プライベート VLAN について
プライベート VLAN(PVLAN)では VLAN のイーサネット ブロードキャスト ドメインがサブドメインに分割されるため、スイッチ上のポートを互いに分離することができます。サブドメインは、1 つのプライマリ VLAN と 1 つ以上のセカンダリ VLAN とで構成されます(次の図を参照)。1 つの PVLAN に含まれる VLAN はすべて、同じプライマリ VLAN を共有します。セカンダリ VLAN ID は、各サブドメインの区別に使用されます。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかの場合があります。独立 VLAN 上のホストは、そのプライマリ VLAN 上でアソシエートされている無差別ポートのみと通信できます。コミュニティ VLAN 上のホストは、それぞれのホスト間およびアソシエートされている無差別ポートと通信できますが、他のコミュニティ VLAN にあるポートとは通信できません。
 Note |
VLAN をプライマリまたはセカンダリの PVLAN に変換する場合は、あらかじめその VLAN を作成しておく必要があります。 |
プライベート VLAN のプライマリ VLAN とセカンダリ VLAN
プライベート VLAN ドメインには、プライマリ VLAN が 1 つのみ含まれています。プライベート VLAN ドメインの各ポートは、プライマリ VLAN のメンバーです。プライマリ VLAN は、プライベート VLAN ドメイン全体です。
セカンダリ VLAN は、同じプライベート VLAN ドメイン内のポート間を分離します。プライマリ VLAN 内のセカンダリ VLAN には、次の 2 つのタイプがあります。
-
独立 VLAN:独立 VLAN 内のポートは、レイヤ 2 レベルで直接かつ相互には通信できません。
-
コミュニティ VLAN:コミュニティ VLAN 内のポートは相互通信できますが、他のコミュニティ VLAN またはレイヤ 2 レベルの独立 VLAN にあるポートとは通信できません。
プライベート VLAN ポート
PVLAN ポートには、次の 3 種類があります。
-
無差別ポート:無差別ポートは、プライマリ VLAN に属します。無差別ポートは、無差別ポートとアソシエートされているセカンダリ VLAN に属し、プライマリ VLAN とアソシエートされている、すべてのインターフェイスと通信でき、この通信可能なインターフェイスには、コミュニティ ポートと独立ホスト ポートも含まれます。プライマリ VLAN には、複数の無差別ポートを含めることができます。各無差別ポートには、複数のセカンダリ VLAN を関連付けることができるほか、セカンダリ VLAN をまったく関連付けないことも可能です。無差別ポートとセカンダリ VLAN が同じプライマリ VLAN にある限り、セカンダリ VLAN は、複数の無差別ポートとアソシエートすることができます。ロード バランシングまたは冗長性を持たせる目的で、これを行う必要が生じる場合があります。無差別ポートとアソシエートされていないセカンダリ VLAN も、含めることができます。
無差別ポートはアクセス ポートとして構成できます。
-
独立ポート:独立ポートは、セカンダリ独立 VLAN に属するホスト ポートです。このポートは、同じ PVLAN ドメイン内の他のポートから完全に独立しています。ただし、関連付けられている無差別ポートと通信することはできます。PVLAN は、無差別ポートからのトラフィックを除き、独立ポート宛のトラフィックをすべてブロックします。独立ポートから受信されたトラフィックは、無差別ポートにだけ転送されます。指定した独立 VLAN には、複数の独立ポートを含めることができます。各ポートは、独立 VLAN にある他のすべてのポートから、完全に隔離されています。
独立ポートはアクセス ポートとして構成できます。
-
コミュニティ ポート:コミュニティ ポートは、1 つのコミュニティ セカンダリ VLAN に属するホスト ポートです。コミュニティ ポートは、同じコミュニティ VLAN にある他のポートおよびアソシエートされている無差別ポートと通信します。これらのインターフェイスは、他のコミュニティにあるすべてのインターフェイス、および PVLAN ドメイン内のすべての独立ポートから分離されています。
コミュニティ ポートは、アクセス ポートとして設定する必要があります。
プライマリ、独立、およびコミュニティ プライベート VLAN
プライマリ VLAN および 2 つのタイプのセカンダリ VLAN(独立 VLAN とコミュニティ VLAN)には、次のような特徴があります。
-
プライマリ VLAN:独立ポートおよびコミュニティ ポートであるホスト ポート、および他の無差別ポートに、無差別ポートからトラフィックを伝送します。
-
独立 VLAN:ホストから無差別ポートにアップストリームに単方向トラフィックを伝送するセカンダリ VLAN です。1 つの PVLAN ドメイン内で設定できる独立 VLAN は 1 つだけです。独立 VLAN では、複数の独立ポートを使用できます。各独立ポートからのトラフィックも、完全に隔離された状態が維持されます。
-
コミュニティ VLAN:コミュニティ VLAN は、コミュニティ ポートから、無差別ポートおよび同じコミュニティにある他のホスト ポートへ、アップストリーム トラフィックを送信するセカンダリ VLAN です。1 つの PVLAN ドメインには、複数のコミュニティ VLAN を設定できます。1 つのコミュニティ内のポートは相互に通信できますが、これらのポートは、他のコミュニティにあるポートとも、プライベート VLAN にある独立 VLAN とも、通信できません。
次の図は、PVLAN 内でのトラフィック フローを VLAN およびポートのタイプ別に示したものです。
Note |
PVLAN のトラフィック フローは、ホスト ポートから無差別ポートへの単方向です。プライマリ VLAN で受信したトラフィックによって隔離は行われず、転送は通常の VLAN として実行されます。 |
無差別アクセス ポートでは、ただ 1 つのプライマリ VLAN と複数のセカンダリ VLAN(コミュニティ VLAN および独立 VLAN)を処理できます。無差別ポートを使用すると、さまざまなデバイスを PVLAN への「アクセス ポイント」として接続できます。たとえば、すべての PVLAN サーバを管理ワークステーションから監視したりバックアップしたりするのに、無差別ポートを使用できます。
スイッチング環境では、個々のエンド ステーションに、または共通グループのエンド ステーションに、個別の PVLAN や、関連する IP サブネットを割り当てることができます。エンド ステーションはデフォルト ゲートウェイとの通信を行うだけで、プライベート VLAN の外部と通信することができます。
セカンダリ VLAN とプライマリ プライベート VLAN の関連付け
セカンダリ VLAN をプライマリ VLAN とアソシエートするときには、次の事項に注意してください。
-
secondary-vlan-list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目は、単一のセカンダリ VLAN ID、またはセカンダリ VLAN ID をハイフンでつないだ範囲にできます。
-
secondary-vlan-list パラメータには、コミュニティ VALN ID を複数指定できるほか、独立 VLAN ID も 1 つ指定することができます。
-
セカンダリ VLAN をプライマリ VLAN に関連付けるには、secondary-vlan-list パラメータを入力するか、または secondary-vlan-list パラメータを指定して add キーワードを使用します。
-
セカンダリ VLAN とプライマリ VLAN 間の関連付けを消去するには、 secondary-vlan-list パラメータを指定して remove キーワードを使用します。
-
セカンダリ VLAN とプライマリ VLAN とのアソシエーションを変更するには、既存のアソシエーションを削除し、次に必要なアソシエーションを追加します。
プライマリ VLAN とセカンダリ VLAN のいずれかを削除した場合、関連付けが設定されているポート上では、その VLAN は非アクティブになります。no private-vlan コマンドを入力すると、VLAN は通常の VLAN モードに戻ります。その VLAN におけるプライマリとセカンダリの関連付けはすべて一時停止されますが、インターフェイスは PVLAN モードのままです。指定した VLAN を PVLAN モードに再変換すると、関連付けも元の状態に戻ります。
プライマリ VLAN に対して no vlan コマンドを入力すると、その VLAN に関連付けされたすべての PVLAN は失われます。ただし、セカンダリ VLAN に対して no vlan コマンドを入力すると、その VLAN と PVLAN との関連付けは一時停止します。この VLAN を再作成して以前のセカンダリ VLAN として設定すると、関連付けは復活します。
Before you begin
PVLAN 機能がイネーブルであることを確認します。
SUMMARY STEPS
- switch# configure terminal
- switch(config)# vlan primary-vlan-id
- switch(config-vlan)# private-vlan association {[add] secondary-vlan-list | remove secondary-vlan-list}
- (Optional) switch(config-vlan)# no private-vlan association
DETAILED STEPS
| Command or Action | Purpose | |
|---|---|---|
| Step 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
| Step 2 |
switch(config)# vlan primary-vlan-id |
PVLAN の設定作業を行うプライマリ VLAN の番号を入力します。 |
| Step 3 |
switch(config-vlan)# private-vlan association {[add] secondary-vlan-list | remove secondary-vlan-list} |
セカンダリ VLAN をプライマリ VLAN に関連付けます。セカンダリ VLAN とプライマリ VLAN 間の関連付けを消去するには、 secondary-vlan-list パラメータを指定して remove キーワードを使用します。 |
| Step 4 |
(Optional) switch(config-vlan)# no private-vlan association |
(Optional)
プライマリ VLAN からすべての関連付けを削除し、通常の VLAN モードに戻します。 |
Example
次の例は、コミュニティ VLAN 100 ~ 110 および独立 VLAN 200 をプライマリ VLAN 5 に関連付ける方法を示したものです。
switch# configure terminalswitch(config)# vlan 5switch(config-vlan)# private-vlan association 100-110, 200 プライベート VLAN 内のブロードキャスト トラフィック
プライベート VLAN にあるポートからのブロードキャスト トラフィックは、次のように流れます。
-
ブロードキャスト トラフィックは、プライマリ VLAN で、無差別ポートからすべてのポート(コミュニティ VLAN と独立 VLAN にあるすべてのポートも含む)に流れます。このブロードキャスト トラフィックは、プライベート VLAN パラメータで設定されていないポートを含め、プライマリ VLAN 内のすべてのポートに配信されます。
-
独立ポートからのブロードキャスト トラフィックは、独立ポートにアソシエートされているプライマリ VLAN にある無差別ポートにのみ配信されます。
-
コミュニティ ポートからのブロードキャスト トラフィックは、そのポートのコミュニティ内のすべてのポート、およびそのコミュニティ ポートに関連付けられているすべての無差別ポートに配信されます。このブロードキャスト パケットは、プライマリ VLAN 内の他のコミュニティまたは独立ポートには配信されません。
プライベート VLAN ポートの分離
PVLAN を使用すると、次のように、エンド ステーションへのアクセスを制御できます。
-
通信を防止するには、エンド ステーションに接続されているインターフェイスのうち、選択したインターフェイスを、独立ポートとして設定します。たとえば、エンド ステーションがサーバの場合、この設定により、サーバ間の通信が防止されます。
-
デフォルト ゲートウェイおよび選択したエンド ステーション(バックアップ サーバーなど)に接続されているインターフェイスを無差別ポートとして設定し、すべてのエンド ステーションがデフォルト ゲートウェイにアクセスできるようにします。
フィードバック