VLAN の機能
VLAN は、物理的な位置にかかわりなく、共通の要件を持ったエンド ステーションのグループです。VLAN は、物理 LAN と同じ属性をすべて備えていますが、物理的に同じ LAN セグメントに置かれていないエンド ステーションでもグループ化することができます。
VLAN を使用すると、スイッチ上のポートをグループとしてまとめ、ユニキャスト、マルチキャスト、およびブロードキャスト トラフィックのフラッディングを制限することができます。特定の VLAN から送信されたフラッディング トラフィックは、その VLAN に所属する他のポートだけにフラッディングされます。
図11-1図11-1 に、論理的に定義されたネットワークへの VLAN セグメンテーションの例を示します。
ここでは、VLAN について説明します。
• 「VLAN の範囲」
• 「VLAN パラメータの設定」
• 「VLAN のデフォルト設定」
図11-1 論理的に定義されたネットワークとしての VLAN
VLAN は、IP サブネットワークとよく対応付けられます。たとえば、特定の IP サブネットに含まれるすべてのエンド ステーションは同じ VLAN に属します。VLAN 間のトラフィックはルーティングが必要です。スイッチ上のポートの VLAN メンバーシップは、ポート別に手動で割り当てます。この方法でスイッチ ポートを VLAN に割り当てた場合、ポートベース(またはスタティック)VLAN メンバーシップといいます。
スイッチの帯域内(sc0)インターフェイスを任意の VLAN に割り当てることができるので、ルータを経由しなくても、同一 VLAN 上の他のスイッチに直接アクセスできます。帯域内インターフェイスに一度に割り当てることができる IP アドレスは、1 つだけです。IP アドレスを変更し、インターフェイスを別の VLAN に割り当てると、それまでの IP アドレスと VLAN 割り当てが上書きされます。
VLAN の範囲
Catalyst 6500 シリーズ スイッチは、IEEE 802.1Q 規格に従って、4,096 個の VLAN をサポートしています。これらの VLAN は、2 つの範囲で編成されます。各範囲の用途は、少しずつ異なります。VLAN Trunking Protocol(VTP; VLAN トランキング プロトコル)などの管理プロトコルを使用すると、ネットワーク上の他のスイッチに伝播される VLAN もあります。伝播されず、個々の該当するスイッチ上で設定が必要な VLAN もあります。
VLAN は次の 2 つの範囲に分けられます。
• 標準範囲 VLAN: 1 ~ 1023
• 拡張範囲 VLAN: 1024 ~ 4094
(注) VTP バージョン 3 を使用して、VLAN 1006 ~ 4094 を管理できます。これらの VLAN は VTP バージョン 3 により伝播されます。
VLAN パラメータの設定
VLAN 2 ~ 1005 を作成または変更する場合、次のパラメータを設定できます。
(注) イーサネット VLAN 1 および 1025 ~ 4094 については、デフォルト値しか使用できません。
(注) Release 8.3(1) 以降のソフトウェア リリースでは、すべてのユーザ VLAN の名前を付けられます。この機能は、VTP のバージョンまたはモードに関係ありません。
• VLAN 番号
• VLAN 名
• VLAN タイプ:イーサネット、FDDI、FDDINET、Token Ring Bridge Relay Function(TrBRF; トークンリング ブリッジ リレー機能)、または Token Ring Concentrator Relay Function(TrCRF; トークンリング コンセントレータ リレー機能)
• VLAN ステート:アクティブまたは停止
• Multi-Instance Spanning-Tree Protocol(MISTP)インスタンス
• プライベート VLAN タイプ:プライマリ、隔離、コミュニティ、双方向コミュニティ、またはなし
• Security Association Identifier(SAID)
• VLAN の Maximum Transmission Unit(MTU; 最大伝送ユニット)
• FDDI および TrCRF VLAN のリング番号
• TrBRF VLAN のブリッジ識別番号
• TrCRF VLAN の親 VLAN 番号
• TrCRF VLAN の Spanning-Tree Bridge Protocol(STP; スパニングツリー ブリッジ プロトコル)タイプ:IEEE、IBM、または auto
• VLAN メディア間でタイプの変換を行うときに使用する VLAN(VLAN 1 ~ 1005 のみ)。メディア タイプごとに異なる VLAN 番号が必要
• トークンリング VLAN 用ソースルーティング ブリッジ モード:Source-Route Bridge(SRB; ソースルート ブリッジ)または Source-Route Transparent(SRT; ソースルート トランスペアレント)ブリッジ
• TrCRF VLAN のバックアップ
• トークンリング用の最大ホップ VLAN All-Routes Explorer(ARE)フレームおよび Spanning-Tree Explorer(STE)フレーム
• Remote Switched Port Analyzer(RSPAN)
VLAN のデフォルト設定
表11-1 に、Catalyst 6500 シリーズ スイッチの VLAN デフォルト設定を示します。
表11-1 VLAN のデフォルト設定
|
|
ネイティブ(デフォルト)VLAN |
VLAN 1 |
ポート VLAN 割り当て |
すべてのポートを VLAN 1 に割り当てる トークンリング ポートを VLAN 1003(trcrf-default)に割り当てる |
VLAN ステート |
アクティブ |
MTU サイズ |
1,500 バイト トークンリング VLAN の場合 4,472 バイト |
SAID 値 |
100,000 + VLAN 番号(たとえば、VLAN 8 の SAID 値は 100,008、VLAN 4050 の SAID 値は 104,050) |
プルーニングの適格性 |
VLAN 2 ~ 1000 はプルーニング適格、VLAN 1025 ~ 4094 はプルーニング不適格 |
MAC アドレス リダクション |
ディセーブル |
スパニングツリー モード |
PVST+ |
デフォルトの FDDI VLAN |
VLAN 1002 |
デフォルトの FDDI NET VLAN |
VLAN 1004 |
デフォルトのトークンリング TrBRF VLAN |
VLAN 1005(trbrf-default)およびブリッジ番号 0F |
デフォルトのトークンリング TrCRF VLAN |
VLAN 1003(trcrf-default) |
TrBRF VLAN の STP バージョン |
IBM |
VLAN ポート プロビジョニング検証 |
ディセーブル |
TrCRF ブリッジ モード |
SRB |
RSPAN |
ディセーブル |
VLAN と VLAN のマッピング
(注) ポート単位または ASIC(特定用途向け IC)単位で VLAN マッピングを設定するには、「ポート単位または ASIC 単位の VLAN マッピングの設定」を参照してください。
(注) Release 8.3(1) 以降のソフトウェア リリースでは、ISL トランクによって VLAN 範囲全体(1 ~ 4094)がサポートされるため、グローバル VLAN マッピング機能が不要です。
他社製の装置の VLAN に接続されている 802.1Q トランクから、Catalyst 6500 シリーズ スイッチ上の他の VLAN に接続されている ISL トランクに、VLAN をマッピングできます。
(注) 802.1Q VLAN を ISL VLAN にマッピングする場合、Catalyst 6500 シリーズの旧ソフトウェア リリースからのマッピングを保持できますが、拡張範囲 VLAN は使用できません。
ここでは、VLAN と VLAN をマッピングする手順について説明します。
• 「802.1Q VLAN から ISL VLAN へのマッピング」
• 「802.1Q/ISL VLAN マッピングの削除」
802.1Q VLAN から ISL VLAN へのマッピング
ネットワーク内の他社製の装置が、802.1Q トランクを通じて Catalyst 6500 シリーズ スイッチに接続されている可能性があります。
ユーザが設定する ISL VLAN の有効範囲は 1 ~ 1000(および 1002 ~ 1005)、1025 ~ 4094 です。IEEE 802.1Q 規格に指定されている VLAN の有効範囲は、0 ~ 4095 です。他社製の装置が 802.1Q トランクを通じてシスコ製スイッチに接続されているネットワーク環境では、1001 以上の 802.1Q VLAN 番号を ISL VLAN 番号にマッピングできます。拡張範囲(1025 ~ 4094)の VLAN を dot1q マッピングに使用する場合は、どの拡張範囲 VLAN もそれ以外の目的で使用することはできません。
1 ~ 1000 の範囲の 802.1Q VLAN は、対応する ISL VLAN に自動的にマッピングされます。シスコ製スイッチで認識し、転送するためには、1001 以上の 802.1Q VLAN 番号を ISL VLAN にマッピングする必要があります。
802.1Q VLAN と ISL VLAN のマッピングには、次の制限事項があります。
• グローバル VLAN マッピング機能およびポート単位/ASIC 単位の VLAN マッピング機能( ポート単位または ASIC 単位の VLAN マッピングの設定 を参照)は相互に排他的であり、同時にイネーブルにできる機能は 1 つのみです。
• スイッチ上に拡張範囲 VLAN がある場合は、新しく 802.1Q VLAN を ISL VLAN にマッピングすることはできません。
• 1 台のスイッチに設定できる 802.1Q VLAN と ISL VLAN のマッピング数は、最大 8 個です。
• 802.1Q VLAN は、イーサネット タイプの ISL VLAN にしかマッピングできません。
• 802.1Q トランクのネイティブ VLAN は、マッピング テーブルに入力しないでください。
• 802.1Q VLAN を ISL VLAN にマッピングすると、マッピング後の ISL VLAN に対応する 802.1Q VLAN 上のトラフィックはブロックされます。たとえば、802.1Q VLAN 2000 を ISL VLAN 200 にマッピングした場合、802.1Q VLAN 200 のトラフィックはブロックされます。
• VLAN マッピングは、各スイッチにローカルに適用されます。ネットワーク内の該当するすべてのスイッチ上で、同じ VLAN マッピングを設定してください。
802.1Q VLAN を ISL VLAN にマッピングするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
802.1Q VLAN を ISL イーサネット VLAN にマッピングします。 dot1q_vlan の有効範囲は、1001 ~ 4095 です。 isl_vlan の有効範囲は、1 ~ 1000 です。 |
set vlan mapping dot1q dot1q_vlan isl isl_vlan |
ステップ 2 |
VLAN マッピングを確認します。 |
show vlan mapping |
次に、802.1Q VLAN 2000、3000、4000 を ISL VLAN 200、300、400 にマッピングし、設定を確認する例を示します。
Console> (enable) set vlan mapping dot1q 2000 isl 200
Console> (enable) set vlan mapping dot1q 3000 isl 300
Console> (enable) set vlan mapping dot1q 4000 isl 400
Console> (enable) show vlan mapping
802.1q vlan ISL vlan Effective
------------------------------------------
802.1Q/ISL VLAN マッピングの削除
802.1Q/ISL VLAN マッピングを削除するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
802.1Q/ISL VLAN マッピングを削除します。 |
clear vlan mapping dot1q { dot1q_vlan | all } |
ステップ 2 |
VLAN マッピングを確認します。 |
show vlan mapping |
次に、802.1Q VLAN 2000 の VLAN マッピングを削除する例を示します。
Console> (enable) clear vlan mapping dot1q 2000
Vlan 2000 mapping entry deleted
次に、すべての 802.1Q/ISL VLAN マッピングを削除する例を示します。
Console> (enable) clear vlan mapping dot1q all
All vlan mapping entries deleted
ポート単位または ASIC 単位の VLAN マッピングの設定
ここでは、ポート単位または ASIC 単位で VLAN マッピングを設定する方法について説明します。
• 「VLAN マッピングの概要」
• 「設定時の注意事項および制限事項」
• 「ポート単位 VLAN マッピングのイネーブル化またはディセーブル化」
• 「ポート単位の VLAN マッピングの設定」
• 「VLAN マッピングの消去」
• 「VLAN マッピング情報の表示」
VLAN マッピングの概要
Release 8.4(1) 以降のソフトウェア リリースでは、VLAN 範囲を制限しなくても、 任意 の VLAN タイプをその他の VLAN タイプにマッピングできるように、VLAN マッピングが拡張されています。現在、VLAN マッピングはポート単位または ASIC 単位で設定できます。
(注) Release 8.4(1) より前のソフトウェア リリースでは、VLAN マッピングはグローバルに設定されました。詳細については、「VLAN と VLAN のマッピング」を参照してください。
設定時の注意事項および制限事項
ここでは、VLAN マッピングを設定する際の設定時の注意事項と制限事項を説明します。
• VLAN マッピングを使用した場合、スイッチング モジュールまたはスーパバイザ エンジンに搭載された ASIC タイプに応じて、次のようになります(各モジュール ASIC の仕様については、 表11-2 を参照)。
–VLAN マッピングがサポートされない
–ポート単位 VLAN マッピングがサポートされる
–ASIC 単位 VLAN マッピングがサポートされるが、VLAN マッピングをポート単位でイネーブルまたはディセーブルにすることは できない
–ASIC 単位 VLAN マッピングがサポートされ、VLAN マッピングをポート単位でイネーブルまたはディセーブルにすることが できる 。
• モジュールがポート単位 VLAN マッピングをサポートしないで、ASIC 単位 VLAN マッピングのみをサポートしている場合、VLAN マッピングは ASIC 内のすべてのポートに適用されます。ASIC 内の任意のポートのマッピングを変更すると、変更がこの ASIC 内のすべてのポートに適用されます。
• グローバル VLAN マッピング
グローバル VLAN マッピング機能( VLAN と VLAN のマッピング を参照)およびポート単位/ASIC 単位 VLAN マッピング機能は相互に排他的であり、同時にイネーブルにできる機能は 1 つのみです。
任意の VLAN にグローバル VLAN マッピングが設定されている場合に、ポート単位/ASIC 単位 VLAN マッピングを設定しようとすると、コマンドは拒否され、エラー メッセージが表示されます。逆に、任意の VLAN にポート単位/ASIC 単位マッピングが設定されている場合に、グローバル VLAN マッピングを設定しようとすると、コマンドは拒否され、エラー メッセージが表示されます。
グローバル VLAN マッピングは、最大 8 つの VLAN をサポートします。VLAN X が VLAN Y にマッピングされている場合、VLAN Y は内部で廃棄済み VLAN にマッピングされます。ポート単位/ASIC 単位 VLAN マッピングはこの方法では機能しません。VLAN X が VLAN Y にマッピングされている場合、VLAN Y の特定のポートに内部でスイッチングされるすべてのトラフィックは VLAN X にマッピングされます。
• VLAN マッピングは両方の方向に適用されます。たとえば、ポート P に VLAN x から VLAN y へのマッピングが設定されている場合、VLAN X のポート P で受信されたすべてのトラフィックは VLAN Y にマッピングされ、そこで処理されます。VLAN Y が内部的にタグ付けされたトラフィックのうち、ポート P から送信されたものにはすべて、VLAN X がタグ付けされます。
• EtherChannel
VLAN マッピングは、PAgP と LACP の両方の EtherChannel でサポートされます。EtherChannel の特定のポートで VLAN マッピングをイネーブルまたはディセーブルにすると、EtherChannel 内のすべてのポートでこの機能がイネーブルまたはディセーブルになります。同様に、EtherChannel の特定のポートに VLAN マッピングを設定すると、EtherChannel 内のすべてのポートにこのマッピングが適用されます。
EtherChannel 内のすべてのポートで、VLAN マッピングに関するポート ASIC 機能を同じに設定する必要があります。ポート ASIC 機能が異なるポートが存在する EtherChannel に VLAN マッピングを設定しようとしても、コマンドは拒否されます。
• SPAN および RSPAN
ポート単位 VLAN マッピングがポート上でイネーブルの場合、ポート ASIC は変換元 VLAN を変換先 VLAN に変換します。すべての SPAN(スイッチド ポート アナライザ)設定は、変換先 VLAN で機能します。
RSPAN VLAN は変換できません。どの VLAN にも RSPAN VLAN をマッピングしないように設定する必要があります。同様に、変換先 VLAN を RSPAN VLAN として使用することはできません。
• スパニングツリー
PVST+ が実装されている場合、スパニングツリー Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)には各トランク ポートの「VLAN ID」の TLV がタグ付けされています。この TLV は、ポート VLAN ID の一貫性を判別する際に役立ちます。PVST+ および Rapid-PVST+ では、この VLAN ID はスパニングツリー インスタンス番号(VLAN ID)と同じです。
Shared Spanning Tree Protocol(SSTP)が有効な場合は、ポート単位/ASIC 単位 VLAN マッピングがポート上でイネーブルになっている際に注意する必要があります。たとえば、図11-2 のスイッチ 1 およびスイッチ 2 は、VLAN 101 を伝送するトランク T を使用して接続されています。スイッチ 2 のトランク ポート P では、ポート単位/ASIC 単位 VLAN マッピングがイネーブルであり、VLAN 101 から VLAN 202 へのマッピングが存在します。図11-2 に示すように、トランク リンクの BPDU には、VLAN 101 として 802.1Q VLAN および TLV VLAN が設定されています。この BPDU がポート P に到達すると、このマッピングにより 802.1Q VLAN は VLAN 202 に変更されますが、TLV VLAN は VLAN 101 のままです。BPDU がスパニングツリー プロセスに到達すると、スパニングツリーは VLAN 101 BPDU が VLAN 202 に着信したと結論し、一貫性がないと判断して、このポートを矛盾ポートとして報告します。
この問題を解決するために、スパニングツリーはこの BPDU を VLAN 202 内で処理します。TLV VLAN は変換先 VLAN にマップされ、一貫性があるかチェックされます。この処理が発生した場合、スイッチ 1 のスパニングツリー インスタンス 101 はスイッチ 2 のスパニングツリー 202 とマージされます。このプロセスは、送信側でも実行されます。
図11-2 VLAN マッピングおよびスパニングツリーの概要
ヒント スパニングツリー トポロジーを設計する前に、VLAN のマージ方法を考慮する必要があります。VLAN マッピングがイネーブル化されたポートから変換元 VLAN を消去し、近接側から変換先 VLAN を消去する必要があります。このようにすると、カスタマー ポートの変換元 VLAN およびプロバイダー ポートの変換先 VLAN がマージされます。
表11-2 モジュール単位のポート ASIC VLAN マッピング機能
|
サポートされているポート単位 VLAN マッピングの最大数
|
|
WS-X6548-RJ-45 WS-X6548-RJ-21 WS-X6148X2-RJ-45 WS-X6148X2-45AF WS-X6196-RJ-21 |
32 |
ASIC 単位 VLAN のマッピング。マッピングは ISL トランクのポート単位でイネーブルまたはディセーブルにできます。802.1Q トランクでは、常にマッピングが有効です。ディセーブルにすることはできません。マッピングは ISL および 802.1Q トランクに対してサポートされています。 |
WS-X6K-S2U-MSFC2 WS-X6K-S2-MSFC2 WS-X6K-S2-PFC2 WS-SUP720-3B WS-SUP720-3BXL WS-SUP720 WS-X6516A-GBIC WS-X6516-GE-TX |
32 |
ASIC 単位 VLAN のマッピング。マッピングは ASIC のポート単位でイネーブルまたはディセーブルにできます。任意の VLAN タイプ間の変換がサポートされています。802.1Q トランクでのみサポートされています。 |
WS-X6748-SFP WS-X6724-SFP WS-X6748-GE-TX |
128 |
ASIC 単位 VLAN のマッピング。マッピングは ASIC のポート単位でイネーブルまたはディセーブルにできます。任意の VLAN タイプ間の変換がサポートされています。マッピングは ISL および 802.1Q トランクに対してサポートされています。 |
WS-X6148A-GE-TX WS-X6148A-GE-45A WS-X6148-FE-SFP WS-X6148A-RJ-45 WS-X6148A-45AF WS-X6704-10GE |
8 |
ポート単位 VLAN マッピング。任意の VLAN タイプ間の変換がサポートされています。マッピングは ISL および 802.1Q トランクに対してサポートされています。 |
WS-X6502-10GE |
16 |
ポート単位 VLAN マッピング。任意の VLAN タイプ間の変換がサポートされています。802.1Q トランクでのみサポートされています。 |
WS-SUP32-GE-3B |
16 |
ポート単位 VLAN マッピング。任意の VLAN タイプ間の変換がサポートされています。マッピングは ISL および 802.1Q トランクに対してサポートされています。 |
ポート単位 VLAN マッピングのイネーブル化またはディセーブル化
(注) set port vlan-mapping コマンドを使用してポート単位で VLAN マッピングを設定する前に、set port vlan-mapping mod/port enable コマンドを入力して、ポート VLAN マッピングをイネーブルにする必要があります。
set port vlan-mapping mod/port { enable | disable } コマンドを入力して、ポート単位で VLAN マッピングをイネーブルまたはディセーブルにします。VLAN 変換が発生するのは、VLAN マッピングがイネーブル化されていて、ポートがトランキングの場合のみです。ASIC 単位の VLAN マッピングのみをサポートする ASIC に関して、ポート単位で VLAN マッピングをイネーブルまたはディセーブルにする機能が有効な場合、このコマンドはポート設定にのみ適用され、ASIC には適用されません。VLAN マッピングをディセーブルにした場合も、マッピングは保護されます。VLAN マッピングはデフォルトでディセーブルです。
ポート単位で VLAN マッピングをイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ポート単位で VLAN マッピングをイネーブルまたはディセーブルにします。 |
set port vlan-mapping mod/port { enable | disable } |
ステップ 2 |
VLAN マッピング設定を表示します。 |
show port vlan-mapping [ mod | mod/port ] |
次に、ポート単位で VLAN マッピングをイネーブルにする例を示します。
Console>(enable) set port vlan-mapping 7/1 enable
VLAN mapping enabled on port 7/1.
ポート単位の VLAN マッピングの設定
(注) set port vlan-mapping コマンドを使用する前に、set port vlan-mapping mod/port enable コマンドを入力して、ポート VLAN マッピングをイネーブルにする必要があります。
(注) 変換元 VLAN はトランク VLAN(スイッチ外部)、変換先 VLAN はスイッチ内部の VLAN です。
set port vlan-mapping mod/port source-vlan-id translated-vlan-id コマンドを入力して、ポート単位で VLAN マッピングを設定します。このコマンドにより、 source-vlan-id のトラフィックは translated-vlan-id に変換されます。内部的に translated-vlan-id がタグ付けされたすべてのトラフィックは、 source-vlan-id がタグ付けされたあとに、ポートから送信されます。VLAN 変換が発生するのは、ポートがトランキングの場合のみです。このコマンドは、すべての範囲のポートを対象とします。
ポート単位で VLAN マッピングを設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ポート VLAN マッピングをイネーブルにします。 |
set port vlan-mapping mod/port { enable | disable } |
ステップ 2 |
ポート単位で VLAN マッピングを設定します。 |
set port vlan-mapping mod/port source-vlan-id translated-vlan-id |
ステップ 3 |
VLAN マッピング設定を表示します。 |
show port vlan-mapping [ mod | mod/port ] |
次に、ポート VLAN マッピングをイネーブルにし、ポート単位で VLAN マッピングを設定する例を示します。この例では、モジュール 7 は 48 ポート 10/100/1000 スイッチング モジュール(WS-X6748-GE-TX)です。このモジュールは、ASIC 単位 VLAN マッピングをサポートします。1 つの ASIC で 12 個のポートをサポートします。
Console>(enable) set port vlan-mapping 7/1 enable
VLAN mapping enabled on port 7/1.
Console>(enable) set port vlan-mapping 7/1 2002 3003
VLAN 2002 mapped to VLAN 3003 on ports 7.1. 7/1-12.
Console>(enable) show port vlan-mapping 7/1
Mod/Port Source VLAN Translated VLAN State Max Allowed (Current) Entries
-------- ----------- --------------- ----------- -----------------------------
7/1 2002 3003 Enabled 128 (1)
次の例のモジュール 5 は、1 ポート 10GBASE-E シリアル 10 ギガビット イーサネット モジュール(WS-X6502-10GE)です。このモジュールはポート単位 VLAN マッピングをサポートします。
Console>(enable) set port vlan-mapping 5/1 2002 3003
VLAN 2002 mapped to VLAN 3003 on port 5/1.
この例では、モジュール 7 は 48 ポート 10/100/1000 スイッチング モジュール(WS-X6748-GE-TX)です。このモジュールは、ASIC 単位 VLAN マッピングをサポートします。1 つの ASIC で 12 個のポートをサポートします。この例では、ポート 7/1 ~ 4 が EtherChannel に属しています。
Console>(enable) set port vlan-mapping 7/1 2002 3003
VLAN 2002 mapped to VLAN 3003 on ports 7/1-12.
この例では、モジュール 7 およびモジュール 8 は 48 ポート 10/100/1000 スイッチング モジュール(WS-X6748-GE-TX)です。これらのモジュールは、ASIC 単位 VLAN マッピングをサポートします。1 つの ASIC で 12 個のポートをサポートします。この例では、ポート 7/1 ~ 4 および 8/1 ~ 4 が EtherChannel に属しています。
Console>(enable) set port vlan-mapping 7/1 2002 3003
VLAN 2002 mapped to VLAN 3003 on ports 7/1-12,8/1-12.
VLAN マッピングの消去
ポート単位で、すべてのポートで、または特定の変換元 VLAN ID に関して VLAN マッピングを消去するには、 clear port vlan-mapping コマンドを入力します。一部のモジュールでは、VLAN マッピングは ASIC 単位でサポートされ、ポート単位のマッピングは保存されません。これらのモジュールに clear port vlan-mapping mod/port コマンドを入力すると、ASIC のすべてのポート上の VLAN マッピングが消去されます。 source_vlan_id 引数を入力すると、指定されたポートまたは ASIC(ASIC ベース ポートの場合)の VLAN マッピング テーブルから、該当する変換元 VLAN の VLAN マッピングのみが消去されます。
VLAN マッピングを消去するには、イネーブル モードで次の作業を行います。
|
|
VLAN マッピングを消去します。 |
clear port vlan-mapping mod/port all clear port vlan-mapping mod/port [ source-vlan-id ] clear port vlan-mapping all |
次に、ポート 7/1 から VLAN マッピングを消去する例を示します。
Console>(enable) clear port vlan-mapping 7/1 2002
VLAN mapping for VLAN 2002 removed from port 7/1-12.
VLAN マッピング情報の表示
VLAN マッピング情報を表示するには、 show port vlan-mapping [ mod | mod/port ] コマンドを入力します。
VLAN マッピング情報を表示するには、ユーザ モードで次の作業を行います。
|
|
VLAN マッピング情報を表示します。 |
show port vlan-mapping [ mod | mod/port ] |
次に、ポート 7/1 の VLAN マッピング情報を表示する例を示します。
Console>(enable) show port vlan-mapping 7/1
Mod/Port Source VLAN Translated VLAN State Max Allowed (Current) Entries
-------- ----------- --------------- ----------- -----------------------------
7/1 2002 3003 Enabled 128 (1)
(注) ポートごとにマッピング タイプを表示するには、show port capabilities [mod | mod/port] コマンドを入力します。このコマンドは、ポートごとに許可されている最大マッピング数も表示します。
スイッチ上でのプライベート VLAN の設定
ここでは、プライベート VLAN の機能概要について説明します。
• 「プライベート VLAN の機能概要」
• 「プライベート VLAN 設定時の注意事項」
• 「プライマリ プライベート VLAN の作成」
• 「プライベート VLAN ポートのポート機能の表示」
• 「プライベート VLAN の削除」
• 「隔離 VLAN、コミュニティ VLAN または双方向コミュニティ VLAN の削除」
• 「プライベート VLAN マッピングの削除」
• 「MSFC 上でのプライベート VLAN サポート」
プライベート VLAN の機能概要
プライベート VLAN は、Catalyst 6500 シリーズ スイッチ上の同一プライベート VLAN 内でポート間のレイヤ 2 の隔離を行います。プライベート VLAN に所属するポートは、そのプライベート VLAN 構造を作成する共通のサポート VLAN の集合に対応付けられます。
プライベート VLAN ポートには、次の 3 種類があります。
• 混合 ― 他のすべてのプライベート VLAN ポートと通信し、ルータ、LocalDirector、バックアップ サーバ、および管理ワークステーションとの通信に使用するポートです。
(注) ブロードキャストまたはマルチキャスト パケットが混合ポートに着信すると、そのパケットはプライベート VLAN ドメイン内のすべてのポートに、つまりすべてのコミュニティ ポートおよび隔離ポートに送信されます。
• 隔離 ― 同一プライベート VLAN 内の混合ポート以外のポートから、レイヤ 2 上で完全に隔離されたポートです。
• コミュニティ ― コミュニティ ポート間で通信するだけではなく、自身の混合ポートとも通信します。この種のポートは、同一プライベート VLAN の他のコミュニティに属するポートまたは隔離ポートから、レイヤ 2 で隔離されています。
発信トラフィックをすべての隔離ポートにブロックすることにより、レイヤ 2 上でプライバシが確保されます。すべての隔離ポートは特定の隔離 VLAN に割り当てられており、その VLAN でこのハードウェア機能が実行されます。隔離ポートから受信したトラフィックは、混合ポートだけに転送されます。
プライベート VLAN は、次の 4 つに分類されます。単一プライマリ VLAN、単一隔離 VLAN、および一連のコミュニティ、または双方向コミュニティ VLAN です。
プライベート VLAN を設定するには、まずプライベート VLAN 内の各サポート VLAN を定義する必要があります。
• プライマリ VLAN ― 混合ポートからの着信トラフィックを、他のすべての混合ポート、隔離ポート、コミュニティ ポート、および双方向コミュニティ ポートに送信します。
• 隔離 VLAN ― 隔離ポートが、混合ポートと通信するために使用します。隔離されたポートからのトラフィックは、所属するプライベート VLAN 内のすべての隣接ポートでブロックされ、受信できるのは混合ポートだけになります。
• コミュニティ VLAN ― コミュニティ ポート間の通信を行い、指定の混合ポートを介してプライベート VLAN 外部にトラフィックを送信するためにコミュニティ ポートのグループが使用する単一方向 VLAN。
• 双方向コミュニティ VLAN ― コミュニティ ポート間、コミュニティ ポートと Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)間の通信に、コミュニティ ポートのグループが使用する双方向 VLAN。
(注) Release 6.2(1) 以降のソフトウェア リリースでは、トラフィックが MSFC 混合ポートを通ってプライベート VLAN の境界を越えるとき、双方向コミュニティ VLAN を使用してプライマリ VLAN からセカンダリ VLAN への逆マッピングを実行できます。発信トラフィックと着信トラフィックの両方を同一 VLAN で伝送できるので、VLAN Access Control List(VACL)などの VLAN をベースにした機能をコミュニティ(または顧客)単位で両方向に適用できます。
プライベート VLAN を作成するには、標準 VLAN 範囲の標準 VLAN を複数割り当てます。そのうち 1 つの VLAN をプライマリ VLAN、もう 1 つの VLAN を隔離 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN として指定します。必要に応じて、それ以外の VLAN をこのプライベート VLAN でそれぞれ隔離 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN として指定することもできます。VLAN を指定したあとは、それらの VLAN を一括してバインドし、混合ポートに対応付ける必要があります。
プライベート VLAN をサポートする他のスイッチにプライマリ VLAN、隔離 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN をトランキングすることにより、プライベート VLAN を複数のイーサネット スイッチに拡張できます。
イーサネット スイッチド環境では、個々の VLAN および対応する IP サブネットを、個々のステーションまたはステーションの共通のグループに割り当てることができます。サーバはデフォルト ゲートウェイと通信する能力さえあれば、その VLAN 自身の外部にあるエンド ポイントにアクセスできます。これらのステーションを、その所有権とは無関係に、1 つのプライベート VLAN にまとめることにより、次のような利点があります。
• サーバ ポートを隔離ポートとして指定することにより、レイヤ 2 でのサーバ間通信を防止できます。
• デフォルト ゲートウェイ、バックアップ サーバ、または LocalDirector が接続されたポートを混合ポートとして指定することにより、すべてのステーションがこれらのゲートウェイにアクセス可能になります。
• VLAN の消費が低減します。すべてのステーションが同一のプライベート VLAN に存在するので、ステーションのグループ全体に 1 つの IP サブネットを割り当てるだけで済みます。
MSFC ポートまたは非トランクの混合ポートでは、必要に応じて隔離 VLAN またはコミュニティ VLAN をいくつでも再マッピングすることができます。ただし、非トランクの混合ポートが再マッピングできるのは 1 つのプライマリ VLAN だけであり、MSFC ポートが接続できるのは MSFC ルータだけです。非トランク混合ポートを使用すると、プライベート VLAN への「アクセス ポイント」としてさまざまな装置に接続できます。たとえば、非トランクの混合ポートを LocalDirector の「サーバ ポート」に接続して、多くの隔離 VLAN またはコミュニティ VLAN をそのサーバ VLAN に再マッピングすると、LocalDirector によって隔離 VLAN またはコミュニティ VLAN 内に存在するサーバの負荷を分散させることができます。また、管理ワークステーションからすべてのプライベート VLAN のサーバをモニタしたりバックアップしたりする目的で、非トランクの混合ポートを使用することも可能です。
(注) 双方向コミュニティ VLAN は、MSFC 混合ポート上にしかマッピングできません(非トランクまたはその他のタイプの混合ポート上にはマッピングできません)。
プライベート VLAN 設定時の注意事項
ここでは、プライベート VLAN 設定時の注意事項について説明します。
(注) ここでは、コミュニティ VLAN という用語は、特に明記しないかぎり、単一方向コミュニティ VLAN と双方向コミュニティ VLAN の両方を表す総称として使用しています。
(注) VLAN ポート プロビジョニング検証がイネーブルの場合は、スイッチ ポートをプライマリおよびセカンダリ VLAN に割り当てる際、VLAN 番号に加えて、VLAN 名を指定する必要があります。詳細は、「VLAN ポート プロビジョニング検証のイネーブル化またはディセーブル化」を参照してください。
• 1 つの VLAN をプライマリ VLAN として指定してください。
• 任意で 1 つの VLAN を隔離 VLAN として指定することができますが、使用できる隔離 VLAN は 1 つだけです。
• 任意でプライベート VLAN コミュニティを使用できますが、コミュニティごとに 1 つずつコミュニティ VLAN を指定する必要があります。
• 隔離 VLAN およびコミュニティ VLAN、またはそのどちらかの VLAN をプライマリ VLAN にバインドし、隔離ポートまたはコミュニティ ポートを割り当ててください。その結果、次のようになります。
–隔離 VLAN およびコミュニティ VLAN のスパニングツリー特性は、それぞれのプライマリ VLAN の特性に設定されます。
–VLAN メンバーシップは、スタティックになります。
–アクセス ポートは、ホスト ポートになります。
–BPDU ガード機能がアクティブになります。
• 隔離 VLAN およびコミュニティ VLAN を混合ポート上のプライマリ VLAN にマッピングする VLAN 自動変換を設定してください。非トランク ポートまたは MFSC ポートを混合ポートとして設定します。
• VTP をトランスペアレント モードに設定する必要があります。
(注) この制限は VTP バージョン 3 では当てはまりません。
• プライベート VLAN を設定したあとで、VTP モードをクライアントまたはサーバ モードに変更することはできません。VTP はプライベート VLAN タイプおよびマッピングの伝播をサポートしないからです。
• VLAN をプライマリ VLAN、隔離 VLAN、またはコミュニティ VLAN として設定できるのは、現在その VLAN にアクセス ポートがまったく割り当てられていない場合に限られます。VLAN にアクセス ポートが割り当てられていないことを確認するには、 show port コマンドを使用します。
• プライマリ VLAN に対応付けることができるのは、1 つの隔離 VLAN または複数のコミュニティ、あるいはその両方です。
• 隔離 VLAN またはコミュニティ VLAN に対応付けられるのは、1 つのプライマリ VLAN だけです。
• プライベート VLAN は、VLAN 2 ~ 1000、および 1025 ~ 4096 を使用できます。
• プライマリ VLAN またはセカンダリ VLAN のどちらかを削除すると、その VLAN に対応付けられたポートが非アクティブになります。
• プライベート VLAN を設定するとき、次に説明するハードウェアとソフトウェアの相互作用について考慮してください。
–プライベート VLAN では、帯域内ポート(sc0)は使用できません。
(注) Release 6.3(1) 以降のソフトウェア リリースでは、sc0 ポートはプライベート VLAN ポートとして設定できますが、sc0 ポートを混合ポートとして設定することはできません。
–プライベート VLAN ポートをトランキングまたはチャネリング モードに設定したり、ダイナミック VLAN メンバーシップを持たせたりすることはできません。ただし例外として、MSFC ポートでは常にトンランキングがアクティブです。
–同じ ASIC に属するポートを、1 つのポートがトランキング モード、混合モード、または SPAN 宛先、もう 1 つのポートが 表11-3 に示すモジュール用の隔離ポートまたはコミュニティ ポートになるように設定することはできません。
このような設定を試みると、警告メッセージが表示され、コマンドが拒否されます。
表11-3 モジュールとポートの対応(ASIC グループ別)
|
|
|
WS-X6224-100FX-MT |
24 ポート 100BASE-FX マルチモード、MT-RJ |
ポート 1 ~ 12 ポート 13 ~ 24 |
WS-X6324-100FX-SM WS-X6324-100FX-MM |
24 ポート 100BASE-FX シングル モード またはマルチモード、MT-RJ |
ポート 1 ~ 12 ポート 13 ~ 24 |
WS-X6024-10FL-MT |
24 ポート 10BASE-FL、MT-RJ |
ポート 1 ~ 12 ポート 13 ~ 24 |
WS-X6248-TEL WS-X6248A-TEL WS-X6348-RJ-21(V) WS-X6148-RJ-21(V) WS-X6148-21AF |
48 ポート 10/100BASE-TX、RJ-21 |
ポート 1 ~ 12 ポート 13 ~ 24 ポート 25 ~ 36 ポート 37 ~ 48 |
WS-X6348-RJ-45 WS-X6348-RJ-45(V) WS-X6248-RJ-45 WS-X6248A-RJ-45 WS-X6148-RJ-45(V) WS-X6148-45AF |
48 ポート 10/100BASE-TX、RJ-45 |
ポート 1 ~ 12 ポート 13 ~ 24 ポート 25 ~ 36 ポート 37 ~ 48 |
WS-X6148-GE-TX WS-X6148V-GE-TX WS-X6148-GE-45AF WS-X6548-GE-TX WS-X6548V-GE-TX WS-X6548-GE-45AF |
48 ポート 10/100/1000BASE-TX、RJ-45 |
ポート 1 ~ 8 ポート 9 ~ 16 ポート 17 ~ 24 ポート 25 ~ 32 ポート 33 ~ 40 ポート 41 ~ 48 |
• 隔離ポートおよびコミュニティ ポートは、設定ミスに起因するスパニングツリー ループを防ぐため、BPDU ガード機能を実行する必要があります。
• プライマリ VLAN および対応する隔離 VLAN とコミュニティ VLAN は、スパニングツリーの設定が同じでなければなりません。この設定は、関連するプライマリ VLAN、隔離 VLAN、およびコミュニティ VLAN の間で一貫したスパニングツリー トポロジーを維持し、接続切断を防ぎます。設定されたプライオリティおよび各種パラメータは、プライマリ VLAN から隔離 VLAN およびコミュニティ VLAN に自動的に伝播されます。
• 次のように MISTP モードで動作するプライベート VLAN を作成できます。
–MISTP をディセーブルにすると、対応するすべての隔離 VLAN およびコミュニティ VLAN にプライマリ VLAN の設定変更が伝播されます。隔離 VLAN またはコミュニティ VLAN を変更することはできません。
–MISTP をイネーブルにする場合、MISTP インスタンスを設定できるのはプライマリ VLAN だけです。プライマリ VLAN に適用された変更は、隔離 VLAN およびコミュニティ VLAN に伝播されます。
• ネットワークで MAC アドレス リダクションを使用しているスイッチと使用していないスイッチが混在している場合、STP パラメータは必ずしも伝播されず、スパニングツリー トポロジーが一致しなくなる場合があります。STP の設定を手動でチェックし、プライマリ VLAN、隔離 VLAN、およびコミュニティ VLAN のスパニングツリー トポロジーが一致していることを確認する必要があります。
• Catalyst 6500 シリーズ スイッチ上で MAC アドレス リダクションをイネーブルにする場合は、ネットワーク上のすべてのスイッチ上で MAC アドレス リダクションをイネーブルにして、プライベート VLAN の STP トポロジーを一致させます。そうしない場合は、プライベート VLAN のあるネットワーク上で、MAC アドレス リダクションをイネーブルに設定したスイッチとディセーブルに設定したスイッチが混在していることになり、プライマリ VLAN と対応するすべての隔離 VLAN およびコミュニティ VLAN でルート ブリッジを共通にするために、デフォルトのブリッジ プライオリティを使用せざるを得なくなります。システム上で MAC アドレス リダクションをイネーブルにするかどうかにかかわらず、MAC アドレス リダクション機能で使用する範囲には一貫性を持たせてください。MAC アドレス リダクションは個々のレベルにしか対応せず、範囲としてはすべての中間値を内部的に使用します。プライベート VLAN および MAC アドレス リダクションのあるルート ブリッジはディセーブルにし、非ルート ブリッジが使用する最高のプライオリティ レンジより高いプライオリティでルート ブリッジを設定する必要があります。
• BPDU ガード モードはシステム全体を対象とし、プライベート VLAN に最初のポートが追加された時点でイネーブルになります。
• 宛先 SPAN ポートをプライベート VLAN ポートとして設定することはできません。また、その逆の設定もできません。
• 送信元 SPAN ポートは、1 つのプライベート VLAN に所属できます。
• VLAN-based SPAN(VSPAN)を使用してプライマリ VLAN、隔離 VLAN、およびコミュニティ VLAN を一括して SPAN の対象にすることもできますし、また 1 つの VLAN だけで SPAN を使用して出力トラフィックまたは入力トラフィックを個別にモニタすることもできます。
• RSPAN VLAN は、プライベート VLAN には使用できません。
• 隔離ポート、コミュニティ ポート、または混合ポート上で EtherChannel をイネーブルにすることはできません。
• プライマリ VLAN、隔離 VLAN、およびコミュニティ VLAN には、それぞれ異なる VACL および Quality of Service(QoS; サービス品質)Access Control List(ACL; アクセス制御リスト)を適用できます。
(注) ACL の設定手順については、「プライベート VLAN 上での ACL の設定」を参照してください。
• MSFC からのすべての発信トラフィックに適用されるように、双方向コミュニティ VLAN とプライマリ VLAN の両方で出力 ACL を設定する必要があります。
• プライマリ VLAN に Cisco IOS ACL をマッピングすると、対応する隔離 VLAN およびコミュニティ VLAN にその Cisco IOS ACL が自動的にマッピングされます。
• 隔離 VLAN またはコミュニティ VLAN に Cisco IOS ACL をマッピングすることはできません。
• プライベート VLAN インターフェイスで Policy-Based Routing(PBR; ポリシー ベース ルーティング)を使用することはできません。 ip policy route-map route_map_name コマンドを使用してプライベート VLAN インターフェイスにポリシーを適用しようとすると、エラー メッセージが出力されます。
• VLAN にダイナミック Access Control Entry(ACE; アクセス制御エントリ)が設定されている場合、その VLAN をプライベート VLAN にすることはできません。
• 隔離 VLAN またはコミュニティ VLAN のレイヤ 3 スイッチングを停止するには、その VLAN とプライマリ VLAN とのバインディングを破棄します。対応するマッピングを削除するだけでは不十分です。
プライマリ プライベート VLAN の作成
プライマリ プライベート VLAN を作成するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
プライマリ プライベート VLAN を作成します。 |
set vlan vlan pvlan-type primary |
ステップ 2 |
隔離 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN を設定します。 |
set vlan vlan pvlan-type {isolated | community | twoway-community } |
ステップ 3 |
隔離 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN をプライマリ VLAN にバインドします。 |
set pvlan primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan} |
ステップ 4 |
隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートをプライマリ プライベート VLAN に対応付けます。 |
set pvlan primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan} [ mod/ports | sc0 ] |
ステップ 5 |
隔離 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN を、混合ポートのプライマリ プライベート VLAN にマッピングします。 |
set pvlan mapping primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan} mod/ports |
ステップ 6 |
プライマリ プライベート VLAN の設定を確認します。 |
show pvlan [ vlan ] show pvlan mapping |
(注) プライベート VLAN に、隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートをバインドすると同時に、対応付けられた隔離 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN をバインドするには、set pvlan primary_vlan {isolated_vlan | community_vlan | twoway_community_vlan} mod/port コマンドを入力します。
(注) スイッチがトランクに接続され、そのトランクからプライベート VLAN が削除されていないかぎり、ポートが同じスイッチに存在する必要はありません。
(注) プライベート VLAN で混合ポートに MSFC を使用するとき、MSFC mod/port 番号としては、スロット 1 にスーパバイザ エンジンが搭載されている場合は 15/1 を、スロット 2 に搭載されている場合は 16/1 を使用してください。
(注) 隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートのある装置、混合ポートのある装置、およびプライベート VLAN をトランクで伝送する必要のあるすべての中間スイッチを含むプライベート VLAN を作成する場合は、必ず set pvlan コマンドを使用する必要があります。隔離ポート、コミュニティ ポート、双方向コミュニティ ポート、または混合ポートのないエッジ装置(一般に、プライベート ポートを持たないアクセス装置)では、プライベート VLAN を作成する必要はなく、セキュリティ上の理由でプライベート VLAN をトランクからプルーニングすることができます。
次に、VLAN 7 をプライマリ VLAN として指定する例を示します。
Console> (enable) set vlan 7 pvlan-type primary
Vlan 7 configuration successful
次に、VLAN 901 を隔離 VLAN、VLAN 902 および 903 をコミュニティ VLAN として指定する例を示します。
Console> (enable) set vlan 901 pvlan-type isolated
Vlan 901 configuration successful
Console> (enable) set vlan 902 pvlan-type community
Vlan 902 configuration successful
Console> (enable) set vlan 903 pvlan-type community
Vlan 903 configuration successful
次に、VLAN 901 をプライマリ VLAN 7 にバインドし、ポート 4/3 を隔離ポートとして割り当てる例を示します。
Console> (enable) set pvlan 7 901 4/3
Successfully set the following ports to Private Vlan 7,901: 4/3
次に、VLAN 902 をプライマリ VLAN 7 にバインドし、ポート 4/4 ~ 4/6 をコミュニティ ポートとして割り当てる例を示します。
Console> (enable) set pvlan 7 902 4/4-6
Successfully set the following ports to Private Vlan 7,902:4/4-6
次に、VLAN 903 をプライマリ VLAN 7 にバインドし、ポート 4/7 ~ 4/9 をコミュニティ ポートとして割り当てる例を示します。
Console> (enable) set pvlan 7 903
Successfully set association between 7 and 903.
Console> (enable) set pvlan 7 903 4/7-9
Successfully set the following ports to Private Vlan 7,903:4/7-9
次に、隔離 VLAN またはコミュニティ VLAN を混合ポート 3/1 上のプライマリ VLAN にマッピングする例を示します。
Console> (enable) set pvlan mapping 7 901 3/1
Successfully set mapping between 7 and 901 on 3/1
Console> (enable) set pvlan mapping 7 902 3/1
Successfully set mapping between 7 and 902 on 3/1
Console> (enable) set pvlan mapping 7 903 3/1
Successfully set mapping between 7 and 903 on 3/1
次に、プライベート VLAN の設定を確認する例を示します。
Console> (enable) show vlan 7
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
7 VLAN0007 active 35 4/4-6
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
7 enet 100010 1500 - - - - - 0 0
VLAN AREHops STEHops Backup CRF 1q VLAN
---- ------- ------- ---------- -------
Primary Secondary Secondary-Type Ports
------- --------- ----------------- -----------------
Console> (enable) show vlan 902
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
902 VLAN0007 active 38 4/4-6
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
7 enet 100010 1500 - - - - - 0 0
VLAN AREHops STEHops Backup CRF 1q VLAN
---- ------- ------- ---------- -------
Primary Secondary Secondary-Type Ports
------- --------- ----------------- -----------------
Console> (enable) show pvlan
Primary Secondary Secondary-Type Ports
------- --------- -------------- ------------
Console> (enable) show pvlan mapping
----- -------- ----------
Console> (enable) show port
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
4/3 notconnect 7,901 half 100 100BaseFX MM
4/4 notconnect 7,902 half 100 100BaseFX MM
4/5 notconnect 7,902 half 100 100BaseFX MM
4/6 notconnect 7,902 half 100 100BaseFX MM
4/7 notconnect 7,903 half 100 100BaseFX MM
4/8 notconnect 7,903 half 100 100BaseFX MM
4/9 notconnect 7,903 half 100 100BaseFX MM
プライベート VLAN ポートのポート機能の表示
プライベート VLAN のポート機能を表示するには、show pvlan capability mod/port コマンドを入力します。
次に,下記の設定でいくつかのポートについてポート機能を表示する例を示します。
Console> (enable) set pvlan 10 20
Console> (enable) set pvlan mapping 10 20 3/1
Console> (enable) set pvlan mapping 10 20 5/2
Console> (enable) set trunk 5/1 desirable isl 1-1005,1025-4094
Console> (enable) show pvlan capability 5/20
Ports 5/13 - 5/24 are in the same ASIC range as port 5/20.
Port 5/20 can be made a private vlan port.
Console> (enable) show pvlan
Primary Secondary Secondary-Type Ports
------- --------- -------------- ------------
Console> (enable) show pvlan capability 3/1
Port 3/1 cannot be made a private vlan port due to:
------------------------------------------------------
Promiscuous ports cannot be made private vlan ports.
Console> (enable) show pvlan capability 5/1
Ports 5/1 - 5/12 are in the same ASIC range as port 5/1.
Port 5/1 cannot be made a private vlan port due to:
------------------------------------------------------
Trunking ports are not Private Vlan capable.
Conflict with Promiscuous port(s) : 5/2
Console> (enable) show pvlan capability 5/2
Ports 5/1 - 5/12 are in the same ASIC range as port 5/2.
Port 5/2 cannot be made a private vlan port due to:
------------------------------------------------------
Promiscuous ports cannot be made private vlan ports.
Conflict with Trunking port(s) : 5/1
Console> (enable) show pvlan capability 5/3
Ports 5/1 - 5/12 are in the same ASIC range as port 5/3.
Port 5/3 cannot be made a private vlan port due to:
------------------------------------------------------
Conflict with Promiscuous port(s) : 5/2
Conflict with Trunking port(s) : 5/1
Console> (enable) show pvlan capability 15/1
Port 15/1 cannot be made a private vlan port due to:
------------------------------------------------------
Only ethernet ports can be added to private vlans.
プライベート VLAN の削除
プライベート VLAN を削除するには、プライマリ VLAN を削除します。プライマリ VLAN を削除すると、そのプライマリ VLAN へのすべてのバインディングが破棄され、プライベート VLAN 上のすべてのポートが非アクティブになり、混合ポート上の関連するマッピングがすべて削除されます。
プライベート VLAN を削除するには、イネーブル モードで次の作業を行います。
|
|
プライマリ VLAN を削除します。 |
clear vlan primary_vlan |
次に、プライマリ VLAN 7 を削除する例を示します。
Console> (enable)
clear vlan 7
This command will de-activate all ports on vlan 7
Do you want to continue(y/n) [n]?
y
隔離 VLAN、コミュニティ VLAN または双方向コミュニティ VLAN の削除
隔離 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN を削除すると、プライマリ VLAN とのバインディングが破棄され、その VLAN に対応付けられていた隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートはすべて非アクティブになり、混合ポート上の関連するマッピングはすべて削除されます。
スイッチ上の VLAN を削除するには、イネーブル モードで次のコマンドを入力します。
|
|
隔離 VLAN またはコミュニティ VLAN を削除します。 |
clear vlan {isolated_vlan | community_vlan | twoway_community_vlan} |
次に、コミュニティ VLAN 902 を削除する例を示します。
Console> (enable)
clear vlan 902
This command will de-activate all ports on vlan 902
Do you want to continue(y/n) [n]?
y
プライベート VLAN マッピングの削除
プライベート VLAN のマッピングを削除すると、隔離ポート、コミュニティ ポート、または双方向コミュニティ ポートと混合ポートとの間の接続が解除されます。混合ポート上のマッピングをすべて削除すると、その混合ポートは非アクティブになります。プライベート VLAN ポートが非アクティブになると、 show port の出力で、そのポートの VLAN 番号は [pvlan-] と表示されます。
プライベート VLAN ポートが、非アクティブになる原因としては、次のものがあります。
• ポートが属するプライマリ VLAN、隔離 VLAN、コミュニティ VLAN、または双方向コミュニティ VLAN が消去された場合。
• MSFC 以外の混合ポートからのマッピングがすべて削除された場合。
• ポートをプライベート VLAN に設定したときにエラーが発生する場合。
プライベート VLAN からポートのマッピングを削除するには、イネーブル モードで次の作業を行います。
|
|
プライベート VLAN からポートのマッピングを削除します。 |
clear pvlan mapping primary_vlan {isolated | community | twoway-community } {mod/ports} |
次に、ポート 3/2 ~ 3/5 上に設定されていた、VLAN 902 から 901 へのマッピングを削除する例を示します。
Console> (enable) clear pvlan mapping 901 902 3/2-5
Successfully cleared mapping between 901 and 902 on 3/2-5
Console> (enable)
MSFC 上でのプライベート VLAN サポート
ここでは、MSFC 上でのプライベート VLAN のサポートについて説明します。
• プライベート VLAN に関する情報を表示するには、 show pvlan コマンドを使用します。 show pvlan コマンドでプライベート VLAN に関する情報が表示されるのは、プライマリ プライベート VLAN がアップになっている場合に限られます。
• スーパバイザ エンジンに対して set pvlan mapping または clear pvlan mapping コマンドを入力すると、MSFC Syslog メッセージが表示されます。次に例を示します。
%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 101
%PV-6-PV_MSG:Created a private vlan mapping, Primary 200, Secondary 201
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 101
• プライマリ プライベート VLAN に対してだけレイヤ 3 パラメータを設定するには、 interface vlan コマンドを使用します。
• MSFC で interface vlan コマンドで入力されている VLAN 番号を使用して、スーパバイザ エンジン上で隔離 VLAN またはコミュニティ VLAN を作成することはできません。
• レイヤ 3 のプライベート VLAN インターフェイス上で学習された ARP エントリは、 sticky ARP エントリです(プライベート VLAN インターフェイスの ARP エントリを表示して確認することを推奨します)。
• プライベート VLAN インターフェイスの sticky ARP エントリは、セキュリティ上の理由から、期限切れになりません。同じ IP アドレスで新しい装置を接続しても、メッセージが生成され、ARP エントリは作成されません。
• プライベート VLAN インターフェイスの ARP エントリは期限切れにならないので、MAC アドレスを変更した場合はプライベート VLAN インターフェイスの ARP エントリを手動で削除する必要があります。
• プライベート VLAN の ARP エントリは、手動で追加または削除する必要があります。次に例を示します。
obelix-rp(config)# no arp 11.1.3.30
IP ARP:Deleting Sticky ARP entry 11.1.3.30
obelix-rp(config)# arp 11.1.3.30 0000.5403.2356 arpa
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by hw:0000.5403.2356
• 一部のコマンドにより、プライベート VLAN マッピングが消去および再作成されます。次に例を示します。
obelix-rp(config)# xns routing
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 101
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 102
%PV-6-PV_MSG:Purged a private vlan mapping, Primary 100, Secondary 103
%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 101
%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 102
%PV-6-PV_MSG:Created a private vlan mapping, Primary 100, Secondary 103
スイッチ上でのトークンリング VLAN の設定
ここでは、VTP バージョン 2 で動作するスイッチ上でサポートされる、2 種類のトークンリング VLAN について説明します。
• 「トークンリング TrBRF VLAN の機能概要」
• 「トークンリング TrCRF VLAN の機能概要」
• 「トークンリング VLAN 設定時の注意事項」
• 「トークンリング TrBRF VLAN の作成または変更」
• 「トークンリング TrCRF VLAN の作成または変更」
トークンリング VLAN を設定および管理するには、VTP バージョン 2 を使用する必要があります。
(注) Catalyst 6500 シリーズ スイッチでは、ISL カプセル化トークンリング フレームはサポートされていません。
トークンリング TrBRF VLAN の機能概要
TrBRF VLAN は、スイッチド トークンリング ネットワーク環境において、複数の TrCRF VLAN を相互接続します(図11-3 を参照)。TrBRF は、トランク リンクによって相互接続されたスイッチで構成されるネットワーク全体に拡大することができます。TrCRF と TrBRF 間の接続を 論理ポート といいます。
図11-3 相互接続されたトークンリング TrBRF VLAN および TrCRF VLAN
ソース ルーティングでは、スイッチは論理リング間の単一ブリッジとなります。TrBRF は、IBM または IEEE STP を実行する SRB または SRT ブリッジとして動作できます。SRB を使用する場合、重複する MAC アドレスを異なる論理リングで定義できます。
トークンリング ソフトウェアは、TrBRF VLAN ごとに、また、TrCRF VLAN ごとに 1 つずつ STP のインスタンスを実行します。TrCRF VLAN の場合、STP により、論理リングのループが排除されます。TrBRF VLAN の場合、STP はイーサネット VLAN 上での動作と同様、外部ブリッジと対話して、ブリッジ トポロジーからループを排除します。
注意 特定の親 TrBRF STP および TrCRF ブリッジ モードを設定すると、TrBRF の論理ポート(TrBRF と TrCRF 間の接続)がブロック ステートになる可能性があります。詳細については、
「VLAN のデフォルト設定」を参照してください。
ソース ルーティングでは、スイッチは論理リング間の単一ブリッジとなります。TrBRF は、IBM または IEEE STP を実行する SRB または SRT ブリッジとして動作できます。SRB を使用する場合には、複数の異なる論理リングに重複した MAC アドレスを定義できます。
IBM の System Network Architecture(SNA)トラフィックに対応するために、SRT モードと SRB モードを組み合わせて使用することができます。混在モードでは、TrBRF は一部のポート(TrCRF に接続された論理ポート)が SRB モードで動作し、他のポートが SRT モードで動作するものとみなします。
トークンリング TrCRF VLAN の機能概要
TrCRF VLAN では、同じ論理リング番号でポート グループを定義します。ネットワークには、非分散型およびバックアップの 2 種類の TrCRF を設定できます。
通常、TrCRF は非分散型です。これは、各 TrCRF が 1 台のスイッチ上のポートに限定されることを意味します。同一または異なるスイッチ上で、複数の非分散型 TrCRF を 1 つの親 TrBRF に対応させることができます(図11-4 を参照)。親 TrBRF は、マルチポート ブリッジとして動作し、非分散型 TrCRF 間でトラフィックを転送します。
(注) 異なるスイッチ上のリング間でデータを受け渡すには、リングを同一の TrBRF に対応付けて、その TrBRF を SRB として設定します。
図11-4 非分散型 TrCRF
(注) デフォルトの設定では、トークンリング ポートはデフォルトの TrCRF(VLAN 1003、trcrf-default)に対応し、これにはデフォルトの TrBRF(VLAN 1005、trbrf-default)が親として存在します。この設定では、分散型 TrCRF が可能であり(図11-5 を参照)、スイッチが ISL トランクで接続されている場合に、異なるスイッチ上のデフォルトの TrCRF 間でトラフィックを流すことができます。
図11-5 分散型 TrCRF
TrCRF 内では、ソースルート スイッチングを使用し、MAC アドレスまたはルート記述子に基づいて転送を行います。VLAN 全体を 1 つのリングとして動作させ、フレームを 1 つの TrCRF 内のポート間でスイッチングすることもできます。
TrCRF ごとに ARE フレームおよび STE フレームの最大ホップ カウントを指定することによって、エクスプローラが通過できる最大ホップ数を制限することができます。ポートで、受け取ったエクスプローラ フレームが指定されたホップ数を超えて経由して来ていることが判別されると、そのフレームは転送されません。TrCRF では、ルート情報フィールドのブリッジ ホップ数に基づいて、エクスプローラが経由したホップ数を判別します。
バックアップ TrCRF を使用すると、スイッチ間の ISL 接続で障害が発生した場合、TrBRF で接続されている複数のスイッチ上の非分散型 TrCRF 間を流れるトラフィック用に、代替ルートを設定することができます。また、TrBRF でバックアップ TrCRF に割り当てることができるポートは、1 台のスイッチで 1 つだけです。
スイッチ間の ISL 接続で問題が起きた場合、影響を受ける各スイッチ上のバックアップ TrCRF ポートがアクティブになり、バックアップ TrCRF を介して非分散型 TrCRF 間のトラフィックが再ルーティングされます。ISL 接続が再び確立されると、バックアップ TrCRF の 1 ポートを除くすべてのポートがディセーブルになります。図11-6 に、バックアップ TrCRF を示します。
図11-6 バックアップ TrCRF
トークンリング VLAN 設定時の注意事項
ここでは、トークンリング VLAN 作成または変更時の注意事項について説明します。
• トークンリング VLAN では、デフォルトの TrBRF(VLAN 1005)は、デフォルトの TrCRF(VLAN 1003)の親としてだけ指定できます。ユーザ側で設定した TrCRF の親としてデフォルトの TrBRF を指定することはできません。
• TrBRF を設定してから、TrCRF を設定する必要があります。つまり、TrCRF に指定する親 TrBRF VLAN がすでに存在していなければなりません。
• トークンリング環境では、次のいずれかの条件が存在している場合、TrBRF の論理ポート(TrBRF と TrCRF 間の接続)がブロック ステートになります。
–TrBRF が IBM STP を実行していて、TrCRF が SRT モード
–TrBRF が IEEE STP を実行していて、TrCRF が SRB モード
トークンリング TrBRF VLAN の作成または変更
VTP バージョン 2 をイネーブルにしてから、トークンリング VLAN を作成する必要があります。VTP バージョン 2 をイネーブルにする方法については、「VTP の設定」を参照してください。
新しい TrBRF を作成する場合、ブリッジ番号を指定しなければなりません。
新しいトークンリング TrBRF VLAN を作成するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
新しいトークンリング TrBRF タイプの VLAN を作成します。 |
set vlan vlan [ name name ] type trbrf [ said said ] [ mtu mtu ] bridge bridgeber [ stp { ieee | ibm }] |
ステップ 2 |
VLAN の設定を確認します。 |
show vlan [ vlan ] |
次に、新しいトークンリング TrBRF VLAN を作成し、設定を確認する例を示します。
Console> (enable) set vlan 999 name TrBRF_999 type trbrf bridge a
Vlan 999 configuration successful
Console> (enable) show vlan 999
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
999 trbrf 100999 4472 - - 0xa ibm - 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
既存のトークンリング TrBRF VLAN 上で VLAN パラメータを変更するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
既存のトークンリング TrBRF タイプの VLAN を変更します。 |
set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] [ bridge bridgeber ] [ stp { ieee | ibm }] |
ステップ 2 |
VLAN の設定を確認します。 |
show vlan [ vlan ] |
トークンリング TrCRF VLAN の作成または変更
(注) VTP バージョン 2 を イネーブルにしてから、トークンリング VLAN を作成する必要があります。VTP バージョン 2 をイネーブルにする方法については、「VTP の設定」を参照してください。
新しいトークンリング TrCRF VLAN を作成するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
新しいトークンリング TrCRF タイプの VLAN を作成します。 |
set vlan vlan [ name name ] type trcrf [ said said ] [ mtu mtu ] { ring hex_ringber | decring decimal_ringber } parent vlan |
ステップ 2 |
VLAN の設定を確認します。 |
show vlan [ vlan ] |
(注) 新しい TrCRF を作成するときには、(16 進数または 10 進数で)リング番号を指定し、さらに親の TrBRF VLAN を指定しなければなりません。
次に、トークンリング TrCRF VLAN を作成し、設定を確認する例を示します。
Console> (enable) set vlan 998 name TrCRF_998 type trcrf decring 10 parent 999
Vlan 998 configuration successful
Console> (enable) show vlan 998
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
998 trcrf 100998 4472 999 0xa - - srb 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
既存のトークンリング TrCRF VLAN 上で VLAN パラメータを変更するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
既存のトークンリング TrCRF VLAN を変更します。 |
set vlan vlan [ name name ] [ state { active | suspend }] [ said said ] [ mtu mtu ] [ ring hex_ring ] [ decring decimal_ring ] [ bridge bridge ] [ parent vlan ] |
ステップ 2 |
VLAN の設定を確認します。 |
show vlan [ vlan ] |
バックアップ TrCRF を作成するには、TrBRF が経由するスイッチごとに 1 ポートずつ、バックアップ TrCRF に割り当てます。
TrCRF VLAN をバックアップ TrCRF として設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
TrCRF VLAN をバックアップ TrCRF として設定します。 |
set vlan vlan backupcrf on |
ステップ 2 |
VLAN の設定を確認します。 |
show vlan [ vlan ] |
注意 トークンリング Multistation Access Unit(MSAU)にバックアップ TrCRF ポートを接続した場合、別の装置でリング速度とポート モードを設定しないかぎり、バックアップ パスは提供されません。バックアップ TrCRF 用にリング速度とポート モードを設定することを推奨します。
TrCRF における ARE フレームまたは STE フレームの最大ホップ数を指定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
TrCRF における ARE フレームの最大ホップ数を指定します。 |
set vlan vlan aremaxhop hopcount |
ステップ 2 |
TrCRF における STE フレームの最大ホップ数を指定します。 |
set vlan vlan stemaxhop hopcount |
ステップ 3 |
VLAN の設定を確認します。 |
show vlan [ vlan ] |
次に、ARE フレームおよび STE フレームを 10 ホップに制限し、設定を確認する例を示します。
Console> (enable) set vlan 998 aremaxhop 10 stemaxhop 10
Vlan 998 configuration successful
Console> (enable) show vlan 998
VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ ------ ---- -------- ------ ------
998 trcrf 100998 4472 999 0xff - - srb 0 0
VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------