501
Device(config-vlan)# private-vlan isolated
Device(config-vlan)# exit
Device(config)# vlan 502
Device(config-vlan)# private-vlan community
Device(config-vlan)# exit
Device(config)# vlan 503
Device(config-vlan)# private-vlan community
Device(config-vlan)# exit
Device(config)# vlan 20
Device(config-vlan)# private-vlan association 501-503
Device(config-vlan)# end
Device# show vlan private-vlan
Primary Secondary Type
--------- -------------- -----------------
20 501 isolated
20 502 community
20 503 community
次に、インターフェイスをプライベート VLAN ホスト ポートとして設定し、それをプライベート VLAN ペアに関連付けて、その設定を確認する例を示します。
Device# configure terminal
Device(config)# interface gigabitethernet1/0/22
Device(config-if)# switchport mode private-vlan host
Device(config-if)# switchport private-vlan host-association 20 501
Device(config-if)# end
Device# show interfaces gigabitethernet1/0/22 switchport
Name: Gi1/0/22
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: private-vlan host
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: 20 501
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan:
20 501
<output truncated>
次の例では、インターフェイスをプライベート VLAN 無差別ポートとして設定し、それをプライベート VLAN にマッピングする方法を示します。インターフェイスは、プライマリ VLAN 20 のメンバで、セカンダリ VLAN 501 ~ 503 がマッピングされます。
Device# configure terminal
Device(config)# interface gigabitethernet1/0/2
Device(config-if)# switchport mode private-vlan promiscuous
Device(config-if)# switchport private-vlan mapping 20 add 501-503
Device(config-if)# end
show vlan private-vlan または show interface status 特権 EXEC コマンドを使用してプライマリおよびセカンダリ VLAN とデバイス上のプライベート VLAN ポートを表示します。
次に、VLAN 501 および 502 のインターフェイスをプライマリ VLAN 10 にマッピングする例を示します。これにより、プライベート VLAN 501 および 502 からのセカンダリ VLAN 入力トラフィックのルーティングが可能になります。
Device# configure terminal
Device(config)# interface vlan 20
Device(config-if)# private-vlan mapping 501-503
Device(config-if)# end
Device# show interfaces private-vlan mapping
Interface Secondary VLAN Type
--------- -------------- -----------------
vlan20 501 isolated
vlan20 502 community
vlan20 503 community
次に、インターフェイスを独立プライベート VLAN トランクポートとして設定し、その設定を確認する例を示します。
Device# configure terminal
Device(config)# interface GigabitEthernet5/0/1
Device(config-if)# switchport private-vlan trunk allowed vlan 20
Device(config-if)# switchport private-vlan association trunk 20 503
Device(config-if)# switchport mode private-vlan trunk
Device(config-if)# end
Device# show interface GigabitEthernet5/0/1 switchport
Name: GigabitEthernet5/0/1
Switchport: Enabled
Administrative Mode: private-vlan trunk secondary
Operational Mode: private-vlan trunk secondary
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: 20
Administrative private-vlan trunk associations:
20 (VLAN0020) 503 (VLAN0503)
Administrative private-vlan trunk mappings: none
Operational private-vlan:
20 (VLAN0020) 503 (VLAN0503)
Operational Normal VLANs: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Vepa Enabled: false
Appliance trust: none
次に、インターフェイスを無差別プライベート VLAN トランクポートとして設定し、その設定を確認する例を示します。
Device# configure terminal
Device(config)# interface GigabitEthernet6/0/4
Device(config-if)# switchport private-vlan trunk native vlan 20
Device(config-if)# switchport private-vlan trunk allowed vlan 20
Device(config-if)# switchport private-vlan mapping trunk 20 501-503
Device(config-if)# switchport mode private-vlan trunk promiscuous
Device(config-if)# end
Device# show interface GigabitEthernet6/0/4 switchport
Name: Gi6/0/4
Switchport: Enabled
Administrative Mode: private-vlan trunk promiscuous
Operational Mode: private-vlan trunk promiscuous
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: 20
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: 20
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings:
20 (VLAN0020) 501 (VLAN0501)
502 (VLAN0502)
503 (VLAN0503)
Operational private-vlan:
20 (VLAN0020) 501 (VLAN0501) 502 (VLAN0502) 503 (VLAN0503)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Vepa Enabled: false
Appliance trust: none
次に、インターフェイスをポートチャネルの独立プライベート VLAN トランクポートとして設定し、その設定を確認する例を示します。
Device# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Device(config)# interface range g5/0/17, g5/0/22, g6/0/12
Device(config-if-range)# switchport mode private-vlan trunk
Device(config-if-range)# switchport private-vlan trunk allowed vlan 20
Device(config-if-range)# switchport private-vlan association trunk 20 503
Device(config-if-range)# channel-group 1 mode active
Device(config-if-range)# end
Device# show etherchannel summary
Dec 10 13:51:28.423 PST: %SYS-5-CONFIG_I: Configured from console by consolesumm
Flags: D - down P - bundled in port-channel
I - stand-alone s – suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
M - not in use, minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
A - formed by Auto LAG
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Gi5/0/17(P) Gi5/0/22(P) Gi6/0/12(P)
Device# show vlan private-vlan
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
20 501 community
20 502 community
20 503 isolated Po1
次に、インターフェイスをポートチャネルの無差別プライベート VLAN トランクポートとして設定し、その設定を確認する例を示します。
Device# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Device(config)# interface range g5/0/17, g5/0/22, g6/0/12
Device(config-if-range)# switchport mode private-vlan trunk promiscuous
Device(config-if-range)# switchport private-vlan trunk allowed vlan 20
Device(config-if-range)# switchport private-vlan mapping trunk 20 501-503
Device(config-if-range)# channel-group 1 mode active
Device(config-if-range)# end
Device# show etherchannel summary
Dec 10 13:51:28.423 PST: %SYS-5-CONFIG_I: Configured from console by consolesumm
Flags: D - down P - bundled in port-channel
I - stand-alone s – suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
M - not in use, minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
A - formed by Auto LAG
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Gi5/0/17(P) Gi5/0/22(P) Gi6/0/12(P)
Device# show vlan private-vlan
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
20 501 community Po1
20 502 community Po1
20 503 isolated Po1
次に、show vlan private-vlan コマンドの出力例を示します。
Device# show vlan private-vlan
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
20 501 isolated Gi1/0/22, Gi1/0/2
20 502 community Gi1/0/2
20 503 community Gi1/0/2
次の設定を行えます。
VTP
VLAN
VLAN トランキング
VLAN メンバーシップ ポリシー サーバー(VMPS)
音声 VLAN
| 関連項目 | マニュアル タイトル |
|---|---|
|
この章で使用するコマンドの完全な構文および使用方法の詳細。 |
Command Reference (Catalyst 9300 Series Switches) |
| 標準/RFC | タイトル |
|---|---|
|
RFC 1573 |
Evolution of the Interfaces Group of MIB-II |
|
RFC 1757 |
『Remote Network Monitoring Management Information Base』 |
|
RFC 2021 |
Remote Network Monitoring Management Information Base Version 2 using SMIv2 |
| MIB | MIB のリンク |
|---|---|
本リリースでサポートするすべての MIB
|
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、URL http://www.cisco.com/go/mibs にある Cisco MIB Locator を使用します |
次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。
これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。
|
リリース |
機能 |
機能情報 |
|---|---|---|
|
Cisco IOS XE Everest 16.5.1a |
プライベート VLAN |
この機能が導入されました。 VLAN 機能を使用すると、サービスプロバイダが VLAN を使用したときに直面する問題に対処できます。
|
|
Cisco IOS XE Amsterdam 17.3.1 |
トランクポートおよびポートチャネルのプライベート VLAN |
プライベート VLAN は独立トランクポート、無差別トランクポートおよびポートチャネルに導入されました。 |
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com/ に進みます。
フィードバック