この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Nexus NX-OS 7.0(3)I1(2) 以降、プライベート VLAN 機能がサポートされています。
(注) | この機能を設定する前に、プライベート VLAN 機能をイネーブルにする必要があります。 |
(注) | レイヤ 2 ポートは、トランク ポート、アクセス ポート、またはプライベート VLAN ポートとして機能します。 |
同様のシステム間で直接通信する必要がない特定の状況では、プライベート VLAN により、レイヤ 2 レベルの保護を強化できます。プライベート VLAN は、プライマリ VLAN とセカンダリ VLAN の関連付けです。
プライマリ VLAN は、セカンダリ VLAN を関連付けるブロードキャスト ドメインを定義します。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかの場合があります。独立 VLAN 上のホストは、プライマリ VLAN 内で関連付けられた無差別ポートとだけ通信します。コミュニティ VLAN 上のホストは、同じコミュニティ VLAN 上のホスト間および関連付けられた無差別ポートとだけ通信し、独立ポートまたは他のコミュニティ VLAN 内のポートとは通信しません。
統合スイッチングおよびルーティング機能を使用するコンフィギュレーションでは、各プライベート VLAN に単一のレイヤ 3 VLAN ネットワーク インターフェイスを割り当てることにより、ルーティングを提供できます。VLAN ネットワーク インターフェイスは、プライマリ VLAN 用に作成します。このようなコンフィギュレーションでは、セカンダリ VLAN はすべて、プライマリ VLAN 上の VLAN ネットワーク インターフェイスとのマッピングにより、レイヤ 3 でのみ通信します。セカンダリ VLAN 上の既存の VLAN ネットワーク インターフェイスは、すべてサービス停止状態になります。
デバイスでプライベート VLAN 機能を適用するには、プライベート VLAN をイネーブルにする必要があります。
プライベート VLAN モードで動作しているポートがデバイスに設定されている場合は、プライベート VLAN をディセーブルにすることはできません。
(注) | 特定の VLAN をプライマリまたはセカンダリのどちらかのプライベート VLAN として設定するには、事前に VLAN を作成しておく必要があります。 |
プライベート VLAN 機能では、VLAN の使用時にユーザが直面する 2 つの問題に対処できます。
各 VDC は、最大 4096 の VLAN をサポートします。各カスタマーに 1 つの VLAN を割り当てると、サービス プロバイダーがサポートできるカスタマー数は制限されます。
IP ルーティングをイネーブルにするには、各 VLAN にサブネット アドレス空間またはアドレス ブロックを割り当てます。これにより未使用の IP アドレスが無駄になり、IP アドレスの管理に問題が生じます。
プライベート VLAN を使用することにより、スケーラビリティの問題が解決され、IP アドレスの管理が容易になり、カスタマーにレイヤ 2 セキュリティが提供されます。
プライベート VLAN の機能は、VLAN のレイヤ 2 ブロードキャスト ドメインをサブドメインに分割できます。サブドメインは、プライマリ VLAN とセカンダリ VLAN で構成されるプライベート VLAN のペアで表されます。プライベート VLAN ドメインには複数のプライベート VLAN のペアを設定でき、それぞれのペアを各サブドメインに割り当てることができます。プライベート VLAN ドメイン内のすべての VLAN ペアは、同じプライマリ VLAN を共有します。セカンダリ VLAN ID は、各サブドメインの区別に使用されます。
(注) | プライベート VLAN ドメインには、プライマリ VLAN が 1 つのみ含まれています。 |
セカンダリ VLAN は、同じプライベート VLAN 内のポートをレイヤ 2 で分離します。プライマリ VLAN 内のセカンダリ VLAN には、次の 2 つのタイプがあります。
(注) | コミュニティ プライベート VLAN および独立プライベート VLAN のポートは、いずれも PVLAN ホスト ポートというラベルが付けられます。PVLAN ホスト ポートは、関連付けられているセカンダリ VLAN のタイプによって、コミュニティ PVLAN ポートまたは独立 PVLAN ポートのどちらかになります。 |
プライベート VLAN ポートのタイプは、次のとおりです。
無差別ポート:無差別ポートは、プライマリ VLAN に属します。無差別ポートは、無差別ポートとアソシエートされているセカンダリ VLAN に属し、プライマリ VLAN とアソシエートされている、すべてのインターフェイスと通信でき、この通信可能なインターフェイスには、コミュニティ ポートと独立ホスト ポートも含まれます。プライマリ VLAN には、複数の無差別ポートを含めることができます。各無差別ポートには、ポートにアソシエートされている、複数のセカンダリ VLAN を含めることができ、また、セカンダリ VLAN を含めないこともできます。無差別ポートとセカンダリ VLAN が同じプライマリ VLAN にある限り、セカンダリ VLAN は、複数の無差別ポートとアソシエートすることができます。このアソシエーションは、ロード バランシングまたは冗長性のために使用することもできます。セカンダリ VLAN を無差別ポートに関連付けないこともできますが、その場合、セカンダリ VLAN はレイヤ 3 インターフェイスと通信できません。
(注) | ベスト プラクティスとして、すべてのセカンダリ ポートをプライマリ ポートにマッピングして、トラフィックの損失を最小限に抑える必要があります。 |
(注) | ポート チャネルまたは vPC によって設定される冗長性はサポートされていません。 |
無差別トランク:複数のプライマリ VLAN のトラフィックを伝送するように無差別トランク ポートを設定できます。プライベート VLAN のプライマリ VLAN およびすべてまたは選択した関連付けられた VLAN を無差別トランク ポートにマップします。各プライマリ VLAN と関連付けられた 1 つのセカンダリ VLAN はプライベート VLAN のペアとなります。また、各無差別トランク ポートに最大 16 のプライベート VLAN のペアを設定できます。
(注) | プライマリ プライベート VLAN に加え、標準の VLAN でもプライベート VLAN 無差別トランク ポートでトラフィックが伝送されます。 |
独立ポート:独立ポートは、セカンダリ独立 VLAN に属するホスト ポートです。このポートは同一プライベート VLAN ドメイン内のその他のポートからレイヤ 2 で完全に分離されていますが、関連付けられた無差別ポートとは通信できます。プライベート VLAN は、無差別ポートからのトラフィックを除き、独立ポート宛のトラフィックをすべてブロックします。独立ポートから受信されたトラフィックは、無差別ポートにだけ転送されます。特定の独立 VLAN に複数の独立ポートを設定し、その独立 VLAN 内で各ポートを他のすべてのポートから完全に分離できます。
独立トランクまたはセカンダリ トランク:複数の独立 VLAN のトラフィックを伝送するように独立トランク ポートを設定できます。独立トランク ポートの各セカンダリ VLAN は、別々のプライマリ VLAN に関連付ける必要があります。同じプライマリ VLAN に関連付けられた 2 つのセカンダリ VLAN は、1 つの独立トランク ポートにはできません。各プライマリ VLAN と関連付けられた 1 つのセカンダリ VLAN はプライベート VLAN のペアとなります。また、各独立トランク ポートに最大 16 のプライベート VLAN のペアを設定できます。
(注) | セカンダリ プライベート VLAN に加え、標準の VLAN でもプライベート VLAN 独立トランク ポートでトラフィックが伝送されます。 |
コミュニティ ポート:コミュニティ ポートは、1 つのコミュニティ セカンダリ VLAN に属するホスト ポートです。コミュニティ ポートは、同じコミュニティ VLAN にある他のポートおよびアソシエートされている無差別ポートと通信します。これらのインターフェイスは、他のコミュニティにある他のすべてのインターフェイスおよびプライベート VLAN ドメイン内のすべての独立ポートから、レイヤ 2 で分離されています。
(注) | トランクは、無差別、独立、およびコミュニティの各ポート間のトラフィックを伝送する VLAN をサポートできるので、独立ポートとコミュニティ ポートのトラフィックはトランク インターフェイスを経由してデバイスと送受信されることがあります。 |
プライマリ VLAN にはレイヤ 3 ゲートウェイがあるので、プライベート VLAN の外部と通信するには、セカンダリ VLAN をプライマリ VLAN に関連付けます。プライマリ VLAN および 2 種類のセカンダリ VLAN(独立 VLAN およびコミュニティ VLAN)には、次の特性があります。
プライマリ VLAN:プライマリ VLAN は、無差別ポートから(独立およびコミュニティ)ホスト ポートおよび他の無差別ポートへのトラフィックを伝送します。
独立 VLAN:独立 VLAN は、ホストから無差別ポートおよびレイヤ 3 ゲートウェイへの単方向アップストリーム トラフィックを伝送するセカンダリ VLAN です。プライマリ VLAN に 1 つの独立 VLAN を設定できます。また、各独立 VLAN に複数の独立ポートを設定し、各独立ポートからのトラフィックを完全に分離することもできます。
コミュニティ VLAN:コミュニティ VLAN は、アップストリーム トラフィックをコミュニティ ポートから無差別ポート ゲートウェイおよび同じコミュニティ内の他のホスト ポートに伝送するセカンダリ VLAN です。プライベート VLAN には、複数のコミュニティ VLAN を設定できます。1 つのコミュニティ内のポートは相互に通信できますが、これらのポートは、他のコミュニティにあるポートとも、プライベート VLAN にある独立 VLAN とも、通信できません。
次の図に、プライマリまたはプライベート VLAN 内のレイヤ 2 トラフィック フロー、および VLAN のタイプとポートのタイプを示します。
(注) | プライベート VLAN のトラフィック フローは、ホスト ポートから無差別ポートへの単方向です。無差別ポートから出力されるトラフィックは、標準 VLAN 内のトラフィックと同様に処理され、関連付けられたセカンダリ VLAN でトラフィックが分離されることはありません。 |
無差別ポートは 1 つのプライマリ VLAN の専用ポートになりますが、複数の独立 VLAN および複数のコミュニティ VLAN で使用できます(レイヤ 3 ゲートウェイは無差別ポートを介してデバイスに接続されます)。無差別ポートでは、広範囲なデバイスをプライベート VLAN のアクセス ポイントとして接続できます。たとえば、すべてのプライベート VLAN サーバを管理ワークステーションから監視したりバックアップしたりするのに、無差別ポートを使用できます。
(注) | プライベート VLAN の無差別および独立トランク ポートを設定できます。これらの無差別トランク ポートと独立トランク ポートは、標準の VLAN に加え、複数のプライマリおよびセカンダリ VLAN のトラフィックを伝送できます。 |
プライマリ VLAN には複数の無差別ポートを設定できますが、各プライマリ VLAN に設定できるレイヤ 3 ゲートウェイは 1 つだけです。
スイッチング環境では、個々のエンド ステーションに、または共通グループのエンド ステーションに、個別のプライベート VLAN や、関連する IP サブネットを割り当てることができます。エンド ステーションはデフォルト ゲートウェイとの通信を行うだけで、プライベート VLAN の外部と通信することができます。
(注) | レイヤ 3 ゲートウェイを設定するには、VLAN インターフェイス機能をイネーブルにしておく必要があります。VLAN ネットワーク インターフェイスと IP アドレス設定の詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。 |
セカンダリ VLAN 内のホスト ポートでプライベート VLAN 外と通信するには、セカンダリ VLAN をプライマリ VLAN に関連付ける必要があります。関連付けが正常に動作していない場合、セカンダリ VLAN のホスト ポート(独立ポートおよびコミュニティ ポート)はダウン ステートになります。
(注) | セカンダリ VLAN は、1 つのプライマリ VLAN のみにアソシエートすることができます。 |
アソシエーションの操作を可能にするには、次の条件を満たす必要があります。
プライマリ VLAN が存在する。
セカンダリ VLAN が存在する。
プライマリ VLAN がプライマリ VLAN として設定されている。
セカンダリ VLAN が、独立 VLAN またはコミュニティ VLAN として設定されている。
(注) | 関連付けが動作していることを確認するには、show コマンドの出力を調べます。関連付けが動作していなくても、エラー メッセージは発行されません |
プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。指定の VLAN をプライベート VLAN モードに再変換すると、元のアソシエーションが復元されます。
関連付けがプライベート VLAN トランク ポートで動作していない場合、ポート全体はダウンせずに、その VLAN だけがダウンします。
no private-vlan コマンドを入力すると、VLAN は通常の VLAN モードに戻ります。その VLAN 上の関連付けはすべて一時停止されますが、インターフェイスはプライベート VLAN モードのままになります。
プライマリ VLAN に対して no vlan コマンドを入力すると、その VLAN に関連付けされたすべてのプライベート VLAN は失われます。ただし、セカンダリ VLAN に対して no vlan コマンドを入力した場合、その VLAN とプライベート VLAN の関連付けは一時停止します。この VLAN を再作成してセカンダリ VLAN として設定すると元に戻ります。
(注) | この動作は、Catalyst デバイスの動作と異なります。 |
セカンダリ VLAN とプライマリ VLAN の関連付けを変更するには、現在の関連付けを削除してから目的の関連付けを追加します。
プライベート VLAN にあるポートからのブロードキャスト トラフィックは、次のように流れます。
ブロードキャスト トラフィックは、すべての無差別ポートからプライマリ VLAN 内のすべてのポートに流れます。このブロードキャスト トラフィックは、プライベート VLAN パラメータで設定されていないポートを含め、プライマリ VLAN 内のすべてのポートに配信されます。
すべての独立ポートからのブロードキャスト トラフィックは、その独立ポートに関連付けられているプライマリ VLAN の無差別ポートにだけ配信されます。
コミュニティ ポートからのブロードキャスト トラフィックは、そのポートのコミュニティ内のすべてのポート、およびそのコミュニティ ポートに関連付けられているすべての無差別ポートに配信されます。このブロードキャスト パケットは、プライマリ VLAN 内の他のコミュニティまたは独立ポートには配信されません。
プライベート VLAN を使用すると、次のように、エンド ステーションへのアクセスを制御できます。
レイヤ 2 VLAN への VLAN インターフェイスは、スイッチ仮想インターフェイス(SVI)とも呼ばれます。レイヤ 3 デバイスは、セカンダリ VLAN ではなく、プライマリ VLAN だけを介してプライベート VLAN と通信します。
VLAN ネットワーク インターフェイスは、プライマリ VLAN だけに対して設定します。セカンダリ VLAN には VLAN インターフェイスを設定しないでください。VLAN がセカンダリ VLAN として設定されている場合、セカンダリ VLAN の VLAN ネットワーク インターフェイスは非アクティブになります。VLAN インターフェイスの設定が正しくない場合、次のような状況になります。
アクティブな VLAN ネットワーク インターフェイスが設定された VLAN をセカンダリ VLAN として設定しようとすると、VLAN インターフェイスをディセーブルにするまでは、設定が許可されません。
セカンダリ VLAN として設定されている VLAN 上で VLAN ネットワーク インターフェイスを作成してイネーブルにしようとすると、その VLAN インターフェイスはディセーブルのままで、システムからエラーが返されます。
プライマリ VLAN がセカンダリ VLAN に関連付けられ、マッピングされている場合、プライマリ VLAN 上のすべての設定がセカンダリ VLAN に伝播されます。たとえば、プライマリ VLAN 上の VLAN ネットワーク インターフェイスに IP サブネットを割り当てると、このサブネットはプライベート VLAN 全体の IP サブネット アドレスになります。
(注) | VLAN インターフェイスを設定するには、VLAN インターフェイス機能をイネーブルにしておく必要があります。VLAN インターフェイスと IP アドレス設定の詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。 |
複数のデバイスにわたるようにプライベート VLAN を拡張するには、プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN を、プライベート VLAN をサポートする他のデバイスにトランキングします。プライベート VLAN 設定のセキュリティを保持して、プライベート VLAN として設定された VLAN が他の目的に使用されないようにするには、プライベート VLAN ポートが設定されていないデバイスを含め、すべての中間デバイスにプライベート VLAN を設定します。
7.0(3)I2(1) 以降、Cisco Nexus NX-OS は Cisco Nexus 2000 ファブリック エクステンダ ホスト インターフェイス ポート(FEX HIF ポート)上のプライベート VLAN(PVLAN)をサポートしています。
PVLAN は、単一接続されたホストと単一接続された FEX HIF 設定でサポートされています。
(注) | FEX HIF PC/VPC(ポート チャネル/バーチャル ポート チャネル)および FEX AA(アクティブ/アクティブ)設定はサポートされていません。 |
このソフトウェアは、コールド リブート時に、プライベート VLAN のステートフルおよびステートレスの両方の再起動において、ハイ アベイラビリティをサポートしています。ステートフルな再起動では、最大 3 回の再試行がサポートされます。再起動から 10 秒以内に 4 回以上の再試行を行うと、スーパーバイザ モジュールがリロードされます。
(注) | プライベート VLAN が設定されている(7.0(3)I1(2) 以前で)場合、Cisco NX-OS の古いバージョンへのダウングレードはサポートされません。 |
(注) | ハイ アベイラビリティ機能の詳細については、『Cisco Nexus 9000 Series NX-OS High Availability and Redundancy Guide』を参照してください。 |
次の表に、この機能のライセンス要件を示します。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
プライベート VLAN にライセンスは必要ありません。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
プライベート VLAN には次の前提条件があります。
show コマンドで internal キーワードを指定することは、サポートされていません。
デバイスでプライベート VLAN 機能を適用するには、プライベート VLAN をイネーブルにする必要があります。
デバイスでこの機能を適用するには、VLAN インターフェイス機能をイネーブルにする必要があります。
セカンダリ VLAN を設定する前に、セカンダリ VLAN として設定するすべての VLAN の VLAN ネットワーク インターフェイスをシャットダウンします。
通常の VLAN 上に静的 MAC が作成されており、その VLAN がセカンダリ VLAN に変換される場合、Cisco NX-OS は、セカンダリ VLAN 上で設定されている MAC を静的 MAC として維持します。
プライベート VLAN は次のような PVLAN ポート モードをサポートしています。
PVLAN 無差別トランクまたは PVLAN 独立トランクを設定する際は、switchport private-vlan trunk allowedid コマンドによって指定されるリストで非プライベート VLAN を許可することお勧めします。プライベート VLAN は、PVLAN トランク モードに応じて、マッピングされるか関連付けられます。
プライベート VLAN は PVLAN および PACL/RACL をサポートしています。
プライベート VLAN は次のような PVLAN および SVI をサポートしています。
プライベート VLAN は PVLAN およびレイヤ 2 転送をサポートしています。
プライベート VLAN は次のような PVLAN および STP をサポートしています。
プライベート VLAN は通常のトランク ポートを通過するスイッチ間の PVLAN をサポートしています。
プライベート VLAN は Cisco Nexus C9396PQ および Cisco Nexus C93128TX の 10 G ポートでサポートされています。
プライベート VLAN 設定は Cisco Nexus C9396PX または Cisco Nexus C93128TX インターフェイスおよびサブインターフェイスの 40 G ポートではサポートされていません。
プライベート VLAN ポート モードは Nexus 3164Q ではサポートされていません。
プライベート VLAN はポート チャネルに対するポート モードのサポートを提供していません。
プライベート VLAN は仮想ポート チャネル(vPC)に対するポート モードのサポートを提供していません。
プライベート VLAN はブレイクアウトでのサポートを提供していません。
プライベート VLAN は IP マルチキャストまたは IGMP スヌーピングのサポートを提供していません。
プライベート VLAN は DHCP スヌーピングのサポートを提供していません。
プライベート VLAN は PVLAN QoS のサポートを提供していません。
プライベート VLAN は VACL のサポートを提供していません。
プライベート VLAN は VTP のサポートを提供していません。
プライベート VLAN はトンネルのサポートを提供していません。
プライベート VLAN は VXLAN のサポートを提供していません。
プライベート VLAN は送信元が PVLAN VLAN である場合の SPAN のサポートを提供していません。
共有インターフェイスがプライベート VLAN の一部となるように設定することはできません。詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。
Cisco NX-OS CLI では、PVLAN グループごとに複数の独立 VLAN 設定を設定できますが、このような設定はサポートされていません。PVLAN グループは、最大 1 つの独立 VLAN を持つことができます。
プライベート VLAN でのセカンダリ LAN またはプライマリ LAN の設定時は、次の注意事項に従ってください。
デフォルト VLAN(VLAN1)または内部的に割り当てられた VLAN を、プライマリ VLAN またはセカンダリ VLAN として設定できません。
プライベート VLAN を設定するには VLAN コンフィギュレーション(config-vlan)モードを使用する必要があります。
1 つのプライマリ VLAN に、複数の独立 VLAN およびコミュニティ VLAN を関連付けることができます。独立 VLAN またはコミュニティ VLAN には、1 つのプライマリ VLAN のみを関連付けることができます。
プライベート VLAN がレイヤ 2 でホストを分離していても、ホストはレイヤ 3 で互いに通信できます。
PVLAN グループは、最大 1 つの独立 VLAN を持つことができます。プライマリ VLAN 設定ごとに複数の独立 VLAN を設定することはサポートされていません。
セカンダリ VLAN をプライマリ VLAN に関連付けられている場合、ブリッジ プライオリティなどのプライマリ VLAN の STP パラメータは、セカンダリ VLAN に伝播されます。ただし、STP パラメータが必ずしもその他のデバイスに伝播されるとはかぎりません。プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN のスパニングツリー トポロジが正確に一致し、これらの VLAN が同じ転送データベースを適切に共有できるかどうかを確認するには、STP 設定を手動でチェックする必要があります。
標準トランク ポートの場合、次の事項に注意してください。
非トランク ポートの場合、次の事項に注意してください。
(注) | ホスト ポートとして設定するすべてのポート上で BPDU ガードをイネーブルにすることを推奨します。この機能は、無差別モード ポート上ではイネーブルにしないでください。 |
プライベート VLAN 独立トランク ポートの場合は、次の点に注意してください。
プライベート VLAN ポートが設定されているシステムをダウングレードするには、これらのポートの設定を解除する必要があります。
プライベート VLAN ポートの設定時は、次の注意事項に従ってください。
プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN にポートを割り当てるには、プライベート VLAN コンフィギュレーション コマンドだけを使用します。
プライマリ VLAN、独立 VLAN、またはコミュニティ VLAN として設定する VLAN に割り当てられているレイヤ 2 アクセス ポートは、この VLAN がプライベート VLAN の設定に含まれている場合、非アクティブになります。プライベート VLAN を伝送するレイヤ 2 トランク インターフェイスはアクティブで、STP データベースの一部として保持されます。
プライベート VLAN 設定に使用される VLAN を削除すると、その VLAN に関連付けられたプライベート VLAN ポート(トランク ポートではなく無差別ポートまたはホスト ポート)は非アクティブになります。
FEX HIF PC/VPC および FEX AA(アクティブ/アクティブ)設定はサポートされていません。
PVLAN 無差別ポートは FEX ポートおよび FEX ポート チャネルではサポートされていません。
プライベート VLAN の設定時は、他の機能に関連する設定上の制約事項を考慮してください。
(注) | 一部の状況では、エラー メッセージが表示されずに設定が受け入れられますが、コマンドには効果がありません。 |
プライベート VLAN ポートは、SPAN 送信元ポートとして設定できます。
プライベート VLAN ホストまたは無差別ポートは、宛先 SPAN ポートにはできません。
宛先 SPAN ポートは、独立ポートにしないでください(ただし、送信元 SPAN ポートは独立ポートにできます)。
プライマリ VLAN とセカンダリ VLAN 間の関連付けを設定すると、セカンダリ VLAN を学習したダイナミック MAC アドレスがエージング タイムアウトになります。
プライマリ VLAN とセカンダリ VLAN 間の関連付けの設定後に、セカンダリ VLAN 用のスタティック MAC アドレスは作成できません。
プライマリ VLAN とセカンダリ VLAN 間のアソシエーションの設定後、このアソシエーションを削除すると、プライマリ VLAN 上に作成されたすべてのスタティック MAC アドレスは、プライマリ VLAN 上に限り存続します。
プライベート VLAN では、STP はプライマリ VLAN だけを制御します。
(注) | スタティック MAC アドレスの設定の詳細については、『Cisco Nexus 9000 Series NX-OS Security Configuration Guide』を参照してください。 |
パラメータ(Parameters) |
デフォルト |
---|---|
プライベート VLAN |
Disabled |
指定した VLAN をプライベート VLAN として割り当てる前に、VLAN を作成しておく必要があります。
VLAN インターフェイスへの IP アドレスの割り当ての詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。
(注) | Cisco IOS の CLI に慣れている場合、この機能の Cisco NX-OS コマンドは従来の Cisco IOS コマンドと異なる点があるため注意が必要です。 |
プライベート VLAN 機能を使用するには、デバイス上でプライベート VLAN をイネーブルにする必要があります。
(注) | プライベート VLAN コマンドは、プライベート VLAN 機能をイネーブルにするまで表示されません。 |
1.
config t
2.
feature private-vlan
3.
exit
4.
(任意) copy running-config startup-config
次に、デバイス上でプライベート VLAN 機能をイネーブルにする例を示します。
switch# config t switch(config)# feature private-vlan switch(config)#
(注) | VLAN をセカンダリ VLAN(つまり、コミュニティ VLAN または独立 VLAN のいずれか)として設定する前に、まず VLAN ネットワーク インターフェイスをシャットダウンする必要があります。 |
VLAN は、プライベート VLAN として設定できます。
プライベート VLAN を作成するには、最初に VLAN を作成して、その VLAN をプライベート VLAN として設定します。
プライベート VLAN 内で、プライマリ VLAN、コミュニティ VLAN、または独立 VLAN として使用するすべての VLAN を作成します。そのあとで、複数の独立 VLAN および複数のコミュニティ VLAN を 1 つのプライマリ VLAN に関連付けます。複数のプライマリ VLAN と関連付けを設定できます。つまり、複数のプライベート VLAN を設定できます。
プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。
プライベート VLAN トラック ポート上でセカンダリ VLAN またはプライマリ VLAN のいずれかを削除した場合、その特定の VLAN だけが非アクティブになり、トランク ポートはアップしたままです。
1.
config t
2.
vlan {vlan-id | vlan-range}
3.
[no] private-vlan{community|isolated |primary}
4.
exit
5.
(任意) show vlan private-vlan[type]
6.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | config t
例: switch# config t switch(config)# |
コンフィギュレーション モードに入ります。 |
ステップ 2 | vlan {vlan-id | vlan-range}
例: switch(config)# vlan 5 switch(config-vlan)# |
VLAN 設定サブモードにします。 |
ステップ 3 | [no] private-vlan{community|isolated |primary} 例: switch(config-vlan)# private-vlan primary |
VLAN を、コミュニティ VLAN、独立 VLAN、またはプライマリ プライベート VLAN として設定します。プライベート VLAN には、1 つのプライマリ VLAN を設定する必要があります。複数のコミュニティ VLAN と独立 VLAN を設定することができます。 または 指定した VLAN からプライベート VLAN の設定を削除し、通常の VLAN モードに戻します。プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。 |
ステップ 4 | exit 例: switch(config-vlan)# exit switch(config)# |
VLAN コンフィギュレーション サブモードを終了します。 |
ステップ 5 | show vlan private-vlan[type]
例: switch# show vlan private-vlan | (任意)
プライベート VLAN の設定を表示します。 |
ステップ 6 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
switch# config t switch(config)# vlan 5 switch(config-vlan)# private-vlan primary switch(config-vlan)# exit switch(config)#
セカンダリ VLAN をプライマリ VLAN に関連付けるときは、次の注意事項に従ってください。
secondary-vlan-list パラメータには、スペースを含めないでください。カンマで区切った複数の項目を含めることができます。各項目は、単一のセカンダリ VLAN ID、またはセカンダリ VLAN ID をハイフンでつないだ範囲にできます。
secondary-vlan-list パラメータには、複数のコミュニティ VLAN ID と独立 VLAN ID を含めることができます。
セカンダリ VLAN をプライマリ VLAN に関連付けるには、secondary-vlan-list と入力するか、add キーワードとともに secondary-vlan-list を入力します。
セカンダリ VLAN とプライマリ VLAN 間の関連付けをクリアするには、remove キーワードを secondary-vlan-list とともに入力します。
セカンダリ VLAN とプライマリ VLAN とのアソシエーションを変更するには、既存のアソシエーションを削除し、次に必要なアソシエーションを追加します。
プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。
no private-vlan コマンドを入力すると、 VLAN は通常の VLAN モードに戻ります。その VLAN 上の関連付けはすべて一時停止されますが、インターフェイスはプライベート VLAN モードのままになります。
指定の VLAN をプライベート VLAN モードに再変換すると、元のアソシエーションが復元されます。
プライマリ VLAN に対して no vlan コマンドを入力すると、その VLAN に関連付けされているすべてのプライベート VLAN が失われます。ただし、セカンダリ VLAN に対して no vlan コマンドを入力した場合、その VLAN とプライベート VLAN の関連付けは一時停止します。この VLAN を再作成して以前のセカンダリ VLAN として設定すると元に戻ります。
プライベート VLAN 機能がイネーブルであることを確認してください。
1.
config t
2.
vlanprimary-vlan-id
3.
[no] private-vlan association {[add] secondary-vlan-list | removesecondary-vlan-list}
4.
exit
5.
(任意) show vlan private-vlan[type]
6.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | config t
例: switch# config t switch(config)# |
コンフィギュレーション モードに入ります。 |
ステップ 2 | vlanprimary-vlan-id
例: switch(config)# vlan 5 switch(config-vlan)# |
プライベート VLAN の設定作業を行うプライマリ VLAN の番号を入力します。 |
ステップ 3 | [no] private-vlan association {[add] secondary-vlan-list | removesecondary-vlan-list} 例: switch(config-vlan)# private-vlan association 100-105,109 |
このコマンドのいずれかの形式を使用して、次の操作を行います。 セカンダリ VLAN をプライマリ VLAN に関連付けます。 または プライマリ VLAN からすべての関連付けを削除し、通常の VLAN モードに戻します。 |
ステップ 4 | exit 例: switch(config-vlan)# exit switch(config)# |
VLAN コンフィギュレーション サブモードを終了します。 |
ステップ 5 | show vlan private-vlan[type]
例: switch# show vlan private-vlan | (任意)
プライベート VLAN の設定を表示します。 |
ステップ 6 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、コミュニティ VLAN 100 ~ 105 および独立 VLAN 109 をプライマリ VLAN 5 に関連付ける例を示します。
switch(config)# vlan 5 switch(config-vlan)# private-vlan association 100-105, 109 switch(config-vlan)# exit switch(config)#
(注) | プライベート VLN のプライマリ VLAN の VLAN インターフェイスへの IP アドレスの割り当ての詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。 |
セカンダリ VLAN を、プライマリ VLAN の VLAN インターフェイスにマッピングします。独立 VLAN およびコミュニティ VLAN は、ともにセカンダリ VLAN と呼ばれます。プライベート VLAN の入力トラフィックをレイヤ 3 で処理するには、セカンダリ VLAN をプライマリ VLAN の VLAN ネットワーク インターフェイスにマッピングします。
(注) | VLAN ネットワーク インターフェイスを設定する前に、VLAN ネットワーク インターフェイスをイネーブルにする必要があります。プライマリ VLAN に関連付けられたコミュニティ VLAN または独立 VLAN 上の VLAN ネットワーク インターフェイスは、アウト オブ サービスになります。稼働するのは、プライマリ VLAN 上の VLAN ネットワーク インターフェイスだけです。 |
1.
config t
2.
interface vlanprimary-vlan-ID
3.
[no] private-vlan mapping{[add] secondary-vlan-list|removesecondary-vlan-list}
4.
exit
5.
(任意) show interface vlanprimary-vlan-idprivate-vlan mapping
6.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | config t
例: switch# config t switch(config)# |
コンフィギュレーション モードに入ります。 |
ステップ 2 | interface vlanprimary-vlan-ID
例: switch(config)# interface vlan 5 switch(config-if)# |
プライベート VLAN の設定作業を行うプライマリ VLAN の番号を入力します。プライマリ VLAN のインターフェイス コンフィギュレーション モードが開始されます。 |
ステップ 3 | [no] private-vlan mapping{[add] secondary-vlan-list|removesecondary-vlan-list} 例: switch(config-if)# private-vlan mapping 100-105, 109 |
セカンダリ VLAN を、プライマリ VLAN の SVI またはレイヤ 3 インターフェイスにマッピングします。これにより、プライベート VLAN 入力トラフィックのレイヤ 3 スイッチングが可能になります。 または セカンダリ VLAN とプライマリ VLAN 間のレイヤ 3 インターフェイスへのマッピングを消去します。 |
ステップ 4 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 5 | show interface vlanprimary-vlan-idprivate-vlan mapping
例: switch(config)# show interface vlan 101 private-vlan mapping | (任意)
インターフェイスのプライベート VLAN 情報を表示します。 |
ステップ 6 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、セカンダリ VLAN 100 ~ 105 および 109 を、プライマリ VLAN 5 のレイヤ 3 インターフェイスにマッピングする例を示します。
switch #config t switch(config)# interface vlan 5 switch(config-if)# private-vlan mapping 100-105, 109 switch(config-if)# exit switch(config)#
レイヤ 2 インターフェイスをプライベート VLAN のホスト ポートとして設定できます。プライベート VLAN では、ホスト ポートがセカンダリ VLAN の一部です。セカンダリ VLAN は、コミュニティ VLAN または独立 VLAN のいずれかです。
(注) | ホスト ポートとして設定されているすべてのインターフェイスで、BPDU ガードをイネーブルにすることを推奨します。 |
次に、ホスト ポートを、プライマリ VLAN とセカンダリ VLAN の両方にアソシエートします。
プライベート VLAN 機能がイネーブルであることを確認してください。
1.
config t
2.
interfacetype slot/port
3.
switchport mode private-vlan host
4.
[no] switchport private-vlan host-association{primary-vlan-id} {secondary-vlan-id}
5.
exit
6.
(任意) show interface switchport
7.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | config t
例: switch# config t switch(config)# |
コンフィギュレーション モードに入ります。 |
ステップ 2 | interfacetype slot/port
例: switch(config)# interface ethernet 2/1 switch(config-if)# |
プライベート VLAN ホスト ポートとして設定するレイヤ 2 ポートを選択します。 |
ステップ 3 | switchport mode private-vlan host
例: switch(config-if)# switchport mode private-vlan host switch(config-if)# |
レイヤ 2 ポートをプライベート VLAN のホスト ポートとして設定します。 |
ステップ 4 | [no] switchport private-vlan host-association{primary-vlan-id} {secondary-vlan-id} 例: switch(config-if)# switchport private-vlan host-association 10 50 |
レイヤ 2 ホスト ポートを、プライベート VLAN のプライマリ VLAN およびセカンダリ VLAN に関連付けます。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかとして設定できます。 または プライベート VLAN の関連付けをポートから削除します。 |
ステップ 5 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 6 | show interface switchport
例: switch# show interface switchport | (任意)
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 |
ステップ 7 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、レイヤ 2 ポート 2/1 をプライベート VLAN のホスト ポートとして設定し、プライマリ VLAN 10 およびセカンダリ VLAN 50 に関連付ける例を示します。
switch# config t switch(config)# interface ethernet 2/1 switch(config-if)# switchport mode private-vlan host switch(config-if)# switchport private-vlan host-association 10 50 switch(config-if)# exit switch(config)#
レイヤ 2 インターフェイスをプライベート VLAN 独立トランス ポートとして設定できます。これらの独立トランク ポートは、複数のセカンダリ VLAN と通常の VLAN のトラフィックを伝送します。
(注) | プライマリ VLAN とセカンダリ VLAN は、プライベート VLAN 独立トランク ポート上で動作可能になる前に関連付ける必要があります。 |
プライベート VLAN 機能がイネーブルであることを確認してください。
1.
config t
2.
interface {type slot/port}
3.
switchport
4.
switchport mode private-vlan trunk secondary
5.
(任意) switchport private-vlan trunk native vlanvlan-id
6.
switchport private-vlan trunk allowed vlan{addvlan-list| all | exceptvlan-list | none | removevlan-list}
7.
[no] switchport private-vlan association trunk{primary-vlan-id [secondary-vlan-id]}
8.
exit
9.
(任意) show interface switchport
10.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | config t
例: switch# config t switch(config)# |
コンフィギュレーション モードに入ります。 | ||
ステップ 2 | interface {type slot/port}
例: switch(config)# interface ethernet 2/11 switch(config-if)# |
プライベート VLAN 独立トランク ポートとして設定するレイヤ 2 ポートを選択します。 | ||
ステップ 3 | switchport
例: switch(config-if)# switchport switch(config-if)# |
レイヤ 2 ポートをスイッチ ポートとして設定します。 | ||
ステップ 4 | switchport mode private-vlan trunk secondary
例: switch(config-if)# switchport mode private-vlan trunk secondary switch(config-if)# |
レイヤ 2 ポートを、複数の独立 VLAN のトラフィックを伝送する独立トランク ポートとして設定します。
| ||
ステップ 5 | switchport private-vlan trunk native vlanvlan-id
例: switch(config-if)# switchport private-vlan trunk native vlan 5 | (任意)
802.1Q トランクのネイティブ VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。デフォルト値は 1 です。
| ||
ステップ 6 | switchport private-vlan trunk allowed vlan{addvlan-list| all | exceptvlan-list | none | removevlan-list}
例: switch(config-if)# switchport private-vlan trunk allowed vlan add 1 switch(config-if)# |
プライベート VLAN 独立トランク インターフェイスの許容 VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。 プライベート プライマリ VLAN およびセカンダリ VLAN を独立トランク ポートにマッピングすると、すべてのプライマリ VLAN がこのポートの許可される VLAN リストに自動的に追加されます。
| ||
ステップ 7 | [no] switchport private-vlan association trunk{primary-vlan-id [secondary-vlan-id]} 例: switch(config-if)# switchport private-vlan association trunk 10 101 switch(config-if)# |
レイヤ 2 独立トランク ポートを、プライベート VLAN のプライマリ VLAN およびセカンダリ VLAN に関連付けます。セカンダリ VLAN は独立 VLAN である必要があります。各独立トランク ポートに対し、最大 16 個のプライベート VLAN のプライマリとセカンダリのペアを関連付けられます。作業中のプライマリ VLAN とセカンダリ VLAN のペアごとに、コマンドを再入力する必要があります。
または プライベート VLAN 独立トランク ポートからプライベート VLAN の関連付けを削除します。 | ||
ステップ 8 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 | ||
ステップ 9 | show interface switchport
例: switch# show interface switchport | (任意)
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 | ||
ステップ 10 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、レイヤ 2 ポート 2/1 を、3 つの異なるプライマリ VLAN と関連セカンダリ VLAN に関連付けられたプライベート VLAN 独立トランク ポートとして設定する例を示します。
switch# config t switch(config)# interface ethernet 2/1 switch(config-if)# switchport mode private-vlan trunk switch(config-if)# switchport private-vlan trunk allowed vlan add 1 switch(config-if)# switchport private-vlan association trunk 10 101 switch(config-if)# switchport private-vlan association trunk 20 201 switch(config-if)# switchport private-vlan association trunk 30 102 switch(config-if)# exit switch(config)#
レイヤ 2 インターフェイスをプライベート VLAN の無差別ポートとして設定し、その無差別ポートをプライマリ VLAN およびセカンダリ VLAN に関連付けることができます。
プライベート VLAN 機能がイネーブルであることを確認してください。
1.
config t
2.
interface{type slot/port}
3.
switchport mode private-vlan promiscuous
4.
[no] switchport private-vlan mapping{primary-vlan-id} {secondary-vlan-list | addsecondary-vlan-list | removesecondary-vlan-list}
5.
exit
6.
(任意) show interface switchport
7.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | config t
例: switch# config t switch(config)# |
コンフィギュレーション モードに入ります。 |
ステップ 2 | interface{type slot/port}
例: switch(config)# interface ethernet 2/1 switch(config-if)# |
プライベート VLAN 無差別ポートとして設定するレイヤ 2 ポートを選択します。 |
ステップ 3 | switchport mode private-vlan promiscuous
例: switch(config-if)# switchport mode private-vlan promiscuous |
レイヤ 2 ポートをプライベート VLAN の無差別ポートとして設定します。 |
ステップ 4 | [no] switchport private-vlan mapping{primary-vlan-id} {secondary-vlan-list | addsecondary-vlan-list | removesecondary-vlan-list} 例: switch(config-if)# switchport private-vlan mapping 10 50 |
レイヤ 2 ポートを無差別ポートとして設定し、このポートをプライマリ VLAN および選択したセカンダリ VLAN のリストに関連付けます。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかとして設定できます。 または プライベート VLAN から、マッピングをクリアします。 |
ステップ 5 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 6 | show interface switchport
例: switch# show interface switchport | (任意)
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 |
ステップ 7 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、レイヤ 2 ポート 2/1 を無差別ポートとして設定し、プライマリ VLAN 10 とセカンダリ独立 VLAN 50 に関連付ける例を示します。
switch# config t switch(config)# interface ethernet 2/1 switch(config-if)# switchport mode private-vlan promiscuous switch(config-if)# switchport private-vlan mapping 10 50 switch(config-if)# exit switch(config)#
レイヤ 2 インターフェイスをプライベート VLAN の無差別トランク ポートとして設定し、その無差別トランク ポートを複数のプライマリ VLAN に関連付けることができます。これらの無差別トランク ポートは、複数のプライマリ VLAN と通常の VLAN のトラフィックを伝送します。
(注) | プライマリ VLAN とセカンダリ VLAN は、プライベート VLAN 無差別トランク ポート上で動作可能になる前に関連付ける必要があります。 |
プライベート VLAN 機能がイネーブルであることを確認してください。
1.
config t
2.
interface{type slot/port}
3.
switchport
4.
switchport mode private-vlan trunk promiscuous
5.
(任意) switchport private-vlan trunk native vlanvlan-id
6.
switchport mode private-vlan trunk allowed vlan{addvlan-list| all | exceptvlan-list | none | removevlan-list}
7.
[no]switchport private-vlan mapping trunkprimary-vlan-id [secondary-vlan-id] {addsecondary-vlan-list | removesecondary-vlan-id}
8.
exit
9.
(任意) show interface switchport
10.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | config t
例: switch# config t switch(config)# |
コンフィギュレーション モードに入ります。 | ||
ステップ 2 | interface{type slot/port}
例: switch(config)# interface ethernet 2/1 switch(config-if)# |
プライベート VLAN 無差別トランク ポートとして設定するレイヤ 2 ポートを選択します。 | ||
ステップ 3 | switchport
例: switch(config-if)# switchport switch(config-if)# |
レイヤ 2 ポートをスイッチ ポートとして設定します。 | ||
ステップ 4 | switchport mode private-vlan trunk promiscuous
例: switch(config-if)# switchport mode private-vlan trunk promiscuous switch(config-if)# |
レイヤ 2 ポートを、複数のプライベート VLAN と通常の VLAN のトラフィックを伝送するための無差別トランク ポートして設定します。 | ||
ステップ 5 | switchport private-vlan trunk native vlanvlan-id
例: switch(config-if)# switchport private-vlan trunk native vlan 5 | (任意)
802.1Q トランクのネイティブ VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。デフォルト値は 1 です。
| ||
ステップ 6 | switchport mode private-vlan trunk allowed vlan{addvlan-list| all | exceptvlan-list | none | removevlan-list}
例: switch(config-if)# switchport private-vlan trunk allowed vlan add 1 switch(config-if)# |
プライベート VLAN 無差別トランク インターフェイスの許可 VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。 プライベート プライマリ VLAN およびセカンダリ VLAN を無差別トランク ポートにマッピングすると、すべてのプライマリ VLAN がこのポートの許可される VLAN リストに自動的に追加されます。
| ||
ステップ 7 | [no]switchport private-vlan mapping trunkprimary-vlan-id [secondary-vlan-id] {addsecondary-vlan-list | removesecondary-vlan-id} 例: switch(config-if)# switchport private-vlan mapping trunk 4 add 5 switch(config-if)# |
無差別トランク ポートと、プライマリ VLAN および選択した関連するセカンダリ VLAN のリストをマッピングするかマッピングを削除します。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかとして設定できます。トラフィックを通過させるには、プライマリ VLAN とセカンダリ VLAN の間のプライベート VLAN の関連付けが動作する必要があります。各無差別トランク ポートに対し、最大 16 個のプライベート VLAN のプライマリとセカンダリのペアをマッピングできます。作業しているプライマリ VLAN それぞれに対してコマンドを再入力する必要があります。 または インターフェイスからプライベート VLAN 無差別トランク マッピングを削除します。 | ||
ステップ 8 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 | ||
ステップ 9 | show interface switchport
例: switch# show interface switchport | (任意)
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 | ||
ステップ 10 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、レイヤ 2 ポート 2/1 を、2 つのプライマリ VLAN とそれに関連するセカンダリ VLAN に関連付けられた無差別トランク ポートとして設定する例を示します。
switch# config t switch(config)# interface ethernet 2/1 switch(config-if)# switchport switch(config-if)# switchport mode private-vlan trunk promiscuous switch(config-if)# switchport private-vlan trunk allowed vlan add 1 switch(config-if)# switchport private-vlan mapping trunk 2 add 3 switch(config-if)# switchport private-vlan mapping trunk 4 add 5 switch(config-if)# switchport private-vlan mapping trunk 1 add 20 switch(config-if)# exit switch(config)#
デフォルトでは、PVLAN は 非 PVLAN FEX トランクではダウンになります。次のグローバル コンフィギュレーションにより、非 PVLAN FEX トランクで PVLAN をアップにすることが可能になります。
1.
[no] system private-vlan fex trunk
コマンドまたはアクション | 目的 |
---|
次に、PVLAN ホスト モードとホスト アソシエーション PVLAN ペアの設定手順を示します。
1.
config t
2.
interfacetype slot/port
3.
switchport mode private-vlan host
4.
[no] switchport private-vlan host-association{primary-vlan-id} {secondary-vlan-id}
5.
exit
6.
(任意) show interface switchport
7.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | config t
例: switch# config t switch(config)# |
コンフィギュレーション モードに入ります。 |
ステップ 2 | interfacetype slot/port
例: switch(config)# interface ethernet 2/1 switch(config-if)# |
プライベート VLAN ホスト ポートとして設定するレイヤ 2 ポートを選択します。 |
ステップ 3 | switchport mode private-vlan host
例: switch(config-if)# switchport mode private-vlan host switch(config-if)# |
レイヤ 2 ポートをプライベート VLAN のホスト ポートとして設定します。 |
ステップ 4 | [no] switchport private-vlan host-association{primary-vlan-id} {secondary-vlan-id} 例: switch(config-if)# switchport private-vlan host-association 10 50 |
プライマリ VLAN および関連付けられているセカンダリ VLAN に関してポートでホスト アソシエーション PVLAN ペアを設定します。 |
ステップ 5 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 6 | show interface switchport
例: switch# show interface switchport | (任意)
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 |
ステップ 7 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、独立トランク ポートとホスト アソシエーション PVLAN ペアの設定手順を示します。
1.
config t
2.
interface {type slot/port}
3.
switchport
4.
switchport mode private-vlan trunk secondary
5.
(任意) switchport private-vlan trunk native vlanvlan-id
6.
switchport private-vlan trunk allowed vlan{addvlan-list| all | exceptvlan-list | none | removevlan-list}
7.
[no] switchport private-vlan association trunk{primary-vlan-id [secondary-vlan-id]}
8.
exit
9.
(任意) show interface switchport
10.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | config t
例: switch# config t switch(config)# |
コンフィギュレーション モードに入ります。 | ||
ステップ 2 | interface {type slot/port}
例: switch(config)# interface ethernet 2/11 switch(config-if)# |
プライベート VLAN 独立トランク ポートとして設定するレイヤ 2 ポートを選択します。 | ||
ステップ 3 | switchport
例: switch(config-if)# switchport switch(config-if)# |
レイヤ 2 ポートをスイッチ ポートとして設定します。 | ||
ステップ 4 | switchport mode private-vlan trunk secondary
例: switch(config-if)# switchport mode private-vlan trunk secondary switch(config-if)# |
レイヤ 2 ポートを、複数の独立 VLAN のトラフィックを伝送する独立トランク ポートとして設定します。
| ||
ステップ 5 | switchport private-vlan trunk native vlanvlan-id
例: switch(config-if)# switchport private-vlan trunk native vlan 5 | (任意)
802.1Q トランクのネイティブ VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。デフォルト値は 1 です。
| ||
ステップ 6 | switchport private-vlan trunk allowed vlan{addvlan-list| all | exceptvlan-list | none | removevlan-list}
例: switch(config-if)# switchport private-vlan trunk allowed vlan add 1 switch(config-if)# |
プライベート VLAN 独立トランク インターフェイスの許容 VLAN を設定します。有効値の範囲は 1 ~ 3968 および 4048 ~ 4093 です。 プライベート プライマリ VLAN およびセカンダリ VLAN を独立トランク ポートにマッピングすると、すべてのプライマリ VLAN がこのポートの許可される VLAN リストに自動的に追加されます。
| ||
ステップ 7 | [no] switchport private-vlan association trunk{primary-vlan-id [secondary-vlan-id]} 例: switch(config-if)# switchport private-vlan association trunk 10 101 switch(config-if)# |
プライマリ VLAN および関連付けられているセカンダリ VLAN に関して、独立トランク PVLAN ペアをこのポートに設定します。セカンダリ VLAN は独立 VLAN である必要があります。 | ||
ステップ 8 | exit 例: switch(config-if)# exit switch(config)# |
インターフェイス コンフィギュレーション モードを終了します。 | ||
ステップ 9 | show interface switchport
例: switch# show interface switchport | (任意)
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 | ||
ステップ 10 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
プライベート VLAN の設定情報を表示するには、次のいずれかの作業を行います。
コマンド |
目的 |
---|---|
show running-config vlanvlan-id |
VLAN 情報を表示します。 |
show vlan private-vlan [type] |
プライベート VLAN に関する情報を表示します。 |
show interface private-vlan mapping |
プライベート VLAN マッピングのインターフェイスの情報を表示します。 |
show interface vlan primary-vlan-idprivate-vlan mapping |
プライベート VLAN マッピングのインターフェイスの情報を表示します。 |
show interface switchport |
スイッチポートとして設定されているすべてのインターフェイスに関する情報を表示します。 |
コマンド |
目的 |
---|---|
clear vlan [idvlan-id] counters |
すべての VLAN または指定した VLAN のカウンタをクリアします。 |
show vlan counters |
各 VLAN のレイヤ 2 パケット情報を表示します。 |
次に、3 種類のプライベート VLAN を作成し、セカンダリ VLAN をプライマリ VLAN に関連付け、プライベート VLAN のホスト ポートと無差別ポートを作成して適正な VLAN に関連付け、VLAN インターフェイスまたは SVI を作成して、プライマリ VLAN がネットワーク全体と通信できるように設定する例を示します。
switch# configure terminal switch(config)# vlan 2 switch(config-vlan)# private-vlan primary switch(config-vlan)# exit switch(config)# vlan 3 switch(config-vlan)# private-vlan community switch(config-vlan)# exit switch(config)# vlan 4 switch(config-vlan)# private-vlan isolated switch(config-vlan)# exit switch(config)# vlan 2 switch(config-vlan)# private-vlan association 3,4 switch(config-vlan)# exit switch(config)# interface ethernet 1/11 switch(config-if)# switchport switch(config-if)# switchport mode private-vlan host switch(config-if)# exit switch(config)# interface ethernet 1/12 switch(config-if)# switchport switch(config-if)# switchport mode private-vlan promiscuous switch(config-if)# exit switch(config)# interface ethernet 1/11 switch(config-if)# switchport private-vlan host-association 2 3 switch(config-if)# exit switch(config)# interface ethernet 1/12 switch(config-if)# switchport private-vlan mapping 2 3,4 switch(config-if)# exit switch(config)# interface vlan 2 switch(config-vlan)# private-vlan mapping 3,4 switch(config-vlan)# exit switch(config)#
関連項目 |
マニュアル タイトル |
---|---|
VLAN インターフェイス、IP アドレス指定 |
『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』 |
スタティック MAC アドレス、セキュリティ |
『Cisco Nexus 9000 Series NX-OS Security Configuration Guide』 |
Cisco NX-OS の基礎 |
『Cisco Nexus 9000 Series NX-OS Fundamentals Configuration Guide』 |
ハイ アベイラビリティ |
『Cisco Nexus 9000 Series NX-OS High Availability and Redundancy Guide』 |
システム管理 |
『Cisco Nexus 9000 Series NX-OS System Management Configuration Guide』 |
ライセンス |
『Cisco NX-OS Licensing Guide』 |
リリース ノート |
『Cisco Nexus 9000 Series NX-OS Release Notes』 |
標準 |
Title |
---|---|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
MIB |
MIB のリンク |
---|---|
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |