Cisco Nexus 1000V レイヤ 2 スイッチング コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月29日
章のタイトル: プライベート VLAN の設定
プライベート VLAN の設定
標準 VLAN を独立レイヤ 2 パーティションに分割するために、プライベート VLAN(PVLAN)を設定するには、この章で説明する手順を使用します。
プライベート VLAN について
プライベート VLAN では、デバイスの分離を実現するために 3 種類のポート指定が使用されます。これらはそれぞれ独自のルール セットが定義されており、接続されたエンドポイントが同じプライベート VLAN ドメイン内の他の接続済みエンドポイントと通信できるかどうかは、ポート指定ごとに異なります。
プライベート VLAN ドメイン
プライベート VLAN ドメインは、1 つまたは複数の VLAN ペアから成ります。プライマリ VLAN がドメインを形成し、各 VLAN ペアがサブドメインを形成します。ペアになっている VLAN は、プライマリ VLAN とセカンダリ VLAN と呼ばれます。1 つのプライベート VLAN 内の VLAN ペアはすべて、同一のプライマリ VLAN を持ちます。各サブドメインは、セカンダリ VLAN ID で識別されます(図 4-1 を参照)。
複数のスイッチのスパニング
プライベート VLAN は、通常の VLAN とまったく同じように、複数のスイッチにまたがることができます。スイッチ間リンク ポートは、特殊な VLAN タイプを認識する必要がなく、これらの VLAN でタグ付けされたフレームもその他のフレームとまったく同じように伝送します。プライベート VLAN は、1 つのスイッチ内の独立ポートからのトラフィックが、スイッチ間リンクを伝送されたあと、別のスイッチ内の他の独立ポートまたはコミュニティ ポートに到達しない状態を確保します。VLAN レベルでの分離情報を埋め込み、それをパケットと一緒に伝送することにより、ネットワーク全体での一貫した動作の維持が可能になります。このため、レイヤ 2 通信を同一スイッチ内の 2 つの独立ポート間に限定するメカニズムが、2 つの異なるスイッチ内の 2 つの独立ポート間へのレイヤ 2 通信の限定も行います。
プライベート VLAN のポート
プライベート VLAN ドメイン内には、3 つの独立したポート指定があります。各ポート指定が独自の一連のルールを持っており、これが、1 つのエンドポイントが同一プライベート VLAN ドメイン内にある他の接続エンドポイントと通信する能力を制御します。次に示すのが、その 3 つのポート指定です。
図 4-2 はプライベート VLAN ポートを示しています。
プライマリ VLAN および混合ポート
プライマリ VLAN には、プライベート VLAN ドメイン全体が含まれます。これは各サブドメインの一部で、VLAN からのレイヤ 3 ゲートウェイを提供します。プライベート VLAN ドメインには、プライマリ VLAN が 1 つのみ含まれています。プライベート VLAN ドメインのポートはすべて、プライマリ VLAN のメンバです。言い換えれば、プライマリ VLAN はプライベート VLAN ドメイン全体です。
名前からもわかるように、混合ポート(図 4-2 の p1)は、他のどのタイプのポートとも通信できます。混合ポートは独立ポートやコミュニティ ポートと通信できます。また、独立ポートやコミュニティ ポートは混合ポートと通信できます。レイヤ 3 ゲートウェイ、DHCP サーバ、およびカスタマー エンドポイントの通信を必要とするその他の信頼済みデバイスは、通常、混合ポートと接続されています。IEEE 802.1Q 仕様書の Annex D に記載されている用語によると、混合ポートはアクセス ポート、またはハイブリッド/トランク ポートのいずれかです。
セカンダリ VLAN およびホスト ポート
セカンダリ VLAN は、プライベート VLAN ドメイン内のポートの間でレイヤ 2 分離を提供します。プライベート VLAN ドメインには 1 つ以上の VLAN サブドメインがあります。1 つのサブドメインは 1 組の VLAN ペアから構成され、このペアはプライマリ VLAN とセカンダリ VLAN から構成されます。プライマリ VLAN はすべてのサブドメインの一部であるため、VLAN サブドメインはセカンダリ VLAN により区別されます。
レイヤ 3 インターフェイスと通信するには、セカンダリ VLAN を、プライマリ VLAN にある少なくとも 1 つの混合ポートと関連付ける必要があります。たとえば、ロード バランシングや冗長性のために必要であれば、セカンダリ VLAN を、同一のプライベート VLAN ドメインにある複数の混合ポートと関連付けることができます。混合ポートと関連付けられていないセカンダリ VLAN は、レイヤ 3 インターフェイスと通信できません。
•
隔離 VLAN:隔離 VLAN は、独立ホスト ポートを使用します。独立ポート(図 4-2 の i1 または i2 )は、混合ポートを除き、そのプライベート VLAN ドメインの他のどのポートとも通信できません。あるデバイスがゲートウェイ ルータへのアクセスだけを必要としている場合、このデバイスは独立ポートに接続する必要があります。独立ポートは通常、アクセス ポートですが、一部のアプリケーションでは、ハイブリッド ポートや、トランク ポートであることもあります。
隔離 VLAN には、すべてのポートを同じレベルで分離することを許可するという顕著な特徴があります。この分離のために、ポート 1 つにつき 1 つの独立した専用 VLAN が使用されます。このポート分離を行うために使用される VLAN ID は 2 つだけです。
(注) プライベート VLAN ドメインは複数のコミュニティ VLAN を持つことができますが、隔離 VLAN 1 つで、複数のお客様に十分サービスを提供することができます。そのポートに接続されているエンドポートはすべて、レイヤ 2 で分離されます。サービス プロバイダーは同じ隔離 VLAN に複数のお客様を割り当てることができます。また、同じ隔離 VLAN を共有する他のお客様が、レイヤ 2 トラフィックを傍聴できないことが保証されます。
• コミュニティ VLAN:コミュニティ VLAN はコミュニティ ホスト ポートを使用します。コミュニティ ポート(図 4-2 の c1 または c2)は、ポート グループの一部です。コミュニティ内のポートは、互いにレイヤ 2 通信を行うことができますし、どの混合ポートとでも通信できます。たとえば、4 つのデバイスを持つ ISP のお客様が、このデバイスを他のお客様のデバイスと分離したいが、この 4 つのデバイスの間では通信を続けられるようにしたいという場合は、コミュニティ ポートを使用する必要があります。
(注) トランクはポート間でトラフィックを運ぶ VLAN をサポートできるため、VLAN トラフィックはトランク インターフェイスを介してデバイスに出入りすることができます。
プライベート VLAN ポート間の通信
次のテーブルは、プライベート VLAN ポートのタイプに応じて、どのようにアクセスが許可、または拒否されるかを示しています。
|
|
|
|
|
|
|
|---|---|---|---|---|---|
拒否 2 |
注意事項および制約事項
プライベート VLAN に関する注意事項と制約事項は次のとおりです。
• 制御 VLAN、パケット VLAN、管理 VLAN は、プライベート VLAN ではなく、通常の VLAN として設定する必要があります。
デフォルト設定値
表 4-2 に、プライベート VLAN のデフォルト設定を示します。
|
|
|
|---|---|
プライベート VLAN の設定
プライベート VLAN を設定するには、ここで説明する次の手順を使用します。
• 「プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化」
• 「無差別トランク ポートとしてのレイヤ 2 インターフェイスの設定」
• 「プライベート VLAN 無差別アクセス ポートの設定」
• 「無差別アクセス ポートとプライベート VLAN の関連付け」
• 「プライベート VLAN コンフィギュレーションの削除」
フローチャート:プライベート VLAN の設定
次に、このプロセスを表したフロー チャートを示します。1 つの手順を終了するたびに、この項に戻って、必要なすべての手順を正しい順序で実施してください。
プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
| n1000v(config-vlan)# show feature |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
||
| フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。 |
||
プライマリ VLAN としての VLAN の設定
はじめる前に
• 「プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化」 の手順で、プライベート VLAN 機能をイネーブルにしていること。
• プライマリ VLAN として設定する VLAN が標準 VLAN としてすでにシステムに存在し、その VLAN ID が判明しています。
(注) この VLAN がまだ存在しない場合、プライマリ VLAN を作成する際に、その作成を促すメッセージが表示されます。VLAN の作成方法については、「VLAN の作成」を参照してください。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
指定された VLAN の VLAN コンフィギュレーション モードを開始して、実行コンフィギュレーションでプライマリ VLAN ID を設定します。 |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
||
| フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。 |
||
セカンダリ VLAN としての VLAN の設定
はじめる前に
• 「プライベート VLAN 機能のグローバル イネーブル化またはディセーブル化」 の手順で、プライベート VLAN 機能をイネーブルにしていること。
• セカンダリ VLAN として設定する VLAN が標準 VLAN としてすでにシステムに存在し、それらの VLAN ID が判明しています。
(注) この VLAN がまだ存在しない場合、セカンダリ VLAN を作成する際に、その作成を促すメッセージが表示されます。VLAN の作成方法については、「VLAN の作成」の項を参照してください。
• セカンダリ VLAN をコミュニティ VLAN にするか、隔離 VLAN にするか決定しています。また、それぞれの VLAN ID が判明しています。
• プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
指定された VLAN の VLAN コンフィギュレーション モードを開始して、実行コンフィギュレーションでセカンダリ VLAN ID を設定します。 |
||
private-vlan {community | isolated} n1000v(config-vlan)# private-vlan community |
||
| • • |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
||
| フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。 |
||
PVLAN での VLAN の関連付け
はじめる前に
• この PVLAN のプライマリ VLAN がすでに PVLAN として設定されています。
• この PVLAN のセカンダリ VLAN がすでに PVLAN として設定されています。
• PVLAN の一部である個々の VLAN の VLAN ID が判明しています。
• プライベート VLAN の情報については、「プライベート VLAN」を参照してください。
手順の概要
3. private-vlan association {add | remove} secondary vlan-id
手順の詳細
|
|
|
|
|---|---|---|
VLAN コンフィギュレーション モードを開始し、実行コンフィギュレーションで PVLAN として機能するように VLAN を関連付けます。 |
||
private-vlan association {add | remove} secondary vlan-id |
実行コンフィギュレーションで PVLAN として機能するように、指定されたセカンダリ VLAN をプライマリ VLAN と関連付けます。 |
|
| • • |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
||
| フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。 |
||
プライベート VLAN ホスト ポートの設定
はじめる前に
• この PVLAN のプライマリ VLAN がすでに PVLAN として設定されています。
• この PVLAN のセカンダリ VLAN がすでに PVLAN として設定されています。
• このセカンダリ VLAN が、すでにプライマリ VLAN に関連付けられています。
• ホスト ポートとして PVLAN とともに使用されるインターフェイスの名前が判明しています。
• プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
switchport mode private-vlan host |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
||
| フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。 |
||
ホスト ポートとプライベート VLAN の関連付け
PVLAN のプライマリ VLAN およびセカンダリ VLAN をホスト ポートと関連付けるには、ここで説明する手順を実行します。
はじめる前に
• PVLAN のプライマリ VLAN およびセカンダリ VLAN の VLAN ID が判明しています。
• プライマリ VLAN およびセカンダリ VLAN はすでに PVLAN として設定されています。
• ホスト ポートとして PVLAN で機能するインターフェイスの名前が判明しています。
• プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。
手順の概要
3. switchport private-vlan host-association primaryvlan-id secondary vlan-id
手順の詳細
|
|
|
|
|---|---|---|
インターフェイス コンフィギュレーション モードを開始し、実行コンフィギュレーションで指定されたインターフェイスの名前を設定します。 |
||
switchport private-vlan host-association primaryvlan-id secondary vlan-id n1000v(config-if)# switchport private-vlan host-association 202 303 |
実行コンフィギュレーションで、PVLAN のプライマリ VLAN ID およびセカンダリ VLAN ID をホスト ポートに関連付けます。 |
|
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
||
| フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。 |
||
n1000v(config-if)# switchport private-vlan host-association 202 303
無差別トランク ポートとしてのレイヤ 2 インターフェイスの設定
レイヤ 2 インターフェイスを、次の操作を行う無差別トランク ポートとして設定するには、ここで説明する手順を実行します。
• 複数の混合ポートを 1 つのトランク ポートにまとめます。
• 複数の PVLAN プライマリ VLAN を個別に、選択したセカンダリ VLAN とともに伝送します。
(注) 混合ポートはアクセス ポート、またはトランク ポートのいずれかです。プライマリ VLAN が 1 つである場合、無差別アクセス ポートを使用できます。複数のプライマリ VLAN がある場合、無差別トランク ポートを使用できます。
はじめる前に
• private-vlan mapping trunk コマンドは、ポートのトランク設定を決定、または上書きしません。
• このポートは、プライベート VLAN トランク設定に追加する前に、すでに通常のトランク モードで設定されています。
• プライマリ VLAN を無差別トランク ポートで許容される VLAN のリストに追加する必要があります。
• セカンダリ VLAN は許容される VLAN リストに設定されません。
• トランク ポートは、プライマリ VLAN に加えて、標準 VLAN を伝送することができます。
• 混合トランク ポート 1 個のセカンダリ VLAN には、最大 64 のプライマリ VLAN をマッピングできます。
手順の概要
3. switchport mode private-vlan trunk promiscuous
4. switchport private-vlan trunk allowed vlan all
5. switchport private-vlan mapping trunk primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list}
6. switchport private-vlan trunk native vlan vlan_ID
手順の詳細
n1000v(config-if)# switchport private-vlan mapping trunk 210 add 451,460
プライベート VLAN 無差別アクセス ポートの設定
はじめる前に
• 無差別アクセス ポートとして機能するインターフェイスの名前が判明しています。
• プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。
手順の概要
2. interface type [slot/port | number]
3. switchport mode private-vlan promiscuous
手順の詳細
|
|
|
|
|---|---|---|
interface type [slot/port | number] n1000v(config-if)# interface veth1 |
||
switchport mode private-vlan promiscuous |
実行コンフィギュレーションにおいて、インターフェイスをプライベート VLAN の無差別アクセス ポートとして機能させることを指定します。 |
|
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
||
| フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。 |
||
無差別アクセス ポートとプライベート VLAN の関連付け
PVLAN のプライマリ VLAN およびセカンダリ VLAN を無差別アクセス ポートと関連付けるには、ここで説明する手順を実行します。
はじめる前に
• PVLAN のプライマリ VLAN およびセカンダリ VLAN の VLAN ID が判明しています。
• プライマリ VLAN およびセカンダリ VLAN はすでに PVLAN として設定されています。
• 無差別アクセス ポートとして PVLAN で機能するインターフェイスの名前が判明しています。
• プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。
手順の概要
2. interface type [slot/port | number]
3. switchport private-vlan mapping primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list }
手順の詳細
|
|
|
|
|---|---|---|
interface type [slot/port | number] |
||
switchport private-vlan mapping primary_vlan_ID { secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list } n1000v(config-if)# switchport private-vlan mapping 202 303 n1000v(config-if)# switchport private-vlan mapping trunk 202 add 451,460 n1000v(config-if)# switchport private-vlan mapping trunk 202 remove 303 |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
||
| フロー チャートを使用している場合は、 フローチャート:プライベート VLAN の設定に戻ります。 |
||
プライベート VLAN コンフィギュレーションの削除
プライベート VLAN コンフィギュレーションを削除し、VLAN を標準 VLAN モードに戻すには、ここで説明する手順を実行します。
はじめる前に
• VLAN がプライベート VLAN として設定され、VLAN ID が判明しています。
• PVLAN コンフィギュレーションを削除すると、これに関連付けられているポートは非アクティブになります。
• プライベート VLAN の情報については、「プライベート VLAN」の項を参照してください。
手順の概要
手順の詳細
n1000v(config-vlan)# no private-vlan primary
n1000v(config-vlan)# show vlan private-vlan
------- --------- --------------- -------------------------------------------
プライベート VLAN コンフィギュレーションの確認
プライベート VLAN コンフィギュレーションを表示して検証するには、次のコマンドを使用します。
|
|
|
|---|---|
プライベート VLAN の設定の例
例:PVLAN トランク ポート
ここでは、次のようにインターフェイス イーサネット 2/6 設定する例を示します。
• セカンダリ VLAN 303 および 440 と関連付けられているプライマリ プライベート VLAN 202 にマップします
• セカンダリ VLAN 310 および 450 と関連付けられているプライマリ プライベート VLAN 210 にマップします
例:ポート プロファイルを使用した PVLAN
次の例では、インターフェイス eth2/6 をポート プロファイル uppvlanpromtrunk156 を使用して設定する方法を示します。
この設定では、セカンダリ インターフェイス 153、154、および 155 のパケットは、コマンド switchport private-vlan mapping trunk 156 153-155 の結果として、プライマリ VLAN 156 に変換されます。
その他の関連資料
プライベート VLAN の実装に関する追加情報は、次の項を参照してください。
• 「関連資料」
• 「標準」
関連資料
標準
|
|
|
|---|---|
この機能でサポートされる新規または改訂された標準規格はありません。また、この機能による既存の標準規格サポートの変更はありません。 |
プライベート VLAN の機能履歴
ここでは、プライベート VLAN のリリース履歴を示します。
|
|
|
|
|---|---|---|
フィードバック