- はじめに
- 概要
- CLI の使用方法
- スイッチの IP アドレスおよびデフォ ルト ゲートウェイの割り当て
- IE2100 CNS エージェントの設定
- スイッチ スタックの管理
- スイッチのクラスタ設定
- スイッチの管理
- SDM テンプレートの設定
- スイッチベースの認証の設定
- IEEE 802.1x ポートベースの認証の設 定
- インターフェイス特性の設定
- SmartPort マクロの設定
- VLAN の設定
- VTP の設定
- 音声 VLAN の設定
- プライベート VLAN の設定
- IEEE 802.1Q およびレイヤ 2 プロトコ ル トンネリングの設定
- STP の設定
- MSTP の設定
- オプションのスパニングツリー機能の 設定
- Flex Link および MAC アドレステーブ ル移動更新機能の設定
- DHCP 機能および IP ソース ガードの 設定
- ダイナミック ARP 検査の設定
- IGMP スヌーピングおよび MVR の設 定
- ポートベースのトラフィック制御の設 定
- CDP の設定
- UDLD の設定
- SPAN および RSPAN の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- ACL によるネットワーク セキュリティ の設定
- QoS の設定
- EtherChannel の設定
- IP ユニキャスト ルーティングの設定
- IPv6 ユニキャスト ルーティングの設 定
- IPv6 MLD スヌーピングの設定
- IPv6 ACL の設定
- HSRP の設定
- IP マルチキャスト ルーティングの設 定
- MSDP の設定
- 代替ブリッジングの設定
- トラブルシューティング
- サポートされている MIB
- Cisco IOS ファイル システム、コン フィギュレーション ファイル、および ソフトウェア イメージの操作
- Cisco IOS Release 12.2(25) SED でサ ポートされていないコマンド
- 索引
Catalyst 3750 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)SED
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月29日
章のタイトル: VLAN の設定
VLAN の設定
この章では、Catalyst 3750スイッチに、標準範囲の VLAN(仮想 LAN)(VLAN ID が 1 ~ 1005)および拡張範囲の VLAN(VLAN ID が 1006 ~ 4094)を設定する方法について説明します。VLAN メンバーシップ モード、VLAN コンフィギュレーション モード、VLAN トランク、VLAN Membership Policy Server(VMPS;VLAN メンバーシップ ポリシー サーバ)からのダイナミック VLAN 割り当てについても説明します。特に明記しないかぎり、 スイッチ という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。
(注) この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。
VLAN の概要
VLAN は、ユーザの物理的な位置に関係なく、機能、プロジェクト チーム、またはアプリケーションによって論理的に分割されたスイッチド ネットワークです。VLAN は物理 VLAN と同じ属性を備えていますが、エンド ステーションが物理的に同一の LAN セグメントにない場合でもグループ化できます。どのスイッチ ポートも VLAN に属することができます。ユニキャスト、ブロードキャスト、およびマルチキャスト パケットは、VLAN 内のエンド ステーションにだけフォワーディングおよびフラッディングが行われます。各 VLAN は 1 つの論理ネットワークとみなされ、VLAN に属さないステーション宛のパケットは、ルータまたは代替ブリッジングをサポートするスイッチを経由して伝送しなければなりません(図13-1を参照)。VLAN は、スタック全体にまたがり、複数のポートで構成することができます。VLAN はそれぞれが独立した論理ネットワークとみなされるので、VLAN ごとに独自のブリッジ Management Information Base(MIB; 管理情報ベース)情報があり、それぞれが独自にスパニングツリーの実装をサポートします。 第 18 章「STP の設定」 を参照してください。
(注) VLAN を作成するには、まず VLAN Trunk Protocol(VTP;VLAN トランク プロトコル)を使用してネットワークのグローバル VLAN 設定をメンテナンスするかどうかを決定する必要があります。VTP の詳細については、第 14 章「VTP の設定」を参照してください。
図13-1に、論理的に定義されたネットワークに分割した VLAN の例を示します。
図13-1 論理的に定義されたネットワークとしての VLAN
VLAN は、多くの場合、IP サブネットワークと対応付けられます。たとえば、特定の IP サブネットのすべてのエンド ステーションを同一の VLAN に属させることがあります。スイッチ上のインターフェイス VLAN メンバーシップは、インターフェイスごとに手動で割り当てます。この方法で VLAN にスイッチ インターフェイスを割り当てることを、インターフェイスベースまたはスタティック VLAN メンバーシップといいます。
VLAN 間のトラフィックはルーティングするか代替ブリッジングする必要があります。スイッチは、Switch Virtual Interface(SVI)を使用して、VLAN 間でトラフィックをルーティングできます。VLAN 間でトラフィックをルーティングするには、SVI を明示的に設定して IP アドレスを割り当てる必要があります。詳細については、「SVI」および「レイヤ 3 インターフェイスの設定」を参照してください。
(注) スイッチに多数の VLAN を設定し、ルーティングをイネーブル化しない予定の場合は、sdm prefer vlanグローバル コンフィギュレーション コマンドを使用して Switch Database Management(SDM; スイッチング データベース マネージャ)機能を VLAN テンプレートに設定できます。このテンプレートは、最大数のユニキャスト MAC(メディア アクセス制御)アドレスをサポートするようにシステム リソースを設定します。SDM テンプレートの詳細については、第 8 章「SDM テンプレートの設定」、またはこのリリースのコマンド リファレンスのsdm preferコマンドを参照してください。
サポートされる VLAN
スイッチは、VTP クライアント、サーバ、およびトランスペアレント モードの VLAN をサポートします。VLAN は、1 ~ 4094 の番号で識別されます。VLAN ID の 1002 ~ 1005 は、トークン リングおよび Fiber Distributed Data Interface(FDDI)VLAN 用です。VTP は、VLAN ID が 1 ~ 1005 の標準範囲 VLAN だけを学習します。1005 を超える VLAN ID は拡張範囲 VLAN であり、VLAN データベースには保管されません。1006 ~ 4094 の VLAN ID を作成するときには、スイッチは VTP トランスペアレント モードである必要があります。
スイッチ スタックは合計1005(標準範囲および拡張範囲)の VLAN をサポートしますが、ルーテッド ポート、SVI、その他の設定済み機能の個数によって、スイッチのハードウェアの使用状況は左右されます。
このスイッチは、Per-VLAN Spanning-Tree plus(PVST+)または Rapid PVST+ と最大 128 のスパニングツリー インスタンスをサポートします。VLAN ごとに 1 つのスパニングツリー インスタンスがサポートされます。スパニングツリー インスタンスの数と VLAN 番号の詳細については、「標準範囲 VLAN の設定時の注意事項」を参照してください。スイッチは、イーサネット ポート経由の VLAN トラフィックの送信方式として、Inter-Switch Link(ISL; スイッチ間リンク)および IEEE 802.1Q トランキングの両方をサポートしています。
VLAN ポート メンバーシップ モード
VLAN に属するポートは、メンバーシップ モードを割り当てて設定します。メンバーシップ モードにより、各ポートが搬送できるトラフィックの種類、および属することができる VLAN の数を指定します。 表13-1 に、各種メンバーシップ モード、メンバーシップ、および VTP 特性を示します。
|
|
|
|
|---|---|---|
スタティック アクセス ポートは、1 つの VLAN だけに属し、手動でその VLAN に割り当てられます。 詳細については、「VLAN へのスタティック アクセス ポートの割り当て」を参照してください。 |
VTP は必須ではありません。VTP にグローバルに情報を伝播させないようにする場合は、VTP モードをトランスペアレントに設定します。VTP に加入するには、あるスイッチまたはスイッチ スタックのトランク ポートに接続した別のスイッチ スタック上に 1 つまたは複数のトランク ポートがなければなりません。 |
|
トランク ポートは、拡張範囲 VLAN も含めて、デフォルトで全 VLAN のメンバーですが、許可 VLAN リストを設定することにより、メンバーシップを制限できます。プルーニング適格リストを変更して、リストに含まれるトランク ポート上で VLAN に対するフラッディング トラフィックをブロックすることもできます。 トランク ポートの設定の詳細については、「トランク ポートとしてのイーサネット インターフェイスの設定」を参照してください。 |
VTP は、推奨はしますが、必須ではありません。VTP は、ネットワーク全体にわたって VLAN の追加、削除、名前変更を管理することにより、VLAN 設定の整合性を維持します。VTP はトランク リンクを通じて他のスイッチと VLAN コンフィギュレーション メッセージを交換します。 |
|
ダイナミック アクセス ポートは、1 つの VLAN(VLAN ID が 1 ~ 4094)だけに属し、VMPS によって動的に割り当てられます。たとえば、Catalyst 5000 または Catalyst 6500 シリーズ スイッチは VMPS として使用できますが、Catalyst 3750スイッチは VMPS として使用することはできません。Catalyst 3750スイッチは、VMPS クライアントです。 同じスイッチ上にダイナミック アクセス ポートとトランク ポートを設定できますが、ダイナミック アクセス ポートはエンド ステーションまたはハブに接続する必要があります。別のスイッチに接続してはなりません。 設定の詳細については、「VMPS クライアントのダイナミック アクセス ポートの設定」を参照してください。 |
VMPS とクライアントは、同じ VTP ドメイン名で設定してください。 VTP に加入するには、あるスイッチまたはスイッチ スタックのトランク ポートに接続した別のスイッチ スタック上に 1 つまたは複数のトランク ポートがなければなりません。 |
|
音声 VLAN ポートは、Cisco IP Phone に接続されたアクセス ポートです。Cisco IP Phone は、音声トラフィック用に 1 つの VLAN を使用し、電話に接続されたデバイスからのデータ トラフィック用には別の VLAN を使用するように設定されています。 音声 VLAN ポートの詳細については、 第 15 章「音声 VLAN の設定」 を参照してください。 |
||
プライベート VLAN ポートは、プライベート VLAN のプライマリまたはセカンダリ VLAN に属する、ホストまたは混合ポートです。 プライベート VLAN の詳細については、 第 16 章「プライベート VLAN の設定」 を参照してください。 |
プライベート VLAN を設定する場合、スイッチは VTP トランスペアレント モードである必要があります。プライベート VLAN がスイッチで設定されている場合、VTP モードをトランスペアレント モードからクライアントまたはサーバ モードに変更しないでください。 |
|
トンネル ポートは、IEEE 802.1Q トンネリング用に使用され、サービスプロバイダー ネットワーク全体でカスタマー VLAN の整合性を維持します。トンネル ポートをサービスプロバイダー ネットワークのエッジ スイッチ上に設定し、カスタマー インターフェイスの IEEE 802.1Q トランク ポートに接続して、非対称リンクを作成します。トンネル ポートは、トンネリング専用の単一の VLAN に所属します。 トンネル ポートの詳細については、 第 17 章「IEEE 802.1Q およびレイヤ 2 プロトコル トンネリングの設定」 を参照してください。 |
VTP は必須ではありません。 switchport access vlan インターフェイス コンフィギュレーション コマンドを使用して、手動で VLAN にトンネル ポートを割り当てます。 |
アクセス モードとトランク モード、およびその機能の詳細については、表13-4を参照してください。
VLAN にポートを割り当てると、スイッチは VLAN 単位で、ポートに対応するアドレスを学習して管理します。詳細については、「MAC アドレス テーブルの管理」を参照してください。
標準範囲 VLAN の設定
標準範囲 VLAN とは、VLAN ID が 1 ~ 1005 の VLAN のことです。スイッチが VTP サーバまたは VTP トランスペアレント モードにある場合は、VLAN データベース内の VLAN 2 ~ 1001 について設定を追加、変更、または削除できます(VLAN ID の 1 と 1002 ~ 1005 は、自動作成され、削除できません)。
(注) スイッチが VTP トランスペアレント モードにある場合は、拡張範囲 VLAN(ID が 1006 ~ 4094 の VLAN)を作成することもできますが、この VLAN は VLAN データベースには保存されません。「拡張範囲 VLAN の設定」を参照してください。
VLAN ID が 1 ~ 1005 の設定はファイル vlan.dat (VLAN データベース)に保存され、 show vlan イネーブル EXEC コマンドを入力すると表示できます。 vlan.dat ファイルは、スタック マスター上のフラッシュ メモリに保存されます。スタック メンバーは、スタック マスターと一貫性のある vlan.dat ファイルを持ちます。
さらに、インターフェイス コンフィギュレーション モードを使用して、ポートのメンバーシップ モードの定義、VLAN に対するポートの追加および削除を行います。このモードのコマンド実行結果は実行コンフィギュレーション ファイルに書き込まれ、 show running-config イネーブル EXEC コマンドを入力することによって表示できます。
VLAN データベースに新しい標準範囲 VLAN を作成する場合、または VLAN データベース内の既存の VLAN を変更する場合、次のパラメータを設定できます。
•
VLAN タイプ(イーサネット、FDDI、FDDI Network Entity Title[NET]、TrBRF または TrCRF、トークン リング、トークン リングネット)
• VLAN の Maximum Transmission Unit(MTU; 最大伝送ユニット)
• Security Association Identifier(SAID)
• TrCRF VLAN の Spanning-Tree Protocol(STP; スパニングツリープロトコル)タイプ
• ある VLAN タイプから別の VLAN タイプに変換するときに使用する VLAN 番号
(注) ここでは、これらのパラメータのほとんどについて設定の詳細は説明しません。VLAN 設定を制御するコマンドおよびパラメータの詳細については、このリリースのコマンド リファレンスを参照してください。
• 「VLAN へのスタティック アクセス ポートの割り当て」
トークン リング VLAN
スイッチはトークンリング接続をサポートしていませんが、トークンリング接続を行っている Catalyst 5000 シリーズ スイッチなどのリモート装置を、サポート対象スイッチのうちの 1 台から管理できます。VTP バージョン 2 が稼働するスイッチは、次のトークン リング VLAN に関する情報をアドバタイズします。
トークン リング VLAN の設定の詳細については、『 Catalyst 5000 Series Software Configuration Guide 』を参照してください。
標準範囲 VLAN の設定時の注意事項
ネットワーク内で標準範囲 VLAN を作成または変更する場合には、次の注意事項に従ってください。
• スイッチは、VTP クライアント、サーバ、およびトランスペアレント モードの1005個の VLAN をサポートします。
• 標準範囲 VLAN は、1 ~ 1001 の番号で識別されます。VLAN 番号の 1002 ~ 1005 は、トークン リングおよび FDDI VLAN 用です。
• 1 ~ 1005 の VLAN 設定は、常に VLAN データベースに保存されます。VTP モードがトランスペアレントの場合、VTP と VLAN の設定もスイッチの実行コンフィギュレーション ファイルに保存されます。
• スイッチは、VTP トランスペアレント モード(VTP がディセーブル)の VLAN ID 1006 ~ 4094 もサポートします。これらは拡張範囲 VLAN で、設定オプションに制限があります。拡張範囲 VLAN は、VLAN データベースに追加されません。「拡張範囲 VLAN の設定」を参照してください。
• VLAN を作成する前に、スイッチを VTP サーバ モードまたは VTP トランスペアレント モードにしておく必要があります。スイッチが VTP サーバの場合は、VTP ドメインを定義する必要があります。そうしないと VTP が機能しません。
• スイッチは、トークンリングまたは FDDI メディアをサポートしません。このスイッチは FDDI、FDDI-Net、TrCRF、または TrBRF トラフィックを伝送しませんが、VTP を介して VLAN 設定を伝播させます。
• 128 のスパニングツリー インスタンスが、このスイッチによってサポートされます。サポートされるスパニングツリー インスタンスを超える数のアクティブ VLAN がスイッチに設定されている場合は、128 の VLAN でスパニングツリーをイネーブルに設定できますが、残りの VLAN ではディセーブルに設定します。スイッチ上で使用できるすべてのスパニングツリー インスタンスを使用している場合、VTP ドメインに VLAN をさらに 1 つ追加すると、そのスイッチにスパニングツリーを実行しない VLAN が作成されます。(すべての VLAN を許可するための)スイッチのトランク ポートにデフォルトの許可リストが設定されていると、すべてのトランク ポートに新しい VLAN が割り当てられます。ネットワークのトポロジーに応じて、新しい VLAN 内に阻止されないループが作成されることがあります。特に、複数の隣接スイッチでスパニングツリー インスタンスをすべて使用してしまっている場合は、注意してください。このような事態を防ぐには、スパニングツリー インスタンスの割り当てを使い切っているスイッチのトランク ポートに、許可リストを設定します。
スイッチ上の VLAN 数がサポートされるスパニングツリー インスタンス数を超える場合は、IEEE 802.1s Multiple STP(MSTP)をスイッチに設定して、複数の VLAN を単一のスパニングツリー インスタンスにマッピングすることを推奨します。MSTP の詳細については、 第 19 章「MSTP の設定」 を参照してください。
• スタック内のスイッチが新たな VLAN を学習したか、既存の VLAN を(ネットワーク ポート上の VTP または CLI を通じて)削除または変更した場合は、VLAN 情報がすべてのスタック メンバーに通知されます。
• スイッチがスタックに加入したか、複数のスタックがマージされた場合、新規スイッチの VTP 情報(vlan.dat ファイル)はスタック マスターの VTP 情報と一貫性を維持します。
VLAN 設定モードのオプション
標準範囲 VLAN(VLAN ID が 1 ~ 1005)は、次の 2 つの設定モードを使用して設定できます。
config-vlan モードは、 vlan vlan-id グローバル コンフィギュレーション コマンドを入力するとアクセスできます。
• 「VLAN データベース コンフィギュレーション モードでの VLAN 設定」
VLAN データベース コンフィギュレーション モードは、 vlan database イネーブル EXEC コマンドを入力するとアクセスできます。
config-vlan モードでの VLAN 設定
config-vlan モードにアクセスするには、VLAN ID を指定して vlan グローバル コンフィギュレーション コマンドを入力します。VLAN を新規に作成するには、新しい VLAN ID を入力します。既存の VLAN を変更するには、その VLAN ID を入力します。デフォルトの VLAN 設定( 表13-2 を参照)を使用するか、複数のコマンドを入力して VLAN を設定します。このモードで使用できるコマンドの詳細については、このリリースのコマンド リファレンス に記載されている vlan グローバル コンフィギュレーション コマンドを参照してください。設定が終了したら、設定を有効にするために config-vlan モードを終了する必要があります。VLAN 設定を表示するには、 show vlan イネーブル EXEC コマンドを入力します。
拡張範囲 VLAN(1005 を超える VLAN ID)の作成時は、この config-vlan モードを使用する必要があります。「拡張範囲 VLAN の設定」を参照してください。
VLAN データベース コンフィギュレーション モードでの VLAN 設定
VLAN データベース コンフィギュレーション モードにアクセスするには、 vlan database イネーブル EXEC コマンドを入力します。VLAN を新規に作成するには、新しい VLAN ID を指定して vlan コマンドを入力します。既存の VLAN を変更するには、その VLAN ID を入力します。デフォルトの VLAN 設定( 表13-2 を参照)を使用するか、複数のコマンドを入力して VLAN を設定します。このモードで使用できるキーワードの詳細については、このリリースのコマンド リファレンス に記載されている vlan VLAN データベース コンフィギュレーション コマンドを参照してください。設定が終了したら、設定を有効にするために apply または exit を入力する必要があります。 exit コマンドを入力すると、すべてのコマンドが適用され、VLAN データベースが更新されます。VTP ドメイン内の他のスイッチに VTP メッセージが送信され、イネーブル EXEC モード プロンプトが表示されます。
VLAN 設定の保存
ID が 1 ~ 1005 の VLAN の設定は、常に VLAN データベース(vlan.dat ファイル)に保存されます。VTP モードがトランスペアレントである場合は、スイッチの実行コンフィギュレーション ファイルにも保存されます。 copy running-config startup-config イネーブル EXEC コマンドを入力すると、スタートアップ コンフィギュレーション ファイルに設定を保存できます。スイッチ スタックでは、スタック全体で同一の vlan.dat ファイルと実行コンフィギュレーションを使用します。VLAN 設定を表示するには、 show vlan イネーブル EXEC コマンドを入力します。
スタートアップ コンフィギュレーション ファイルに VLAN および VTP 情報(拡張範囲 VLAN 設定も含む)を保存してスイッチを再起動すると、スイッチの設定が次のように決定されます。
• スタートアップ コンフィギュレーションで、VTP モードがトランスペアレントであり、VLAN データベースと VLAN データベースからの VTP ドメイン名がスタートアップ コンフィギュレーション ファイルのものと一致する場合は、VLAN データベースは無視(消去)され、スタートアップ コンフィギュレーション ファイルの VTP および VLAN 設定が使用されます。VLAN データベースでは、VLAN データベースのリビジョン番号は元のままです。
• スタートアップ コンフィギュレーションの VTP モードまたはドメイン名が VLAN データベースと一致しない場合は、ドメイン名、VTP モード、最初の 1005 の VLAN の設定は、VLAN データベースの情報を使用します。
• VTP モードがサーバである場合は、ドメイン名と最初の 1005 の VLAN の設定は、VLAN データベースの情報を使用します。
イーサネット VLAN のデフォルト設定
表13-2 に、イーサネット VLAN のデフォルト設定を示します。
(注) スイッチは、イーサネット インターフェイスのみをサポートします。FDDI およびトークン リング VLAN は、ローカルではサポートされないので、FDDI およびトークン リングのメディア固有の特性は、他のスイッチに対する VTP グローバル アドバタイズにのみ設定します。
|
|
|
|
|---|---|---|
イーサネット VLAN の作成または変更
VLAN データベースの各イーサネット VLAN は一意の 4 桁(1 ~ 1001)の ID を持ちます。VLAN ID の 1002 ~ 1005 はトークン リングおよび FDDI VLAN 用です。VLAN データベースに VLAN 標準範囲 VLAN を追加するには、VLAN に番号と名前を割り当てます。
(注) スイッチが VTP トランスペアレント モードにある場合は、1006 を超える VLAN ID を割り当てることができますが、VLAN データベースには追加されません。「拡張範囲 VLAN の設定」を参照してください。
VLAN の追加時に割り当てられるデフォルト パラメータの一覧は、「標準範囲 VLAN の設定」を参照してください。
config-vlan モードを使用してイーサネット VLAN を作成または変更するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
(任意)VLAN の名前を入力します。VLAN 名を指定しない場合には、デフォルトとして、VLAN という文字列の後ろに先頭の 0 付きで vlan-id が付加されます。たとえば、VLAN 4 のデフォルトの VLAN 名は VLAN0004 です。 |
||
(任意)VLAN をリモート SPAN セッションの RSPAN VLAN として設定します。リモート SPAN の詳細については、 第 28 章「SPAN および RSPAN の設定」 を参照してください。 |
||
(任意)スイッチが VTP トランスペアレント モードにある場合は、VLAN 設定は、VLAN データベースだけでなく実行コンフィギュレーション ファイルにも保存されます。これは、スイッチのスタートアップ コンフィギュレーション ファイルに設定を保存します。 |
VLAN 名をデフォルト設定に戻すには、 no name 、 no mtu 、または no remote-span config-vlan コマンドを使用します。
次の例は、config-vlan モードを使用してイーサネット VLAN 20 を作成し、 test20 と名前を付け、VLAN データベースに追加する方法を示しています。
VLAN データベース コンフィギュレーション モードを使用すると、イーサネット VLAN を作成または変更することもできます。
(注) VLAN データベース コンフィギュレーション モードは、RSPAN VLAN 設定または拡張範囲 VLAN をサポートしていません。
VLAN データベース コンフィギュレーション モードを使用してイーサネット VLAN を作成または変更するには、イネーブル EXEC モードで次の手順を実行します。
VLAN 名をデフォルト設定に戻すには、 no vlan vlan-id name または no vlan vlan-id mtu VLAN データベース コンフィギュレーション コマンドを使用します。
次の例は、VLAN 設定モードを使用してイーサネット VLAN 20 を作成し、 test20 と名前を付け、VLAN データベースに追加する方法を示しています。
VLAN の削除
VTP サーバ モードのスイッチから VLAN を削除すると、VTP ドメイン内にあるすべてのスイッチの VLAN データベースからその VLAN が削除されます。VTP トランスペアレント モードのスイッチから VLAN を削除した場合、そのスイッチ スタック上に限り VLAN が削除されます。
メディア タイプが異なるデフォルトの VLAN は削除できません。たとえば、イーサネット VLAN 1、および FDDI またはトークン リング VLAN の 1002 ~ 1005 は削除できません。
スイッチ上で VLAN を削除するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
(任意)スイッチが VTP トランスペアレント モードにある場合は、VLAN 設定は、VLAN データベースだけでなく実行コンフィギュレーション ファイルにも保存されます。これは、スイッチのスタートアップ コンフィギュレーション ファイルに設定を保存します。 |
VLAN データベース コンフィギュレーション モードを使用して VLAN を削除するには、VLAN データベース コンフィギュレーション モードを開始する vlan database イネーブル EXEC コマンドと、 no vlan vlan-id VLAN データベース コンフィギュレーション コマンドを使用します。
VLAN へのスタティック アクセス ポートの割り当て
VTP をディセーブルにして(VTP トランスペアレント モード)、VTP によって VLAN 設定情報をグローバルに伝播させずに、スタティック アクセス ポートを VLAN に割り当てることができます。
VLAN にクラスタ メンバー スイッチのポートを割り当てる場合は、最初に rcommand イネーブル EXEC コマンドを使用して、クラスタ メンバー スイッチにログインします。
(注) 存在しない VLAN にインターフェイスを割り当てると、新しく VLAN が作成されます(イーサネット VLAN の作成または変更を参照)。
VLAN データベース内の VLAN にポートを割り当てるには、イネーブル EXEC モードを開始して、次の手順を実行します。
|
|
|
|
|---|---|---|
表示された Administrative Mode および Access Mode VLAN フィールドの設定を確認します。 |
||
インターフェイスの設定をデフォルトに戻すには、 default interfac e interface-id インターフェイス コンフィギュレーション コマンドを使用します。
次の例は、ポートを VLAN 2 内のアクセス ポートとして設定する方法を示します。
拡張範囲 VLAN の設定
スイッチが VTP トランスペアレント モード(VTP がディセーブル)にある場合は、拡張範囲 VLAN(1006 ~ 4094 の範囲)を作成できます。拡張範囲 VLAN により、サービス プロバイダーはインフラストラクチャをさらに多数のカスタマーに拡張できます。拡張範囲 VLAN ID は、VLAN ID を認めるどのスイッチポート コマンドでも認められます。拡張範囲 VLAN は、常に config-vlan モード( vlan vlan-id グローバル コンフィギュレーション コマンドを入力してアクセス)を使用して設定します。拡張範囲は、VLAN データベース コンフィギュレーション モード( vlan database イネーブル EXEC コマンドを入力してアクセス)ではサポートされていません。
拡張範囲 VLAN の設定は、VLAN データベースには保存されませんが、VTP モードがトランスペアレントなので、スイッチの実行コンフィギュレーション ファイルに保存されます。また、
copy running-config startup-config イネーブル EXEC コマンドを使用するとスタートアップ コンフィギュレーション ファイルに設定を保存できます。
(注) スイッチは 4094 の VLAN ID をサポートしますが、サポートされる VLAN の実数については「サポートされる VLAN」を参照してください。
• 「内部 VLAN ID を指定した拡張範囲 VLAN の作成」
VLAN のデフォルト設定
イーサネット VLAN のデフォルト設定については、表13-2を参照してください。拡張範囲 VLAN については MTU サイズ、プライベート VLAN、リモート SPAN 設定ステートしか変更できません。残りのすべての特性はデフォルト状態のままでなければなりません。
拡張範囲 VLAN の設定時の注意事項
拡張範囲 VLAN 作成時は、次の注意事項に従ってください。
• 拡張範囲 VLAN を追加するには、 vlan vlan-id グローバル コンフィギュレーション コマンドを使用して config-vlan モードにアクセスする必要があります。拡張範囲 VLAN は、VLAN データベース コンフィギュレーション モード( vlan database イネーブル EXEC コマンドを入力してアクセス)では追加できません。
• 拡張範囲の VLAN ID は VLAN データベースに保存されず、VTP によって認識されません。
• プルーニング適格範囲に拡張範囲 VLAN を入れることはできません。
• 拡張範囲 VLAN の作成時は、スイッチは VTP トランスペアレント モードでなければなりません。VTP モードがサーバまたはクライアントの場合は、エラー メッセージが生成され、拡張範囲 VLAN は拒否されます。
• グローバル コンフィギュレーション モードまたは VLAN データベース コンフィギュレーション モードで、VTP モードをトランスペアレントに設定できます。「VTP のディセーブル化(VTP トランスペアレント モード)」を参照してください。この設定をスタートアップ コンフィギュレーションに保存して、スイッチが VTP トランスペアレント モードで起動するようにする必要があります。そうしないとスイッチをリセットした場合に、拡張範囲 VLAN の設定が失われます。
• 拡張範囲 VLAN では、STP はデフォルトでイネーブルに設定されていますが、no spanning-tree vlan vlan-idグローバル コンフィギュレーション コマンドを使用するとディセーブルにできます。スイッチ上にスパニングツリー インスタンスの最大数がある場合、新たに作成されたどの VLAN でもスパニングツリーはディセーブルになっています。スイッチ上の VLAN 数がサポートされるスパニングツリー インスタンスの最大数を超える場合は、IEEE 802.1s MSTP をスイッチに設定して、複数の VLAN を単一のスパニングツリー インスタンスにマッピングすることを推奨します。MSTP の詳細については、 第 19 章「MSTP の設定」 を参照してください。
• スイッチ上の各ルーテッド ポートは、内部 VLAN を使用するために作成します。この内部 VLAN は拡張範囲 VLAN 番号を使用し、その内部 VLAN ID は拡張範囲 VLAN には使用できません。内部 VLAN として割り当て済みの VLAN ID を指定して拡張範囲 VLAN を作成すると、エラー メッセージが生成され、コマンドは拒否されます。
–内部 VLAN ID は拡張範囲の下部の方なので、拡張範囲 VLAN を作成するには最大の番号(4094)から始めて最小値(1006)へと動いて、内部 VLAN ID を使用する可能性を減らすことを推奨します。
–拡張範囲 VLAN を設定する前に、 show vlan internal usage イネーブル EXEC コマンドを入力して、どの VLAN が内部 VLAN として割り当てられているかを確認します。
–必要に応じて内部 VLAN に割り当てられたルーテッド ポートをシャットダウンできます。これにより、内部 VLAN が解放され、拡張範囲 VLAN を作成してポートを再度イネーブルにし、別の VLAN を内部 VLAN として使用します。「内部 VLAN ID を指定した拡張範囲 VLAN の作成」を参照してください。
• スイッチ スタックは合計1005(標準範囲および拡張範囲)の VLAN をサポートしますが、ルーテッド ポート、SVI、その他の設定済み機能の個数によって、スイッチのハードウェアの使用状況は左右されます。拡張範囲の VLAN を作成しようとしたときに、使用可能なハードウェア リソースが不十分な場合は、エラー メッセージが生成され、拡張範囲の VLAN は拒否されます。
• スイッチ スタックでは、スタック全体が同一の実行コンフィギュレーションと保存済みコンフィギュレーションを使用し、拡張範囲 VLAN 情報はスタック全体で共有されます。
拡張範囲 VLAN の作成
拡張範囲 VLAN は、グローバル コンフィギュレーション モードで、1006 ~ 4094 の VLAN ID を指定して vlan グローバル コンフィギュレーション コマンドを入力して作成します。このコマンドで config-vlan モードにアクセスします。拡張範囲 VLAN はイーサネット VLAN のデフォルトの特性を備えており( 表13-2 を参照)、MTU サイズ、プライベート VLAN、RSPAN 設定だけが変更できるパラメータです。全パラメータのデフォルト設定については、コマンド リファレンス に記載されている vlan グローバル コンフィギュレーション コマンドを参照してください。スイッチが VTP トランスペアレント モードにない場合に拡張範囲 VLAN ID を入力すると、config-vlan モードの終了時にエラー メッセージが生成され、拡張範囲 VLAN は作成されません。
拡張範囲 VLAN は VLAN データベースには保存されず、スイッチの実行コンフィギュレーション ファイルに保存されます。 copy running-config startup-config イネーブル EXEC コマンドを使用すると、スイッチのスタートアップ コンフィギュレーション ファイルに拡張範囲 VLAN の設定を保存できます。
(注) 拡張範囲 VLAN を作成する前に、show vlan internal usageイネーブル EXEC コマンドを入力して、VLAN ID が内部的に使用されていないことを確認します。VLAN ID が内部的に使用されている場合に、それを解放するには、「内部 VLAN ID を指定した拡張範囲 VLAN の作成」を参照してから拡張範囲 VLAN を作成してください。
拡張範囲 VLAN を作成するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
拡張範囲 VLAN ID を入力し、config-vlan モードを開始します。指定できる範囲は 1006 ~ 4094 です。 |
||
(任意)VLAN を RSPAN VLAN として設定します。「RSPAN VLAN としての VLAN の設定」を参照してください。 |
||
スイッチのスタートアップ コンフィギュレーション ファイルに設定を保存します。拡張範囲 VLAN 設定を保存するには、スイッチのスタートアップ コンフィギュレーション ファイルに VTP トランスペアレント モード設定と拡張範囲 VLAN 設定を保存する必要があります。そうしないとスイッチをリセットした場合に、デフォルトで VTP サーバ モードになり、拡張範囲 VLAN ID は保存されません。 |
拡張範囲 VLAN を削除するには、 no vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。
拡張範囲 VLAN にスタティック アクセス ポートを割り当てる手順は、標準範囲 VLAN に対するものと同じです。「VLAN へのスタティック アクセス ポートの割り当て」を参照してください。
次の例は、すべてのデフォルト特性を備えた新しい拡張範囲 VLAN を作成し、config-vlan モードを開始し、スイッチのスタートアップ コンフィギュレーション ファイルに新しい VLAN を保存する方法を示しています。
内部 VLAN ID を指定した拡張範囲 VLAN の作成
内部 VLAN に割り当て済みの拡張範囲 VLAN ID を入力すると、エラー メッセージが生成され、拡張範囲 VLAN は拒否されます。内部 VLAN ID を手動で解放するには、内部 VLAN ID を使用しているルーテッド ポートを一時的にシャットダウンする必要があります。
内部 VLAN に割り当てられた VLAN ID を解放してその ID で拡張範囲 VLAN を作成するには、イネーブル EXEC モードで次の手順を実行します。
VLAN の表示
拡張範囲 VLAN を含めてスイッチ上のすべての VLAN のリストを表示するには、 show vlan イネーブル EXEC コマンドを使用します。表示には、VLAN のステータス、ポート、およびコンフィギュレーション情報が含まれます。VLAN データベースの標準範囲 VLAN(1 ~ 1005)を表示するには、 show VLAN データベース コンフィギュレーション コマンド( vlan database イネーブル EXEC コマンドを入力してアクセス)を使用します。
表13-3 に、VLAN モニタ用のコマンドを示します。
|
|
|
|
|---|---|---|
show コマンドのオプションと出力フィールドの詳細については、このリリースのコマンド リファレンス を参照してください。
VLAN トランクの設定
• 「レイヤ 2 イーサネット インターフェイス VLAN のデフォルト設定」
• 「トランク ポートとしてのイーサネット インターフェイスの設定」
トランキングの概要
トランクは、1 つまたは複数のイーサネット スイッチ インターフェイスと、ルータやスイッチといった他のネットワーキング デバイス間のポイントツーポイント リンクです。イーサネット トランクは 1 つのリンクを介して複数の VLAN トラフィックを搬送するので、VLAN をネットワーク全体に拡張できます。
次の 2 種類のトランキング カプセル化方式が、すべてのイーサネット インターフェイスで使用できます。
• ISL ― シスコ独自のトランキング カプセル化方式です。
• IEEE 802.1Q ― 業界標準のトランキング カプセル化方式です。
図13-2に、ISL トランクで接続されているスイッチ ネットワークを示します。
トランクを設定できるのは、1 つのイーサネット インターフェイスまたは 1 つの EtherChannel バンドルに対してです。EtherChannel の詳細については、 第 34 章「EtherChannel の設定」 を参照してください。
イーサネット トランク インターフェイスは、数種類のトランキング モードをサポートしています( 表13-4 を参照)。インターフェイスをトランキングまたは非トランキングとして設定することも、あるいは近接インターフェイスとトランキングをネゴシエーションするように設定することもできます。トランキングの自動ネゴシエーションを設定するには、インターフェイスが同じ VTP ドメイン内にある必要があります。
トランク ネゴシエーションは、PPP(ポイントツーポイント プロトコル)である Dynamic Trunking Protocol(DTP)によって管理されます。ただし、一部のインターネットワーキング デバイスは、不正に DTP フレームを伝送することがあり、これによって誤った設定になることがあります。
これを避けるには、DTP をサポートしないデバイスに接続しているインターフェイスが DTP フレームを転送しないように設定する(DTP をオフにする)必要があります。
• これらのリンクをトランキングしない場合は、 switchport mode access インターフェイス コンフィギュレーション コマンドを使用してトランキングをディセーブルにします。
• DTP をサポートしないデバイスに対するトランキングをイネーブルにするには、 switchport mode trunk および switchport nonegotiate インターフェイス コンフィギュレーション コマンドを使用します。これにより、インターフェイスがトランクになりますが DTP フレームは生成されません。 switchport trunk encapsulation isl または switchport trunk encapsulation dot1q インターフェイス コンフィギュレーション コマンドを使用して、トランク ポートのカプセル化タイプを選択できます。
また、DTP インターフェイスでは、トランクでの ISL または IEEE 802.1Q カプセル化の使用、あるいはカプセル化タイプの自動ネゴシエーションを指定することもできます。DTP は、ISL と IEEE 802.1Q トランクの両方の自動ネゴシエーションをサポートします。
(注) DTP はプライベート VLAN ポートまたはトンネル ポートではサポートされていません。
|
|
|
|---|---|
インターフェイス(アクセス ポート)は永続的な非トランキング モードになり、リンクを非トランク リンクに変換するようにネゴシエーションします。インターフェイスは、近接インターフェイスがトランク インターフェイスであるかどうかに関係なく、非トランク インターフェイスになります。 |
|
インターフェイスがリンクをトランク リンクに変換できるようにします。近接インターフェイスが trunk または desirable モードに設定されていれば、インターフェイスはトランク インターフェイスになります。すべてのイーサネット インターフェイスのデフォルトのスイッチポート モードは、 dynamic auto です。 |
|
インターフェイスがリンクのトランク リンクへの変換をアクティブに試行するようにします。近接インターフェイスが trunk 、 desirable 、または auto モードに設定されていれば、インターフェイスはトランク インターフェイスになります。 |
|
インターフェイスは永続的なトランキング モードになり、近接リンクをトランク リンクに変換するようにネゴシエーションします。近接インターフェイスがトランク インターフェイスでなくても、インターフェイスはトランク インターフェイスになります。 |
|
インターフェイスが DTP フレームを生成しないようにします。このコマンドを使用できるのは、インターフェイスのスイッチポート モードが access または trunk の場合だけです。近接インターフェイスを手動でトランク インターフェイスとして設定して、トランク リンクを確立する必要があります。 |
|
インターフェイスをトンネル(非トランキング)ポートとして設定し、IEEE 802.1Q トランク ポートと非対称リンクで接続されるようにします。IEEE 802.1Q トンネリングは、サービスプロバイダー ネットワーク全体でカスタマー VLAN の整合性を維持するのに使用されます。トンネル ポートについての詳細は、 第 17 章「IEEE 802.1Q およびレイヤ 2 プロトコル トンネリングの設定」 を参照してください。 |
カプセル化タイプ
表13-5 に、イーサネット トランクのカプセル化タイプおよびキーワードを示します。
|
|
|
|---|---|
インターフェイスが近接インターフェイスとネゴシエーションを行い、近接インターフェイスの設定および機能に応じて、ISL トランク(優先)または IEEE 802.1Q トランクになるように指定します。これは、スイッチのデフォルトです。 |
(注) スイッチはレイヤ 3 トランクをサポートしません。したがって、サブインターフェイスを設定したり、レイヤ 3 インターフェイスでencapsulationキーワードを使用したりすることはできません。ただし、スイッチは、同等の機能を備えたレイヤ 2 トランクおよびレイヤ 3 VLAN インターフェイスをサポートします。
リンクが ISL トランクまたは IEEE 802.1Q トランクのどちらになるかは、接続された 2 つのインターフェイスのトランキング モード、トランク カプセル化タイプ、およびハードウェア機能によって決まります。
IEEE 802.1Q の設定に関する注意事項
IEEE 802.1Q トランクでは、ネットワークのトランキング方式に次の制約があります。
• IEEE 802.1Q トランクを使用して接続したシスコ製スイッチのネットワークでは、スイッチはトランク上で許可された VLAN ごとに 1 つのスパニングツリー インスタンスを維持します。他社製のデバイスは、すべての VLAN に対して 1 つのスパニングツリー インスタンスをサポートする場合があります。
IEEE 802.1Q トランクを使用して他社製のデバイスにシスコ製スイッチを接続する場合、シスコ製スイッチは、トランクの VLAN のスパニングツリー インスタンスを他社製 IEEE 802.1Q スイッチのスパニングツリー インスタンスと結合します。ただし、各 VLAN のスパニングツリー情報は、他社製の IEEE 802.1Q スイッチからなるクラウドにより分離されたシスコ製スイッチによって維持されます。シスコ製スイッチを分離する他社製の IEEE 802.1Q スイッチ クラウドは、スイッチ間の 1 つのトランク リンクとして取り扱われます。
• IEEE 802.1Q トランクに対応するネイティブ VLAN が、トランク リンクの両端で一致していなければなりません。トランクの一方のネイティブ VLAN ともう一方のネイティブ VLAN が異なっていると、スパニングツリー ループが発生する可能性があります。
• ネットワーク内のすべての VLAN でスパニングツリーをディセーブルにしないまま、IEEE
802.1Q トランクのネイティブ VLAN でスパニングツリーをディセーブルにすると、スパニングツリー ループが発生する可能性があります。IEEE 802.1Q トランクのネイティブ VLAN でスパニングツリーをイネーブルのままにしておくか、または、ネットワーク内のすべての VLAN でスパニングツリーをディセーブルにしてください。また、ネットワークにループがないことを確認してから、スパニングツリーをディセーブルにしてください。
レイヤ 2 イーサネット インターフェイス VLAN のデフォルト設定
表13-6 に、レイヤ 2 イーサネット インターフェイス VLAN のデフォルト設定を示します。
|
|
|
|---|---|
トランク ポートとしてのイーサネット インターフェイスの設定
トランク ポートは VTP アドバタイズを送受信するので、VTP を使用するためには、スイッチに少なくとも 1 つのトランク ポートが設定されており、そのトランク ポートが別のスイッチのトランク ポートに接続されていることを確認する必要があります。そうでない場合、スイッチは VTP アドバタイズを受信できません。
(注) デフォルトでは、インターフェイスはレイヤ 2 モードです。レイヤ 2 インターフェイスのデフォルト モードは、switchport mode dynamic autoです。近接インターフェイスがトランキングをサポートし、トランキングを許可するように設定されている場合、リンクはレイヤ 2 トランクです。また、インターフェイスがレイヤ 3 モードの場合は、switchportインターフェイス コンフィギュレーション コマンドを入力するとレイヤ 2 トランクになります。デフォルトでは、トランクはカプセル化をネゴシエーションします。近接インターフェイスが ISL および IEEE 802.1Q カプセル化の両方をサポートし、両方のインターフェイスがカプセル化タイプをネゴシエーションするように設定されている場合は、トランクは ISL カプセル化を使用します。
他の機能との相互作用
• トランク ポートは EtherChannel ポート グループにまとめることができますが、グループ内のすべてのトランクは同じ設定にしておく必要があります。グループを初めて作成したときは、そのグループに最初に追加されたポートのパラメータ設定値をすべてのポートが引き継ぎます。次に示すパラメータのいずれかの設定を変更すると、スイッチは、入力された設定をグループ内のすべてのポートに伝播します。
–トランク ステータス:ポート グループ内の 1 つのポートがトランクでなくなった場合、すべてのポートがトランクでなくなります。
• 設定するトランク ポート数は、PVST モードでは 24、MST モードでは 40 だけにしてください。
• トランク ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、ポート モードは変更されません。
• ダイナミック モードのポートは、近接ポートとネゴシエーションしてトランク ポートになることができます。ダイナミック ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとしても、ポート モードは変更されません。
トランク ポートの設定
ポートをトランク ポートとして設定するには、イネーブル EXEC モードで次の手順を実行します。
インターフェイスの設定をデフォルトに戻すには、 default interface interface-id インターフェイス コンフィギュレーション コマンドを使用します。トランキング インターフェイスのすべてのトランキング特性をデフォルトにリセットするには、 no switchport trunk インターフェイス コンフィギュレーション コマンドを使用します。トランキングをディセーブルにするには、 switchport mode access インターフェイス コンフィギュレーション コマンドを使用してポートをスタティック アクセス ポートとして設定します。
次の例は、ポートを IEEE 802.1Q トランクとして設定する方法を示します。ここでは、近接インターフェイスが IEEE 802.1Q トランキングをサポートするよう設定されていると仮定しています。
トランク上での許可 VLAN の定義
デフォルトでは、トランク ポートはすべての VLAN に対してトラフィックの送受信を行います。各トランクで、すべての VLAN ID(1 ~ 4094)が許可されます。ただし、許可リストから VLAN を削除することにより、それらの VLAN からのトラフィックがトランク上を流れないようにすることができます。トランクが伝送するトラフィックを制限するには、 switchport trunk allowed vlan remove vlan-list インターフェイス コンフィギュレーション コマンドを使用して、許可リストから特定の VLAN を削除します。
(注) VLAN 1 は、すべてのシスコ製スイッチ内のすべてのトランク ポートのデフォルト VLAN です。以前は、すべてのトランク リンクで VLAN 1 を常にイネーブルにしておく必要がありました。VLAN 1 上でユーザ トラフィック(スパニングツリー アドバタイズを含む)が送受信されないように、VLAN 1 最小化機能を使用して、任意の各 VLAN トランク リンクで VLAN 1 をディセーブルにできます。
スパニングツリー ループまたはストームのリスクを削減するために、許可リストから VLAN 1 を削除して、任意の各 VLAN トランク ポートの VLAN 1 をディセーブルにできます。トランク ポートから VLAN 1 を削除しても、インターフェイスは、たとえば、Cisco Discovery Protocol(CDP)、Port Aggregation Protocol(PAgP; ポート集約プロトコル)、Link Aggregation Control Protocol(LACP)、DTP、VLAN 1 内の VTP などの管理トラフィックを送受信し続けます。
VLAN 1 がディセーブルなトランク ポートが非トランク ポートに変換された場合は、アクセス VLAN に追加されます。アクセス VLAN が 1 に設定されている場合、 switchport trunk allowed 設定に関係なく、ポートは VLAN 1 に追加されます。ポート上でディセーブルなすべての VLAN について、同じことが当てはまります。
トランク ポートは、VLAN がイネーブルになっており、VTP が VLAN を認識し、かつポートの許可リストにその VLAN が登録されている場合に、VLAN のメンバーになることができます。VTP が新しくイネーブルにされた VLAN を認識し、その VLAN がトランク ポートの許可リストに登録されている場合、トランク ポートは自動的にそのイネーブルにされた VLAN のメンバーになります。VTP が新しい VLAN を認識し、その VLAN がトランク ポートの許可リストに登録されていない場合には、トランク ポートはその新しい VLAN のメンバーにはなりません。
トランクの許可リストを変更するには、イネーブル EXEC モードを開始して、次の手順を実行します。
すべての VLAN の許可 VLAN リストをデフォルトに戻すには、 no switchport trunk allowed vlan インターフェイス コンフィギュレーション コマンドを使用します。
次の例は、ポートの許可 VLAN リストから VLAN 2 を削除する方法を示しています。
プルーニング適格リストの変更
プルーニング適格リストは、トランク ポートだけに適用されます。各トランク ポートには、それぞれ独自の適格リストがあります。次の手順が有効であるためには、VTP プルーニングがイネーブルに設定されている必要があります。VTP プルーニングをイネーブルにする手順については、「VTP プルーニングのイネーブル化」を参照してください。
トランク ポートのプルーニング適格リストから VLAN を削除するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
VLAN プルーニングを適用するトランク ポートを選択し、インターフェイス コンフィギュレーション モードを開始します。 |
||
switchport trunk pruning vlan { add | except | none | remove } vlan-list [ ,vlan [ ,vlan [ ,,, ]] |
トランクからのプルーニングが許可されている VLAN のリストを設定します( VTP プルーニングを参照)。 add 、 except 、 none 、および remove キーワードの使用法については、このリリースのコマンド リファレンス を参照してください。 連続しない VLAN ID は、スペースを入れずにカンマで区切ります。ID の範囲を表すには、ハイフンを使用します。有効な ID は 2 ~ 1001 です。拡張範囲 VLAN(VLAN ID が 1006 ~ 4094)はプルーニングできません。 |
|
すべての VLAN のプルーニング適格リストをデフォルトに戻すには、 no switchport trunk pruning vlan インターフェイス コンフィギュレーション コマンドを使用します。
タグなしトラフィック用ネイティブ VLAN の設定
IEEE 802.1Q タギングが設定されたトランク ポートは、タグ付きトラフィックおよびタグなしトラフィックの両方を受信できます。デフォルトでは、スイッチはタグなしトラフィックをポートに設定されたネイティブ VLAN に伝送します。ネイティブ VLAN は、デフォルトでは VLAN 1 です。
(注) ネイティブ VLAN には任意の VLAN ID を割り当てることができます。
IEEE 802.1Q 設定の詳細については、「IEEE 802.1Q の設定に関する注意事項」を参照してください。
IEEE 802.1Q トランクでネイティブ VLAN を設定するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
IEEE 802.1Q トランクとして設定されているインターフェイスを定義し、インターフェイス コンフィギュレーション モードを開始します。 |
||
ネイティブ VLAN をデフォルトの VLAN 1 に戻すには、 no switchport trunk native vlan インターフェイス コンフィギュレーション コマンドを使用します。
パケットの VLAN ID が発信ポートのネイティブ VLAN ID と同じであれば、そのパケットはタグなしで伝送されます。同じでない場合、スイッチはそのパケットをタグ付きで伝送します。
トランク ポートの負荷分散の設定
負荷分散により、スイッチに接続しているパラレル トランクの提供する帯域幅が分割されます。STP は通常、ループを防止するために、スイッチ間で 1 つのパラレル リンク以外のすべてのリンクをブロックします。負荷分散を行うと、トラフィックが属する VLAN に基づいて、リンク間でトラフィックが分割されます。
トランク ポートで負荷分散を設定するには、STP ポート プライオリティまたは STP パス コストを使用します。STP ポート プライオリティを使用して負荷分散を設定する場合には、両方の負荷分散 リンクを同じスイッチに接続する必要があります。STP パス コストを使用して負荷分散を設定する場合には、それぞれの負荷分散 リンクを同じスイッチに、または 2 台の異なるスイッチに接続できます。STP の詳細については、 第 18 章「STP の設定」 を参照してください。
STP ポート プライオリティによる負荷分散
同一スイッチ上の 2 つのポートがループを形成すると、STP ポート プライオリティの設定により、イネーブルになるポートとブロッキング ステートになるポートが決まります。パラレル トランク ポートにプライオリティを設定すると、そのポートは、特定の VLAN のすべてのトラフィックを搬送できます。VLAN に対するプライオリティがより高い(より小さい値)トランク ポートがその VLAN のトラフィックを伝送します。同じ VLAN に対してプライオリティのより低い(より大きい値)トランク ポートは、その VLAN に対してブロッキング ステートのままです。1 つのトランク ポートが特定の VLAN に関するすべてのトラフィックを送受信することになります。
図13-3に、サポート対象スイッチを接続する 2 つのトランクを示します。この例では、スイッチは次のように設定されています。
• VLAN 8 ~ 10 は、トランク 1 でポート プライオリティ 16 が与えられています。
• VLAN 3 ~ 6 は、トランク 1 でデフォルトのポート プライオリティ 128 のままです。
• VLAN 3 ~ 6 は、トランク 2 でポート プライオリティ 16 が与えられています。
• VLAN 8 ~ 10 は、トランク 2 でデフォルトのポート プライオリティ 128 のままです。
このように設定すると、トランク 1 が VLAN 8 ~ 10 のトラフィックを搬送し、トランク 2 が VLAN 3 ~ 6 のトラフィックを搬送します。アクティブ トランクで障害が起きた場合には、プライオリティのより低いトランクが引き継ぎ、すべての VLAN のトラフィックを搬送します。どのトランク ポート上でも、トラフィックの重複は発生しません。
(注) スイッチがスイッチ スタックのメンバーの場合は、spanning-tree [vlan vlan-id] port-priority priority インターフェイス コンフィギュレーション コマンドの代わりに、spanning-tree [vlan vlan-id] cost cost インターフェイス コンフィギュレーション コマンドを使用して、インターフェイスをフォワーディング ステートにするように選択する必要があります。最初に選択させたいインターフェイスには小さいコスト値を、最後に選択させたいインターフェイスには大きいコスト値を割り当てます。詳細については、「STP パス コストによる負荷分散」を参照してください。
図13-3に示すネットワークを設定するには、イネーブル EXEC モードで次の手順を実行します。
STP パス コストによる負荷分散
トランクに異なるパス コストを設定し、各パス コストを異なる VLAN セットに対応付け、VLAN ごとに異なるポートをブロッキングすることにより、VLAN トラフィックを分散するようにパラレル トランクを設定できます。VLAN は、トラフィックを個別に保持し、リンクが失われても冗長性を維持します。
図13-4で、トランク ポート 1 および 2 は 100BASE-T ポートとして設定されています。次の VLAN パス コストが割り当てられています。
• VLAN 2 ~ 4 には、トランク ポート 1 でパス コスト 30 が割り当てられています。
• VLAN 8 ~ 10 は、トランク ポート 1 で 100BASE-T のデフォルトのパス コスト 19 のままになっています。
• VLAN 8 ~ 10 には、トランク ポート 2 でパス コスト 30 が割り当てられています。
• VLAN 2 ~ 4 は、トランク ポート 2 で 100BASE-T のデフォルトのパス コスト 19 のままになっています。
図13-4 パス コストによってトラフィックが分散される負荷分散トランク
図13-4に示すネットワークを設定するには、イネーブル EXEC モードで次の手順を実行します。
VMPS の設定
VLAN Query Protocol(VQP)は、ダイナミック アクセス ポートをサポートするために使用されます。ダイナミック アクセス ポートは、永続的には VLAN に割り当てられませんが、ポート上で認識された MAC 送信元アドレスに基づいて VLAN に割り当てられます。スイッチは、不明の MAC アドレスを認識するたびに、VQP クエリーをリモート VMPS へ送信します。クエリーには、新たに認識された MAC アドレスと認識元のポートが含まれます。VMPS は、ポートの VLAN 割り当てと一緒に応答を返します。このスイッチは VMPS サーバとしては使用できませんが、VMPS のクライアントとして動作し、VQP を介して VMPS と通信します。
• 「ダイナミック アクセス ポート VLAN メンバーシップのトラブルシューティング」
VMPS の概要
クライアント スイッチは、新たなホストの MAC アドレスを受け取るたびに、VQP クエリーを VMPS に送信します。VMPS は、このクエリーを受信すると、自身のデータベースで MAC アドレス/VLAN 間のマッピングを検索します。サーバはこのマッピングと、サーバがオープン モードかセキュア モードであるかに基づいて応答を返します。セキュア モードでは、サーバは違法なホストを検出すると、そのポートをシャットダウンします。オープン モードでは、サーバは単にポートへのホストのアクセスを拒否するだけです。
ポートが現在 未割り当て(unassigned) の場合(つまり、まだ VLAN に割り当てられていない)、VMPS は次の応答のいずれかを返します。
• ホストがポート上で許可されている場合、VMPS は、割り当てられた VLAN 名を含み、ホストへのアクセスを許可する VLAN 割り当て ( vlan-assignment )の応答をクライアントに送信します。
• ホストがポート上で許可されておらず、かつ、VMPS がオープン モードである場合、VMPS は アクセス拒否(access-denied) の応答を送信します。
• VLAN がポート上で許可されておらず、かつ、VMPS がセキュア モードの場合、VMPS は ポート シャットダウン(port-shutdown) の応答を送信します。
ポートが既に VLAN 割り当てを持つ場合は、VMPS は次の応答のいずれかを返します。
• データベース内の VLAN がポート上の現在の VLAN と一致する場合、VMPS は 成功 ( success )の応答を返し、ホストへのアクセスを許可します。
• データベースの VLAN とポート上の現在の VLAN が一致せず、かつ、ポート上にアクティブなホストがある場合、VMPS のセキュア モードに応じて、VMPS は アクセス拒否 または ポート シャットダウン の応答を送信します。
VMPS から アクセス拒否 の応答を受信したスイッチは、引き続き、そのホスト MAC アドレスとやり取りされるトラフィックをブロックします。また、スイッチは引き続きそのポート宛てのパケットをモニタし、新しいホスト アドレスを検出するたびに、VMPS にクエリーを送ります。VMPS から ポート シャットダウン 応答を受け取ったスイッチは、ポートをディセーブルにします。このポートは、Network Assistant、CLI、または SNMP を使用して、手動で再びイネーブルにする必要があります。
ダイナミック アクセス ポート VLAN メンバーシップ
ダイナミック アクセス ポートは ID が 1 ~ 4094 の 1 つの VLAN にしか属せません。リンクがアクティブになっても、VMPS によって VLAN 割り当てが行われるまで、スイッチとこのポート間ではトラフィックの伝送は行われません。VMPS はダイナミック アクセス ポートに接続された新しいホストの最初のパケットから送信元 MAC アドレスを受信し、VMPS データベースに登録されている VLAN とその MAC アドレスを照合します。
MAC アドレスと VMPS データベース内の VLAN が一致した場合には、VMPS がそのポートの VLAN 番号を送信します。クライアント スイッチがまだ設定されていない場合には、クライアント スイッチは、トランク ポートで VMPS から受信した最初の VTP パケットに指定されているドメイン名を使用します。クライアント スイッチがすでに設定されている場合には、VMPS へのクエリー パケットに自身のドメイン名を指定して、VLAN 番号を取得します。VMPS はパケットに指定されたドメイン名が自身のドメイン名と一致することを確認してから、要求を受け入れ、そのクライアント用に割り当てた VLAN 番号を使用してクライアントに応答します。一致しなかった場合、VMPS は(VMPS のセキュア モードの設定に応じて)要求を拒否するか、またはポートをシャットダウンします。
ダイナミック アクセス ポート上で複数のホスト(MAC アドレス)がアクティブになるのは、それらのホストがすべて同じ VLAN に属する場合に限られます。ただし、同一ポート上でアクティブのホストが 20 を超えると、VMPS はそのポートをシャットダウンします。
ダイナミック アクセス ポート上でリンクがダウンすると、そのポートは切り離された状態に戻り、VLAN から離脱します。このポートを介してオンラインになるホストは、VQP により再び VMPS のチェックを受けたあとに、ポートが VLAN に割り当てられます。
ダイナミック アクセス ポートは、直接ホストに接続できます。また、ネットワークへ接続することもできます。スイッチ上のポートあたり最大 20 の MAC アドレスが許可されます。ダイナミック アクセス ポートは一度に 1 つの VLAN にしか属せません。ただし、VLAN は認識された MAC アドレスに応じて時間の経過とともに変更されることがあります。
VMPS クライアントのデフォルト設定
表13-7 に、クライアント スイッチ上の VMPS およびダイナミック アクセス ポートのデフォルト設定を示します。
|
|
|
|---|---|
VMPS 設定時の注意事項
ダイナミック アクセス ポート VLAN メンバーシップには、次の注意事項および制限事項があります。
• VMPS を先に設定してから、ダイナミック アクセス ポートとしてポートを設定する必要があります。
• ポートをダイナミック アクセス ポートとして設定すると、そのポートに対してスパニングツリーの PortFast 機能が自動的にイネーブルになります。PortFast モードにより、ポートがフォワーディング ステートになるプロセスが高速化されます。
• IEEE 802.1x ポートは、ダイナミック アクセス ポートとして設定できません。ダイナミック アクセス(VQP)ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミック VLAN 割り当てに変更しようとすると、エラー メッセージが表示され、VLAN 設定は変更されません。
• トランク ポートをダイナミック アクセス ポートにすることはできません。ただし、トランク ポートに対して switchport access vlan dynamic インターフェイス コンフィギュレーション コマンドを入力できます。 この場合、スイッチは設定値を保持し、後にポートがアクセス ポートとして設定された場合にはその設定値が適用されます。
ダイナミック アクセスの設定を有効にするには、ポートのトランキングをオフにする必要があります。
• ダイナミック アクセス ポートをモニタ ポートにすることはできません。
• セキュア ポートをダイナミック アクセス ポートにすることはできません。ダイナミックになる前にポートでのポート セキュリティをディセーブルにする必要があります。
• プライベート VLAN ポートはダイナミックアクセス ポートになれません。
• ダイナミック アクセス ポートは、EtherChannel グループのメンバーになれません。
• ポート チャネルは、ダイナミック アクセス ポートとして設定できません。
• ダイナミック アクセス ポートは、代替ブリッジングに加入できます。
VMPS クライアントの設定
ダイナミック VLAN は VMPS(サーバ)を使用して設定します。スイッチは VMPS クライアントにすることはできますが、VMPS サーバにはできません。
VMPS の IP アドレスの入力
スイッチをクライアントとして設定するには、最初にサーバの IP アドレスを入力する必要があります。
(注) スイッチ クラスタに VMPS を定義する場合は、コマンド スイッチ上でアドレスを入力します。
VMPS の IP アドレスを入力するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
(注) ダイナミック アクセス ポートを動作させるには、VMPS への IP 接続を確立する必要があります。VMPS の IP アドレスへ ping し、応答の受信を確認することで、IP 接続をテストできます。
VMPS クライアントのダイナミック アクセス ポートの設定
クラスタ メンバー スイッチのポートをダイナミック アクセス ポートとして設定する場合は、最初に rcommand イネーブル EXEC コマンドを使用してクラスタ メンバー スイッチにログインします。
VMPS クライアント スイッチにダイナミック アクセス ポートを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
エンド ステーションに接続されているスイッチ ポートを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
インターフェイスの設定をデフォルトに戻すには、 default interface interface-id インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスのスイッチポート モードの設定をデフォルト(dynamic auto)に戻すには、 no switchport mode インターフェイス コンフィギュレーション コマンドを使用します。アクセス モードをスイッチのデフォルト VLAN にリセットするには、 no switchport access vlan インターフェイス コンフィギュレーション コマンドを使用します。
VLAN メンバーシップの確認
スイッチが VMPS から受信したダイナミック アクセス ポート VLAN メンバーシップの割り当てを確認するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
再確認インターバルの変更
VMPS クライアントは、VMPS から受信した VLAN メンバーシップ情報を定期的に再確認します。再確認する間隔を分単位で設定できます。
クラスタ内のメンバー スイッチを設定する場合、このパラメータをコマンド スイッチ上の再確認設定値以上にする必要があります。この場合もまた、 rcommand イネーブル EXEC コマンドを使用してメンバー スイッチにログインする必要があります。
再確認インターバルを変更するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
ダイナミック VLAN メンバーシップを再確認する間隔を分単位で指定します。指定できる範囲は 1 ~ 120 です。デフォルト値は 60 です。 |
||
表示されている Reconfirm Interval フィールドのダイナミック VLAN の再確認ステータスを確認します。 |
||
スイッチをデフォルト設定に戻すには、 no vmps reconfirm グローバル コンフィギュレーション コマンドを使用します。
再試行回数の変更
スイッチが次のサーバにクエリー送信するまでに、VMPS との接続を試みる試行回数を変更するには、イネーブル EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
スイッチをデフォルト設定に戻すには、 no vmps retry グローバル コンフィギュレーション コマンドを使用します。
VMPS のモニタ
VMPS 情報を表示するには、 show vmps イネーブル EXEC コマンドを使用します。VMPS について、次の情報が表示されます。
• VMPS VQP バージョン ― VMPS との通信に使用される VQP のバージョン。スイッチは VQP バージョン 1 を使用する VMPS にクエリー送信をします。
• 再確認インターバル ― VLAN と MAC アドレスとの割り当てを再確認するまでにスイッチが待機する時間(分単位)。
• サーバ再試行回数 ― VQP から VMPS にクエリーを再送信する回数。この回数だけ試行しても応答がない場合、スイッチはセカンダリ VMPS に対してクエリー送信を開始します。
• VMPS ドメイン サーバ ― 設定されている VLAN メンバーシップ ポリシー サーバの IP アドレス。スイッチは、currentの指定があるサーバにクエリーを送信しています。primaryと表示されたサーバがプライマリ サーバです。
• VMPS アクション ― 最新の再確認試行の結果。再確認は、再確認インターバルとして設定された時間が経過すると自動的に行われます。また、 vmps reconfirm イネーブル EXEC コマンドを入力するか、Network Assistant またはSNMP の同等のコマンドを使用することによって、強制的に再確認できます。
次に、 show vmps イネーブル EXEC コマンドの出力例を示します。
ダイナミック アクセス ポート VLAN メンバーシップのトラブルシューティング
VMPS は次の条件が発生したときに、ダイナミック アクセス ポートをシャットダウンします。
• VMPS がセキュア モードで、かつ、ホストにポートへの接続を許可しない場合。VMPS は、ホストがネットワークに接続しないように、ポートをシャットダウンします。
• 1 つのダイナミック アクセス ポート上に 20 を超えるアクティブ ホストが存在する場合。
ディセーブルのダイナミック アクセス ポートを再度イネーブルにするには、 shutdown インターフェイス コンフィギュレーション コマンドに続けて、 no shutdown インターフェイス コンフィギュレーション コマンドを入力します。
VMPS の構成例
図13-5に、VMPS サーバ スイッチと、ダイナミック アクセス ポートの設定された VMPS クライアント スイッチで構成されるネットワークを示します。この例の前提条件は次のとおりです。
• VMPS サーバと VMPS クライアントは、それぞれ別個のスイッチです。
• Catalyst 6500 シリーズ スイッチ A がプライマリの VMPS サーバです。
• Catalyst 6500 シリーズ スイッチ C およびスイッチ J がセカンダリの VMPS サーバです。
• エンド ステーションは、クライアント(スイッチ B、およびスイッチ I)に接続されます。
• データベース コンフィギュレーション ファイルは、IP アドレス 172.20.22.7 の Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバに保管されます。
図13-5 ダイナミック ポート VLAN メンバーシップの構成
フィードバック