目的
この記事では、Cisco Business 350シリーズスイッチでプライベートVLANを設定する方法について説明します。
該当するデバイス |ソフトウェアバージョン
概要
仮想ローカルエリアネットワーク(VLAN)を使用すると、ローカルエリアネットワーク(LAN)を論理的に異なるブロードキャストドメインにセグメント化できます。機密データがネットワーク上でブロードキャストされるシナリオでは、特定のVLANにブロードキャストを指定することでセキュリティを強化するためにVLANを作成できます。VLANに属するユーザだけが、そのVLANのデータにアクセスして操作できます。また、VLANを使用して、ブロードキャストやマルチキャストを不要な宛先に送信する必要性を減らし、パフォーマンスを向上させることもできます。
プライベートVLANは、ポート間のレイヤ2分離を提供します。つまり、ブリッジトラフィックのレベルでは、IPルーティングとは異なり、同じブロードキャストドメインを共有するポートは相互に通信できません。プライベートVLANのポートは、レイヤ2ネットワーク内の任意の場所に配置できます。つまり、同じスイッチ上に配置する必要はありません。プライベートVLANは、タグなしトラフィックまたはプライオリティタグ付きトラフィックを受信し、タグなしトラフィックを送信するように設計されています。
次のタイプのポートは、プライベートVLANのメンバーになることができます。
- 混合ポート:混合ポートは、同じプライベートVLANのすべてのポートと通信できます。これらのポートは、サーバとルータを接続します。
- コミュニティ(ホスト):コミュニティポートは、同じレイヤ2ドメインのメンバであるポートのグループを定義できます。これらは、他のコミュニティおよび隔離ポートからレイヤ2で隔離されます。これらのポートはホストポートを接続します。
- 隔離ポート(ホスト):隔離ポートは、同じプライベートVLAN内の他の隔離ポートおよびコミュニティポートから完全にレイヤ2で隔離されています。これらのポートはホストポートを接続します。
ホストトラフィックは隔離VLANおよびコミュニティVLANに送信され、サーバおよびルータのトラフィックはプライマリVLANに送信されます。
スイッチでのプライベートVLANの設定
重要:次の手順に進む前に、スイッチにVLANが設定されていることを確認します。スイッチでVLAN設定を行う方法については、ここをクリックして手順を確認してください。
ステップ1:Webベースのユーティリティにログインし、[Display Mode]ドロップダウンリストから[Advanced]を選択します。
ステップ2:[VLAN Management] > [Private VLAN Settings]を選択します。
ステップ3:[Add]ボタンをクリックします。
ステップ4:[Primary VLAN ID]ドロップダウンリストで、プライベートVLANのプライマリVLANとして定義するVLANを選択します。プライマリVLANは、無差別ポートから隔離ポート、およびコミュニティポートへのレイヤ2接続を可能にするために使用されます。
注:この例では、VLAN ID 10が選択されています。
ステップ5:[Isolated VLAN ID]ドロップダウンリストからVLAN IDを選択します。隔離VLANは、隔離ポートがプライマリVLANにトラフィックを送信できるようにするために使用されます。
注:この例では、VLAN ID 20が選択されています。
ステップ6:[Available Community VLANs]領域からVLAN IDを選択し、>ボタンをクリックして、コミュニティVLANにするVLANを[Selected Community VLANs]リストに移動します。
注:VLAN内にポート(コミュニティ)のサブグループを作成するには、ポートをコミュニティVLANに追加する必要があります。コミュニティVLANは、コミュニティポートから混合モードポート、および同じコミュニティのコミュニティポートへのレイヤ2接続を有効にするために使用されます。各コミュニティに単一のコミュニティVLANを設定でき、同じプライベートVLANのシステムに複数のコミュニティVLANを共存させることができます。
注:この例では、VLAN ID 30が選択されています。
ステップ7:[Apply]をクリックして、[Close]をクリックします。
ステップ8:(オプション)[Save]をクリックし、設定をスタートアップコンフィギュレーションファイルに保存します。
これで、Cisco Business 350シリーズスイッチのプライベートVLAN設定が完了しました。
ご使用のCiscoビジネススイッチのVLANの詳細を探していますか?詳細については、次のリンクを参照してください。
記事スケルトン(コンテンツあり)
目的
この記事では、Cisco Business 350シリーズスイッチでプライベートVLANを設定する方法について説明します。
プライベートVLANは、ポート間のレイヤ2分離を提供します。つまり、ブリッジトラフィックのレベルでは、IPルーティングとは異なり、同じブロードキャストドメインを共有するポートは相互に通信できません。プライベートVLANのポートは、レイヤ2ネットワーク内の任意の場所に配置できます。つまり、同じスイッチ上に配置する必要はありません。プライベートVLANは、タグなしトラフィックまたはプライオリティタグ付きトラフィックを受信し、タグなしトラフィックを送信するように設計されています。
該当するデバイス |ソフトウェアバージョン
概要
仮想ローカルエリアネットワーク(VLAN)を使用すると、ローカルエリアネットワーク(LAN)を論理的に異なるブロードキャストドメインにセグメント化できます。機密データがネットワーク上でブロードキャストされるシナリオでは、特定のVLANにブロードキャストを指定することでセキュリティを強化するためにVLANを作成できます。VLANに属するユーザだけが、そのVLANのデータにアクセスして操作できます。また、VLANを使用して、ブロードキャストやマルチキャストを不要な宛先に送信する必要性を減らし、パフォーマンスを向上させることもできます。
注:Webベースのユーティリティを使用してスイッチのVLAN設定を構成する方法については、ここをクリックしてください。CLIベースの手順については、ここをクリックします。
プライベートVLANドメインは、1つまたは複数のVLANペアで構成されます。プライマリVLANがドメインを構成します。各VLANペアはサブドメインを構成しますペアのVLANは、プライマリVLANとセカンダリVLANと呼ばれます。プライベートVLAN内のすべてのVLANペアには、同じプライマリVLANがあります。セカンダリVLAN IDは、サブドメインを別のサブドメインと区別します。
プライベートVLANドメインには1つのプライマリVLANしかありません。プライベートVLANドメインの各ポートは、プライマリVLANのメンバです。プライマリVLANは、プライベートVLANドメイン全体です。
セカンダリVLANは、同じプライベートVLANドメイン内のポート間を隔離します。次の2つのタイプは、プライマリVLAN内のセカンダリVLANです。
- 隔離VLAN:隔離VLAN内のポートは、レイヤ2レベルで相互に直接通信できません。
- コミュニティVLAN:コミュニティVLAN内のポートは相互に通信できますが、他のコミュニティVLAN内のポートやレイヤ2レベルの隔離VLAN内のポートとは通信できません。
プライベートVLANドメイン内には、3つのポート指定があります。各ポート指定には、同じプライベートVLANドメイン内の他の接続されたエンドポイントと通信する1つのエンドポイントの機能を規定する、独自のルールセットがあります。次に、3つのポート名称を示します。
- 混合ポート:混合ポートは、同じプライベートVLANのすべてのポートと通信できます。これらのポートは、サーバとルータを接続します。
- コミュニティ(ホスト):コミュニティポートは、同じレイヤ2ドメインのメンバであるポートのグループを定義できます。これらは、他のコミュニティおよび隔離ポートからレイヤ2で隔離されます。これらのポートはホストポートを接続します。
- 隔離ポート(ホスト):隔離ポートは、同じプライベートVLAN内の他の隔離ポートおよびコミュニティポートから完全にレイヤ2で隔離されています。これらのポートはホストポートを接続します。
ホストトラフィックは隔離VLANおよびコミュニティVLANに送信され、サーバおよびルータのトラフィックはプライマリVLANに送信されます。
スイッチのWebベースのユーティリティを使用してプライベートVLANを設定するには、ここをクリックします。
CLIを使用したスイッチでのプライベートVLAN設定
プライベートプライマリVLANの作成
ステップ1:スイッチコンソールにログインします。デフォルトのユーザ名とパスワードはcisco/ciscoです。新しいユーザ名またはパスワードを設定している場合は、クレデンシャルを入力します。
コマンドは、スイッチの正確なモデルによって異なる場合があります。
ステップ2:スイッチの特権EXECモードから、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure
ステップ3:グローバルコンフィギュレーションモードで、次のように入力してインターフェイスコンフィギュレーションコンテキストを入力します。
CBS350(config)#interface [vlan-id]
- vlan-id:設定するVLAN IDを指定します。
ステップ4:インターフェイス設定コンテキストで、次のように入力して、VLANインターフェイスをプライマリプライベートVLANとして設定します。
CBS350(config-if)#private-vlan primary
デフォルトでは、スイッチにプライベートVLANは設定されていません。
重要:プライベートVLANの設定には、次のガイドラインに注意してください。
- VLAN内にメンバーであるプライベートVLANポートがある場合、VLANタイプを変更することはできません。
- VLANタイプは、他のプライベートVLANに関連付けられている場合は変更できません。
- VLANタイプは、VLANが削除されてもVLANのプロパティとして保持されません。
ステップ5:(オプション)VLANを通常のVLAN設定に戻すには、次のように入力します。
CBS350(config-if)#no private-vlan
ステップ6:(オプション)スイッチの特権EXECモードに戻るには、次のように入力します。
CBS350(config-if)#end
ステップ7:(オプション)スイッチの特権EXECモードで、次のように入力して、設定した設定をスタートアップコンフィギュレーションファイルに保存します。
CBS350#copy running-config startup-config
ステップ8:(オプション)Overwrite file [startup-config]..プロンプトが表示されたら、キーボードでY(はい)を押し、No(いいえ)を押します。
これで、CLIを使用してスイッチにプライマリVLANが正常に作成されました。
セカンダリVLANの作成
ステップ1:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure
ステップ2:グローバルコンフィギュレーションモードで、次のように入力してインターフェイスコンフィギュレーションコンテキストを入力します。
CBS350(config)#interface [vlan-id]
ステップ3:インターフェイス設定コンテキストで、次のように入力して、VLANインターフェイスをセカンダリプライベートVLANとして設定します。
CBS350(config-if)#private-vlan [community | isolated]
次のオプションがあります。
- community - VLANをコミュニティVLANとして指定します。
- isolated - VLANを隔離VLANとして指定します。
ステップ4:(オプション)ステップ2と3を繰り返して、プライベートVLANに追加のセカンダリVLANを設定します。
ステップ5:(オプション)VLANを通常のVLAN設定に戻すには、次のように入力します。
CBS350(config-if)#no private-vlan
ステップ6:(オプション)スイッチの特権EXECモードに戻るには、次のように入力します。
CBS350(config-if)#end
これで、CLIを使用してスイッチ上にセカンダリVLANが正常に作成されました。
セカンダリVLANをプライマリプライベートVLANに関連付ける
ステップ1:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure
ステップ2:次のように入力して、プライマリVLANのVLANインターフェイスコンフィギュレーションコンテキストを入力します。
CBS350(config)#vlan [primary-vlan-id]
ステップ3:プライマリVLANとセカンダリVLANの関連付けを設定するには、次のように入力します。
CBS350(config-if)#private-vlan association [add | remove]secondary-vlan-list
次のオプションがあります。
- add secondary-vlan-list:プライマリVLANに追加するタイプsecondaryのVLAN IDのリスト。連続しないVLAN IDは、カンマで区切り、スペースは使用しません。ハイフンを使用して、IDの範囲を指定します。これがデフォルトのアクションです。
- remove secondary-vlan-list:プライマリVLANから関連付けを削除するタイプsecondaryのVLAN IDのリスト。連続しないVLAN IDは、カンマで区切り、スペースは使用しません。ハイフンを使用して、IDの範囲を指定します。
ステップ4:スイッチの特権EXECモードに戻るには、次のように入力します。
CBS350(config-if)#end
これで、CLIを使用して、セカンダリVLANをスイッチのプライマリプライベートVLANに正しく関連付けることができました。
プライマリおよびセカンダリプライベートVLANへのポートの設定
ステップ1:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure
ステップ2:グローバルコンフィギュレーションモードで、次のように入力してインターフェイスコンフィギュレーションコンテキストを入力します。
CBS350(config)#interface [interface-id | range vlan vlan-range]
次のオプションがあります。
- interface-id:設定するインターフェイスIDを指定します。
- range vlan vlan-range:VLANのリストを指定します。カンマとスペースを使用せずに、連続しないVLANを区切ります。ハイフン(-)を使用して、VLANの範囲を指定します。
ステップ3:インターフェイス設定コンテキストでswitchport modeコマンドを使用して、VLANメンバーシップモードを設定します。
CBS350(config-if-range)#switchport mode private-vlan [promiscuous | host]
- promiscuous:プライベートVLAN混合モードポートを指定します。このオプションを使用する場合は、ステップ5に進みます。
- host:プライベートVLANホストポートを指定します。このオプションを使用する場合は、ステップ6に進みます。
ステップ4:(オプション)ポートまたはポート範囲をデフォルト設定に戻すには、次のように入力します。
CBS350(config-if-range)#no switchport mode
ステップ5:プロミスキャスポートとプライベートVLANのプライマリおよびセカンダリVLANの関連付けを設定するには、次のように入力します。
CBS350(config-if)#switchport private-vlan mapping [primary-vlan-id] add [secondary-vlan-id]
次のオプションがあります。
- primary-vlan-id:プライマリVLANのVLAN IDを指定します。
- secondary-vlan-id:セカンダリVLANのVLAN IDを指定します。
ステップ6:ホストポートとプライベートVLANのプライマリおよびセカンダリVLANの関連付けを設定するには、次のように入力します。
CBS350(config-if)#switchport private-vlan host-association[primary-vlan-id][secondary-vlan-id]
次のオプションがあります。
- primary-vlan-id:プライマリVLANのVLAN IDを指定します。
- secondary-vlan-id:セカンダリVLANのVLAN IDを指定します。
ステップ7:インターフェイス設定コンテキストを終了するには、次のように入力します。
CBS350(config-if-range)#exit
ステップ8:(オプション)手順2 ~ 7を繰り返して、より多くの混合モードポートとホストポートを設定し、対応するプライマリおよびセカンダリプライベートVLANに割り当てます。
ステップ9:endコマンドを入力して、特権EXECモードに戻ります。
CBS350(config-if)#end
ステップ10:(オプション)スイッチで設定されているプライベートVLANを確認するには、次のように入力します。
CBS350#show vlan private-vlan tag[vlan-id]
ステップ11:(オプション)スイッチの特権EXECモードで、次のように入力して、設定をスタートアップコンフィギュレーションファイルに保存します。
CBS350#copy running-config startup-config
ステップ12. (オプション)Overwrite file [startup-config]..プロンプトが表示されたら、キーボードでYを押して、Noを押します。
これで、CLIを使用して、ホストおよび混合モードポートと、スイッチ上のプライマリおよびセカンダリプライベートVLANとの関連付けを正しく設定できました。
ご使用のCiscoビジネススイッチのVLANの詳細を探していますか?詳細については、次のリンクを参照してください。
フィードバック