- はじめに
- 製品概要
- コマンドライン インターフェイス
- スイッチの初期設定
- スイッチの管理
- Cisco IOS インサービス ソフトウェア アップグレード プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- RPR および SSO を使用したスーパーバイザ エンジンの冗長設定
- Cisco NSF/SSO スーパーバイザ エンジンの冗長構成の設定
- 環境モニタリングおよび電源管理
- Power over Ethernet(PoE)の設定
- Cisco Network Assistant による Catalyst 4500 シリーズ スイッチの設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイスの設定
- レイヤ 2 イーサネット インターフェイスの設定
- SmartPort マクロの設定
- STP および MST の設定
- オプションの STP 機能の設定
- EtherChannel の設定
- IGMP スヌーピングとフィルタリングの設定
- IPv6 MLD スヌーピングの設定
- 802.1Q およびレイヤ 2 プロトコル トンネリングの設定
- CDP の設定
- UDLD の設定
- 単一方向イーサネットの設定
- レイヤ 3 インターフェイスの設定
- CEF の設定
- uRPF の設定
- IP マルチキャストの設定
- ポリシーベース ルーティングの設定
- VRF-Lite の設定
- Quality of Service の設定
- 音声インターフェイスの設定
- 802.1X ポートベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングの設定
- DHCP スヌーピング、IP ソース ガード、およびスタティック ホストの IPSG の設定
- ダイナミック ARP インスペクションの設定
- ACL によるネットワーク セキュリティの設定
- プライベート VLAN の設定
- ポート ユニキャストおよびマルチキャスト フラッディング ブロック
- ストーム制御の設定
- SPAN および RSPAN の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- NetFlow の設定
- RMON の設定
- 診断の実行
- WCCP バージョン 2 サービスの設定
- MIB サポートの設定
- 索引
- 略語
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース 12.2(44)SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月8日
章のタイトル: プライベート VLAN の設定
プライベート VLAN の設定
(注) Supervisor Engine 6-E は、コミュニティ PVLAN、独立 PVLAN トランク、および無差別トランク ポートをサポートしません。
この章では、Catalyst 4500 シリーズ スイッチ上の Private VLAN(PVLAN; プライベート VLAN)について説明します。また、注意事項、手順、設定例についても示します。
(注) この章のスイッチ コマンドの構文および使用方法の詳細については、『Catalyst 4500 Series Switch Cisco IOS Command Reference』および次の URL の関連マニュアルを参照してください。
http://www.cisco.com/en/US/products/ps6350/index.html
コマンド リスト
この表には、主に PVLAN で共通に使用されるコマンドを示します。
PVLAN の概要
PVLAN 機能を使用すると、サービス プロバイダーが VLAN を使用したときに直面する 2 つの問題に対処できます。
•
スイッチがサポートするアクティブ VLAN は最大で 1005 です。サービス プロバイダーが 1 カスタマーあたり 1 つの VLAN を割り当てる場合、サービス プロバイダーがサポートできるカスタマー数はこれに制限されます。
• IP ルーティングをイネーブルにするには、各 VLAN にサブネット アドレス空間またはアドレス ブロックを割り当てますが、これにより、未使用の IP アドレスが無駄になり、IP アドレスの管理に問題が起きます。
PVLAN の使用により、サービス プロバイダーにはスケーラビリティと IP アドレス管理上の利点がもたらされ、顧客にはレイヤ 2 セキュリティが提供されます。プライベート VLAN では、通常の VLAN ドメインをサブドメインに分割します。サブドメインは、 プライマリ VLAN と セカンダリ VLAN のペアで表されます。プライベート VLAN には複数の VLAN ペアを設定可能で、各サブドメインにつき 1 ペアになります。プライベート VLAN 内のすべての VLAN ペアは同じプライマリ VLAN を共有します。セカンダリ VLAN ID は、各サブドメインの区別に使用されます。図 40-1 を参照してください。
• 独立 VLAN:独立 VLAN 内のポートは、レイヤ 2 レベルで相互に通信できません。
• コミュニティ VLAN:コミュニティ VLAN 内のポートは互いに通信できますが、レイヤ 2 レベルにある他のコミュニティ内のポートとは通信できません。
無差別ポートは、1 つのプライマリ VLAN、1 つの独立 VLAN、複数のコミュニティ VLAN だけで動作できます。レイヤ 3 ゲートウェイは通常無差別ポートを介してスイッチに接続されています。
スイッチング環境では、個々のエンド ステーションに、または共通グループのエンド ステーションに、個別のプライベート VLAN や、関連する IP サブネットを割り当てることができます。エンド ステーションはデフォルト ゲートウェイとの通信を行うだけで、プライベート VLAN の外部と通信することができます。
プライベート VLAN を使用し、次の方法でエンド ステーションへのアクセスを制御できます。
• エンド ステーションに接続されているインターフェイスを選択して独立ポートとして設定し、レイヤ 2 の通信をしないようにします。たとえば、エンド ステーションがサーバの場合、この設定によりサーバ間のレイヤ 2 通信ができなくなります。
• デフォルト ゲートウェイおよび選択した端末(バックアップ サーバなど)に接続するインターフェイスを無差別ポートとして設定して、すべての端末をデフォルト ゲートウェイにアクセスさせることができます。
• VLAN および IP サブネット内のトラフィック量を減らせば、端末が同じ VLAN および IP サブネット内にある場合でも端末間のトラフィックを防止できます。
無差別ポートを使用すると、さまざまなデバイスを PVLAN への「アクセス ポイント」として接続できます。たとえば、無差別ポートを LocalDirector のサーバ ポートに接続して、サーバに独立 VLAN または多数のコミュニティ VLAN を接続できます。LocalDirector は、独立またはコミュニティ VLAN 内にあるサーバのロード バランシングを行います。無差別ポートを使用して、管理ワークステーションからすべての PVLAN サーバのモニタまたはバックアップを行うことも可能です。
• 「定義一覧」
定義一覧
複数のスイッチの PVLAN
(注) Supervisor Engine 6-E は、コミュニティ PVLAN、独立 PVLAN トランク、および混合モード PVLAN トランク ポートをサポートしません。
標準トランク ポート
通常の VLAN と同様に、プライベート VLAN を複数のスイッチにまたがるように設定できます。トランク ポートはプライマリ VLAN およびセカンダリ VLAN を隣接スイッチに伝送します。トランク ポートはプライベート VLAN を他の VLAN として扱います。複数のスイッチにまたがるプライベート VLAN の機能の場合、スイッチ A にある独立ポートからのトラフィックはスイッチ B に到達しません。図 40-2 を参照してください。
プライベート VLAN コンフィギュレーションのセキュリティを保って VLAN の他のユーザがプライベート VLAN に設定されないようにするには、プライベート VLAN ポートのないデバイスを含む、すべての中間デバイス内にプライベート VLAN を設定します。
(注) トランク ポートは、通常の VLAN からのトラフィックを伝送し、またプライマリ、独立、およびコミュニティ VLAN からのトラフィックも伝送します。
(注) トランキングを実行するスイッチが両方とも PVLAN をサポートする場合は、標準トランク ポートを使用します。
VTP はプライベート VLAN をサポートしないので、レイヤ 2 ネットワーク内のすべてのスイッチにプライベート VLAN を手動で設定する必要があります。ネットワーク内の一部のスイッチにプライマリおよびセカンダリ VLAN の関連を設定しない場合、これらのスイッチのレイヤ 2 データベースは統合されません。これにより、これらのスイッチにプライベート VLAN トラフィックの不要なフラッディングが発生する可能性があります。
独立 PVLAN トランク ポート
PVLAN 独立ホスト ポートを使用して、通常の VLAN を複数伝送するか、複数の PVLAN ドメインで VLAN を複数伝送する場合、独立 PVLAN トランク ポートを使用します。これは、PVLAN をサポートしないダウンストリーム スイッチ(Catalyst 2950 など)を接続する場合に役立ちます。
この図では、PVLAN をサポートしないダウンストリーム スイッチの接続に Catalyst 4500 スイッチが使用されています。
ルータから host1 へのダウン ストリーム方向に送信されるトラフィックは、無差別ポートとプライマリ VLAN(VLAN 10)の Catalyst 4500 シリーズ スイッチによって受信されます。その後、パケットは独立 PVLAN トランクからスイッチングされますが、プライマリ VLAN(VLAN 10)にタグ付けされずに独立 VLAN(VLAN 11)にタグ付けされて送信されます。このように、パケットが非 PVLAN スイッチに着信すると、宛先ホストのアクセス ポートにブリッジングされます。
アップストリーム方向のトラフィックは、host1 から非 PVLAN スイッチへ送信され、VLAN 11 に着信します。その後、パケットは、トランク ポート経由でこの VLAN(VLAN 11)のタグにタグ付けされる Catalyst 4500 シリーズ スイッチに送信されます。Catalyst 4500 シリーズ スイッチでは、VLAN 11 が独立 VLAN として設定され、トラフィックは独立ホスト ポートから送信されたかのように転送されます。
(注) このように独立トランクを使用すると、Catalyst 4500 シリーズ スイッチは独立トランクと直接接続しているホスト(host3 など)とを分離することができますが、非 PVLAN スイッチに接続しているホスト(host1 および host2 など)を分離することはできません。これらのホストの分離は、Catalyst 2950 上の保護ポートなどの機能を使用して、非 PVLAN スイッチによって行う必要があります。
保護ポートの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_22_ea11x/configuration/guide/swtrafc.html#wp1158863
無差別 PVLAN トランク ポート
PVLAN 無差別トランクが使用されるのは、一般的には PVLAN 無差別ホスト ポートを使用する場合ですが、通常の VLAN を複数伝送するか、複数の PVLAN ドメインで VLAN を複数伝送する必要がある場合です。これは、Cisco 7200 などのプライベート VLAN をサポートしないアップストリーム ルータを接続する場合に役立ちます。
この図では、PVLAN ドメインを PVLAN をサポートしないアップストリーム ルータに接続するために Catalyst 4500 シリーズ スイッチが使用されています。host1 によってアップ ストリームに送信されるトラフィックは、コミュニティ VLAN(VLAN 12)の Catalyst 4500 シリーズ スイッチに到達します。このトラフィックは、このルータ宛てに無差別 PVLAN トランクにブリッジングされる場合にプライマリ VLAN(VLAN 10)にタグ付けされ、ルータで設定された正しいサブインターフェイス経由でルーティングされます。
ダウン ストリーム方向のトラフィックは、混合モード ホスト ポートで受信された場合と同様に、プライマリ VLAN(VLAN 10)の Catalyst 4500 スイッチによって混合モード PVLAN で受信されます。そして、PVLAN ドメイン内にあるかのように、宛先ホストにブリッジングされます。
PVLAN 無差別トランクは、VLAN QoS と相互に作用します。「PVLAN と VLAN ACL/QoS」を参照してください。
PVLAN と他の機能との相互作用
プライベート VLAN には、次のように他の機能と相互作用があります。
• 「プライベート VLAN とユニキャスト、ブロードキャスト、およびマルチキャスト トラフィック」
詳細については、「PVLAN 設定時の注意事項および制約事項」も参照してください。
PVLAN と VLAN ACL/QoS
PVLAN ポートは、次のようにプライマリおよびセカンダリ VLAN を使用します。
• PVLAN ホスト ポートで受信されたパケットは、セカンダリ VLAN に属します。
• セカンダリ VLAN によりパケットにタグが設定されている場合、またはパケットのタグが解除され、ポートのネイティブ VLAN がセカンダリ VLAN の場合、PVLAN トランク ポートで受信されたパケットはセカンダリ VLAN に属します。
PVLAN ホストまたはトランク ポートで受信され、セカンダリ VLAN に割り当てられているパケットは、セカンダリ VLAN 上でブリッジングされます。このブリッジングにより、セカンダリ VLAN ACL(アクセス コントロール リスト)と(入力方向の)セカンダリ VLAN QoS(Quality of Service)が適用されます。
パケットが PVLAN ホストまたはトランク ポートから送信される場合、パケットは論理的にはプライマリ VLAN に属します。この関係は、セカンダリ VLAN によるタグ付けが PVLAN 用であった場合にも適用されます。この状況では、出力時のプライマリ VLAN ACL およびプライマリ VLAN QoS がパケットに適用されます。
• 同様に、PVLAN 無差別アクセス ポートで受信されるパケットもプライマリ VLAN に属します。
• 着信 VLAN によっては、PVLAN 無差別トランク ポートで受信されるパケットがプライマリ VLAN または通常の VLAN に属することもあります。
無差別トランク ポートに着信する、通常の VLAN へのトラフィックの場合、通常の VLAN ACL および QoS ポリシーが適用されます。PVLAN ドメインへのトラフィックの場合、無差別ポートで受信するパケットはプライマリ VLAN にブリッジングされます。このため、入力ではプライマリ VLAN ACL および QoS ポリシーが適用されます。
パケットが無差別トランク ポートから送信される場合、セカンダリ ポートから受信されたパケットであればセカンダリ VLAN に論理的に属し、別の無差別ポートからブリッジングされたパケットであればプライマリ VLAN に属します。パケットは区別できないので、無差別トランク ポートから出力するパケットについては、VLAN QoS ポリシーはすべて無視されます。
プライベート VLAN とユニキャスト、ブロードキャスト、およびマルチキャスト トラフィック
通常の VLAN では、同じ VLAN にあるデバイスはレイヤ 2 レベルで互いに通信しますが、別の VLAN にあるインターフェイスに接続されたデバイスとはレイヤ 3 レベルで通信する必要があります。プライベート VLAN の場合、無差別ポートはプライマリ VLAN のメンバーであり、ホスト ポートはセカンダリ VLAN に属します。セカンダリ VLAN はプライマリ VLAN に対応付けられているため、これらの VLAN のメンバーはレイヤ 2 レベルで互いに通信できます。
通常の VLAN の場合、ブロードキャストはその VLAN のすべてのポートに転送されます。プライベート VLAN のブロードキャストの転送は、次のようにブロードキャストを送信するポートによって決まります。
• 独立ポートは、無差別ポートまたはトランク ポートだけにブロードキャストを送信します。
• コミュニティ ポートは、すべての無差別ポート、トランク ポート、同一コミュニティ VLAN のポートにブロードキャストを送信します。
• 無差別ポートは、プライベート VLAN のすべてのポート(その他の無差別ポート、トランク ポート、独立ポート、コミュニティ ポート)にブロードキャストを送信します。
マルチキャスト トラフィックは、プライベート VLAN 境界を越えて単一のコミュニティ VLAN 内にルーティングまたはブリッジングされます。マルチキャスト トラフィックは、同一独立 VLAN のポート間、または別々のセカンダリ VLAN のポート間で転送されません。
プライベート VLAN と SVI
レイヤ 3 スイッチでは、スイッチ仮想インターフェイス(SVI)が VLAN のレイヤ 3 インターフェイスを表します。レイヤ 3 デバイスは、セカンダリ VLAN ではなく、プライマリ VLAN を通してだけプライベート VLAN と通信します。レイヤ 3 VLAN インターフェイス(SVI)はプライマリ VLAN にだけ設定してください。レイヤ 3 VLAN インターフェイスをセカンダリ VLAN 用に設定できません。VLAN がセカンダリ VLAN として設定されている間、セカンダリ VLAN の SVI はアクティブになりません。
• SVI がアクティブである VLAN をセカンダリ VLAN として設定する場合、SVI をディセーブルにしないと、この設定は許可されません。
• セカンダリ VLAN として設定されている VLAN に SVI を作成しようとしてセカンダリ VLAN がすでにレイヤ 3 にマッピングされている場合、SVI は作成されず、エラーが返されます。SVI がレイヤ 3 にマッピングされていない場合、SVI は作成されますが、自動的にシャットダウンされます。
プライマリ VLAN をセカンダリ VLAN と関連付けてマッピングすると、プライマリ VLAN の設定がセカンダリ VLAN の SVI に伝播されます。たとえば、プライマリ VLAN の SVI に IP サブネットを割り当てると、このサブネットは、プライベート VLAN 全体の IP サブネット アドレスになります。
PVLAN の設定
• 「セカンダリ VLAN のプライマリ VLAN との関連付け」
• 「レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定」
• 「レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定」
• 「レイヤ 2 インターフェイスの PVLAN トランク ポートとしての設定」
• 「無差別トランク ポートとしてのレイヤ 2 インターフェイスの設定」
• 「セカンダリ VLAN 入力トラフィックのルーティングの許可」
プライベート VLAN の設定手順
ステップ 1 VTP モードをトランスペアレントに設定します。「VTP のディセーブル化(VTP トランスペアレント モード)」を参照してください。
ステップ 2 セカンダリ VLAN を作成します。「PVLAN としての VLAN の設定」を参照してください。
ステップ 3 プライマリ VLAN を作成します。「PVLAN としての VLAN の設定」を参照してください。
ステップ 4 セカンダリ VLAN をプライマリ VLAN に関連付けます。「セカンダリ VLAN のプライマリ VLAN との関連付け」を参照してください。
(注) プライマリ VLAN にマッピングできる独立 VLAN は 1 つだけですが、コミュニティ VLAN は複数をマッピングできます。
ステップ 5 インターフェイスを、独立ホスト、コミュニティ ホスト、またはトランク ポートとして設定します。「レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定」および「レイヤ 2 インターフェイスの PVLAN トランク ポートとしての設定」を参照してください。
ステップ 6 独立ポートまたはコミュニティ ポートをプライマリ/セカンダリ VLAN ペアに関連付けます。「セカンダリ VLAN のプライマリ VLAN との関連付け」を参照してください。
ステップ 7 インターフェイスを無差別ポートとして設定します。「レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定」を参照してください。
ステップ 8 無差別ポートをプライマリ/セカンダリ VLAN ペアにマッピングします。「レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定」を参照してください。
ステップ 9 VLAN 間ルーティングを使用する場合は、プライマリ SVI を設定し、セカンダリ VLAN をマッピングします。「セカンダリ VLAN 入力トラフィックのルーティングの許可」を参照してください。
ステップ 10 プライマリ VLAN 設定を確認します。「Switch#」を参照してください。
デフォルトのプライベート VLAN 設定
PVLAN 設定時の注意事項および制約事項
• PVLAN を正しく設定するには、VTP のトランスペアレント モードでイネーブルにします。
VTP モードを PVLAN のクライアントまたはサーバに変更することはできません。
• PVLAN に VLAN 1 または VLAN 1002 ~ 1005 を設定しないでください。
• ポートをプライマリ VLAN、独立 VLAN、またはコミュニティ VLAN に割り当てる場合は、PVLAN コマンドのみを使用します。
プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN 上のレイヤ 2 インターフェイスは、PVLAN では非アクティブになります。レイヤ 2 トランク インターフェイスは STP フォワーディング ステートのままです。
• レイヤ 3 VLAN インターフェイスをセカンダリ VLAN 用に設定できません。
独立 VLAN およびコミュニティ(セカンダリ)VLAN のレイヤ 3 VLAN インターフェイスは、VLAN が独立 VLAN またはコミュニティ VLAN として設定されている場合、非アクティブです。
• プライベート VLAN ポートを EtherChannel として設定しないでください。ポートが PVLAN の設定に含まれる場合、これに対応する EtherChannel の設定は非アクティブです。
• プライマリ VLAN には、ダイナミック アクセス コントロール エントリ(ACE)を適用できません。
プライマリ VLAN に適用されている Cisco IOS ダイナミック ACL 設定は、VLAN が PVLAN の設定に含まれている場合、非アクティブです。
• 不正な設定によるスパニングツリー ループを防止するために、 spanning-tree portfast trunk コマンドを使用して PVLAN トランク上で PortFast をイネーブルにします。
• セカンダリ VLAN に設定された VLAN ACL は、すべて入力方向で有効です。また、セカンダリ VLAN に関連付けられたプライマリ VLAN に設定された VLAN ACL はすべて出力方向で有効です。
• 独立 VLAN またはコミュニティ VLAN のレイヤ 3 スイッチングを停止する場合は、その VLAN のプライマリ VLAN へのマッピングを削除します。
• デバイスがトランク接続され、プライマリ VLAN およびセカンダリ VLAN がトランクに関連付けられている限り、異なるネットワーク デバイス上に PVLAN ポートを設定できます。
• 2 つの異なるデバイス上の独立ポートは相互通信できませんが、コミュニティ VLAN ポートの場合は可能です。
• PVLAN は、次の SPAN 機能をサポートしています。
– プライベート VLAN ポートを SPAN 送信元ポートとして設定できます。
– プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN 上で VLAN-based SPAN(VSPAN)を使用して、または単一の VLAN 上で SPAN を使用して、入力および出力トラフィックを個別にモニタリングできます。
SPAN の詳細については、「SPAN および RSPAN の設定」を参照してください。
• プライマリ VLAN には複数のコミュニティ VLAN を関連付けできますが、独立 VLAN は 1 つだけです。
• 独立 VLAN またはコミュニティ VLAN には、1 つのプライマリ VLAN のみを関連付けることができます。
• PVLAN の設定で使用された VLAN を削除すると、この VLAN に関連付けられた PVLAN ポートは非アクティブになります。
• VTP はプライベート VLAN をサポートしません。PVLAN ポートを使用する場合は、デバイスごとに PVLAN を設定する必要があります。
• 使用する PVLAN の設定のセキュリティを確保して、PVLAN として設定された VLAN が他の目的に使用されないようにするには、PVLAN ポートがないデバイスを含めて、すべての中間デバイスで PVLAN を設定します。
• PVLAN でトラフィックを伝送しないデバイスのトランクから、PVLAN をプルーニングします。
• ポート ACLS 機能が使用できる場合、セカンダリ VLAN ポートに Cisco IOS ACLS を、および PVLAN(VACL)に Cisco IOS ACLS を適用できます。VACL の詳細については、「ACL によるネットワーク セキュリティの設定」を参照してください。
• プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN には、別々の Quality of Service(QoS)設定を適用できます (「Quality of Service の設定」を参照)。プライマリ VLAN のレイヤ 3 VLAN インターフェイスに適用された Cisco IOS ACL は、関連する独立 VLAN およびコミュニティ VLAN にも自動的に適用されます。
• PVLAN トランク ポートでは、入力トラフィックにセカンダリ VLAN ACL、出力トラフィックにプライマリ VLAN ACL が適用されます。
• 無差別ポートでは、入力トラフィックにプライマリ VLAN ACL が適用されます。
• PVLAN セカンダリ トランク ポートと無差別トランク ポートはどちらも IEEE 802.1q カプセル化だけをサポートします。
• PVLAN トランク上では、コミュニティ VLAN を伝播または伝送できません。
• レイヤ 3 PVLAN インターフェイス上で学習される ARP エントリは、「sticky」ARP エントリです(PVLAN インターフェイス ARP エントリを表示して確認することを推奨します)。
• セキュリティ上の理由から、PVLAN ポート sticky ARP エントリは期限切れになりません。異なる MAC アドレスでも同じ IP アドレスを持つデバイスを接続すると、エラー メッセージが生成されて ARP エントリは作成されません。
• PVLAN ポート sticky ARP エントリは期限切れしないので、MAC アドレスを変更する場合は手動でエントリを削除する必要があります。sticky ARP エントリを上書きするには、まず no arp コマンドでエントリを削除してから、arp コマンドでエントリを上書きします。
• DHCP 環境では、PC をシャットダウンしても自分の IP アドレスを他人に譲ることはできません。この問題を解決するために、Catalyst 4500 シリーズ スイッチでは no ip sticky-arp コマンドをサポートしています。このコマンドを使用すると、DHCP 環境での IP アドレスの上書きおよび再使用ができます。
• 通常の VLAN は無差別トランク ポートで伝送されます。
• 無差別トランク ポートのデフォルト ネイティブ VLAN は VLAN 1 で、管理 VLAN です。タグのないパケットはすべてネイティブ VLAN で転送されます。プライマリ VLAN または通常の VLAN をネイティブ VLAN として設定できます。
• 無差別トランクは、セカンダリ VLAN を伝送するようには設定できません。許容 VLAN リストでセカンダリ VLAN を指定した場合、設定は受け入れられますが、セカンダリ VLAN のポートは動作せず、転送しません。これは、セカンダリ VLAN ではあってもプライマリ VLAN に関連付けられていない VLAN のポートの場合にも当てはまります。
• 無差別トランク ポートでは、プライマリ VLAN に着信する入力トラフィックにプライマリ VLAN ACL および QoS が適用されます。
• VLAN ACL または QoS は、無差別トランク ポートの出力トラフィックには適用されません。PVLAN のトラフィックのアップストリームは、論理的にセカンダリ VLAN に向かうからです。ハードウェアの VLAN 変換により、受信したセカンダリ VLAN の情報は失われます。このため、ポリシーは適用されません。この制約は、同じプライマリ VLAN の他のポートからブリッジングされるトラフィックにも当てはまります。
• PVLAN 無差別トランク ポートでポート セキュリティを設定しないでください。逆の場合も行わないでください。
無差別トランク ポートのポートセキュリティをイネーブルにした場合、この機能はサポートされていないので、ポートは予測できない動作をする可能性があります。
PVLAN としての VLAN の設定
(注) Supervisor Engine 6-E は、コミュニティ PLAN をサポートしません。
VLAN を PVLAN として設定するには、次の作業を行います。
次に、VLAN 202 をプライマリ VLAN として設定し、その設定を確認する例を示します。
次に、VLAN 303 をコミュニティ VLAN として設定し、その設定を確認する例を示します。
次に、VLAN 440 を独立 VLAN として設定し、その設定を確認する例を示します。
セカンダリ VLAN のプライマリ VLAN との関連付け
セカンダリ VLAN をプライマリ VLAN に関連付けるには、次の作業を行います。
セカンダリ VLAN をプライマリ VLAN と関連付ける場合、次の点に注意してください。
• secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一のプライベート VLAN ID、またはハイフンで連結したプライベート VLAN ID の範囲です。
• secondary_vlan_list パラメータには、複数のコミュニティ VLAN ID を入れることができます。
• secondary_vlan_list パラメータには、独立 VLAN ID を 1 つだけ入れることができます。
• セカンダリ VLAN をプライマリ VLAN に関連付けるには、 secondary_vlan_list パラメータを入力するか、または secondary_vlan_list パラメータを指定して add キーワードを使用します。
• セカンダリ VLAN とプライマリ VLAN 間の関連付けを消去するには、 secondary_vlan_list パラメータを指定して remove キーワードを使用します。
• このコマンドは、VLAN コンフィギュレーション サブモードを終了するまで実行されません。
次に、コミュニティ VLAN 303 ~ 307、309、および独立 VLAN 440 をプライマリ VLAN 202 に関連付けて、設定を確認する方法を示します。
(注) セカンダリ VLAN 308 は、プライマリ VLAN と関連付けされません。
レイヤ 2 インターフェイスの PVLAN 無差別ポートとしての設定
レイヤ 2 インターフェイスを PVLAN 無差別ポートとして設定するには、次の作業を行います。
(注) 上記の switchport private-vlan mapping trunk コマンドでサポートされる一意のプライベート VLAN ペアの最大数は 500 です。たとえば、1000 のセカンダリ VLAN を 1 つのプライマリ VLAN にマッピングしたり、1000 のセカンダリ VLAN を 1000 のプライマリ VLAN に 1 対 1 でマッピングしたりすることができます。
レイヤ 2 インターフェイスを PVLAN 無差別ポートとして設定する場合、次の点に注意してください。
• secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。
• セカンダリ VLAN を PVLAN 無差別ポートにマッピングするには、 secondary_vlan_list を入力するか、または secondary_vlan_list と add キーワードを使用します。
• セカンダリ VLAN と PVLAN 無差別ポート間のマッピングをクリアするには、 secondary_vlan_list と remove キーワードを使用します。
次に、ファスト イーサネット インターフェイス 5/2 を PVLAN 無差別ポートとして設定し、PVLAN にマッピングして、その設定を確認する例を示します。
レイヤ 2 インターフェイスの PVLAN ホスト ポートとしての設定
レイヤ 2 インターフェイスを PVLAN ホスト ポートとして設定するには、次の作業を行います。
次に、ファスト イーサネット インターフェイス 5/1 を PVLAN ホスト ポートとして設定し、その設定を確認する例を示します。
レイヤ 2 インターフェイスの PVLAN トランク ポートとしての設定
レイヤ 2 インターフェイスを PVLAN トランク ポートとして設定するには、次の作業を行います。
次に、ファスト イーサネット インターフェイス 5/2 をセカンダリ トランク ポートとして設定し、その設定を確認する例を示します。
無差別トランク ポートとしてのレイヤ 2 インターフェイスの設定
(注) Supervisor Engine 6-E は、無差別モード トランク ポートをサポートしません。
レイヤ 2 インターフェイスを PVLAN 無差別トランク ポートとして設定するには、次の作業を行います。
(注) 上記の switchport private-vlan mapping trunk コマンドでサポートされる一意のプライベート VLAN ペアの最大数は 500 です。たとえば、1000 のセカンダリ VLAN を 1 つのプライマリ VLAN にマッピングしたり、1000 のセカンダリ VLAN を 1000 のプライマリ VLAN に 1 対 1 でマッピングしたりすることができます。
(注) デフォルトでは、プライベート VLAN トランク無差別に設定すると、ネイティブ VLAN は 1 に設定されます。
[no] switchport private-vlan mapping コマンドには、次の 3 つの削除レベルがあります。
• リストから 1 つまたは複数のセカンダリ VLAN を削除するレベル。次に例を示します。
• PVLAN 無差別トランク ポートから指定したプライマリ VLAN(およびそれ自身の選択したセカンダリ VLAN)へのマッピングをすべて削除するレベル。次に例を示します。
• PVLAN 無差別トランク ポートから事前に設定されていたすべてのプライマリ VLAN(およびそれら自身の選択したセカンダリ VLAN)へのマッピングを削除するレベル。次に例を示します。
レイヤ 2 インターフェイスを PVLAN 無差別ポートとして設定する場合、次の点に注意してください。
• 無差別トランク ポートで複数のプライマリ VLAN を伝送できるようにするには、switchport private-vlan mapping trunk コマンドを使用して複数の PVLAN ペアを指定します。
• secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一の PVLAN ID またはハイフンで連結した PVLAN ID の範囲です。
• セカンダリ VLAN を PVLAN 無差別ポートにマッピングするには、 secondary_vlan_list を入力するか、または secondary_vlan_list と add キーワードを使用します。
• セカンダリ VLAN と PVLAN 無差別ポート間のマッピングをクリアするには、 secondary_vlan_list と remove キーワードを使用します。
次に、ファスト イーサネット インターフェイス 5/2 を無差別トランク ポートとして設定し、その設定を確認する例を示します。
セカンダリ VLAN 入力トラフィックのルーティングの許可
(注) 独立 VLAN およびコミュニティ VLAN は、ともにセカンダリ VLAN と呼ばれます。
セカンダリ VLAN 入力トラフィックのルーティングを許可するには、次の作業を行います。
セカンダリ VLAN 入力トラフィックのルーティングを許可する場合、次の点に注意してください。
• private-vlan mapping インターフェイス コンフィギュレーション コマンドは、レイヤ 3 スイッチングされた PVLAN 入力トラフィックのみに影響します。
• secondary_vlan_list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目として入力できるのは、単一のプライベート VLAN ID、またはハイフンで連結したプライベート VLAN ID の範囲です。
• セカンダリ VLAN をプライマリ VLAN にマッピングするには、 secondary_vlan_list パラメータを入力するか、または secondary_vlan_list パラメータを指定して add キーワードを使用します。
• セカンダリ VLAN とプライマリ VLAN 間のマッピングを消去するには、 secondary_vlan_list パラメータを指定して remove キーワードを使用します。
次に、プライベート VLAN 303 ~ 307、309、および 440 からのセカンダリ VLAN 入力トラフィックのルーティングを許可して、設定を確認する例を示します。
フィードバック