- はじめに
- 概要
- CLI の使用方法
- スイッチの IP アドレスおよびデフォルト ゲー トウェイの割り当て
- Cisco IOS Configuration Engine の設定
- スイッチの管理
- スイッチ アラームの設定
- SDM テンプレートの設定
- スイッチベースの認証の設定
- IEEE 802.1x ポートベースの認証の設定
- インターフェイスの設定
- コマンド マクロの設定
- VLAN の設定
- プライベート VLAN の設定
- IEEE 802.1Q トンネリング、 VLAN マッピン グ、 およびレイヤ 2 プロトコル トンネリング の設定
- STP の設定
- MSTP の設定
- オプションのスパニング ツリー機能の設定方法
- レジリエント イーサネット プロトコルの設定
- Flex Link および MAC アドレス テーブル移 行更新機能の設定
- DHCP 機能および IP ソース ガードの設定
- ダイナミック ARP 検査の設定
- IGMP スヌーピングおよび MVR の設定
- ポートベースのトラフィック制御の設定
- CDP の設定
- LLDP および LLDP-MED の設定
- UDLD の設定
- SPAN および RSPAN の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- Embedded Event Manager の設定
- ACL によるネットワーク セキュリティの設定
- コントロール プレーンのセキュリティ設定
- QoS の設定
- EtherChannel およびリンクステート トラッ キングの設定
- IP ユニキャスト ルーティングの設定
- IPv6 ユニキャスト ルーティングの設定
- IPv6 MLD スヌーピングの設定
- IPv6 ACL の設定
- HSRP の設定
- Cisco IOS IP SLA 動作の設定
- 拡張オブジェクト トラッキングの設定
- イーサネット OAM、CFM、および E-LMI の 設定
- IP マルチキャスト ルーティングの設定
- MSDP の設定
- トラブルシューティング
- オンライン診断の設定
- サポートされている MIB
- Cisco IOS ファイル システム、コンフィギュ レーション ファイル、およびソフトウェア イ メージの操作
- Cisco IOS リリース 12.2(52)SE でサポート されていないコマンド
- 索引
Cisco ME 3400E イーサネット アクセス スイッチ ソ フトウェア コンフィギュレーション ガイド,12.2(52)SE
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月19日
章のタイトル: VLAN の設定
VLAN の設定
この章では、Cisco ME 3400E イーサネット アクセス スイッチに、標準範囲の VLAN(仮想 LAN)(VLAN ID が 1 ~ 1005)および拡張範囲の VLAN(VLAN ID が 1006 ~ 4094)を設定する方法について説明します。VLAN メンバーシップ モード、VLAN コンフィギュレーション モード、VLAN トランク、VLAN Membership Policy Server(VMPS; VLANメンバーシップ ポリシー サーバ)からのダイナミック VLAN 割り当てについても説明します。
(注) この章で使用するコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。
VLAN の概要
VLAN は、ユーザの物理的な位置に関係なく、機能、プロジェクト チーム、またはアプリケーションによって論理的に分割されたスイッチド ネットワークです。VLAN は物理 VLAN と同じアトリビュートを備えていますが、エンド ステーションが物理的に同一の LAN セグメントにない場合でもグループ化できます。どのスイッチ ポートも VLAN に割り当てることができます。ユニキャスト、ブロードキャスト、およびマルチキャスト パケットは、VLAN 内のエンド ステーションにだけフォワーディングおよびフラッディングが行われます。各 VLAN は 1 つの論理ネットワークと見なされ、VLAN に属さないステーション宛のパケットは、ルータを経由して伝送しなければなりません(図 12-1を参照)。VLAN はそれぞれが独立した論理ネットワークと見なされるので、VLAN ごとに独自のブリッジ MIB(管理情報ベース)情報があり、それぞれが独自にスパニング ツリーの実装をサポートします。 第 15 章「STP の設定」 を参照してください。
図 12-1 に、論理的に定義されたネットワークに分割した VLAN の例を示します。
図 12-1 論理的に定義されたネットワークとしての VLAN
VLAN は、多くの場合、IP サブネットワークと対応付けられます。たとえば、特定の IP サブネットのすべてのエンド ステーションを同一の VLAN に属させることがあります。スイッチ上のインターフェイス VLAN メンバーシップは、インターフェイスごとに手動で割り当てます。この方法で VLAN にスイッチ インターフェイスを割り当てることを、インターフェイスベースまたはスタティック VLAN メンバーシップと呼びます。
(注) スイッチは、VLAN Trunking Protocol(VTP; VLAN トランキング プロトコル)をサポートしません。
VLAN 間のトラフィックは、ルーティングする必要があります。メトロ IP アクセス イメージを稼動しているスイッチは、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)を使用して VLAN 間のトラフィックをルーティングできます。VLAN 間のトラフィックをルーティングするには、SVI を明示的に設定し、IP アドレスが割り当てられる必要があります。詳細については、「スイッチ仮想インターフェイス」および「レイヤ 3 インターフェイスの設定」を参照してください。
サポート対象の VLAN
VLAN は、1 ~ 4094 の番号で識別されます。VLAN ID の 1002 ~ 1005 は、トークン リングおよび Fiber Distributed Data Interface(FDDI)VLAN 用です。1006 以上の VLAN ID は、拡張範囲 VLAN で、VLAN データベースには格納されません。
スイッチは合計 1005(標準範囲および拡張範囲)の VLAN をサポートしますが、ルーテッド ポート、SVI、その他の設定済み機能の個数によって、スイッチのハードウェアの使用は左右されます。
このスイッチは、Per-VLAN Spanning-Tree Plus(PVST+; VLAN 単位スパニング ツリー プラス)と最大 128 のスパニング ツリー インスタンスをサポートします。VLAN ごとに 1 つのスパニング ツリー インスタンスがサポートされます。
(注) デフォルトで、Network Node Interface(NNI; ネットワーク ノード インターフェイス)が、STP をサポートします。Enhanced Network Interfaces(ENI; 拡張ネットワーク インターフェイス)を設定して、STP をサポートします。User Network Interfaces(UNI; ユーザ ネットワーク インターフェイス)は STP をサポートせず、デフォルトでは常にフォワーディング ステートです。
スパニング ツリー インスタンスの数と VLAN 番号の詳細については、「VLAN 設定時の注意事項」を参照してください。スイッチは、イーサネット ポート上での VLAN トラフィックの送信において、IEEE 802.1Q トランキングをサポートします。
標準範囲 VLAN
標準範囲 VLAN とは、VLAN ID が 1 ~ 1005 の VLAN のことです。VLAN 2 ~ 1001 の設定は、VLAN データベースで追加、変更、または削除できます (VLAN ID の 1 と 1002 ~ 1005 は、自動作成され、削除できません)。
VLAN ID が 1 ~ 1005 の設定はファイル vlan.dat (VLAN データベース)に保存され、 show vlan 特権 EXEC コマンドを入力すると表示できます。 vlan.dat ファイルはフラッシュ メモリに保存されています。
VLAN データベースに新しい標準範囲 VLAN を作成する場合、または VLAN データベース内の既存の VLAN を変更する場合、次のパラメータを設定できます。
•
VLAN タイプ(イーサネット、FDDI、FDDI Network Entity Title [NET]、Token Ring Bridge Relay Function [TrBRF; トークンリング ブリッジ リレー機能] または Token Ring Concentrator Relay Function [TrCRF; トークンリング コンセントレータ リレー機能]、トークン リング、トークン リングネット)
(注) スイッチは、イーサネット VLAN だけをサポートしています。FDDI およびトークン リング VLAN のパラメータを設定して、vlan.dat ファイルでの結果を表示できますが、これらのパラメータは使用されません。
• VLAN の Maximum Transmission Unit(MTU; 最大伝送ユニット)
• Security Association Identifier(SAID)
• TrCRF VLAN の Spanning-Tree Protocol(STP; スパニング ツリープロトコル)タイプ
• ある VLAN タイプから別の VLAN タイプに変換するときに使用する VLAN 番号
• プライベート VLAN。VLAN は、プライマリまたはセカンダリ プライベート VLAN として設定できます。プライベート VLAN の詳細については、 第 13 章「プライベート VLAN の設定」 を参照してください。
• RSPAN VLAN。リモート SPAN セッションに、VLAN を Remote Switched Port Analyzer(RSPAN)VLAN として設定します。RSPAN の詳細については、 第 27 章「SPAN および RSPAN の設定」 を参照してください。
拡張範囲 VLAN の場合、MTU、プライベート VLAN、RSPAN VLAN、および UNI-ENI VLAN パラメータに限り設定できます。
(注) ここでは、これらのパラメータのほとんどについて設定の詳細は説明しません。VLAN 設定を制御するコマンドおよびパラメータの詳細については、このリリースのコマンド リファレンスを参照してください。
拡張範囲 VLAN
拡張範囲 VLAN(1006 ~ 4094 の範囲)を作成すると、サービス プロバイダーはインフラストラクチャをさらに多数のカスタマーに拡張できます。拡張範囲 VLAN ID は、VLAN ID を認めるどの switchport コマンドでも認められます。拡張範囲 VLAN の設定は、VLAN データベースには保存されませんが、スイッチの実行コンフィギュレーション ファイルに保存されます。また、 copy running-config startup-config 特権 EXEC コマンドを使用するとスタートアップ コンフィギュレーション ファイルに設定を保存できます。
(注) スイッチは 4094 の VLAN ID をサポートしますが、サポートされる VLAN の実数は 1005 です。
VLAN ポート メンバーシップ モード
VLAN に属するポートは、メンバーシップ モードを指定して設定します。メンバーシップ モードにより、ポートが搬送できるトラフィックの種類、および属することができる VLAN の数が決まります。 表 12-1 に、各種メンバーシップ モードおよび特性を示します。
|
|
|
|---|---|
スタティック アクセス ポートは、1 つの VLAN だけに属し、手動でその VLAN に割り当てられます。 詳細については、「VLAN へのスタティックアクセス ポートの割り当て」を参照してください。 |
|
トランク ポートは、拡張範囲 VLAN も含めて、デフォルトで全 VLAN のメンバーですが、許可 VLAN リストを設定することにより、メンバーシップを制限できます。 トランク ポートの設定の詳細については、「トランク ポートとしてのイーサネット インターフェイスの設定」を参照してください。 |
|
ダイナミック アクセス ポートは、1 つの VLAN(VLAN ID が 1 ~ 4094)だけに属し、VMPS によって動的に割り当てられます。たとえば、Catalyst 5000 または Catalyst 6500 シリーズ スイッチは VMPS として使用できますが、Cisco ME 3400E イーサネット アクセス スイッチは VMPS として使用できません。Cisco ME 3400E スイッチは、VMPS クライアントです。 (注) UNI または ENI に限り、ダイナミック アクセス ポートにできます。同じスイッチ上にダイナミック アクセス ポートとトランク ポートを設定できますが、ダイナミック アクセス ポートはエンド ステーションまたはハブに接続する必要があります。別のスイッチに接続してはなりません。 設定の詳細については、「VMPS クライアントのダイナミック アクセス ポートの設定」を参照してください。 |
|
プライベート VLAN ポートは、プライベート VLAN のプライマリまたはセカンダリ VLAN に属するホストまたはプロミスキャス ポートです。NNI に限り、プロミスキャス ポートとして設定できます。 プライベート VLAN の詳細については、 第 13 章「プライベート VLAN の設定」 を参照してください。 |
|
トンネル ポートは、IEEE 802.1Q トンネリング用に使用され、サービス プロバイダー ネットワーク全体でカスタマー VLAN の整合性を維持します。トンネル ポートをサービス プロバイダー ネットワークのエッジ スイッチ上に設定し、カスタマー インターフェイスの IEEE 802.1Q トランク ポートに接続して、非対称リンクを作成します。トンネル ポートは、トンネリング専用の単一の VLAN に属します。 トンネル ポートの詳細については、 第 14 章「IEEE 802.1Q トンネリング、VLAN マッピング、およびレイヤ 2 プロトコル トンネリングの設定」 を参照してください。 |
アクセス モードおよびトランク モードの定義およびその機能の詳細については、表 12-4を参照してください。
VLAN にポートを割り当てると、スイッチは VLAN 単位で、ポートに対応するアドレスを学習して管理します。詳細については、「MAC アドレス テーブルの管理」を参照してください。
UNI-ENI VLAN
Cisco ME スイッチは、カスタマー ネットワークとサービス プロバイダー ネットワークの境界であり、UNI および ENI によりネットワークのカスタマー側と接続されます。カスタマー トラフィックがサービス プロバイダー ネットワークで発信または着信する場合、このカスタマーの VLAN ID はその他のカスタマーの VLAN ID から分離されている必要があります。この分離を行うには、プライベート VLAN を使用するなど、いくつか方法があります。Cisco ME スイッチ上では、この分離がデフォルトで UNI-ENI VLAN を使用して行われます。
• UNI-ENI 独立 VLAN:これは、スイッチ上で作成されるすべての VLAN のデフォルト VLAN ステートです。同一の UNI-ENI 独立 VLAN に属するスイッチでは、UNI または ENI 間のローカル スイッチングが実行されません。この設定は、異なるカスタマーが同一スイッチの UNI または ENI に接続される場合のために設計されています。ただし、同一の UNI-ENI 独立 VLAN に属している場合でも、異なるスイッチ上の UNI または ENI 間では、スイッチングが許可されます。
• UNI-ENI コミュニティ VLAN:同一のコミュニティ VLAN に属するスイッチ上の UNI および ENI 間で、ローカル スイッチングが許可されます。UNI または ENI が同一カスタマーに属する場合に、ポート間でパケットをスイッチングするには、UNI-ENI コミュニティ VLAN として共通の VLAN を設定できます。UNI-ENI コミュニティ VLAN 内のポートと VLAN 外のポート間では、ローカル スイッチングは実行されません。スイッチでは、UNI-ENI コミュニティ VLAN の 8 つの UNI および ENI だけの組み合せをサポートします。
(注) ローカル スイッチングは、同一コミュニティ VLAN の ENI および UNI との間で行われます。スパニング ツリーは UNI ではなく ENI でイネーブルに設定できるため、同一コミュニティ VLAN で ENI および UNI を設定する場合は注意が必要です。UNI は常に、フォワーディング ステートです。
NNI は、属している UNI-ENI VLAN のタイプの影響を受けません。VLAN タイプに関係なく、同一のスイッチまたは同一の VLAN に属する異なるスイッチ上の NNI 間、または NNI と UNI 間では、スイッチングが行われます。
図 12-2の設定では、VLAN 10 が UNI-ENI 独立 VLAN で、VLAN 20 が UNI-ENI コミュニティ VLAN である場合、ローカル スイッチングは、ファスト イーサネット ポート 1 ~ 4 では実行されませんが、ファスト イーサネット ポート 6 ~ 10 では実行されます。VLAN 10 と VLAN 20 の両方の NNI は、同一の VLAN 内の UNI または ENI とパケットを交換できます。
図 12-2 Cisco ME スイッチの UNI-ENI 独立 VLAN および UNI コミュニティ VLAN
UNI または ENI は、アクセス ポート、トランク ポート、プライベート VLAN ポート、または IEEE 802.1Q トンネル ポートにできます。また、EtherChannel のメンバーにもできます。
IEEE 802.1Q トランク ポートとして設定されている UNI または ENI が UNI-ENI 独立 VLAN に属する場合、トランク上の VLAN は、異なるトランク ポートまたはアクセス ポート上の同一 VLAN ID と分離されます。トランク ポート上のその他の VLAN を、異なる タイプ(プライベート VLAN、UNI-ENI コミュニティ VLAN など)にできます。たとえば、UNI-ENI トランク ポート上の UNI アクセス ポートおよび 1 つの VLAN は、同じ UNI 独立 VLAN に属することができます。この場合、UNI アクセス ポートと UNI トランク ポート上の VLAN 間で分離が行われます。その他のアクセス ポートおよびトランク ポート上のその他の VLAN は、異なる VLAN に属するため、分離されます。
VLAN の作成および変更
VLAN を作成して、いくつかのパラメータを変更するには、 vlan グローバル コンフィギュレーション コマンドを入力して、VLAN コンフィギュレーション モードにアクセスします。さらに、インターフェイス コンフィギュレーション モードを使用して、ポートのメンバーシップ モードの定義、VLAN に対するポートの追加および削除を行います。このモードのコマンド実行結果は実行コンフィギュレーション ファイルに書き込まれ、 show running-config 特権 EXEC コマンドを入力することによって表示できます。
• 「VLAN へのスタティックアクセス ポートの割り当て」
• 「内部 VLAN ID を指定した拡張範囲 VLAN の作成」
スイッチ上の MAC アドレス テーブルのスペースをさらに効率的に管理するために、特定の VLAN で MAC アドレス学習をディセーブルにして、MAC アドレスを学習する VLAN を制御できます。詳細については、「VLAN 上での MAC アドレス学習のディセーブル化」を参照してください。
イーサネット VLAN のデフォルト設定
スイッチは、イーサネット インターフェイスだけをサポートしています。 表 12-2 に、イーサネット VLAN のデフォルト設定を示します。
(注) 拡張範囲 VLAN 上では、MTU サイズ、プライベート VLAN、リモート SPAN、および UNI-ENI VLAN 設定だけを変更できます。他のすべての特性は、デフォルト条件のままにしておく必要があります。
|
|
|
|
|---|---|---|
| (注) 拡張範囲 VLAN(VLAN ID が 1006 ~ 4094)は VLAN データベースに保存されません。 | ||
VLAN 設定時の注意事項
ネットワーク内で VLAN を作成または変更するときは、次の注意事項に従ってください。
• 標準範囲の VLAN は、1 ~ 1001 の番号で識別されます。VLAN 番号の 1002 ~ 1005 は、トークン リングおよび Fiber Distributed Data Interface(FDDI)VLAN 用です。
• スイッチは、トークンリングまたは FDDI メディアをサポートしません。スイッチは、FDDI、FDDI-Net、TrCRF、または TrBRF トラフィックを転送しません。
• VLAN 1 ~ 1005 の VLAN 設定は常に、VLAN データベースおよびスイッチの実行コンフィギュレーション ファイルに保存されます。
• VLAN 1006 ~ 4094(拡張範囲 VLAN)の設定オプションは、MTU、RSPAN VLAN、プライベート VLAN、および UNI-ENI VLAN に限定されます。拡張範囲 VLAN は、VLAN データベースに追加されません。
• STP は、デフォルトですべての VLAN 上の NNI に対してだけイネーブルです。ENI で STP を設定できます。同一 VLAN の NNI および ENI は、同一スパニング ツリー インスタンスにあります。128 のスパニング ツリー インスタンスが、このスイッチによってサポートされます。サポートされるスパニング ツリー インスタンスを超える数のアクティブ VLAN がスイッチに設定されている場合は、128 の VLAN でスパニング ツリーをイネーブルに設定できますが、残りの VLAN ではディセーブルに設定します。スイッチ上で使用可能なすべてのスパニング ツリー インスタンスをすでに使用している場合、VLAN をさらに 1 つ追加すると、そのスイッチ上にスパニング ツリーを実行しない VLAN が作成されます。(すべての VLAN を許可するための)スイッチのトランク ポートにデフォルトの許可リストが設定されていると、すべてのトランク ポートに新しい VLAN が割り当てられます。ネットワークのトポロジに応じて、新しい VLAN 内に阻止されないループが作成されることがあります。特に、複数の隣接スイッチでスパニング ツリー インスタンスをすべて使用してしまっている場合は、注意してください。このような事態を防ぐには、スパニング ツリー インスタンスの割り当てを使い切っているスイッチのトランク ポートに、許可リストを設定します。
スイッチ上の VLAN 数がサポートされるスパニング ツリー インスタンス数を超える場合は、IEEE 802.1s Multiple STP(MSTP)をスイッチに設定して、複数の VLAN を単一のスパニング ツリー インスタンスにマッピングすることを推奨します。MSTP の詳細については、 第 16 章「MSTP の設定」 を参照してください。
(注) MSTP は、STP がイネーブルに設定されている NNI または ENI でだけサポートされています。
• スイッチ上の各ルーテッド ポートは、内部 VLAN を使用するために作成します。この内部 VLAN は拡張範囲 VLAN 番号を使用し、その内部 VLAN ID は拡張範囲 VLAN には使用できません。内部 VLAN として割り当て済みの VLAN ID を指定して拡張範囲 VLAN を作成すると、エラー メッセージが生成され、コマンドは拒否されます。
– 内部 VLAN ID は拡張範囲の下部の方なので、拡張範囲 VLAN を作成するには最大の番号(4094)から始めて最小値(1006)へと動いて、内部 VLAN ID を使用する可能性を減らすことを推奨します。
– 拡張範囲 VLAN を設定する前に、 show vlan internal usage 特権 EXEC コマンドを入力して、どの VLAN が内部 VLAN として割り当てられているかを確認します。
– 必要に応じて内部 VLAN に割り当てられたルーテッド ポートをシャットダウンします。これにより、内部 VLAN が解放され、拡張範囲 VLAN を作成してポートを再度イネーブルにし、別の VLAN を内部 VLAN として使用します。「内部 VLAN ID を指定した拡張範囲 VLAN の作成」を参照してください。
• スイッチは合計 1005(標準範囲および拡張範囲)の VLAN をサポートしますが、ルーテッド ポート、SVI、その他の設定済み機能の個数によって、スイッチのハードウェアの使用は左右されます。拡張範囲の VLAN を作成しようとしたときに、使用可能なハードウェア リソースが不十分な場合は、エラー メッセージが生成され、拡張範囲の VLAN は拒否されます。
イーサネット VLAN の作成または変更
VLAN コンフィギュレーション モードにアクセスするには、VLAN ID を指定して vlan グローバル コンフィギュレーション コマンドを入力します。VLAN を新規に作成するには新しい VLAN ID を、既存の VLAN を変更するには、その VLAN ID を入力します。デフォルトの VLAN 設定( 表 12-2 を参照)を使用するか、複数のコマンドを入力して VLAN を設定します。
(注) 拡張範囲 VLAN は、デフォルトの イーサネット VLAN 特性を使用し、変更可能なパラメータは、MTU、プライベート VLAN、RSPAN、および UNI-ENI VLAN 設定に限られます。
このモードで使用できるコマンドの詳細については、このリリースのコマンド リファレンスに記載されている vlan グローバル コンフィギュレーション コマンドを参照してください。設定が終了したら、設定が有効になるように VLAN コンフィギュレーション モードを終了する必要があります。VLAN 設定を表示するには、 show vlan 特権 EXEC コマンドを入力します。
VLAN ID 1 ~ 1005 の設定は常に、VLAN 番号および VLAN 名とともに VLAN データベース(valn.dat ファイル)およびスイッチの実行コンフィギュレーション ファイルに保存されます。拡張範囲 VLAN は VLAN データベースに保存されません。スイッチの実行コンフィギュレーション ファイルに保存されます。 copy running-config startup-config 特権 EXEC コマンドを使用すると、スイッチのスタートアップ コンフィギュレーション ファイルに VLAN の設定を保存できます。
(注) 拡張範囲 VLAN を作成する前に、show vlan internal usage 特権 EXEC コマンドを入力して、VLAN ID が内部的に使用されていないことを確認します。VLAN ID が内部的に使用されている場合に、それを解放するには、「内部 VLAN ID を指定した拡張範囲 VLAN の作成」を参照してから拡張範囲 VLAN を作成してください。
イーサネット VLAN を作成または変更するには、特権 EXEC モードで次の手順を実行します。
VLAN を削除するには、 no vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。VLAN 1 および VLAN 1002 ~ 1005 は削除できません。
VLAN 名をデフォルト設定に戻すには、 no name 、または no mtu VLAN コンフィギュレーション コマンドを使用します。
次の例は、イーサネット VLAN 20 を作成し、 test20 と名前を付け、VLAN データベースに追加する方法を示しています。
次の例は、すべてのデフォルト特性を備えた新しい拡張範囲 VLAN を作成し、config-vlan モードを開始し、スイッチのスタートアップ コンフィギュレーション ファイルに新しい VLAN を保存する方法を示しています。
VLAN へのスタティックアクセス ポートの割り当て
VLAN にスタティックアクセス ポートを割り当てられます。
(注) 存在しない VLAN にインターフェイスを割り当てると、新しく VLAN が作成されます (「イーサネット VLAN の作成または変更」を参照)。
VLAN データベース内の VLAN にポートを割り当てるには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
必要に応じて、ポートをイネーブルにします。デフォルトでは、UNI および ENI はディセーブルに、NNI はイネーブルに設定されています。 |
||
表示された Administrative Mode フィールドおよび Access Mode VLAN フィールドの設定を確認します。 |
||
インターフェイスの設定をデフォルトに戻すには、 default interfac e interface-id インターフェイス コンフィギュレーション コマンドを使用します。
次に、VLAN 2 のアクセス ポートとしてポートを設定する方法を示します。
内部 VLAN ID を指定した拡張範囲 VLAN の作成
内部 VLAN に割り当て済みの拡張範囲 VLAN ID を入力すると、エラー メッセージが表示され、拡張範囲 VLAN は拒否されます。内部 VLAN ID を手動で解放するには、内部 VLAN ID を使用しているルーテッド ポートを一時的にシャットダウンする必要があります。
内部 VLAN に割り当てられた VLAN ID を解放してその ID で拡張範囲 VLAN を作成するには、特権 EXEC モードで次の手順を実行します。
UNI-ENI VLAN の設定
デフォルトでは、スイッチ上で設定されるすべのての VLAN は、UNI-ENI 独立 VLAN です。VLAN 設定は、UNI-ENI コミュニティ VLAN、プライベート VLAN、または RSPAN VLAN の設定に変更できます。また、これらのいずれかの VLAN 設定をデフォルトの UNI-ENI 独立 VLAN に戻すこともできます。
設定時の注意事項
次に、UNI-ENI VLAN 設定時の注意事項について説明します。
• UNI-ENI 独立 VLAN は、NNI ポートに影響しません。
• UNI-ENI コミュニティ VLAN は従来の VLAN と同様ですが、設定できるのは最大 8 つの UNI および ENI の組み合せである点だけ異なります。
• VLAN タイプを変更するには、最初に vlan vlan-id グローバル コンフィギュレーション コマンドを入力して、VLAN コンフィギュレーション モードを開始します。
– VLAN を UNI-ENI 独立 VLAN からプライベート VLAN に変更するには、 private-vlan VLAN コンフィギュレーション モード コマンドを入力します。
– UNI-ENI コミュニティ VLAN をプライベート VLAN に変更するには、no uni-vlan VLAN コンフィギュレーション モード コマンドを入力してまずコミュニティ VLAN のタイプを削除する必要があります。次に、 private-vlan VLAN コンフィギュレーション コマンドを入力します。
– VLAN を UNI-ENI 独立 VLAN から RSPAN VLAN に変更するには、 rspan-vlan VLAN コンフィギュレーション モード コマンドを入力します。
– UNI-ENI コミュニティ VLAN を RSPAN VLAN に変更するには、 no uni-vlan VLAN コンフィギュレーション モード コマンドを入力してまずコミュニティ VLAN を削除する必要があります。次に、 rspan-vlan VLAN コンフィギュレーション コマンドを入力します。
– プライベート VLAN を UNI-ENI VLAN に変更するには、 no private-vlan VLAN コンフィギュレーション モード コマンドを入力してまずプライベート VLAN のタイプを削除する必要があります。次に、 uni-vlan VLAN コンフィギュレーション コマンドを入力します。
– RSPAN VLAN を UNI-ENI VLAN に変更するには、 no rspan-vlan VLAN コンフィギュレーション モード コマンドを入力してまず RSPAN VLAN のタイプを削除する必要があります。次に、 uni-vlan VLAN コンフィギュレーション コマンドを入力します。
• スイッチでは、コミュニティ VLAN の合計 8 つの UNI および ENI をサポートします。9 つ以上の UNI および ENI が VLAN に属している場合は、VLAN を UNI-ENI コミュニティとして設定できません。
• すでに 8 つの UNI および ENI が指定されている UNI-ENI コミュニティ VLAN に UNI または ENI スタティック アクセス ポートを追加しようすると、設定が拒否されます。8 つの UNI または ENI が設定されている UNI-ENI コミュニティ VLAN に、UNI または ENI ダイナミック アクセス ポートを追加すると、ポートはエラー ディセーブル ステートになります。
• 同一コミュニティ VLAN に ENI および UNI を設定する場合は注意してください。ローカル スイッチングがコミュニティ VLAN の ENI および UNI の間で行われます、ENI はスパニング ツリーをサポートしますが、UNI はサポートしません。
UNI-ENI VLAN の設定
デフォルトでは、スイッチ上で作成されるすべての VLAN は、UNI-ENI 独立 VLAN です。この設定は、UNI-ENI コミュニティ VLAN、プライベート VLAN、または RSPAN VLAN に変更できます。プライベート VLAN または RSPAN VLAN の設定手順については、 第 13 章「プライベート VLAN の設定」 および 第 27 章「SPAN および RSPAN の設定」 を参照してください。
UNI-ENI VLAN のタイプを変更するには、特権 EXEC モードで次の手順を実行します。
デフォルト(UNI-ENI 独立 VLAN)に戻るには、 no uni-vlan VLAN コンフィギュレーション コマンドを使用します。 uni-vlan isolated コマンドを入力すると、 uni-vlan VLAN コンフィギュレーション コマンドを入力した場合と同じ結果になります。 show vlan および show vlan vlan-id の各特権 EXEC コマンドでも、UNI-ENI VLAN 情報を表示できますが、UNI-ENI コミュニティ VLAN だけが表示されます。独立 VLAN およびコミュニティ VLAN の両方を表示するには、 show vlan uni-vlan type コマンドを使用します。
VLAN の表示
拡張範囲 VLAN を含めてスイッチ上のすべての VLAN のリストを表示するには、 show vlan 特権 EXEC コマンドを使用します。この表示には、VLAN ステータス、ポート、および設定情報が含まれます。 表 12-3 に、VLAN モニタリング用のその他の特権 EXEC コマンドを示します。
|
|
|
|---|---|
スイッチ上の UNI-ENI 独立 VLAN および UNI-ENI コミュニティ VLAN を、VLAN ID で表示します。 |
show コマンドのオプションと出力フィールドの詳細については、このリリースのコマンド リファレンスを参照してください。
VLAN トランクの設定
• 「レイヤ 2 イーサネット インターフェイス VLAN のデフォルト設定」
• 「トランク ポートとしてのイーサネット インターフェイスの設定」
トランキングの概要
トランクは、1 つまたは複数のイーサネット スイッチ インターフェイスと、ルータやスイッチといった他のネットワーキング デバイス間のポイントツーポイント リンクです。イーサネット トランクは 1 つのリンクを介して複数の VLAN トラフィックを搬送するので、VLAN をネットワーク全体に拡張することができます。スイッチは、IEEE 802.1Q 業界標準トランキング カプセル化をサポートします。
トランクを設定できるのは、1 つのイーサネット インターフェイスまたは 1 つの EtherChannel バンドルに対してです。EtherChannel の詳細については、 第 35 章「EtherChannel およびリンクステート トラッキングの設定」 を参照してください。
イーサネット インターフェイスは、各種トランキング モードをサポートしています( 表 12-4 を参照)。インターフェイスをトランキングまたは非トランキングとして設定できます。
• リンクをトランキングしない場合は、 switchport mode a ccess インターフェイス コンフィギュレーション コマンドを使用してトランキングをディセーブルにします。
• トランキングをイネーブルにするには、 switchport mode trunk インターフェイス コンフィギュレーション コマンドを使用して、インターフェイスをトランクに変更します。
|
|
|
|---|---|
インターフェイス(アクセス ポート)は永続的な非トランキング モードになり、リンクを非トランク リンクに変換するようにネゴシエーションを行います。インターフェイスは、近接インターフェイスがトランク インターフェイスであるかどうかに関係なく、非トランク インターフェイスになります。これがデフォルトのモードです。 |
|
インターフェイスは永続的なトランキング モードになり、近接リンクをトランク リンクに変換するようにネゴシエーションを行います。近接インターフェイスがトランク インターフェイスでなくても、インターフェイスはトランク インターフェイスになります。 |
|
インターフェイスをトンネル(非トランキング)ポートとして設定し、IEEE 802.1Q トランク ポートと非対称リンクで接続されるようにします。IEEE 802.1Q トンネリングは、サービス プロバイダー ネットワーク全体でカスタマー VLAN の整合性を維持するのに使用されます。トンネル ポートについての詳細は、 第 14 章「IEEE 802.1Q トンネリング、VLAN マッピング、およびレイヤ 2 プロトコル トンネリングの設定」 を参照してください。 |
|
インターフェイスをプライベート VLAN ホストまたはプロミスキャス ポートとして設定します(プロミスキャス ポートとして設定できるのは NNI だけです)。プライベート VLAN の詳細については、 第 13 章「プライベート VLAN の設定」 を参照してください。 |
IEEE 802.1Q の設定に関する注意事項
IEEE 802.1Q トランクでは、ネットワークのトランキング方式に次の制約があります。
• IEEE 802.1Q トランクを使用して接続したシスコ製スイッチのネットワークでは、スイッチはトランク上で許可された VLAN ごとに 1 つのスパニング ツリー インスタンスを維持します。他社製のデバイスは、すべての VLAN に対して 1 つのスパニング ツリー インスタンスをサポートする場合があります。
IEEE 802.1Q トランクを使用して他社製のデバイスにシスコ製スイッチを接続する場合、シスコ製スイッチは、トランクの VLAN のスパニング ツリー インスタンスを他社製 IEEE 802.1Q スイッチのスパニング ツリー インスタンスと結合します。ただし、各 VLAN のスパニング ツリー情報は、他社製の IEEE 802.1Q スイッチからなるクラウドにより分離されたシスコ製スイッチによって維持されます。シスコ製スイッチを分離する他社製の IEEE 802.1Q スイッチ クラウドは、スイッチ間の 1 つのトランク リンクとして取り扱われます。
• IEEE 802.1Q トランクに対応するネイティブ VLAN が、トランク リンクの両端で一致していなければなりません。トランクの一方のネイティブ VLAN ともう一方のネイティブ VLAN が異なっていると、スパニング ツリー ループが発生する可能性があります。
• ネットワーク内のすべての VLAN でスパニング ツリーをディセーブルにしないまま、IEEE 802.1Q トランクのネイティブ VLAN でスパニング ツリーをディセーブルにすると、スパニング ツリー ループが発生する可能性があります。IEEE 802.1Q トランクのネイティブ VLAN でスパニング ツリーをイネーブルのままにしておくか、または、ネットワーク内のすべての VLAN でスパニング ツリーをディセーブルにしてください。また、ネットワークにループがないことを確認してから、スパニング ツリーをディセーブルにしてください。
レイヤ 2 イーサネット インターフェイス VLAN のデフォルト設定
表 12-5 に、レイヤ 2 イーサネット インターフェイス VLAN のデフォルト設定を示します。
|
|
|
|---|---|
トランク ポートとしてのイーサネット インターフェイスの設定
他の機能との相互作用
• トランク ポートは EtherChannel ポート グループにまとめることができますが、グループ内のすべてのトランクは同じ設定にしておく必要があります。グループを初めて作成したときは、そのグループに最初に追加されたポートのパラメータ設定値をすべてのポートが引き継ぎます。次に示すパラメータのいずれかの設定を変更すると、スイッチは、入力された設定をグループ内のすべてのポートに伝播します。
(注) デフォルトでは、STP は NNI でサポートされていますが、ENI ではイネーブルに設定する必要があります。UNI では STP はサポートされていません。
– トランク ステータス:ポート グループ内の 1 つのポートがトランクでなくなった場合、すべてのポートがトランクでなくなります。
• トランク ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートをトランクに変更しようとしても、ポート モードは変更されません。
トランク ポートの設定
IEEE 802.1Q トランク ポートとしてポートを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
必要に応じて、ポートをイネーブルにします。デフォルトでは、UNI および ENI はディセーブルに、NNI はイネーブルに設定されています。 |
||
インターフェイスの設定をデフォルトに戻すには、 default interface interface-id インターフェイス コンフィギュレーション コマンドを使用します。トランキング インターフェイスのすべてのトランキング特性をデフォルトにリセットするには、 no switchport trunk インターフェイス コンフィギュレーション コマンドを使用します。トランキングをディセーブルにするには、 switchport mode access インターフェイス コンフィギュレーション コマンドを使用してポートをスタティックアクセス ポートとして設定します。
次に、VLAN 33 をネイティブ VLAN として、ポートを IEEE 802.1Q トランクとして設定する例を示します。
トランク上での許可 VLAN の定義
デフォルトでは、トランク ポートはすべての VLAN に対してトラフィックの送受信を行います。各トランクで、すべての VLAN ID(1~4094)が許可されます。ただし、許可リストから VLAN を削除することにより、それらの VLAN からのトラフィックがトランク上を流れないようにすることができます。トランクが伝送するトラフィックを制限するには、 switchport trunk allowed vlan remove vlan-list インターフェイス コンフィギュレーション コマンドを使用して、許可リストから特定の VLAN を削除します。
(注) VLAN 1 は、すべてのシスコ製スイッチ内のすべてのトランクポートのデフォルト VLAN です。以前は、すべてのトランク リンクで VLAN 1 を常にイネーブルにしておく必要がありました。VLAN 1 の最小化機能により、VLAN 1 を任意の個々の VLAN トランク リンクでディセーブルにして、ユーザ トラフィック(スパニング ツリー アドバタイズを含む)が VLAN 1 で送受信されないようにできます。これは、許可 VLAN リストから VLAN 1 を削除することにより、実行します。
スパニング ツリー ループまたはストームの危険性を減らすには、許可リストから VLAN 1 を削除して個々の VLAN トランク ポートの VLAN 1 をディセーブルにします。トランク ポートから VLAN 1 を削除しても、インターフェイスは、VLAN 1 の Cisco Discovery Protocol(CDP; シスコ検出プロトコル)、Port Aggregation Protocol(PAgP; ポート集約プロトコル)、Link Aggregation Control Protocol(LACP; リンク レイヤ検出プロトコル)などの管理トラフィックを送受信し続けます。
VLAN 1 がディセーブルなトランク ポートが非トランク ポートに変換された場合は、アクセス VLAN に追加されます。アクセス VLAN が 1 に設定されている場合、 switchport trunk allowed 設定に関係なく、ポートは VLAN 1 に追加されます。ポート上でディセーブルなすべての VLAN について、同じことが当てはまります。
トランクポートは、VLAN がイネーブルになっていて、かつポートの許可リストにその VLAN が登録されている場合に、VLAN のメンバーになることができます。
IEEE802.1Q トランクの許可リストを変更するには、特権 EXEC モードで次の手順を実行します。
すべての VLAN の許可 VLAN リストをデフォルトに戻すには、 no switchport trunk allowed vlan インターフェイス コンフィギュレーション コマンドを使用します。
次の例は、ポートの許可 VLAN リストから VLAN 2 を削除する方法を示しています。
タグなしトラフィック用ネイティブ VLAN の設定
IEEE 802.1Q タギングが設定されたトランク ポートは、タグ付きトラフィックおよびタグなしトラフィックの両方を受信できます。デフォルトでは、スイッチはタグなしトラフィックをポートに設定されたネイティブ VLAN に伝送します。ネイティブ VLAN は、デフォルトでは VLAN 1 です。
(注) ネイティブ VLAN には任意の VLAN ID を割り当てることができます。
IEEE 802.1Q 設定の詳細については、「IEEE 802.1Q の設定に関する注意事項」を参照してください。
IEEE802.1Q トランクでネイティブ VLAN を設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
IEEE 802.1Q トランクとして設定されているインターフェイスを定義し、インターフェイス コンフィギュレーション モードを開始します。 |
||
必要に応じて、ポートをイネーブルにします。デフォルトでは、UNI と ENI はディセーブルに、NNI はイネーブルに設定されています。 |
||
ネイティブ VLAN をデフォルトの VLAN 1 に戻すには、 no switchport trunk native vlan インターフェイス コンフィギュレーション コマンドを使用します。
パケットの VLAN ID が送信ポートのネイティブ VLAN ID と同じであれば、そのパケットはタグなしで転送されます。同じでない場合、スイッチはそのパケットをタグ付きで転送します。
トランク ポートの負荷分散の設定
負荷分散により、スイッチに接続しているパラレル トランクの提供する帯域幅が分割されます。STP は通常、ループを防止するために、スイッチ間で 1 つのパラレル リンク以外のすべてのリンクをブロックします。負荷分散を行うと、トラフィックが属する VLAN に基づいて、リンク間でトラフィックが分割されます。
STP がイネーブルに設定されているトランクポートで負荷分散を設定するには、STP ポート プライオリティまたは STP パス コストを使用します。STP ポート プライオリティを使用して負荷分散を設定する場合には、両方の負荷分散リンクを同じスイッチに接続する必要があります。STP パスコストを使用して負荷分散を設定する場合には、それぞれの負荷分散リンクを同じスイッチに、または 2 台の異なるスイッチに接続することができます。STP の詳細については、 第 15 章「STP の設定」 を参照してください。
STP ポート プライオリティによる負荷分散
同一スイッチ上の 2 つのポートがループを形成すると、スイッチが STP ポート プライオリティを使用してイネーブルになるポートとブロッキング ステートになるポートを決定します。パラレル STP トランク ポートにプライオリティを設定すると、そのポートは、特定の VLAN のすべてのトラフィックを搬送させることができます。VLAN に対するプライオリティがより高い(より小さい値)トランク ポートがその VLAN のトラフィックを伝送します。同じ VLAN に対してプライオリティのより低い(より大きい値)トランク ポートは、その VLAN に対してブロッキング ステートのままです。1 つのトランク ポートがその VLAN に関するすべてのトラフィックを送受信することになります。
図 12-3 に、サポート対象スイッチを接続する 2 つのトランクを示します。この例では、スイッチは次のように設定されています。
• VLAN 8 ~ 10 は、トランク 1 でポート プライオリティ 16 が割り当てられています。
• VLAN 3 ~ 6 は、トランク 1 でデフォルトのポート プライオリティ 128 のままです。
• VLAN 3 ~ 6 は、トランク 2 でポート プライオリティ 16 が割り当てられています。
• VLAN 8 ~ 10 は、トランク 2 でデフォルトのポート プライオリティ 128 のままです。
このように設定すると、トランク 1 がVLAN 8 ~ 10 のトラフィックを搬送し、トランク 2 がVLAN 3 ~ 6 のトラフィックを搬送します。アクティブ トランクで障害が起きた場合には、プライオリティのより低いトランクが引き継ぎ、すべての VLAN のトラフィックを搬送します。どのトランク ポート上でも、トラフィックの重複は発生しません。
図 12-3 に示すネットワークを設定するには、スイッチ A で特権 EXEC モードで次の手順を実行します。インターフェイス番号には任意の数を使用できますが、表示されている番号はほんの一例であることに注意してください。
スイッチ B で同じ手順を使用して、トランク 1 のトランク ポートで VLAN 8 ~ 10 のスパニング ツリー ポート プライオリティ を 16 にして設定し、トランク 2 のトランク ポートで VLAN 3 ~ 6 のスパニング ツリー ポート プライオリティ を 16 にして設定します。
STP パス コストによる負荷分散
トランクに異なるパス コストを設定し、各パス コストを異なる VLAN セットに対応付け、VLAN ごとに異なるポートをブロッキングすることにより、VLAN トラフィックを分担するようにパラレル トランクを設定できます。VLAN は、トラフィックを個別に保持し、リンクが失われても冗長性を維持します。
図 12-4で、トランク ポート 1 および 2 は 100BASE-T ポートとして設定されています。次の VLAN パス コストが割り当てられています。
• VLAN 2 ~ 4 には、トランク ポート 1 でパス コスト 30 が割り当てられています。
• VLAN 8 ~ 10 は、トランク ポート 1 で 100BASE-T のデフォルトのパス コスト 19 のままになっています。
• VLAN 8 ~ 10 には、トランク ポート 2 でパス コスト 30 が割り当てられています。
• VLAN 2 ~ 4 は、トランク ポート 2 で 100BASE-T のデフォルトのパス コスト 19 のままになっています。
図 12-4 パス コストによってトラフィックが分散される負荷分散トランク
図 12-4 に示すネットワークを設定するには、特権 EXEC モードで次の手順を実行します。
スイッチ B で同じ手順を使用して、トランク 1 のトランク ポートで VLAN 2 ~ 4 のパス コストを 30 にして設定し、トランク 2 のトランク ポートで VLAN 8 ~ 10 のパス コストを 30 にして設定します。
VMPS の設定
VLAN Query Protocol(VQP)は、ダイナミック アクセス ポートをサポートします。ダイナミック アクセス ポートは、永続的には VLAN に割り当てられませんが、ポート上で認識された MAC 送信元アドレスに基づいて VLAN に割り当てられます。
(注) UNI および ENI に限り、ダイナミック アクセス ポートとして設定できます。NNI は VQP に参加できません。
スイッチは、不明の MAC アドレスを認識するたびに、VQP クエリーをリモート VMPS に送信します。クエリーには、新たに認識された MAC アドレスと認識元のポートが含まれます。VMPS は、ポートの VLAN 割り当てと一緒に応答を返します。このスイッチは VMPS サーバとしては使用できませんが、VMPS のクライアントとして動作し、VQP を介して VMPS と通信します。
• 「ダイナミック アクセス ポート VLAN メンバーシップのトラブルシューティング」
VMPS の概要
クライアント スイッチは、新たなホストの MAC アドレスを受け取るたびに、VQP クエリーを VMPS に送信します。VMPS は、このクエリーを受信すると、自身のデータベースで MAC アドレス/VLAN 間のマッピングを検索します。サーバはこのマッピングと、サーバがオープン モードかセキュア モードであるかに基づいて応答を返します。セキュア モードでは、サーバは、違法なホストを検出すると、そのポートをシャットダウンします。オープン モードでは、サーバは単にポートへのホストのアクセスを拒否するだけです。
ポートが現在 未割り当て(unassigned) の場合(つまり、まだ VLAN に割り当てられていない)、VMPS は次の応答のいずれかを返します。
• ホストがポート上で許可されている場合、VMPS は、割り当てられた VLAN 名を含み、ホストへのアクセスを許可する VLAN 割り当て(vlan-assignment) の応答をクライアントに送信します。
• ホストがポート上で許可されておらず、かつ、VMPS がオープン モードの場合、VMPS は アクセス拒否(access-denied) の応答を送信します。
• VLAN がポート上で許可されておらず、かつ、VMPS がセキュア モードの場合、VMPS は ポート シャットダウン(port-shutdown) の応答を送信します。
ポートがすでに VLAN 割り当てを持つ場合は、VMPS は次の応答のいずれかを返します。
• データベース内の VLAN がポート上の現在の VLAN と一致する場合、VMPS は 成功(success) の応答を返し、ホストへのアクセスを許可します。
• データベースの VLAN とポート上の現在の VLAN が一致せず、かつ、ポート上にアクティブなホストがある場合、VMPS のセキュア モードに応じて、VMPS は アクセス拒否 または ポート シャットダウン の応答を送信します。
VMPS から アクセス拒否 の応答を受信したスイッチは、引き続き、そのホスト MAC アドレスとやり取りされるトラフィックをブロックします。また、スイッチは引き続きそのポート宛てのパケットをモニタし、新しいホスト アドレスを検出するたびに、VMPS にクエリーを送ります。VMPS から ポート シャットダウン の応答を受け取ったスイッチは、ポートをディセーブルにします。このポートは、CLI(コマンドライン インターフェイス)、または SNMP(簡易ネットワーク管理プロトコル)を使用して、手動で再びイネーブルにする必要があります。
ダイナミック アクセス ポート VLAN メンバーシップ
ダイナミック アクセス ポートは ID が 1 ~ 4094 の 1 つの VLAN にだけ属することができます。リンクがアクティブになっても、VMPS によって VLAN 割り当てが行われるまで、スイッチとこのポート間ではトラフィックの転送は行われません。VMPS はダイナミック アクセス ポートに接続された新しいホストの最初のパケットから送信元 MAC アドレスを受信し、VMPS データベースに登録されている VLAN とその MAC アドレスを照合します。
(注) UNI または ENI に限り、ダイナミック アクセス ポートにできます。
MAC アドレスと VMPS データベース内の VLAN が一致した場合には、VMPS がそのポートの VLAN 番号を送信します。クライアント スイッチがまだ設定されていない場合には、クライアント スイッチは、トランク ポートで VMPS から受信した最初の VTP パケットに指定されているドメイン名を使用します。クライアント スイッチがすでに設定されている場合には、VMPS へのクエリー パケットに自身のドメイン名を指定して、VLAN 番号を取得します。VMPS はパケットに指定されたドメイン名が自身のドメイン名と一致することを確認してから、要求を受け入れ、そのクライアント用に割り当てた VLAN 番号を使用してクライアントに応答します。一致しなかった場合、VMPS は(VMPS のセキュア モードの設定に応じて)要求を拒否するか、またはポートをシャットダウンします。
ダイナミック アクセス ポート上で複数のホスト(MAC アドレス)がアクティブになるのは、それらのホストがすべて同じ VLAN に属する場合に限られます。ただし、同一ポート上でアクティブのホストが 20 を超えると、VMPS はそのポートをシャットダウンします。
ダイナミック アクセス ポート上でリンクがダウンすると、そのポートは切り離された状態に戻り、VLAN から離脱します。このポートを介してオンラインになるホストは、VQP により再び VMPS のチェックを受けたあとに、ポートが VLAN に割り当てられます。
ダイナミック アクセス ポートは、直接ホストに接続できます。また、ネットワークへ接続することもできます。スイッチ上のポートあたり最大 20 の MAC アドレスが許可されます。ダイナミック アクセス ポートは 1 度に 1 つの VLAN にしか属せません。ただし、VLAN は認識された MAC アドレスに応じて時間の経過とともに変更することがあります。
VMPS クライアントのデフォルト設定
表 12-6 に、クライアント スイッチ上の VMPS およびダイナミック アクセス ポートのデフォルト設定を示します。
|
|
|
|---|---|
VMPS 設定時の注意事項
ダイナミック アクセス ポート VLAN メンバーシップには、次の注意事項および制限事項があります。
• VMPS を先に設定してから、ダイナミック アクセス ポートとしてポートを設定する必要があります。
• IEEE 802.1X ポートは、ダイナミック アクセス ポートとして設定できません。ダイナミック アクセス(VQP)ポートで IEEE 802.1X をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1X はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。
• トランク ポートをダイナミック アクセス ポートにできません。ただし、トランク ポートに対して switchport access vlan dynamic インターフェイス コンフィギュレーション コマンド を入力できます。この場合、スイッチは設定値を保持し、あとにポートがアクセス ポートとして設定された場合にはその設定値が適用されます。
ダイナミック アクセスの設定を有効にするには、ポートのトランキングをオフにする必要があります。
• ダイナミック アクセス ポートは、モニタ ポートにできません。
• セキュア ポートは、ダイナミック アクセス ポートにできません。ダイナミックになる前にポートでのポート セキュリティをディセーブルにする必要があります。
• プライベート VLAN ポートは、ダイナミック アクセス ポートにできません。
VMPS クライアントの設定
ダイナミック VLAN は VMPS(サーバ)を使用して設定します。スイッチは、VMPS クライアントにはできますが、VMPS サーバにはできません。
VMPS の IP アドレスの入力
スイッチをクライアントとして設定するには、最初にサーバの IP アドレスを入力する必要があります。
VMPS の IP アドレスを入力するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
(注) ダイナミック アクセス ポートを動作させるには、VMPS への IP 接続を確立する必要があります。VMPS の IP アドレスに ping し、応答の受信を確認することで、IP 接続をテストできます。
VMPS クライアントのダイナミック アクセス ポートの設定
VMPS クライアント スイッチにダイナミック アクセス ポートを設定するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
エンド ステーションに接続されているスイッチ ポートを指定し、インターフェイス コンフィギュレーション モードを開始します。ポートは、UNI または ENI とします。 |
||
インターフェイスの設定をデフォルトに戻すには、 default interface interface-id インターフェイス コンフィギュレーション コマンドを使用します。アクセス モードをスイッチのデフォルト VLAN にリセットするには、 no switchport access vlan インターフェイス コンフィギュレーション コマンドを使用します。
VLAN メンバーシップの再確認
スイッチが VMPS から受信したダイナミック アクセス ポート VLAN メンバーシップの割り当てを確認するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
再確認インターバルの変更
VMPS クライアントは、VMPS から受信した VLAN メンバーシップ情報を定期的に再確認します。この再確認を行う間隔を分単位で設定できます。
再確認インターバルを変更するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
ダイナミック VLAN メンバーシップを再確認する間隔を分単位で指定します。指定できる範囲は 1 ~ 120 です。デフォルトは 60 分です。 |
||
表示されている Reconfirm Interval フィールドのダイナミック VLAN の再確認ステータスを確認します。 |
||
スイッチをデフォルト設定に戻すには、 no vmps reconfirm グローバル コンフィギュレーション コマンドを使用します。
再試行回数の変更
スイッチが次のサーバにクエリー送信するまでに、VMPS との接続を試みる試行回数を変更するには、特権 EXEC モードで次の手順を実行します。
|
|
|
|
|---|---|---|
スイッチをデフォルト設定に戻すには、 no vmps retry グローバル コンフィギュレーション コマンドを使用します。
VMPS のモニタ
VMPS 情報を表示するには、 show vmps 特権 EXEC コマンドを使用します。VMPS に関する次の情報が表示されます。
• VMPS VQP バージョン:VMPS との通信に使用される VQP のバージョン。スイッチは VQP バージョン 1 を使用する VMPS にクエリー送信をします。
• 再確認インターバル:VLAN と MAC アドレスとの割り当てを再確認するまでにスイッチが待機する時間(分単位)
• サーバ再試行回数:VQP から VMPS にクエリーを再送信する回数。この回数だけ試行しても応答がない場合、スイッチはセカンダリ VMPS に対してクエリー送信を開始します。
• VMPS ドメイン サーバ:設定されている VMPS の IP アドレス。スイッチは、current の指定があるサーバにクエリーを送信しています。primary と表示されたサーバがプライマリ サーバです。
• VMPS アクション:最新の再確認試行の結果。再確認は、再確認インターバルとして設定された時間が経過すると自動的に行われます。また、 vmps reconfirm 特権 EXEC コマンドを入力することによって、強制的に再確認できます。
次に、 show vmps 特権 EXEC コマンドの出力例を示します。
ダイナミック アクセス ポート VLAN メンバーシップのトラブルシューティング
VMPS は次の条件が発生したときに、ダイナミック アクセス ポートをシャットダウンします。
• VMPS がセキュア モードで、かつ、ホストにポートへの接続を許可しない場合。VMPS は、ホストがネットワークに接続しないように、ポートをシャットダウンします。
• 1 つのダイナミック アクセス ポート上に 20 を超えるアクティブ ホストが存在する場合
ディセーブルのダイナミック アクセス ポートを再度イネーブルにするには、 shutdown インターフェイス コンフィギュレーション コマンドに続けて、 no shutdown インターフェイス コンフィギュレーション コマンドを入力します。
VMPS の構成例
図 12-5に、VMPS サーバ スイッチと、ダイナミック アクセス ポートの設定された VMPS クライアント スイッチで構成されるネットワークを示します。この例の前提条件は次のとおりです。
• VMPS サーバと VMPS クライアントは、それぞれ別個のスイッチです。
• Catalyst 6500 シリーズ スイッチ A がプライマリの VMPS サーバです。
• Catalyst 6500 シリーズ スイッチ C およびスイッチ J がセカンダリの VMPS サーバです。
• エンド ステーションは、クライアント、スイッチ B、およびスイッチ I に接続されます。
• データベース コンフィギュレーション ファイルは、IP アドレス 172.20.22.7 の TFTP サーバに保管されます。
図 12-5 ダイナミック ポート VLAN メンバーシップの構成
フィードバック