- はじめに
- 製品概要
- コマンドライン インターフェイス
- スイッチの初期設定
- スイッチの管理
- Virtual Switching System の設定
- Cisco IOS インサービス ソフトウェア アップグレード プロセスの設定
- Cisco IOS XE インサービス ソフトウェア アップグレード プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- Supervisor Engine 6-E および Supervisor Engine 6L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Supervisor Engine 7-E および Supervisor Engine 7L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Cisco NSF/SSO スーパーバイザ エンジンの冗長構成の設定
- 環境モニタリングおよび電源管理
- Power over Ethernet(PoE)の設定
- Cisco Network Assistant による Catalyst 4500 シリーズ スイッチの設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイスの設定
- レイヤ 2 イーサネット インターフェイスの設定
- SmartPort マクロの設定
- Cisco IOS Auto SmartPort マクロの設定
- STP および MST の設定
- Flex Link および MAC アドレス テーブル移動更新機能の設定
- Resilient Ethernet Protocol の設定
- オプションの STP 機能の設定
- EtherChannel およびリンク ステート トラッキングの設定
- IGMP スヌーピングとフィルタリングの設定
- IPv6 MLD スヌーピングの設定
- 802.1Q トンネリング、VLAN マッピング、およびレイヤ 2 プロトコル トンネリングの設定
- CDP の設定
- LLDP、LLDP-MED、およびロケーション サービスの設定
- UDLD の設定
- 単一方向イーサネットの設定
- レイヤ 3 インターフェイスの設定
- シスコ エクスプレス フォワーディングの設定
- uRPF の設定
- IP マルチキャストの設定
- ANCP クライアントの設定
- 双方向フォワーディング検出の設定
- ポリシーベース ルーティングの設定
- VRF-Lite の設定
- Quality of Service の設定
- 音声インターフェイスの設定
- プライベート VLAN の設定
- MACsec の暗号化設定
- 802.1X ポートベース認証の設定
- PPPoE 中継エージェントの設定
- Web ベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングおよびレイヤ 2 制御パケット QoS の設定
- ダイナミック ARP インスペクションの設定
- DHCP スヌーピング、IP ソース ガード、およびスタティック ホストの IPSG の設定
- ACL によるネットワーク セキュリティの設定
- IPv6 のサポート
- ポート ユニキャストおよびマルチキャスト フラッディング ブロック
- ストーム制御の設定
- SPAN および RSPAN の設定
- Wireshark の設定
- 拡張オブジェクト トラッキングの設定
- システム メッセージ ロギングの設定
- SNMP の設定
- NetFlow の設定
- NetFlow-lite の設定
- Flexible NetFlow の設定
- イーサネット OAM と CFM の設定
- Y.1731 の設定(AIS および RDI)
- Call Home の設定
- Cisco IOS IP SLA 動作の設定
- RMON の設定
- 診断の実行
- WCCP バージョン 2 サービスの設定
- MIB サポートの設定
- ROM モニタ
- 略語
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース IOS XE 3.4.0SG および IOS 15.1(2)SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: プライベート VLAN の設定
- 基本的な PVLAN 設定の手順
- デフォルトのプライベート VLAN 設定
- PVLAN 設定時の注意事項および制約事項
- PVLAN としての VLAN の設定
- セカンダリ VLAN のプライマリ VLAN との関連付け
- レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定
- レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定
- レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定
- レイヤ 2 インターフェイスの無差別 PVLAN トランク ポートとしての設定
- セカンダリ VLAN 入力トラフィックのルーティングの許可
- PVLAN over EtherChannel の設定
プライベート VLAN の設定
この章では、Catalyst 4500 シリーズ スイッチ上の Private VLAN(PVLAN; プライベート VLAN)について説明します。また、注意事項、手順、設定例についても示します。
(注) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products//hw/switches/ps4324/index.html
『Catalyst 4500 Series Switch Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL で『Cisco IOS Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/ps6350/index.html
プライベート VLAN の概要
プライベート VLAN(PVLAN)機能を使用すると、サービス プロバイダーが VLAN を使用したときに直面する 2 つの問題に対処できます。
•
スイッチがサポートするアクティブ VLAN は最大で 4094 です。サービス プロバイダーが 1 カスタマーあたり 1 つの VLAN を割り当てる場合、サービス プロバイダーがサポートできるカスタマー数はこれに制限されます。
• IP ルーティングをイネーブルにするには、各 VLAN にサブネット アドレス空間またはアドレス ブロックを割り当てますが、これにより、未使用の IP アドレスが無駄になり、IP アドレスの管理に問題が起きます。
PVLAN を設定するには、次の各項の概念を理解しておく必要があります。
• 「ギガビット EtherChannel での PVLAN モード」
PVLAN の目的
PVLAN の使用により、サービス プロバイダーにはスケーラビリティと IP アドレス管理上の利点がもたらされ、顧客にはレイヤ 2 セキュリティが提供されます。PVLAN は、通常の VLAN ドメインをサブドメインに分割します。サブドメインは、 プライマリ VLAN と セカンダリ VLAN のペアで表されます。PVLAN には複数の VLAN ペアを設定可能で、各サブドメインにつき 1 ペアになります。PVLAN 内のすべての VLAN ペアは同じプライマリ VLAN を共有します。セカンダリ VLAN ID は、各サブドメインの区別に使用されます。図 43-1 を参照してください。
• 独立 VLAN:独立 VLAN 内のポートは、レイヤ 2 レベルでは相互に通信できません。
• コミュニティ VLAN:コミュニティ VLAN 内のポートは互いに通信できますが、レイヤ 2 レベルにある他のコミュニティ内のポートとは通信できません。
• 双方向コミュニティ VLAN:双方向 VLAN。双方向コミュニティ VLAN 内のポートは互いに通信できますが、レイヤ 2 レベルのコミュニティまたは双方向コミュニティとは通信できません。
(注) Cisco IOS Release 15.0(2) SG 以降では、双方向コミュニティ VLAN を使用して、双方向のコミュニティ単位またはカスタマー単位の両方で、VACL または QoS を適用できます。
無差別ポートが扱えるのは、1 つのプライマリ VLAN、1 つの独立 VLAN、および複数のコミュニティ(または双方向コミュニティ)VLAN だけです。レイヤ 3 ゲートウェイは通常無差別ポートを介してスイッチに接続されています。
スイッチ環境では、個々の PVLAN とアソシエートされている IP サブネットを、各エンド ステーションやエンド ステーションの共通グループに割り当てることができます。PVLAN の外部と通信するには、エンド ステーションでは、デフォルト ゲートウェイのみと通信する必要があります。
PVLAN を使用すると、次のようにエンド ステーションへのアクセスを制御できます。
• エンド ステーションに接続されているインターフェイスを選択して独立ポートとして設定し、レイヤ 2 の通信をしないようにします。たとえば、エンド ステーションがサーバの場合、この設定によりサーバ間のレイヤ 2 通信ができなくなります。
• デフォルト ゲートウェイおよび選択した端末(バックアップ サーバなど)に接続するインターフェイスを無差別ポートとして設定して、すべての端末をデフォルト ゲートウェイにアクセスさせることができます。
• VLAN および IP サブネット内のトラフィック量を減らせば、端末が同じ VLAN および IP サブネット内にある場合でも端末間のトラフィックを防止できます。
無差別ポートを使用すると、さまざまなデバイスを PVLAN への「アクセス ポイント」として接続できます。たとえば、無差別ポートを LocalDirector のサーバ ポートに接続して、サーバに独立 VLAN または多数のコミュニティ(または双方向コミュニティ)VLAN を接続できます。LocalDirector は、独立 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN 内にあるサーバのロード バランシングを行います。混合モード ポートを使用して、管理ワークステーションからすべての PVLAN サーバのモニタまたはバックアップを行うことも可能です。
PVLAN の用語
複数のスイッチにわたる PVLAN
標準トランク ポート
通常の VLAN と同様に、PVLAN を複数のスイッチにまたがるように設定できます。トランク ポートはプライマリ VLAN およびセカンダリ VLAN を隣接スイッチに伝送します。トランク ポートは PVLAN を他の VLAN として扱います。複数のスイッチにまたがる PVLAN の機能の場合、スイッチ A にある独立ポートからのトラフィックはスイッチ B に到達しません。図 43-2 を参照してください。
PVLAN 設定のセキュリティを確保して、PVLAN として設定された VLAN が他の目的に使用されないように、PVLAN ポートのないデバイスを含むすべての中間デバイスの PVLAN を設定します。
(注) トランク ポートは、通常の VLAN からのトラフィックだけでなく、プライマリ VLAN、独立 VLAN、コミュニティ VLAN または双方向コミュニティ VLAN からのトラフィックも伝送します。
(注) トランキングを実行するスイッチが両方とも PVLAN をサポートする場合は、標準トランク ポートを使用します。
VTP は PVLAN をサポートしないので、レイヤ 2 ネットワーク内のすべてのスイッチに PVLAN を手動で設定する必要があります。ネットワーク内の一部のスイッチにプライマリおよびセカンダリ VLAN の関連を設定しない場合、これらのスイッチのレイヤ 2 データベースは統合されません。これにより、これらのスイッチにプライベート VLAN トラフィックの不要なフラッディングが発生する可能性があります。
(注) PVLAN はサーバ モードで VTP v3 でサポートされます。
独立 PVLAN トランク ポート
PVLAN 独立ホスト ポートを使用して、通常の VLAN を複数伝送するか、複数の PVLAN ドメインで VLAN を複数伝送する場合、独立 PVLAN トランク ポートを使用します。これは、PVLAN をサポートしないダウンストリーム スイッチ(Catalyst 2950 など)を接続する場合に役立ちます。
この図では、PVLAN をサポートしないダウンストリーム スイッチの接続に Catalyst 4500 スイッチが使用されています。
ルータから host1 へのダウン ストリーム方向に送信されるトラフィックは、無差別ポートとプライマリ VLAN(VLAN 10)の Catalyst 4500 シリーズ スイッチによって受信されます。次に、パケットは独立 PVLAN トランクからスイッチングされます。これらは、プライマリ VLAN(VLAN 10)でタグ付けされず、独立 VLAN のタグ(VLAN 11)とともに送信されます。このように、パケットが非 PVLAN スイッチに着信すると、宛先ホストのアクセス ポートにブリッジングされます。
アップストリーム方向のトラフィックは、host1 から非 PVLAN スイッチへ送信され、VLAN 11 に着信します。その後、パケットは、トランク ポート経由でこの VLAN(VLAN 11)のタグにタグ付けされるスイッチに送信されます。VLAN 11 が独立 VLAN として設定され、トラフィックは独立ホスト ポートから送信されたかのように転送されます。
(注) このように独立トランクを使用すると、Catalyst 4500 シリーズ スイッチは独立トランクと直接接続しているホスト(host3 など)とを分離することができますが、非 PVLAN スイッチに接続しているホスト(host1 および host2 など)を分離することはできません。非 PVLAN スイッチは、Catalyst 2950 の保護ポートなどの機能を使用して、ホスト間の分離を提供する必要があります。
保護ポートの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_22_ea11x/configuration/guide/swtrafc.html#wp1158863
無差別 PVLAN トランク ポート
PVLAN 無差別トランクが使用されるのは、一般的には PVLAN 無差別ホスト ポートを使用する場合ですが、通常の VLAN を複数伝送するか、複数の PVLAN ドメインで VLAN を複数伝送する必要がある場合です。これは、Cisco 7200 などの PVLAN をサポートしないアップストリーム ルータを接続する場合に役立ちます。
図 43-4 で、Catalyst 4500 シリーズ スイッチは、PVLAN をサポートしないアップストリーム ルータに PVLAN ドメインを接続します。host1 によってアップストリームに送信されるトラフィックは、コミュニティ VLAN(VLAN 12)のスイッチに到着します。このトラフィックは、ルータに向かう無差別 PVLAN トランクにブリッジされる場合、プライマリ VLAN(VLAN 10)でタグ付けされます。このようにして、トラフィックは、ルータで設定された正しいサブインターフェイスを使用してルーティングできます。
ダウンストリーム方向のトラフィックは、無差別ホスト ポートによって受信された場合と同様に、プライマリ VLAN(VLAN 10)内のスイッチによって無差別 PVLAN トランク ポート上で受信されます。そして、PVLAN ドメイン内にあるかのように、宛先ホストにブリッジングされます。
PVLAN 無差別トランクは、VLAN QoS と相互に作用します。「PVLAN と VLAN ACL/QoS」を参照してください。
ギガビット EtherChannel での PVLAN モード
Cisco IOS Release 15.0(2) SG 以降では、EtherChannel での PVLAN モードを設定できます。次のような新しいモードがあります。
• ホスト モード:独立、コミュニティ、および双方向コミュニティ
ポートの処理プロセスは変更されていません。PVLAN モードは、アクセス、トランク、ルーテッド、トンネル化など、既存のモードに追加されます。
• プライマリ VLAN には複数のコミュニティ VLAN および双方向コミュニティ VLAN を関連付けできますが、独立 VLAN は 1 つだけです。
• 独立 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN には、1 つのプライマリ VLAN のみを関連付けることができます。
• PVLAN の設定で使用された PVLAN を削除すると、この PVLAN に関連付けられた PVLAN ポートは非アクティブになります。
• 無差別トランク ポートのデフォルト ネイティブ VLAN は VLAN 1(管理 VLAN)です。タグのないパケットはすべてネイティブ VLAN で転送されます。プライマリ VLAN または通常の VLAN をネイティブ VLAN として設定できます。
• デフォルトのネイティブ VLAN 設定は、独立セカンダリ トランクにはありません。ネイティブ VLAN が設定されていない場合、すべてのタグなしパケットはドロップされます。
• PVLAN トランク上では、コミュニティ PVLAN と双方向コミュニティ VLAN を伝播または伝送できません。
• IGMP スヌーピングでは、IGMP レポートがプライマリ VLAN で学習され、プライマリまたはセカンダリ VLAN でパケットを転送する必要があるかどうかがプラットフォームで決定されます。
EtherChannel での PVLAN 設定の詳細については、「PVLAN over EtherChannel の設定」の項を参照してください。
PVLAN と他の機能との相互作用
• 「PVLAN と、ユニキャスト、ブロードキャスト、およびマルチキャスト トラフィック」
• 「PVLAN 上での仮想ポート単位の errdisable」
詳細については、「PVLAN 設定時の注意事項および制約事項」を参照してください。
PVLAN と VLAN ACL/QoS
PVLAN ポートは、次のようにプライマリおよびセカンダリ VLAN を使用します。
• PVLAN ホスト ポートで受信されたパケットは、セカンダリ VLAN に属します。
• セカンダリ VLAN によりパケットにタグが設定されている場合、またはパケットのタグが解除され、ポートのネイティブ VLAN がセカンダリ VLAN の場合、PVLAN トランク ポートで受信されたパケットはセカンダリ VLAN に属します。
PVLAN ホストまたはトランク ポートで受信され、セカンダリ VLAN に割り当てられているパケットは、セカンダリ VLAN 上でブリッジングされます。このブリッジングにより、セカンダリ VLAN ACL(アクセス コントロール リスト)と(入力方向の)セカンダリ VLAN QoS(Quality of Service)が適用されます。
パケットが PVLAN ホストまたはトランク ポートから送信される場合、パケットは論理的にはプライマリ VLAN に属します。この関係は、セカンダリ VLAN によるタグ付けが PVLAN 用であった場合にも適用されます。この状況では、出力時のプライマリ VLAN ACL およびプライマリ VLAN QoS がパケットに適用されます。
• 同様に、PVLAN 無差別アクセス ポートで受信されるパケットもプライマリ VLAN に属します。
• 着信 VLAN によっては、PVLAN 無差別トランク ポートで受信されるパケットがプライマリ VLAN または通常の VLAN に属することもあります。
無差別トランク ポートに着信する、通常の VLAN へのトラフィックの場合、通常の VLAN ACL および QoS ポリシーが適用されます。PVLAN ドメインへのトラフィックの場合、無差別ポートで受信するパケットはプライマリ VLAN にブリッジングされます。入力ではプライマリ VLAN ACL および QoS ポリシーが適用されます。
双方向コミュニティ ホスト ポートの出力トラフィックで、セカンダリ VLAN ACL とセカンダリ VLAN QoS は、統合ルータ ポートから生じる出力ユニキャスト ルーテッド トラフィックに適用されます。
パケットが無差別トランク ポートから送信される場合、セカンダリ ポートから受信されたパケットであればセカンダリ VLAN に論理的に属し、別の無差別ポートからブリッジングされたパケットであればプライマリ VLAN に属します。パケットは区別できないので、無差別トランク ポートから出力するパケットについては、VLAN QoS ポリシーはすべて無視されます。
PVLAN と、ユニキャスト、ブロードキャスト、およびマルチキャスト トラフィック
通常の VLAN では、同じ VLAN にあるデバイスはレイヤ 2 レベルで互いに通信しますが、別の VLAN にあるインターフェイスに接続されたデバイスとはレイヤ 3 レベルで通信する必要があります。PVLAN では、無差別ポートはプライマリ VLAN のメンバで、ホスト ポートはセカンダリ VLAN に属しています。セカンダリ VLAN はプライマリ VLAN に対応付けられているため、これらの VLAN のメンバーはレイヤ 2 レベルで互いに通信できます。
通常の VLAN では、ブロードキャストはその VLAN のすべてのポートに転送されます。PVLAN ブロードキャスト転送は、次のようにブロードキャストを送信するポートに左右されます。
• 独立ポートは、無差別ポートまたはトランク ポートのみにブロードキャストを送信します。
• コミュニティ ポートは、すべての無差別ポート、トランク ポート、同じコミュニティ VLAN のポートにブロードキャストを送信します。
• 無差別ポートは、PVLAN のすべてのポート(他の無差別ポート、トランク ポート、独立ポート、コミュニティ ポート)にブロードキャストを送信します。
マルチキャスト トラフィックは、プライベート VLAN 境界を越えて単一のコミュニティ VLAN 内にルーティングまたはブリッジングされます。マルチキャスト トラフィックは、同じ独立 VLAN のポート間、または別々のセカンダリ VLAN のポート間では転送されません。
PVLAN と SVI
レイヤ 3 スイッチでは、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)が VLAN のレイヤ 3 インターフェイスを表します。レイヤ 3 デバイスは、セカンダリ PVLAN ではなく、プライマリ VLAN だけを使用して PVLAN と通信します。レイヤ 3 VLAN インターフェイス(SVI)はプライマリ VLAN にだけ設定してください。レイヤ 3 VLAN インターフェイスをセカンダリ VLAN 用に設定できません。VLAN がセカンダリ VLAN として設定されている間、セカンダリ VLAN の SVI は非アクティブになります。
• アクティブな SVI が設定された VLAN をセカンダリ VLAN として設定しようとすると、SVI をディセーブルにするまでは、設定が許可されません。
• セカンダリ VLAN として設定されている VLAN に SVI を作成しようとしてセカンダリ VLAN がすでにレイヤ 3 にマッピングされている場合、SVI は作成されず、エラーが返されます。SVI がレイヤ 3 にマッピングされていない場合、SVI は作成されますが、自動的にシャットダウンされます。
プライマリ VLAN がセカンダリ VLAN に関連付けられ、マッピングされている場合、プライマリ VLAN 上のすべての設定がセカンダリ VLAN SVI に伝播されます。たとえば、プライマリ VLAN SVI に IP サブネットを割り当てると、このサブネットは PVLAN 全体の IP サブネット アドレスになります。
PVLAN 上での仮想ポート単位の errdisable
PVLAN で、仮想ポート単位の errdisable の動作は次のように定義されます。
• PVLAN 無差別ポート上または PVLAN 混同モード トランク ポート上では、プライマリ VLAN 上で違反が発生した場合に errdisable になります。
• PVLAN ホスト上または PVLAN トランク ポート上では、セカンダリ VLAN 上で違反が発生した場合に、関連付けられたプライマリ VLAN が errdisable になります。
• プライマリ VLAN およびセカンダリ VLAN の両方を伝送する標準トランク ポート上では、プライマリ VLAN 上で違反が発生した場合に、その VLAN と VLAN に関連付けられたすべてのセカンダリ VLAN が errdisable になります。セカンダリ VLAN 上で違反が発生した場合は、関連付けられたプライマリ VLAN とプライマリ VLAN に関連付けられたすべてのセカンダリ VLAN が errdisable になります。
PVLAN コマンド
この表には、主に PVLAN で共通に使用されるコマンドを示します。
PVLAN の設定
• 「セカンダリ VLAN のプライマリ VLAN との関連付け」
• 「レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定」
• 「レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定」
• 「レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定」
• 「レイヤ 2 インターフェイスの無差別 PVLAN トランク ポートとしての設定」
• 「セカンダリ VLAN 入力トラフィックのルーティングの許可」
• 「PVLAN over EtherChannel の設定」
基本的な PVLAN 設定の手順
PVLAN を設定するには、次の基本的な手順に従ってください。
ステップ 1 VTP モードをトランスペアレントに設定します。「VLAN トランキング プロトコル」を参照してください。
ステップ 2 セカンダリ VLAN を作成します。「PVLAN としての VLAN の設定」を参照してください。
ステップ 3 プライマリ VLAN を作成します。「PVLAN としての VLAN の設定」を参照してください。
ステップ 4 セカンダリ VLAN をプライマリ VLAN に関連付けます。「セカンダリ VLAN のプライマリ VLAN との関連付け」を参照してください。
(注) プライマリ VLAN にマッピングできる独立 VLAN は 1 つだけですが、コミュニティ(または双方向コミュニティ)VLAN は複数をマッピングできます。
ステップ 5 インターフェイスを、独立ホスト、コミュニティ ホスト、またはトランク ポートとして設定します。「レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定」および「レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定」を参照してください。
ステップ 6 独立ポートまたはコミュニティ ポートをプライマリ/セカンダリ VLAN ペアに関連付けます。「セカンダリ VLAN のプライマリ VLAN との関連付け」を参照してください。
ステップ 7 インターフェイスを無差別ポートとして設定します。「レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定」を参照してください。
ステップ 8 無差別ポートをプライマリ/セカンダリ VLAN ペアにマッピングします。「レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定」を参照してください。
ステップ 9 VLAN 間ルーティングを使用する場合は、プライマリ SVI を設定し、セカンダリ VLAN をマッピングします。「セカンダリ VLAN 入力トラフィックのルーティングの許可」を参照してください。
ステップ 10 プライマリ VLAN 設定を確認します。「Switch#」を参照してください。
デフォルトのプライベート VLAN 設定
PVLAN 設定時の注意事項および制約事項
PVLANs を使用(または設定)するときは、次の注意事項および制約事項を考慮してください。
• PVLAN を正しく設定するには、VTP バージョン 1 および VTP バージョン 2 のトランスペアレント モードで VTP をイネーブルにします (VTP バージョン 3 を使用すると、サーバ モードで PVLAN を作成できます)。
VTP モードを PVLAN のクライアントまたはサーバに変更することはできません。
• PVLAN に VLAN 1 または VLAN 1002 ~ 1005 を設定しないでください。
• プライマリ PVLAN、独立 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN にポートを割り当てるには、PVLAN コマンドだけを使用します。
プライマリ VLAN、独立 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN のレイヤ 2 インターフェイスは、PVLAN で非アクティブです。レイヤ 2 トランク インターフェイスは STP フォワーディング ステートのままです。
• レイヤ 3 VLAN インターフェイスをセカンダリ VLAN 用に設定できません。
独立 VLAN およびコミュニティ(セカンダリ)VLAN のレイヤ 3 VLAN インターフェイスは、VLAN が独立 VLAN またはコミュニティ VLAN として設定されている場合、非アクティブです。
• プライマリ VLAN には、ダイナミック Access Control Entry(ACE; アクセス コントロール エントリ)を適用できません。
プライマリ VLAN に適用されている Cisco IOS ダイナミック ACL 設定は、VLAN が PVLAN の設定に含まれている場合、非アクティブです。
• 不正な設定によるスパニングツリー ループを防止するために、 spanning-tree portfast trunk コマンドを使用して PVLAN トランク上で PortFast をイネーブルにします。
• セカンダリ VLAN に設定された VLAN ACL は、すべての入力方向で有効です。また、セカンダリ VLAN に関連付けられたプライマリ VLAN に設定された VLAN ACL はすべて出力方向で有効です。例外を次に示します。
• 双方向コミュニティ ホスト ポートで、セカンダリ VLAN ACL とセカンダリ QoS は、統合ルータ ポートから生じる出力ユニキャスト ルーテッド トラフィックに適用されます。
• 独立 VLAN またはコミュニティ VLAN のレイヤ 3 スイッチングを停止する場合は、その VLAN のプライマリ VLAN へのマッピングを削除します。
• デバイスがトランク接続され、プライマリ VLAN およびセカンダリ VLAN がトランクに関連付けられている限り、異なるネットワーク デバイス上に PVLAN ポートを設定できます。
• 2 つの異なるデバイス上の独立ポートは相互通信できませんが、コミュニティ VLAN ポートの場合は可能です。
– PVLAN を SPAN 送信元ポートとして設定できます。
– 出力または入力トラフィックを別々に監視するには、プライマリ VLAN、独立 VLAN、コミュニティ VLAN、双方向コミュニティ VLAN で、VLAN ベース SPAN(VSPAN)を使用するか、1 つの VLAN だけで SPAN を使用します。
SPAN の詳細については、「SPAN および RSPAN の設定」を参照してください。
• プライマリ VLAN には複数のコミュニティ VLAN または双方向コミュニティ VLAN を関連付けできますが、独立 VLAN は 1 つだけです。
• 独立 VLAN またはコミュニティ VLAN には、1 つのプライマリ VLAN のみを関連付けることができます。
• PVLAN の設定で使用された PVLAN を削除すると、この PVLAN に関連付けられた PVLAN ポートは非アクティブになります。
• VTP は PVLAN をサポートしません。PVLAN ポートを使用するデバイスごとに PVLAN を設定する必要があります。
• 使用する PVLAN の設定のセキュリティを確保して、PVLAN として設定された VLAN が他の目的に使用されないようにするには、PVLAN ポートがないデバイスを含めて、すべての中間デバイスで PVLAN を設定します。
• PVLAN でトラフィックを伝送しないデバイスのトランクから、PVLAN をプルーニングします。
• ポート ACLS 機能が使用できる場合、セカンダリ VLAN ポートに Cisco IOS ACLS を、および PVLAN(VACL)に Cisco IOS ACLS を適用できます。VACL の詳細については、「ACL によるネットワーク セキュリティの設定」を参照してください。
• プライマリ VLAN、独立 VLAN、コミュニティ VLAN、および双方向コミュニティ VLAN には、別々の Quality of Service(QoS)を適用できます。(「Quality of Service の設定」を参照)。プライマリ VLAN のレイヤ 3 VLAN インターフェイスに適用された Cisco IOS ACL は、関連する独立 VLAN、コミュニティ VLAN、および双方向コミュニティ VLAN にも自動的に適用されます。
• PVLAN トランク ポートでは、入力トラフィックにセカンダリ VLAN ACL、出力トラフィックにプライマリ VLAN ACL が適用されます。
• 無差別ポートでは、入力トラフィックにプライマリ VLAN ACL が適用されます。
• PVLAN セカンダリ トランク ポートと無差別トランク ポートはどちらも IEEE 802.1q カプセル化だけをサポートします。
• PVLAN トランク上では、コミュニティ VLAN を伝播または伝送できません。
• レイヤ 3 PVLAN インターフェイス上で学習される ARP エントリは、「sticky」ARP エントリです(PVLAN インターフェイス ARP エントリを表示して確認することを推奨します)。
• セキュリティ上の理由から、PVLAN ポート sticky ARP エントリは期限切れになりません。異なる MAC アドレスでも同じ IP アドレスを持つデバイスを接続すると、エラー メッセージが生成されて ARP エントリは作成されません。
• PVLAN ポート sticky ARP エントリは期限切れしないので、MAC アドレスを変更する場合は手動でエントリを削除する必要があります。sticky ARP エントリを上書きするには、まず no arp コマンドでエントリを削除してから、arp コマンドでエントリを上書きします。
• DHCP 環境では、PC をシャットダウンしても自分の IP アドレスを他人に譲ることはできません。この問題を解決するために、Catalyst 4500 シリーズ スイッチでは no ip sticky-arp コマンドをサポートしています。このコマンドを使用すると、DHCP 環境での IP アドレスの上書きおよび再使用ができます。
• 通常の VLAN は無差別トランク ポートまたは独立トランク ポートで伝送されます。
• 無差別トランク ポートのデフォルト ネイティブ VLAN は VLAN 1 で、管理 VLAN です。タグのないパケットはすべてネイティブ VLAN で転送されます。プライマリ VLAN または通常の VLAN をネイティブ VLAN として設定できます。
• 無差別トランクは、セカンダリ VLAN を伝送するようには設定できません。許容 VLAN リストでセカンダリ VLAN を指定した場合、設定は受け入れられますが、セカンダリ VLAN のポートは動作せず、転送しません。これは、セカンダリ VLAN ではあってもプライマリ VLAN に関連付けられていない VLAN のポートの場合にも当てはまります。
• 無差別トランク ポートでは、プライマリ VLAN に着信する入力トラフィックにプライマリ VLAN ACL および QoS が適用されます。
• VLAN ACL または QoS は、無差別トランク ポートの出力トラフィックには適用されません。これは、PVLAN のトラフィックのアップストリームは、論理的にセカンダリ PVLAN に向かうからです。ハードウェアの VLAN 変換により、受信したセカンダリ VLAN の情報は失われます。ポリシーは適用されません。この制約は、同じプライマリ VLAN の他のポートからブリッジングされるトラフィックにも当てはまります。
• PVLAN 無差別トランク ポートでポート セキュリティを設定しないでください。逆の場合も行わないでください。
無差別トランク ポートのポートセキュリティをイネーブルにした場合、この機能はサポートされていないので、ポートは予測できない動作をする可能性があります。
• PVLAN 無差別トランク ポートに IEEE 802.1X を設定しないでください。
(注) コミュニティまたは双方向コミュニティの PVLAN トランク ポートはサポートされていません。
PVLAN としての VLAN の設定
VLAN を PVLAN として設定するには、次の作業を行います。
次に、VLAN 202 をプライマリ VLAN として設定し、その設定を確認する例を示します。
次に、VLAN 303 をコミュニティ VLAN として設定し、その設定を確認する例を示します。
次に、VLAN 440 を独立 VLAN として設定し、その設定を確認する例を示します。
次に、VLAN 550 を双方向コミュニティ VLAN として設定し、その設定を確認する例を示します。
セカンダリ VLAN のプライマリ VLAN との関連付け
セカンダリ VLAN をプライマリ VLAN に関連付けるには、次の作業を実行します。
セカンダリ VLAN をプライマリ VLAN と関連付ける場合、次の点に注意してください。
• secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。
• secondary_vlan_list パラメータには、複数のコミュニティ VLAN ID または双方向コミュニティ VLAN ID を含めることができます。
• secondary_vlan_list パラメータには、独立 VLAN ID を 1 つだけ含めることができます。
• セカンダリ VLAN とプライマリ VLAN を関連付けるには、 secondary_vlan_list を入力するか、 secondary_vlan_list に add キーワードを使用します。
• セカンダリ VLAN とプライマリ VLAN 間の関連付けを消去するには、 secondary_vlan_list に remove キーワードを使用します。
• このコマンドは、VLAN コンフィギュレーション サブモードを終了しない限り、有効になりません。
次に、コミュニティ VLAN 303~307 および 309、双方向コミュニティ VLAN 550~552、および独立 VLAN 440 をプライマリ VLAN 202 に関連付けて、設定を確認する例を示します。
(注) セカンダリ VLAN 308 は、プライマリ VLAN と関連付けされません。
レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定
レイヤ 2 インターフェイスを PVLAN 無差別ポートとして設定するには、次の作業を行います。
(注) switchport private-vlan mapping コマンドでサポートされる一意の PVLAN ペアの最大数は 1000 です。
レイヤ 2 インターフェイスを PVLAN 無差別ポートとして設定する場合、次の点に注意してください。
• secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。
• セカンダリ VLAN を PVLAN 無差別ポートにマッピングするには、 secondary_vlan_list を入力するか、または secondary_vlan_list と add キーワードを使用します。
• セカンダリ VLAN と PVLAN 無差別ポート間のマッピングをクリアするには、 secondary_vlan_list と remove キーワードを使用します。
次に、ファスト イーサネット インターフェイス 5/2 を PVLAN 無差別ポートとして設定し、PVLAN にマッピングして、その設定を確認する例を示します。
レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定
レイヤ 2 インターフェイスを PVLAN ホスト ポートとして設定するには、次の作業を行います。
次に、ファスト イーサネット インターフェイス 5/1 を PVLAN ホスト ポートとして設定し、その設定を確認する例を示します。
レイヤ 2 インターフェイスの独立 PVLAN トランク ポートとしての設定
レイヤ 2 インターフェイスを独立 PVLAN トランク ポートとして設定するには、次の作業を行います。
次に、ファスト イーサネット インターフェイス 5/2 をセカンダリ トランク ポートとして設定し、その設定を確認する例を示します。
レイヤ 2 インターフェイスの無差別 PVLAN トランク ポートとしての設定
レイヤ 2 インターフェイスを無差別 PVLAN トランク ポートとして設定するには、次の作業を行います。
(注) switchport private-vlan mapping trunk コマンド でサポートされる一意の PVLAN ペアの最大数は 500 です。プライマリ VLAN ごとに 1 つだけの独立 VLAN のアソシエーションがサポートされるため、たとえば、500 の独立セカンダリ VLAN を 500 のプライマリ VLAN にマッピングできます。または、500 のコミュニティ セカンダリ VLAN を 1 つのプライマリ VLAN にマッピングできます。または、250 のコミュニティ セカンダリ VLAN を 1 つのプライマリ VLAN にマッピングし、他の 250 のコミュニティ セカンダリ VLAN を他のプライマリ VLAN にマッピングして、合計 500 のペアを作成できます。
(注) デフォルトでは、PVLAN トランク無差別に設定すると、ネイティブ VLAN は 1 に設定されます。
[no] switchport private-vlan mapping コマンドには、次の 3 つの削除レベルがあります。
• リストから 1 つまたは複数のセカンダリ VLAN を削除するレベル。次に例を示します。
• PVLAN 無差別トランク ポートから指定したプライマリ VLAN(およびそれ自身の選択したセカンダリ VLAN)へのマッピングをすべて削除するレベル。次に例を示します。
• PVLAN 無差別トランク ポートから事前に設定されていたすべてのプライマリ VLAN(およびそれら自身の選択したセカンダリ VLAN)へのマッピングを削除するレベル。次に例を示します。
レイヤ 2 インターフェイスを PVLAN 無差別ポートとして設定する場合、次の点に注意してください。
• 無差別トランク ポートで複数のプライマリ VLAN を伝送できるようにするには、switchport private-vlan mapping trunk コマンドを使用して複数の PVLAN ペアを指定します。
• secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。
• セカンダリ VLAN を PVLAN 無差別ポートにマッピングするには、 secondary_vlan_list を入力するか、または secondary_vlan_list と add キーワードを使用します。
• セカンダリ VLAN と PVLAN 無差別ポート間のマッピングをクリアするには、 secondary_vlan_list と remove キーワードを使用します。
次に、ファスト イーサネット インターフェイス 5/2 を無差別トランク ポートとして設定し、その設定を確認する例を示します。
セカンダリ VLAN 入力トラフィックのルーティングの許可
(注) 独立 VLAN、コミュニティ VLAN、および双方向コミュニティ VLAN は、セカンダリ VLAN と呼ばれます。
セカンダリ VLAN 入力トラフィックのルーティングを許可するには、次の作業を行います。
セカンダリ VLAN 入力トラフィックのルーティングを許可する場合、次の点に注意してください。
• private-vlan mapping インターフェイス コンフィギュレーション コマンドは、レイヤ 3 スイッチングされている PVLAN 入力トラフィックにだけ影響します。
• secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。
• セカンダリ VLAN をプライマリ VLAN にマッピングするには、 secondary_vlan_list パラメータを入力するか、 secondary_vlan_list パラメータに add キーワードを使用します。
• セカンダリ VLAN とプライマリ VLAN 間のマッピングを消去するには、 secondary_vlan_list パラメータに remove キーワードを使用します。
次の例では、PVLAN 303 ~ 307、309、および 440 からのセカンダリ VLAN 入力トラフィックのルーティングを許可し、そのコンフィギュレーションを確認する方法を示します。
PVLAN over EtherChannel の設定
レイヤ 2 EtherChannel を作成した後に、4 つの PVLAN ポート モード(無差別ホスト、セカンダリ ホスト、独立トランク、無差別トランク)のいずれかとして設定できます。
• 「レイヤ 2 Etherchannel の PVLAN 無差別ポートとしての設定」
• 「レイヤ 2 インターフェイスの EtherChannel ホスト ポートとしての設定」
レイヤ 2 EtherChannel の設定
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/01xo/configuration/guide/pvlans.html#wp1174853
ステップ 2 セカンダリ VLAN をプライマリ VLAN に関連付けます。
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/01xo/configuration/guide/pvlans.html#wp1121802
ステップ 3 レイヤ 2 EtherChannel を設定します。
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/01xo/configuration/guide/channel.html#wp1020670
レイヤ 2 Etherchannel の PVLAN 無差別ポートとしての設定
(注) switchport private-vlan mapping コマンドでサポートされる一意の PVLAN ペアの最大数は 1000 です。
レイヤ 2 Etherchannel を PVLAN 無差別ポートとして設定する場合、次の点に注意してください。
• secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。
• セカンダリ VLAN を PVLAN 無差別ポートにマッピングするには、secondary_vlan_list を入力するか、または secondary_vlan_list と add キーワードを使用します。
• セカンダリ VLAN と PVLAN 無差別ポート間のマッピングをクリアするには、secondary_vlan_list と remove キーワードを使用します。
次に、インターフェイス ポート チャネル 63 を PVLAN 無差別モード ポートとして設定し、PVLAN にマッピングして、その設定を確認する例を示します。
レイヤ 2 インターフェイスの EtherChannel ホスト ポートとしての設定
レイヤ 2 インターフェイスを EtherChannel ホスト ポートとして設定するには、次の作業を行います。
次に、インターフェイス ポート チャネル 63 を PVLAN ホスト ポートとして設定し、その設定を確認する例を示します。
レイヤ 2 Etherchannel の独立 PVLAN トランク ポートとしての設定
レイヤ 2 Etherchannel を独立 PVLAN トランク ポートとして設定するには、次の作業を行います。
次に、インターフェイス ポート チャネル 63 をセカンダリ トランク ポートとして設定し、その設定を確認する例を示します。
レイヤ 2 Etherchannel の無差別 PVLAN トランク ポートとしての設定
レイヤ 2 Etherchannel を無差別 PVLAN トランク ポートとして設定するには、次の作業を行います。
(注) switchport private-vlan mapping trunk コマンドでサポートされる一意の PVLAN ペアの最大数は 500 です。プライマリ VLAN ごとに 1 つだけの独立 VLAN のアソシエーションがサポートされるため、たとえば、500 の独立セカンダリ VLAN を 500 のプライマリ VLAN にマッピングできます。または、500 のコミュニティ セカンダリ VLAN を 1 つのプライマリ VLAN にマッピングできます。または、250 のコミュニティ セカンダリ VLAN を 1 つのプライマリ VLAN にマッピングし、他の 250 のコミュニティ セカンダリ VLAN を他のプライマリ VLAN にマッピングして、合計 500 のペアを作成できます。
(注) デフォルトでは、プライベート VLAN トランク無差別に設定すると、ネイティブ VLAN は 1 に設定されます。
[no] switchport private-vlan mapping コマンドには、次の 3 つの削除レベルがあります。
• リストから 1 つまたは複数のセカンダリ VLAN を削除するレベル。
• PVLAN 無差別トランク ポートから指定したプライマリ VLAN(およびそれ自身の選択したセカンダリ VLAN)へのマッピングをすべて削除するレベル。
• PVLAN 無差別トランク ポートから事前に設定されていたすべてのプライマリ VLAN(およびそれら自身の選択したセカンダリ VLAN)へのマッピングを削除するレベル。
PVLAN 無差別モード トランク ポートとしてレイヤ 2 EtherChannel を設定する場合、無差別トランク ポートが複数のプライマリ VLAN を伝送できるように、switchport private-vlan mapping trunk コマンドで、複数のプライベート VLAN ペアを指定できることを確認します。
•secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。
•セカンダリ VLAN を PVLAN 無差別ポートにマッピングするには、secondary_vlan_list を入力するか、または secondary_vlan_list と add キーワードを使用します。
•セカンダリ VLAN と PVLAN 無差別ポート間のマッピングをクリアするには、 secondary_vlan_list と remove キーワードを使用します。
次に、インターフェイス ポートチャネル 63 を無差別トランク ポートとして設定し、その設定を確認する例を示します。
フィードバック