Catalyst 스위치에서 격리된 프라이빗 VLAN 구성

소개

경우에 따라, 서로 다른 IP 서브넷에 디바이스를 배치하지 않고도 스위치의 엔드 디바이스 간에 레이어 2(L2) 연결을 방지해야 합니다.이 설정은 IP 주소의 낭비를 방지합니다.PVLAN(Private VLAN)은 동일한 IP 서브넷에 있는 디바이스의 레이어 2에서 격리를 허용합니다.기본 게이트웨이, 백업 서버 또는 Cisco LocalDirector가 연결된 특정 포트에만 연결되도록 스위치의 일부 포트를 제한할 수 있습니다.

이 문서에서는 Catalyst OS(CatOS) 또는 Cisco IOS® 소프트웨어를 사용하여 Cisco Catalyst 스위치에서 격리된 PVLAN을 구성하는 절차에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서에서는 PVLAN을 추가하기 위해 이미 존재하고 다양한 포트 간에 연결을 설정할 수 있는 네트워크가 있다고 가정합니다.스위치가 여러 개인 경우 스위치 간 트렁크가 올바르게 작동하는지 확인하고 트렁크의 PVLAN을 허용합니다.

모든 스위치와 소프트웨어 버전이 PVLAN을 지원하는 것은 아닙니다.컨피그레이션을 시작하기 전에 플랫폼 및 소프트웨어 버전이 PVLAN을 지원하는지 확인하려면 프라이빗 VLAN Catalyst 스위치 지원 매트릭스를 참조하십시오.

참고: 일부 스위치(Private VLAN Catalyst 스위치 지원 매트릭스에 지정된 대로)는 현재 PVLAN 에지 기능만 지원합니다."protected ports"라는 용어는 이 기능을 가리킵니다.PVLAN 에지 포트에는 동일한 스위치의 다른 보호된 포트와 통신하지 못하도록 하는 제한이 있습니다.그러나 별도의 스위치에서 보호되는 포트는 서로 통신할 수 있습니다.이 기능을 이 문서에 표시된 일반 PVLAN 구성과 혼동하지 마십시오.보호된 포트에 대한 자세한 내용은 Configuring Port-Based Traffic Control(포트 기반 트래픽 제어 구성) 문서의 Configuring Port Security(포트 보안 구성) 섹션을 참조하십시오.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• CatOS 버전 6.3(5)을 실행하는 Supervisor Engine 2 모듈이 포함된 Catalyst 4003 스위치

• Cisco IOS Software 릴리스 12.1(12c)EW1을 실행하는 Supervisor Engine 3 모듈이 포함된 Catalyst 4006 스위치

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

배경 이론

PVLAN은 동일한 브로드캐스트 도메인 또는 서브넷 내의 다른 포트와 레이어 2 격리를 위한 컨피그레이션을 사용하는 VLAN입니다.PVLAN 내에서 특정 포트 집합을 할당하여 레이어 2의 포트 간 액세스를 제어할 수 있습니다. 동일한 스위치에서 PVLAN 및 일반 VLAN을 구성할 수 있습니다.

PVLAN 포트에는 세 가지 유형이 있습니다.프로미스큐어스, 격리 및 커뮤니티

• 프로미스큐어스 포트는 다른 모든 PVLAN 포트와 통신합니다.프로미스큐어스 포트는 외부 라우터, LocalDirector, 네트워크 관리 디바이스, 백업 서버, 관리 워크스테이션 및 기타 디바이스와 통신하는 데 일반적으로 사용하는 포트입니다.일부 스위치에서는 경로 모듈에 대한 포트(예: MSFC[Multilayer Switch Feature Card])가 프로미스큐어여야 합니다.

• 격리된 포트는 동일한 PVLAN 내의 다른 포트와 완전한 레이어 2 분리가 있습니다.이러한 분리는 브로드캐스트를 포함하며 유일한 예외는 프로미스큐어스 포트입니다.레이어 2 레벨의 프라이버시 부여는 격리된 모든 포트에 대한 발신 트래픽 블록과 함께 발생합니다.격리된 포트에서 오는 트래픽은 모든 프로미스큐어스 포트에만 전달됩니다.

• 커뮤니티 포트는 프로미스큐어스 포트와 서로 통신할 수 있습니다.이러한 포트는 다른 커뮤니티의 다른 모든 포트와 레이어 2 격리 또는 PVLAN 내의 격리된 포트를 갖습니다.브로드캐스트는 연결된 커뮤니티 포트와 프로미스큐어스 포트 간에만 전파됩니다.

  참고: 이 문서에서는 커뮤니티 VLAN 컨피그레이션에 대해 다루지 않습니다.

PVLAN에 대한 자세한 내용은 Understanding and Configuring VLANs(VLAN 이해 및 구성) 문서의 Configuring Private VLANs(프라이빗 VLAN 구성) 섹션을 참조하십시오.

규칙 및 제한 사항

이 섹션에서는 PVLAN을 구현할 때 주의해야 하는 몇 가지 규칙 및 제한 사항을 제공합니다.자세한 목록은 Configuring VLANs(VLAN 구성) 문서의 Private VLAN Configuration Guidelines(프라이빗 VLAN 컨피그레이션 지침) 섹션을 참조하십시오.

• PVLAN은 VLAN 1 또는 1002-1005를 포함할 수 없습니다.

• VTP(VLAN Trunk Protocol) 모드를 투명으로 설정해야 합니다.

• 기본 VLAN당 하나의 격리된 VLAN만 지정할 수 있습니다.

• VLAN에 현재 액세스 포트 할당이 없는 경우에만 VLAN을 PVLAN으로 지정할 수 있습니다.VLAN을 PVLAN으로 만들기 전에 해당 VLAN의 모든 포트를 제거합니다.

• PVLAN 포트를 EtherChannel로 구성하지 마십시오.

• 하드웨어 제한으로 인해 Catalyst 6500/6000 고속 이더넷 스위치 모듈은 동일한 COIL(Application-Specific Integrated Circuit)에 있는 하나의 포트가 다음 중 하나인 경우 격리 또는 커뮤니티 VLAN 포트의 컨피그레이션을 제한합니다.

  • 트렁크

  • SPAN(Switched Port Analyzer) 대상

  • 프로미스큐어스 PVLAN 포트

  다음 표는 Catalyst 6500/6000 FastEthernet 모듈에서 동일한 ASIC에 속하는 포트의 범위를 나타냅니다.

  모듈	ASIC별 포트
  WS-X6224-100FX-MT, WS-X6248-RJ-45, WS-X6248-TEL	포트 1-12, 13-24, 25-36, 37-48
  WS-X6024-10FL-MT	포트 1-12, 13-24
  WS-X6548-RJ-45, WS-X6548-RJ-21	포트 1-48

  show pvlan capability 명령(CatOS)은 포트를 PVLAN 포트로 만들 수 있는지 여부를 나타냅니다.Cisco IOS Software에는 동일한 명령이 없습니다.

• PVLAN 컨피그레이션에서 사용하는 VLAN을 삭제하면 VLAN과 연결된 포트가 비활성화됩니다.

• 기본 VLAN에 대해서만 레이어 3(L3) VLAN 인터페이스를 구성합니다.격리 및 커뮤니티 VLAN에 대한 VLAN 인터페이스는 비활성화된 반면 VLAN에는 격리 또는 커뮤니티 VLAN 컨피그레이션이 있습니다.자세한 내용은 프라이빗 VLAN 구성 을 참조하십시오.

• 트렁크를 사용하여 스위치에서 PVLAN을 확장할 수 있습니다.트렁크 포트는 일반 VLAN과 기본, 격리 및 커뮤니티 VLAN에서 트래픽을 전달합니다.Cisco에서는 트렁킹을 수행하는 두 스위치가 모두 PVLAN을 지원하는 경우 표준 트렁크 포트를 사용하는 것이 좋습니다.

  참고: 투명 모드의 VTP는 이 정보를 전파하지 않으므로, 모든 스위치에 대해 동일한 PVLAN 컨피그레이션을 수동으로 입력해야 합니다.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 문서에 사용된 명령에 대한 자세한 내용을 확인하십시오.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

이 시나리오에서 격리된 VLAN("101")의 디바이스는 레이어 2에서 서로 통신하는 데 제한이 있습니다.그러나 디바이스는 인터넷에 연결할 수 있습니다.또한 4006의 포트 "Gig 3/26"에는 무차별 지정이 있습니다.이 선택적 컨피그레이션을 사용하면 GigabitEthernet 3/26의 디바이스가 격리된 VLAN의 모든 디바이스에 연결할 수 있습니다.또한 이 컨피그레이션을 사용하면 모든 PVLAN 호스트 디바이스에서 관리 워크스테이션으로 데이터를 백업할 수 있습니다.프로미스큐어스 포트의 다른 사용으로는 외부 라우터, LocalDirector, 네트워크 관리 디바이스 및 기타 디바이스에 대한 연결이 있습니다.

기본 및 격리된 VLAN 구성

기본 및 보조 VLAN을 생성하고 다양한 포트를 이러한 VLAN에 바인딩하려면 다음 단계를 수행합니다.이 단계에는 CatOS 및 Cisco IOS Software의 예가 포함되어 있습니다.OS 설치에 적합한 명령 집합을 실행합니다.

1. 기본 PVLAN을 생성합니다.

   • CatOS

          
     Switch_CatOS> (enable) set vlan primary_vlan_id 
     pvlan-type primary name primary_vlan
     
     
      !--- Note: Thise command should be on one line.
     
     VTP advertisements transmitting temporarily stopped,
     and will resume after the command finishes.
     Vlan 100 configuration successful

   • Cisco IOS 소프트웨어

     Switch_IOS(config)#vlan primary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan primary
     
     Switch_IOS(config-vlan)#name primary-vlan
     
     Switch_IOS(config-vlan)#exit
     

2. 격리된 VLAN 또는 VLAN을 생성합니다.

   • CatOS

     Switch_CatOS> (enable) set vlan secondary_vlan_id 
     pvlan-type isolated name isolated_pvlan
     
     
      !--- Note: This command should be on one line.
     
     VTP advertisements transmitting temporarily stopped,
     and will resume after the command finishes.
     Vlan 101 configuration successful 

   • Cisco IOS 소프트웨어

     Switch_IOS(config)#vlan secondary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan isolated
     
     Switch_IOS(config-vlan)#name isolated_pvlan
     
     Switch_IOS(config-vlan)#exit    

3. 격리된 VLAN/VLAN을 기본 VLAN에 바인딩합니다.

   • CatOS

     Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id
     
     Vlan 101 configuration successful
     Successfully set association between 100 and 101.

   • Cisco IOS 소프트웨어

     Switch_IOS(config)#vlan primary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan association secondary_vlan_id
     
     Switch_IOS(config-vlan)#exit
     

4. 프라이빗 VLAN 컨피그레이션을 확인합니다.

   • CatOS

     Switch_CatOS> (enable) show pvlan
     Primary Secondary Secondary-Type   Ports
     ------- --------- ---------------- ------------
     100     101       isolated     

   • Cisco IOS 소프트웨어

     Switch_IOS#show vlan private-vlan
     Primary  Secondary  Type              Ports
     ------- --------- ----------------- -------
     100     101       isolated   

PVLAN에 포트 할당

팁: 이 절차를 구현하기 전에 show pvlan capability mod/port 명령(CatOS의 경우)을 실행하여 포트가 PVLAN 포트가 될 수 있는지 확인합니다.

참고: 이 절차의 1단계를 수행하기 전에 인터페이스 컨피그레이션 모드에서 switchport 명령을 실행하여 포트를 레이어 2 스위치드 인터페이스로 구성합니다.

1. 모든 해당 스위치에 호스트 포트를 구성합니다.

   • CatOS

     Switch_CatOS> (enable)set pvlan primary_vlan_id secondary_vlan_id mod/port
     
     
     !--- Note: This command should be on one line.
     
     Successfully set the following ports to Private Vlan 100,101: 2/20

   • Cisco IOS 소프트웨어

     Switch_IOS(config)#interface gigabitEthernet mod/port
     
     Switch_IOS(config-if)#switchport private-vlan host 
     primary_vlan_id secondary_vlan_id
     
     
      !--- Note: This command should be on one line.
     
     Switch_IOS(config-if)#switchport mode private-vlan host
     Switch_IOS(config-if)#exit
     

2. 스위치 중 하나에서 프로미스큐어스 포트를 구성합니다.

   • CatOS

     Switch_CatOS> (enable) set pvlan mapping primary_vlan_id secondary_vlan_id mod/port
     
     
     !--- Note: This command should be on one line.
     
     Successfully set mapping between 100 and 101 on 3/26

     참고: Supervisor Engine이 CatOS를 시스템 소프트웨어로 실행할 때 Catalyst 6500/6000의 경우 VLAN 간에 레이어 3 스위치를 설정하려면 수퍼바이저 엔진의 MSFC 포트(15/1 또는 16/1)가 프로미스큐어여야 합니다.

   • Cisco IOS 소프트웨어

     Switch_IOS(config)#interface interface_type mod/port
     
     Switch_IOS(config-if)#switchport private-vlan 
     mapping primary_vlan_id secondary_vlan_id
     
     
      !--- Note: This command should be on one line.
     
     Switch_IOS(config-if)#switchport mode private-vlan promiscuous 
     Switch_IOS(config-if)#end
     

레이어 3 컨피그레이션

이 선택적 섹션에서는 PVLAN 인그레스 트래픽의 경로를 허용하는 컨피그레이션 단계를 설명합니다.레이어 2 연결만 활성화하면 이 단계를 생략할 수 있습니다.

1. 일반 레이어 3 라우팅에 대해 구성한 것과 동일한 방법으로 VLAN 인터페이스를 구성합니다.

   이 컨피그레이션에는 다음이 포함됩니다.

   • IP 주소 구성

   • no shutdown 명령으로 인터페이스 활성화

   • VLAN이 VLAN 데이터베이스에 있는지 확인

   컨피그레이션 예는 VLAN/VTP 기술 지원을 참조하십시오.

2. 기본 VLAN으로 라우팅할 보조 VLAN을 매핑합니다.

   Switch_IOS(config)#interface vlan primary_vlan_id
   
   Switch_IOS(config-if)#private-vlan mapping secondary_vlan_list
    
   Switch_IOS(config-if)#end
   

   참고: 기본 VLAN에 대해서만 레이어 3 VLAN 인터페이스를 구성합니다.격리 및 커뮤니티 VLAN에 대한 VLAN 인터페이스는 격리 또는 커뮤니티 VLAN 컨피그레이션으로 비활성 상태입니다.

3. show interfaces private-vlan mapping(Cisco IOS Software) 또는 show pvlan mapping(CatOS) 명령을 실행하여 매핑을 확인합니다.

4. 매핑 컨피그레이션 후 보조 VLAN 목록을 수정해야 하는 경우 add 또는 remove 키워드를 사용합니다.

   Switch_IOS(config-if)#private-vlan mapping add secondary_vlan_list
   
   or
   Switch_IOS(config-if)#private-vlan mapping remove secondary_vlan_list
   
   

자세한 내용은 프라이빗 VLAN 구성 문서의 기본 VLAN 섹션의 레이어 3 VLAN 인터페이스에 보조 VLAN 매핑을 참조하십시오.

참고: MSFC를 사용하는 Catalyst 6500/6000 스위치의 경우 Supervisor Engine에서 라우팅 엔진(예: 포트 15/1 또는 16/1)까지의 포트가 프로미스큐어인지 확인합니다.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

show pvlan 매핑 명령을 실행하여 매핑을 확인합니다.

cat6000> (enable) show pvlan mapping 
Port Primary Secondary
---- ------- ---------
15/1  100      101

구성

이 문서에서는 다음 구성을 사용합니다.

• Access_Layer(Catalyst 4003:CatOS)

• 코어(Catalyst 4006:Cisco IOS 소프트웨어)

Access_Layer> (enable) show config
 This command shows non-default configurations only.
 Use 'show config all' to show both default and non-default configurations.
 .............

 
!--- Output suppressed.


 #system
 set system name  Access_Layer
 !
 #frame distribution method
 set port channel all distribution mac both
 !
 #vtp
 set vtp domain Cisco
 set vtp mode transparent
 set vlan 1 name default type ethernet mtu 1500 said 100001 state active 
 set vlan 100 name primary_for_101 type ethernet pvlan-type primary mtu 1500 
 said 100100 state active 

!--- This is the primary VLAN 100. !--- Note: This command should be on one line.

 set vlan 101 name isolated_under_100 type ethernet pvlan-type isolated mtu 
 1500 said 100101 state active 

!--- This is the isolated VLAN 101. !--- Note: This command should be on one line.

 set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active 


!--- Output suppressed.


 #module 1 : 0-port Switching Supervisor
 !
 #module 2 : 24-port 10/100/1000 Ethernet
 set pvlan 100 101 2/20

!--- Port 2/20 is the PVLAN host port in primary VLAN 100, isolated !--- VLAN 101.

 set trunk 2/3  desirable dot1q 1-1005
 set trunk 2/4  desirable dot1q 1-1005
 set trunk 2/20 off dot1q 1-1005

!--- Trunking is automatically disabled on PVLAN host ports.

 set spantree portfast    2/20 enable

!--- PortFast is automatically enabled on PVLAN host ports.

 set spantree portvlancost 2/1  cost 3


!--- Output suppressed.


 set spantree portvlancost 2/24 cost 3
 set port channel 2/20 mode off

!--- Port channeling is automatically disabled on PVLAN !--- host ports.

 set port channel 2/3-4 mode desirable silent
 !
 #module 3 : 34-port 10/100/1000 Ethernet
 end

Core#show running-config
 Building configuration...

 
!--- Output suppressed.

 !
 hostname Core
 !
 vtp domain Cisco
 vtp mode transparent

!--- VTP mode is transparent, as PVLANs require.

 ip subnet-zero
 !
 vlan 2-4,6,10-11,20-22,26,28 
 !
 vlan 100
  name primary_for_101
   private-vlan primary
   private-vlan association 101
 !
 vlan 101
  name isolated_under_100
   private-vlan isolated
 !
 interface Port-channel1

!--- This is the port channel for interface GigabitEthernet3/1 !--- and interface GigabitEthernet3/2.

  switchport
  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
 !
 interface GigabitEthernet1/1
 !
 interface GigabitEthernet1/2
 !
 interface GigabitEthernet3/1

!--- This is the trunk to the Access_Layer switch.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/2

!--- This is the trunk to the Access_Layer switch.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/3
 !

!--- There is an omission of the interface configuration !--- that you do not use.

 !
 interface GigabitEthernet3/26
  
  switchport private-vlan mapping 100 101
  switchport mode private-vlan promiscuous

!--- Designate the port as promiscuous for PVLAN 101.

 !

!--- There is an omission of the interface configuration !--- that you do not use.

 !

!--- Output suppressed.

 interface Vlan25

!--- This is the connection to the Internet.

  ip address 10.25.1.1 255.255.255.0
 !
 interface Vlan100

!--- This is the Layer 3 interface for the primary VLAN.

  ip address 10.1.1.1 255.255.255.0
  private-vlan mapping 101

!--- Map VLAN 101 to the VLAN interface of the primary VLAN (100). !--- Ingress traffic for devices in isolated VLAN 101 routes !--- via interface VLAN 100.

여러 스위치에서 프라이빗 VLAN

프라이빗 VLAN은 두 가지 방법으로 여러 스위치에서 가져올 수 있습니다.이 섹션에서는 다음 방법에 대해 설명합니다.

• 일반 트렁크

• 프라이빗 VLAN 트렁크

일반 트렁크

일반 VLAN과 마찬가지로 PVLAN은 여러 스위치에 걸쳐 있을 수 있습니다.트렁크 포트는 기본 VLAN 및 보조 VLAN을 인접 스위치에 전달합니다.트렁크 포트는 프라이빗 VLAN을 다른 VLAN으로 처리합니다.여러 스위치에서 PVLAN의 한 기능은 한 스위치에서 격리된 포트의 트래픽이 다른 스위치의 격리 포트에 도달하지 않는다는 것입니다.

PVLAN 포트가 없는 디바이스를 포함하는 모든 중간 디바이스에서 PVLAN을 구성하여 PVLAN 컨피그레이션의 보안을 유지하고 PVLAN으로 구성된 VLAN의 다른 사용을 방지합니다.

트렁크 포트는 일반 VLAN과 기본, 격리 및 커뮤니티 VLAN에서 트래픽을 전달합니다.

팁: Cisco에서는 트렁킹을 수행하는 두 스위치가 모두 PVLAN을 지원하는 경우 표준 트렁크 포트를 사용하는 것이 좋습니다.

VTP는 PVLAN을 지원하지 않으므로 레이어 2 네트워크의 모든 스위치에서 PVLAN을 수동으로 구성해야 합니다.네트워크의 일부 스위치에서 기본 및 보조 VLAN 연결을 구성하지 않으면 이 스위치의 레이어 2 데이터베이스가 병합되지 않습니다.이러한 상황은 해당 스위치에서 불필요한 PVLAN 트래픽의 플러딩을 가져올 수 있습니다.

프라이빗 VLAN 트렁크

PVLAN 트렁크는 여러 개의 보조 및 비 PVLAN을 전달할 수 있습니다.패킷은 PVLAN 트렁크 포트에서 보조 또는 일반 VLAN 태그와 함께 수신 및 전송됩니다.

IEEE 802.1q 캡슐화만 지원됩니다.격리된 트렁크 포트를 사용하면 트렁크를 통해 모든 보조 포트에 대한 트래픽을 결합할 수 있습니다.프로미스큐어스 트렁크 포트를 사용하면 이 토폴로지에 필요한 여러 프로미스큐어스 포트를 여러 기본 VLAN을 전달하는 단일 트렁크 포트로 결합할 수 있습니다.

프라이빗 VLAN 격리 호스트 포트를 사용하여 일반 VLAN 또는 여러 프라이빗 VLAN 도메인에 여러 VLAN을 전달할 것으로 예상하는 경우 격리된 프라이빗 VLAN 트렁크 포트를 사용합니다.따라서 프라이빗 VLAN을 지원하지 않는 다운스트림 스위치를 연결하는 데 유용합니다.

프라이빗 VLAN 프로미스큐어스 트렁크는 일반적으로 프라이빗 VLAN 프로미스큐어스 호스트 포트가 사용되지만 여러 vlan(일반 VLAN 또는 여러 프라이빗 VLAN 도메인)을 전달하는 데 필요한 경우에 사용됩니다.따라서 프라이빗 VLAN을 지원하지 않는 업스트림 라우터를 연결하는 데 유용합니다.

자세한 내용은 프라이빗 VLAN 트렁크를 참조하십시오.

인터페이스를 PVLAN 트렁크 포트로 구성하려면 레이어 2 인터페이스를 PVLAN 트렁크 포트로 구성을 참조하십시오.

인터페이스를 프로미스큐어스 트렁크 포트로 구성하려면 레이어 2 인터페이스를 프로미스큐어스 트렁크 포트로 구성을 참조하십시오.

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다.OIT를 사용하여 show 명령 출력의 분석을 봅니다.

CatOS

• show pvlan - PVLAN 컨피그레이션을 표시합니다.격리된 VLAN과 기본 VLAN이 서로 연결되는지 확인합니다.또한 호스트 포트가 나타나는지 확인합니다.

• show pvlan mapping - 프로미스큐어스 포트의 컨피그레이션과 함께 PVLAN 매핑을 표시합니다.

Cisco IOS 소프트웨어

• show vlan private-vlan - 연결된 포트를 포함하는 PVLAN 정보를 표시합니다.

• show interface mod/port switchport - 인터페이스별 정보를 표시합니다.작동 모드와 운영 PVLAN 설정이 올바른지 확인합니다.

• show interfaces private-vlan mapping - 구성한 PVLAN 매핑을 표시합니다.

확인 절차

다음 단계를 완료하십시오.

1. 스위치에서 PVLAN 컨피그레이션을 확인합니다.

   기본 및 보조 PVLAN이 상호 연결/매핑되는지 확인합니다.또한 필요한 포트가 포함되어 있는지 확인합니다.

   Access_Layer> (enable) show pvlan
   Primary Secondary Secondary-Type   Ports
   ------- --------- ---------------- ------------
    100     101       isolated         2/20
   
   Core#show vlan private-vlan 
   
   Primary Secondary Type              Ports
   ------- --------- ----------------- -----------
   100     101       isolated          Gi3/26

2. 프로미스큐어스 포트의 올바른 컨피그레이션을 확인합니다.

   이 출력은 포트 작동 모드가 프로미스큐어스(promiscuous)이고 운영 VLAN이 100 및 101임을 나타냅니다.

   Core#show interface gigabitEthernet 3/26 switchport 
   Name: Gi3/26
   Switchport: Enabled
   Administrative Mode: private-Vlan promiscuous
   Operational Mode: private-vlan promiscuous
   Administrative Trunking Encapsulation: negotiate
   Operational Trunking Encapsulation: native
   Negotiation of Trunking: Off
   Access Mode VLAN: 1 (default)
   Trunking Native Mode VLAN: 1 (default)
   Voice VLAN: none
   Administrative Private VLAN Host Association: none 
   Administrative Private VLAN Promiscuous Mapping: 100 
   (primary_for_101) 101 (isolated_under_100)
   Private VLAN Trunk Native VLAN: none
   Administrative Private VLAN Trunk Encapsulation: dot1q
   Administrative Private VLAN Trunk Normal VLANs: none
   Administrative Private VLAN Trunk Private VLANs: none
   Operational Private VLANs: 
   100 (primary_for_101) 101 (isolated_under_100) 
   Trunking VLANs Enabled: ALL
   Pruning VLANs Enabled: 2-1001
   Capture Mode Disabled
   Capture VLANs Allowed: ALL

3. 호스트 포트에서 프로미스큐어스 포트로 ICMP(Internet Control Message Protocol) ping 패킷을 시작합니다.

   두 디바이스가 동일한 기본 VLAN에 있으므로 디바이스가 동일한 서브넷에 있어야 합니다.

   host_port#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
   
   !--- The Address Resolution Protocol (ARP) table on the client indicates !--- that no MAC addresses other than the client addresses are known.
   
   host_port#ping 10.1.1.254
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
   .!!!!
   Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
   
   !--- The ping is successful. The first ping fails while the !--- device attempts to map via ARP for the peer MAC address.
   
   
   host_port#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
   Internet  10.1.1.254              0   0060.834f.66f0  ARPA   FastEthernet0/24
   
   !--- There is now a new MAC address entry for the peer.
   
   

4. 호스트 포트 간에 ICMP ping을 시작합니다.

   이 예에서 host_port_2(10.1.1.99)은 host_port(10.1.1.100) ping을 시도합니다. 이 ping은 실패합니다.그러나 다른 호스트 포트에서 프로미스큐어스 포트로의 ping은 계속 성공합니다.

   host_port_2#ping 10.1.1.100
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.100, timeout is 2 seconds:
   .....
   Success rate is 0 percent (0/5)
   
   !--- The ping between host ports fails, which is desirable.
   
   
   host_port_2#ping 10.1.1.254
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
   !!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
   
   !--- The ping to the promiscuous port still succeeds.
   
   
   host_port_2#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.99               -   0005.7428.1c40  ARPA   Vlan1
   Internet  10.1.1.254              2   0060.834f.66f0  ARPA   Vlan1
   
   !--- The ARP table includes only an entry for this port and !--- the promiscuous port.
   
   

문제 해결

PVLAN 문제 해결

이 섹션에서는 PVLAN 컨피그레이션에서 발생하는 몇 가지 일반적인 문제를 다룹니다.

문제 1

다음과 같은 오류 메시지가 표시됩니다.%PM-SP-3-ERR_INCOMP_PORT:<mod/port>는 트렁크 포트이므로 <mod/port>는 비활성 상태로 설정됩니다.

이 오류 메시지는 여기에 설명된 대로 여러 가지 이유로 표시될 수 있습니다.

설명 - 1:하드웨어 제한으로 인해 Catalyst 6500/6000 10/100Mbps 모듈은 동일한 COIL ASIC 내의 한 포트가 트렁크, SPAN 대상 또는 프로미스큐어스 PVLAN 포트일 때 격리 또는 커뮤니티 VLAN 포트의 구성을 제한합니다.(COIL ASIC는 대부분의 모듈에서 12개의 포트와 Catalyst 6548 모듈의 48개의 포트를 제어합니다.) 이 문서의 Rules and Limitations 섹션에 있는 표는 Catalyst 6500/6000 10/100Mbps 모듈에 대한 포트 제한 사항을 자세히 설명합니다.

해결 절차 - 1:해당 포트에서 PVLAN을 지원하지 않는 경우 모듈 또는 다른 모듈에서 다른 ASIC의 포트를 선택합니다.포트를 다시 활성화하려면 격리된 또는 커뮤니티 VLAN 포트 컨피그레이션을 제거하고 shutdown 명령과 no shutdown 명령을 실행합니다.

설명 - 2:포트를 수동으로 또는 기본적으로 동적으로 권장 또는 동적 자동 모드로 구성한 경우

해결 절차 - 2:switchport mode access 명령을 사용하여 포트를 액세스 모드로 구성합니다.포트를 다시 활성화하려면 shutdown 명령을 실행하고 no shutdown 명령을 실행합니다.

참고: Cisco IOS Software 릴리스 12.2(17a)SX 이상 릴리스에서는 WS-X6548-RJ-45, WS-X6548-RJ-21 및 WS-X6524-100FX-MM 이더넷 스위칭 모듈에는 12포트 제한이 적용되지 않습니다.PVLAN의 구성 제한 사항과 다른 기능에 대한 자세한 내용은 PVLAN(Configuring Private VLANs)의 Limits with Other Features(기타 기능 제한) 섹션을 참조하십시오.

문제 2

PVLAN 컨피그레이션 중에 다음 메시지 중 하나가 발생합니다.

• Cannot add a private vlan mapping to a port with another Private port in 
  the same ASIC. 
  Failed to set mapping between <vlan> and <vlan> on <mod/port>

• Port with another Promiscuous port in the same ASIC cannot be made 
  Private port.
  Failed to add ports to association.

설명:하드웨어 제한으로 인해 Catalyst 6500/6000 10/100Mbps 모듈은 동일한 COIL ASIC 내의 한 포트가 트렁크, SPAN 대상 또는 프로미스큐어스 PVLAN 포트일 때 격리 또는 커뮤니티 VLAN 포트의 구성을 제한합니다.(COIL ASIC는 대부분의 모듈에서 12개의 포트와 Catalyst 6548 모듈의 48개의 포트를 제어합니다.) 이 문서의 Rules and Limitations 섹션에 있는 표는 Catalyst 6500/6000 10/100Mbps 모듈에 대한 포트 제한 사항을 자세히 설명합니다.

해결 절차:포트가 PVLAN 포트가 될 수 있는지 여부를 나타내는 show pvlan capability 명령(CatOS)을 실행합니다.특정 포트에서 PVLAN을 지원하지 않는 경우 모듈 또는 다른 모듈에서 다른 ASIC의 포트를 선택합니다.

참고: Cisco IOS Software 릴리스 12.2(17a)SX 이상 릴리스에서는 WS-X6548-RJ-45, WS-X6548-RJ-21 및 WS-X6524-100FX-MM 이더넷 스위칭 모듈에는 12포트 제한이 적용되지 않습니다.PVLAN의 다른 기능 구성 제한 사항에 대한 자세한 내용은 PVLAN(Configuring Private VLANs)의 Limits with Other Features 섹션을 참조하십시오.

문제 3

일부 플랫폼에서는 PVLAN을 구성할 수 없습니다.

해결 방법:플랫폼이 PVLAN을 지원하는지 확인합니다.컨피그레이션을 시작하기 전에 플랫폼 및 소프트웨어 버전이 PVLAN을 지원하는지 확인하려면 프라이빗 VLAN Catalyst 스위치 지원 매트릭스를 참조하십시오.

문제 4

Catalyst 6500/6000 MSFC에서는 스위치의 격리 포트에 연결하는 디바이스를 ping할 수 없습니다.

해결 방법:Supervisor Engine에서 MSFC에 대한 포트(15/1 또는 16/1)가 프로미스큐어인지 확인합니다.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

또한 MSFC의 VLAN 인터페이스를 이 문서의 Layer 3 Configuration 섹션에서 지정하는 대로 구성합니다.

문제 5

no shutdown 명령의 문제로 격리 또는 커뮤니티 VLAN에 대해 VLAN 인터페이스를 활성화할 수 없습니다.

해결 방법:PVLAN의 특성으로 인해 격리 또는 커뮤니티 VLAN에 대해 VLAN 인터페이스를 활성화할 수 없습니다.기본 VLAN에 속하는 VLAN 인터페이스만 활성화할 수 있습니다.

문제 6

MSFC/MSFC2를 사용하는 Catalyst 6500/6000 디바이스에서 레이어 3 PVLAN 인터페이스에서 학습한 ARP 항목은 에이징되지 않습니다.

해결 방법:레이어 3 프라이빗 VLAN 인터페이스에서 학습된 ARP 항목은 고정 ARP 항목이며 에이징되지 않습니다.IP 주소가 동일한 새 장비를 연결하면 메시지가 생성되며 ARP 항목이 생성되지 않습니다.따라서 MAC 주소가 변경되면 PVLAN 포트 ARP 항목을 수동으로 제거해야 합니다.PVLAN ARP 항목을 수동으로 추가하거나 제거하려면 다음 명령을 실행합니다.

Router(config)#no arp 11.1.3.30 
IP ARP:Deleting Sticky ARP entry 11.1.3.30 
Router(config)#arp 11.1.3.30 0000.5403.2356 arpa 
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by 
hw:0000.5403.2356

또 다른 옵션은 Cisco IOS Software Release 12.1(11b)E 이상에서 no ip sticky-arp 명령을 실행하는 것입니다.

관련 정보

• 프라이빗 VLAN Catalyst 스위치 지원 매트릭스
• 프라이빗 VLAN 및 VLAN 액세스 제어 목록으로 네트워크 보안 설정
• 프라이빗 VLAN 구성
• LAN 제품 지원
• LAN 스위칭 기술 지원
• 기술 지원 및 문서 − Cisco Systems