目的
仮想ローカルエリアネットワーク(VLAN)を使用すると、ローカルエリアネットワーク(LAN)を論理的に異なるブロードキャストドメインにセグメント化できます。機密データがネットワーク上でブロードキャストされるシナリオでは、特定のVLANにブロードキャストを指定することでセキュリティを強化するためにVLANを作成できます。VLANに属するユーザだけが、そのVLANのデータにアクセスして操作できます。また、VLANを使用して、ブロードキャストやマルチキャストを不要な宛先に送信する必要性を減らし、パフォーマンスを向上させることもできます。
複数のプロトコルが実行されているネットワークデバイスを共通のVLANにグループ化することはできません。特定のプロトコルに参加しているデバイスを含めるために、異なるVLAN間でトラフィックを渡すために非標準デバイスが使用されます。このため、ユーザはVLANの多くの機能を利用できません。
VLANグループは、レイヤ2ネットワーク上のトラフィックのロードバランシングに使用されます。パケットは異なる分類に基づいて分散され、VLANに割り当てられます。さまざまな分類が存在し、複数の分類方式が定義されている場合、パケットは次の順序でVLANに割り当てられます。
- Tag:タグからVLAN番号が認識されます。
- MACベースのVLAN:VLANは、入力インターフェイスの送信元Media Access Control(MAC)からVLANへのマッピングから認識されます。この機能を構成する方法については、ここをクリックして手順を参照してください。
- サブネットベースVLAN:VLANは、入力インターフェイスの送信元IPサブネットとVLANのマッピングから認識されます。
- プロトコルベースのVLAN:VLANは、入力インターフェイスのイーサネットタイプのProtocol-to-VLANマッピングから認識されます。この機能を構成する方法については、ここをクリックして手順を参照してください。
- PVID:ポートのデフォルトVLAN IDからVLANが認識されます。
サブネットベースのグループのVLAN分類では、パケットをサブネットに従って分類できます。その後、インターフェイスごとにサブネットとVLANのマッピングを定義できます。複数のサブネットベースのVLANグループを定義することもできます。各グループには、異なるサブネットが含まれています。これらのグループは、特定のポートまたはLAGに割り当てることができます。サブネットベースのVLANグループには、同じポート上のサブネットの重複する範囲を含めることはできません。
この記事では、Cisco Business 350シリーズスイッチにサブネットベースのグループを設定する方法について説明します。
該当するデバイス |ソフトウェアバージョン
スイッチでのサブネットベースのVLANグループの設定
サブネットベースのVLANグループの追加
手順 1
Webベースのユーティリティにログインし、[表示モード]ドロップダウンリストから[詳細]を選択します。
手順 2
[VLAN Management]をクリックします。
手順 3
[VLAN Groups] > [Subnet-Based Groups]をクリックします。
手順 4
[Subnet-Based Group Table]で、[Add]アイコンをクリックします。
手順 5
- [IP Address]フィールドに、VLANグループに割り当てるIPアドレスを入力します。このサブグループの基準になります。
- [プレフィックスの最大]フィールドに、サブネットを定義するプレフィックスマスクを入力します。
- [グループID]フィールドに、サブネットベースのVLANグループを識別するIDを入力します。サブネットベースのVLANグループを識別するために使用されます。
手順 6
[適用]をクリックし、[閉じる]をクリックします。
ステップ7
[保存]をクリックして、スタートアップコンフィギュレーションファイルに設定を保存します。
これで、スイッチにサブネットベースのVLANグループが追加されました。
サブネットベースのVLANグループの削除
手順 1
[VLAN Groups] > [Subnet-Based Groups]を選択します。
手順 2
サブネットベースのグループテーブルで、削除するサブネットベースのVLANグループの横にあるチェックボックスをオンにします。ごみ箱アイコンをクリックして、サブネットベースのVLANグループを削除します。
手順 3
保存アイコンをクリックして、スタートアップコンフィギュレーションファイルに設定を保存します。
これで、サブネットベースのVLANグループがスイッチから削除されたはずです。
スイッチにサブネットベースのVLANグループを設定する必要があります。サブネットベースのグループをVLANにマッピングする方法については、ここをクリックして手順を確認してください。
ご使用のCiscoビジネススイッチのVLANの詳細を探していますか?詳細については、次のリンクを参照してください。
記事スケルトン(コンテンツあり)
目的
サブネットベースのグループVLAN分類では、サブネットに基づいてパケットを分類できます。その後、インターフェイスごとにサブネットとVLANのマッピングを定義できます。複数のサブネットベースのVLANグループを定義することもできます。各グループには、異なるサブネットが含まれています。これらのグループは、特定のポートまたはLAGに割り当てることができます。サブネットベースのVLANグループには、同じポート上のサブネットの重複する範囲を含めることはできません。
IPサブネットに基づいてパケットを転送するには、IPサブネットのグループを設定し、これらのグループをVLANにマッピングする必要があります。この記事では、CLIを使用してスイッチにサブネットベースのグループを設定する方法について説明します。
該当するデバイス |ソフトウェアバージョン
概要
仮想ローカルエリアネットワーク(VLAN)を使用すると、ローカルエリアネットワーク(LAN)を論理的に異なるブロードキャストドメインにセグメント化できます。機密データがネットワーク上でブロードキャストされるシナリオでは、特定のVLANにブロードキャストを指定することでセキュリティを強化するためにVLANを作成できます。VLANに属するユーザだけが、そのVLANのデータにアクセスして操作できます。また、VLANを使用して、ブロードキャストやマルチキャストを不要な宛先に送信する必要性を減らし、パフォーマンスを向上させることもできます。
Webベースのユーティリティを使用してスイッチのVLAN設定を構成する方法については、ここをクリックしてください。CLIベースの手順については、ここをクリックします。
複数のプロトコルが実行されているネットワークデバイスを共通のVLANにグループ化することはできません。特定のプロトコルに参加しているデバイスを含めるために、異なるVLAN間でトラフィックを渡すために非標準デバイスが使用されます。このため、VLANの多くの機能を利用することはできません。
VLANグループは、レイヤ2ネットワーク上のトラフィックのロードバランシングに使用されます。パケットは異なる分類に基づいて分散され、VLANに割り当てられます。さまざまな分類が存在し、複数の分類方式が定義されている場合、パケットは次の順序でVLANに割り当てられます。
- Tag:タグからVLAN番号が認識されます。
- MACベースのVLAN:VLANは、入力インターフェイスの送信元Media Access Control(MAC)からVLANへのマッピングから認識されます。
- サブネットベースのVLAN:VLANは、入力インターフェイスの送信元サブネットとVLANのマッピングから認識されます。
- プロトコルベースのVLAN:VLANは、入力インターフェイスのイーサネットタイプのProtocol-to-VLANマッピングから認識されます。
- PVID:ポートのデフォルトVLAN IDからVLANが認識されます。
スイッチにサブネットベースのVLANグループを設定するには、次のガイドラインに従います。
1. VLANを作成します。Webベースのユーティリティを使用してスイッチのVLAN設定を構成する方法については、ここをクリックしてください。CLIベースの手順については、ここをクリックします。
2. VLANへのインターフェイスの設定スイッチのWebベースのユーティリティを使用してインターフェイスをVLANに割り当てる方法については、ここをクリックしてください。CLIベースの手順については、ここをクリックします。
インターフェイスがVLANに属していない場合、VLANへのサブネットベースのグループの設定は有効になりません。
3.サブネットベースのVLANグループを設定する。スイッチのWebベースのユーティリティを使用してサブネットベースのVLANグループを設定する方法については、ここをクリックしてください。
4.(オプション)次の項目も設定できます。
MACベースのVLANグループの概要:スイッチのWebベースのユーティリティを使用してサブネットベースのVLANグループを設定する方法については、ここをクリックしてください。CLIベースの手順については、ここをクリックします。
プロトコルベースのVLANグループの概要:スイッチのWebベースユーティリティを使用してプロトコルベースのVLANグループを設定する方法については、ここをクリックしてください。CLIベースの手順については、ここをクリックします。
CLIを使用したスイッチでのサブネットベースのVLANグループの設定
サブネットベースのVLANグループの作成
手順 1
スイッチコンソールにログインします。デフォルトのユーザ名とパスワードはcisco/ciscoです。新しいユーザ名またはパスワードを設定している場合は、クレデンシャルを入力します。
コマンドは、スイッチの正確なモデルによって異なる場合があります。
手順 2
スイッチの特権EXECモードから、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure
手順 3
グローバルコンフィギュレーションモードで、次のように入力して、サブネットベースの分類ルールを設定します。
CBS350(config)#vlan database
手順 4
IPサブネットをIPサブネットのグループにマッピングするには、次のように入力します。
CBS350(config)#map subnet [ip-address] [prefix-mask] subnets-group [group-id]
次のオプションがあります。
- ip-address:VLANグループにマッピングするサブネットのIPアドレスを指定します。このIPアドレスを他のVLANグループに割り当てることはできません。
- prefix-mask:IPアドレスのプレフィクスを指定します。IPアドレスのセクション(左から右)だけが見られ、グループに配置されます。長さの数値が低いほど、参照されるビット数は少なくなります。つまり、多数のIPアドレスを一度にVLANグループに割り当てることができます。
- group-id:作成するグループ番号を指定します。グループIDの範囲は1から2147483647までです。
この例では、サブネットベースのVLANグループ10と20が作成されます。グループ10は最初の24ビットまたは3オクテット(192.168.100.x)をフィルタリングし、グループ20はIPアドレスの最初の16ビットまたは2オクテット(192.168.x.x)をフィルタリングします。
手順 5
インターフェイスコンフィギュレーションコンテキストを終了するには、次のように入力します。
CBS350(config)#exit
これで、CLIを使用してスイッチにサブネットベースのVLANグループを設定できました。
サブネットベースのVLANグループをVLANにマッピングする
手順 1
グローバルコンフィギュレーションモードで、次のように入力してインターフェイスコンフィギュレーションコンテキストを入力します。
CBS350#[interface-id | range interface-range]
次のオプションがあります。
- interface-id:設定するインターフェイスIDを指定します。
- range interface-range:VLANのリストを指定します。カンマとスペースを使用せずに、連続しないVLANを区切ります。ハイフン(-)を使用して、VLANの範囲を指定します。
手順 2
インターフェイス設定コンテキストでswitchport modeコマンドを使用して、VLANメンバーシップモードを設定します。
CBS350(config-if)#switchport mode general
- general:インターフェイスは、IEEE 802.1q仕様で定義されているすべての機能をサポートできます。インターフェイスは、1つ以上のVLANのタグ付きメンバーまたはタグなしのメンバーにすることができます。
手順 3(オプション)
ポートをデフォルトVLANに戻すには、次のように入力します。
CBS350(config-if)#no switchport mode general
手順 4
サブネットベースの分類ルールを設定するには、次のように入力します。
CBS350(config-if)#switchport general map subnets-group [group] vlan [vlan-id]
次のオプションがあります。
- group:ポートを通過するトラフィックをフィルタリングするサブネットベースのグループIDを指定します。範囲は1 ~ 2147483647です。
- vlan-id:VLANグループからのトラフィックの転送先となるVLAN IDを指定します。範囲は1 ~ 4094です。
この例では、インターフェイスはVLAN 30にマッピングされたサブネットベースのグループ10に割り当てられています。
手順 5
インターフェイスコンフィギュレーションコンテキストを終了するには、次のように入力します。
CBS350(config-if)#exit
ステップ 6(オプション)
ポートまたはポート範囲から分類ルールを削除するには、次のように入力します。
CBS350(config-if)#no switchport general map subnets-groups group
ステップ 7(オプション)
手順1 ~ 6を繰り返して、より一般的なポートを設定し、対応するサブネットベースのVLANグループに割り当てます。
この例では、ge1/0/20 ~ 25の範囲のインターフェイスがサブネットベースのグループ20に割り当てられ、VLAN 30に割り当てられます。
手順 8
endコマンドを入力し、特権EXECモードに戻ります。
CBS350(config-if-range)#end
これで、CLIを使用して、サブネットベースのVLANグループをスイッチ上のVLANにマッピングできました。
Show Subnet-based VLAN Groups
手順 1
定義されたサブネットベースの分類ルールに属するサブネットアドレスを表示するには、特権EXECモードで次のように入力します。
CBS350#show vlan subnets-groups
手順 2(オプション)
VLAN上の特定のポートの分類ルールを表示するには、次のように入力します。
CBS350#show interfaces switchport [interface-id]
- interface-id:インターフェイスIDを指定します。
各ポートモードには、独自のプライベート設定があります。
show interfaces switchportコマンドを使用すると、これらすべての設定が表示されますが、[管理モード(Administrative Mode)]領域に表示される現在のポートモードに対応するポートモード設定だけがアクティブになります。
この例では、インターフェイスge1/0/20の管理ステータスと動作ステータスが表示されます。分類ルールの表は、インターフェイスがMACベースのVLANグループ2およびサブネットベースのVLANグループ20にマッピングされ、トラフィックがVLAN 30に転送されることを示しています。
手順 3(オプション)
スイッチの特権EXECモードで、次のように入力して、設定をスタートアップコンフィギュレーションファイルに保存します。
CBS350#copy running-config startup-config
手順 4
Overwrite file [startup-config]..プロンプトが表示されば、キーボードの[Yes]にYを押すか、[No]にNを押します。
これで、スイッチのサブネットベースのVLANグループとポート設定が表示されるはずです。
重要:スイッチのVLANグループの設定に進むには、上記のガイドラインに従ってください。
ご使用のCiscoビジネススイッチのVLANの詳細を探していますか?詳細については、次のリンクを参照してください。
フィードバック