CLI を使用してスイッチにプライベート VLAN メンバーシップを設定する
はじめに
仮想ローカルエリアネットワーク(VLAN)を使用すると、ローカルエリアネットワーク(LAN)を複数のブロードキャストドメインに論理的に分割できます。機密データがネットワーク上でブロードキャストされる可能性があるシナリオでは、特定の VLAN にブロードキャストを指定することで、セキュリティを強化するための VLAN を作成できます。VLAN に属するユーザーのみが、その VLAN 上のデータにアクセスして操作できます。VLAN を使用すると、ブロードキャストやマルチキャストを不要な宛先に送信する必要性を減らし、パフォーマンスを向上させることもできます。
注:Webベースのユーティリティを使用してスイッチでVLAN設定を行う方法については、ここをクリックしてください。CLI を使用した手順についてはこちらをクリックしてください。
プライベートVLANドメインは、VLANの1つ以上のペアで構成されます。プライマリVLANはドメインを構成し、各VLANペアはサブドメインを構成します。ペアのVLANはプライマリVLANとセカンダリVLANと呼ばれます。プライベートVLAN内のすべてのVLANペアは、同じプライマリVLANを持ちます。セカンダリVLAN IDは、あるサブドメインを別のサブドメインと区別するものです。
プライベートVLANドメインには、プライマリVLANが1つしかありません。プライベートVLANドメインの各ポートはプライマリVLANのメンバーであり、プライマリVLANはプライベートVLANドメイン全体です。
セカンダリVLANは、同じプライベートVLANドメイン内のポート間を隔離します。次の2つのタイプは、プライマリVLAN内のセカンダリVLANです。
- 隔離VLAN:隔離VLAN内のポートは、レイヤ2レベルで相互に直接通信できません。
- コミュニティVLAN:コミュニティVLAN内のポートは相互に通信できますが、他のコミュニティVLAN内のポート、またはレイヤ2レベルの隔離VLAN内のポートとは通信できません。
プライベートVLANドメイン内には、3つの異なるポート指定があります。各ポート指定には、1つのエンドポイントが同じプライベートVLANドメイン内の他の接続されたエンドポイントと通信する機能を規定する、固有のルールセットがあります。次に、3つのポート指定を示します。
- 混合ポート:混合ポートは、同じプライベートVLANのすべてのポートと通信できます。これらのポートは、サーバとルータを接続します。
- コミュニティ(ホスト):コミュニティポートは、同じレイヤ2ドメインのメンバであるポートのグループを定義できます。これらはレイヤ2で他のコミュニティや隔離ポートから隔離されています。これらのポートはホストポートを接続します。
- 隔離ポート(ホスト):隔離ポートは、同じプライベートVLAN内の他の隔離ポートおよびコミュニティポートからレイヤ2で完全に隔離されています。これらのポートはホストポートを接続します。
ホストトラフィックは隔離VLANとコミュニティVLANで送信され、サーバとルータのトラフィックはプライマリVLANで送信されます。
目的
プライベートVLANは、ポート間のレイヤ2分離を提供します。つまり、ブリッジトラフィックのレベルでは、IPルーティングとは異なり、同じブロードキャストドメインを共有するポートは互いに通信できません。プライベートVLAN内のポートは、レイヤ2ネットワーク内の任意の場所に配置できます。つまり、同じスイッチ上に配置する必要はありません。プライベートVLANは、タグ付けまたはプライオリティタグ付けされていないトラフィックを受信し、タグ付けされていないトラフィックを送信するように設計されています。
この記事では、スイッチでプライベート VLAN を設定する方法について説明します。
注:スイッチのWebベースのユーティリティを使用してプライベートVLANを設定するには、ここをクリックしてください。
適用可能なデバイス
- Sx300シリーズ
- Sx350 シリーズ
- SG350X シリーズ
- Sx500 シリーズ
- Sx550X シリーズ
[Software Version]
- 1.4.7.06 — Sx300、Sx500
- 2.2.8.04 — Sx350、SG350X、Sx550X
CLIを使用したスイッチでのプライベートVLANの設定
プライベートプライマリVLANの作成
ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザー名とパスワードは、cisco/cisco です。新しいユーザー名またはパスワードを設定している場合は、代わりにそのログイン情報を入力します。
注:コマンドは、スイッチのモデルによって異なる場合があります。この例では、Telnet を介して SG350X スイッチにアクセスします。
ステップ 2:スイッチの特権EXECモードから、次のように入力してグローバルコンフィギュレーションモードに入ります。
ステップ 3:グローバルコンフィギュレーションモードで、次のように入力してインターフェイスコンフィギュレーションコンテキストを入力します。
- vlan-id:設定するVLAN IDを指定します。
注:この例では、VLAN 2が使用されています。
ステップ 4:インターフェイスコンフィギュレーションコンテキストで、次のように入力して、VLANインターフェイスをプライマリプライベートVLANとして設定します。
注:デフォルトでは、スイッチにプライベートVLANは設定されていません。
重要:プライベートVLANの設定では、次のガイドラインに従ってください。
- VLANのメンバであるプライベートVLANポートがある場合、VLANタイプは変更できません。
- VLANタイプは、他のプライベートVLANに関連付けられている場合は変更できません。
- VLANを削除しても、VLANのプロパティとしてVLANタイプは保持されません。
ステップ5:(オプション)VLANを通常のVLAN設定に戻すには、次のように入力します。
ステップ6:(オプション)スイッチの特権EXECモードに戻るには、次のように入力します。
ステップ 7: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。
ステップ 8: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。
これで、CLIを使用してスイッチにプライマリVLANが正常に作成されました。
セカンダリVLANの作成
ステップ 1:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
ステップ 2:グローバルコンフィギュレーションモードで、次のように入力してインターフェイスコンフィギュレーションコンテキストを入力します。
注:この例では、VLAN 10が使用されています。
ステップ 3:インターフェイスコンフィギュレーションコンテキストで、次のように入力してVLANインターフェイスをセカンダリプライベートVLANとして設定します。
次のオプションがあります。
- community:VLANをコミュニティVLANとして指定します。
- isolated:VLANを隔離VLANとして指定します。
注:この例では、VLAN 10は隔離VLANとして設定されています。
ステップ4:(オプション)ステップ2と3を繰り返し、プライベートVLANに追加のセカンダリVLANを設定します。
注:この例では、VLAN 20とVLAN 30がコミュニティVLANとして設定されています。
ステップ5:(オプション)VLANを通常のVLAN設定に戻すには、次のように入力します。
ステップ6:(オプション)スイッチの特権EXECモードに戻るには、次のように入力します。
これで、CLIを使用してスイッチにセカンダリVLANが正常に作成されました。
セカンダリVLANとプライマリプライベートVLANの関連付け
ステップ 1:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
ステップ 2:次のように入力して、プライマリVLANのVLANインターフェイスコンフィギュレーションコンテキストを入力します。
注:この例では、プライマリVLANはVLAN 2です。
ステップ 3:プライマリVLANとセカンダリVLAN間の関連付けを設定するには、次のように入力します。
次のオプションがあります。
- add secondary-vlan-list:プライマリVLANに追加するセカンダリタイプのVLAN IDのリスト。連続していない VLAN ID はカンマ(スペースなし)で区切ります。ID の範囲を指定するには、ハイフンを使用します。これはデフォルトのアクションです。
- remove secondary-vlan-list:プライマリVLANから関連付けを削除するセカンダリのタイプのVLAN IDのリスト。連続していない VLAN ID はカンマ(スペースなし)で区切ります。ID の範囲を指定するには、ハイフンを使用します。
注:この例では、セカンダリVLAN 10、20、および30がプライマリVLANに追加されています。
ステップ 4:スイッチの特権EXECモードに戻るには、次のように入力します。
これで、CLIを使用して、セカンダリVLANをスイッチのプライマリプライベートVLANに正しく関連付けることができました。
プライマリおよびセカンダリプライベートVLANへのポートの設定
ステップ 1:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
ステップ 2:グローバルコンフィギュレーションモードで、次のように入力してインターフェイスコンフィギュレーションコンテキストを入力します。
次のオプションがあります。
- interface-id:設定するインターフェイスIDを指定します。
- range vlan vlan-range:VLANのリストを指定します。連続していない VLAN はカンマ(スペースなし)で区切ります。VLAN の範囲を指定するには、ハイフンを使用します。
注:この例では、インターフェイスge1/0/10が入力されています。
ステップ 3:インターフェイスコンフィギュレーションコンテキストで、switchport modeコマンドを使用して、VLANメンバーシップモードを設定します。
- promiscuous:プライベートVLAN混合ポートを指定します。このオプションを使用する場合は、ステップ5に進んでください。
- host:プライベートVLANホストポートを指定します。このオプションを使用する場合は、ステップ6に進んでください。
注:この例では、ポートは混合モードとして定義されています。
ステップ4:(オプション)ポートまたはポートの範囲をデフォルト設定に戻すには、次のように入力します。
ステップ 5:混合ポートとプライベートVLANのプライマリおよびセカンダリVLANの関連付けを設定するには、次のように入力します。
次のオプションがあります。
- primary-vlan-id:プライマリVLANのVLAN IDを指定します。
- secondary-vlan-id:セカンダリVLANのVLAN IDを指定します。
注:この例では、混合インターフェイスはプライマリVLAN 2にマッピングされ、セカンダリVLAN 30に追加されます。
手順 6:ホストポートとプライベートVLANのプライマリおよびセカンダリVLANの関連付けを設定するには、次のように入力します。
次のオプションがあります。
- primary-vlan-id:プライマリVLANのVLAN IDを指定します。
- secondary-vlan-id:セカンダリVLANのVLAN IDを指定します。
注:この例では、ホストインターフェイスの範囲40 ~ 45はプライマリVLAN 2にマッピングされ、セカンダリVLAN 20に追加されます。
手順 7:インターフェイスコンフィギュレーションコンテキストを終了するには、次のように入力します。
ステップ8:(オプション)さらに混合ポートとホストポートを設定し、対応するプライマリおよびセカンダリプライベートVLANに割り当てるには、ステップ2 ~ 7を繰り返します。
注:この例では、ホストインターフェイスの範囲36 ~ 39はプライマリVLAN 2にマッピングされ、セカンダリVLAN 10に追加されます。
ステップ 9:endコマンドを入力して、特権EXECモードに戻ります。
ステップ10:(オプション)スイッチに設定されているプライベートVLANを確認するには、次のように入力します。
ステップ 11: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。
ステップ 12: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。
これで、CLIを使用して、スイッチ上のプライマリおよびセカンダリプライベートVLANに対するホストポートと混合ポートの関連付けが正常に設定されました。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
13-Dec-2018 |
初版 |
フィードバック