プライベート VLAN について
Cisco Nexus NX-OS 7.0(3)I1(2) 以降、プライベート VLAN 機能がサポートされています。
Note |
この機能を設定する前に、プライベート VLAN 機能をイネーブルにする必要があります。 |
Note |
レイヤ 2 ポートは、トランク ポート、アクセス ポート、またはプライベート VLAN ポートとして機能します。 |
同様のシステム間で直接通信する必要がない特定の状況では、プライベート VLAN により、レイヤ 2 レベルの保護を強化できます。プライベート VLAN は、プライマリ VLAN とセカンダリ VLAN の関連付けです。
プライマリ VLAN は、セカンダリ VLAN を関連付けるブロードキャスト ドメインを定義します。セカンダリ VLAN は、独立 VLAN またはコミュニティ VLAN のいずれかの場合があります。独立 VLAN 上のホストは、プライマリ VLAN 内で関連付けられた無差別ポートとだけ通信します。コミュニティ VLAN 上のホストは、同じコミュニティ VLAN 上のホスト間および関連付けられた無差別ポートとだけ通信し、独立ポートまたは他のコミュニティ VLAN 内のポートとは通信しません。
統合スイッチングおよびルーティング機能を使用するコンフィギュレーションでは、各プライベート VLAN に単一のレイヤ 3 VLAN ネットワーク インターフェイスを割り当てることにより、ルーティングを提供できます。VLAN ネットワーク インターフェイスは、プライマリ VLAN 用に作成します。このようなコンフィギュレーションでは、セカンダリ VLAN はすべて、プライマリ VLAN 上の VLAN ネットワーク インターフェイスとのマッピングにより、レイヤ 3 でのみ通信します。セカンダリ VLAN 上の既存の VLAN ネットワーク インターフェイスは、すべてサービス停止状態になります。
プライベート VLAN の概要
デバイスでプライベート VLAN 機能を適用するには、プライベート VLAN をイネーブルにする必要があります。
プライベート VLAN モードで動作しているポートがデバイスに設定されている場合は、プライベート VLAN をディセーブルにすることはできません。
Note |
特定の VLAN をプライマリまたはセカンダリのどちらかのプライベート VLAN として設定するには、事前に VLAN を作成しておく必要があります。 |
プライベート VLAN のプライマリ VLAN とセカンダリ VLAN
プライベート VLAN 機能では、VLAN の使用時にユーザが直面する 2 つの問題に対処できます。
-
各 VDC は、最大 4096 の VLAN をサポートします。各カスタマーに 1 つの VLAN を割り当てると、サービス プロバイダーがサポートできるカスタマー数は制限されます。
-
IP ルーティングをイネーブルにするには、各 VLAN にサブネット アドレス空間またはアドレス ブロックを割り当てます。これにより未使用の IP アドレスが無駄になり、IP アドレスの管理に問題が生じます。
プライベート VLAN を使用することにより、スケーラビリティの問題が解決され、IP アドレスの管理が容易になり、カスタマーにレイヤ 2 セキュリティが提供されます。
プライベート VLAN の機能は、VLAN のレイヤ 2 ブロードキャスト ドメインをサブドメインに分割できます。サブドメインは、プライマリ VLAN とセカンダリ VLAN で構成されるプライベート VLAN のペアで表されます。プライベート VLAN ドメインには複数のプライベート VLAN のペアを設定でき、それぞれのペアを各サブドメインに割り当てることができます。プライベート VLAN ドメイン内のすべての VLAN ペアは、同じプライマリ VLAN を共有します。セカンダリ VLAN ID は、各サブドメインの区別に使用されます。
Note |
プライベート VLAN ドメインには、プライマリ VLAN が 1 つのみ含まれています。 |
セカンダリ VLAN は、同じプライベート VLAN 内のポートをレイヤ 2 で分離します。プライマリ VLAN 内のセカンダリ VLAN には、次の 2 つのタイプがあります。
-
独立 VLAN:独立 VLAN 内のポートは、レイヤ 2 レベルでは相互に通信できません。
-
コミュニティ VLAN:コミュニティ VLAN 内のポートは相互に通信できますが、レイヤ 2 レベルの他のコミュニティ VLAN 内または独立 VLAN 内のポートとは通信できません。
プライベート VLAN ポート
Note |
コミュニティ プライベート VLAN および独立プライベート VLAN のポートは、いずれも PVLAN ホスト ポートというラベルが付けられます。PVLAN ホスト ポートは、関連付けられているセカンダリ VLAN のタイプによって、コミュニティ PVLAN ポートまたは独立 PVLAN ポートのどちらかになります。 |
プライベート VLAN ポートのタイプは、次のとおりです。
-
無差別ポート:無差別ポートは、プライマリ VLAN に属します。無差別ポートは、無差別ポートとアソシエートされているセカンダリ VLAN に属し、プライマリ VLAN とアソシエートされている、すべてのインターフェイスと通信でき、この通信可能なインターフェイスには、コミュニティ ポートと独立ホスト ポートも含まれます。プライマリ VLAN には、複数の無差別ポートを含めることができます。各無差別ポートには、ポートにアソシエートされている、複数のセカンダリ VLAN を含めることができ、また、セカンダリ VLAN を含めないこともできます。無差別ポートとセカンダリ VLAN が同じプライマリ VLAN にある限り、セカンダリ VLAN は、複数の無差別ポートとアソシエートすることができます。このアソシエーションは、ロード バランシングまたは冗長性のために使用することもできます。セカンダリ VLAN を無差別ポートに関連付けないこともできますが、その場合、セカンダリ VLAN はレイヤ 3 インターフェイスと通信できません。
Note
ベストプラクティスとして、プライマリのすべてのセカンダリポートをマッピングして、トラフィックの損失を最小限に抑える必要があります。
-
無差別トランク:複数のプライマリ VLAN のトラフィックを伝送するように無差別トランク ポートを設定できます。プライベート VLAN のプライマリ VLAN およびすべてまたは選択した関連付けられた VLAN を無差別トランク ポートにマップします。各プライマリ VLAN と関連付けられた 1 つのセカンダリ VLAN はプライベート VLAN のペアとなります。また、各無差別トランク ポートに最大 16 のプライベート VLAN のペアを設定できます。
Note
プライマリ プライベート VLAN に加え、標準の VLAN でもプライベート VLAN 無差別トランク ポートでトラフィックが伝送されます。
-
独立ポート:独立ポートは、セカンダリ独立 VLAN に属するホスト ポートです。このポートは同一プライベート VLAN ドメイン内のその他のポートからレイヤ 2 で完全に分離されていますが、関連付けられた無差別ポートとは通信できます。プライベート VLAN は、無差別ポートからのトラフィックを除き、独立ポート宛のトラフィックをすべてブロックします。独立ポートから受信されたトラフィックは、無差別ポートにだけ転送されます。特定の独立 VLAN に複数の独立ポートを設定し、その独立 VLAN 内で各ポートを他のすべてのポートから完全に分離できます。
-
独立トランクまたはセカンダリ トランク:複数の独立 VLAN のトラフィックを伝送するように独立トランク ポートを設定できます。独立トランク ポートの各セカンダリ VLAN は、別々のプライマリ VLAN に関連付ける必要があります。同じプライマリ VLAN に関連付けられた 2 つのセカンダリ VLAN は、1 つの独立トランク ポートにはできません。各プライマリ VLAN と関連付けられた 1 つのセカンダリ VLAN はプライベート VLAN のペアとなります。また、各独立トランク ポートに最大 16 のプライベート VLAN のペアを設定できます。
Note
セカンダリ プライベート VLAN に加え、標準の VLAN でもプライベート VLAN 独立トランク ポートでトラフィックが伝送されます。
-
コミュニティ ポート:コミュニティ ポートは、1 つのコミュニティ セカンダリ VLAN に属するホスト ポートです。コミュニティ ポートは、同じコミュニティ VLAN にある他のポートおよびアソシエートされている無差別ポートと通信します。これらのインターフェイスは、他のコミュニティにある他のすべてのインターフェイスおよびプライベート VLAN ドメイン内のすべての独立ポートから、レイヤ 2 で分離されています。
Note |
トランクは、無差別、独立、およびコミュニティの各ポート間のトラフィックを伝送する VLAN をサポートできるので、独立ポートとコミュニティ ポートのトラフィックはトランク インターフェイスを経由してデバイスと送受信されることがあります。 |
プライマリ、独立、およびコミュニティ プライベート VLAN
プライマリ VLAN にはレイヤ 3 ゲートウェイがあるので、プライベート VLAN の外部と通信するには、セカンダリ VLAN をプライマリ VLAN に関連付けます。プライマリ VLAN および 2 種類のセカンダリ VLAN(独立 VLAN およびコミュニティ VLAN)には、次の特性があります。
-
プライマリ VLAN:プライマリ VLAN は、無差別ポートから(独立およびコミュニティ)ホスト ポートおよび他の無差別ポートへのトラフィックを伝送します。
-
独立 VLAN:独立 VLAN は、ホストから無差別ポートおよびレイヤ 3 ゲートウェイへの単方向アップストリーム トラフィックを伝送するセカンダリ VLAN です。プライマリ VLAN には 1 つの独立 VLAN を設定できます。また、各独立 VLAN に複数の独立ポートを設定し、各独立ポートからのトラフィックを完全に分離することもできます。
-
コミュニティ VLAN:コミュニティ VLAN は、アップストリーム トラフィックをコミュニティ ポートから無差別ポート ゲートウェイおよび同じコミュニティ内の他のホスト ポートに伝送するセカンダリ VLAN です。プライベート VLAN には、複数のコミュニティ VLAN を設定できます。1 つのコミュニティ内のポートは相互に通信できますが、これらのポートは、他のコミュニティにあるポートとも、プライベート VLAN にある独立 VLAN とも、通信できません。
Note |
プライベート VLAN のトラフィック フローは、ホスト ポートから無差別ポートへの単方向です。無差別ポートから出力されるトラフィックは、標準 VLAN 内のトラフィックと同様に処理され、関連付けられたセカンダリ VLAN でトラフィックが分離されることはありません。 |
無差別ポートは 1 つのプライマリ VLAN の専用ポートになりますが、複数の独立 VLAN および複数のコミュニティ VLAN で使用できます(レイヤ 3 ゲートウェイは、無差別ポートを介してデバイスに接続されます。) 無差別ポートでは、広範囲なデバイスをプライベート VLAN のアクセス ポイントとして接続できます。たとえば、すべてのプライベート VLAN サーバーを管理ワークステーションから監視したりバックアップしたりするのに、無差別ポートを使用できます。
Note |
プライベート VLAN の無差別および独立トランク ポートを設定できます。これらの無差別トランク ポートと独立トランク ポートは、標準の VLAN に加え、複数のプライマリおよびセカンダリ VLAN のトラフィックを伝送できます。 |
プライマリ VLAN には複数の無差別ポートを設定できますが、各プライマリ VLAN に設定できるレイヤ 3 ゲートウェイは 1 つだけです。
スイッチング環境では、個々のエンド ステーションに、または共通グループのエンド ステーションに、個別のプライベート VLAN や、関連する IP サブネットを割り当てることができます。エンド ステーションはデフォルト ゲートウェイとの通信を行うだけで、プライベート VLAN の外部と通信することができます。
Note |
レイヤ 3 ゲートウェイを設定するには、VLAN インターフェイス機能をイネーブルにしておく必要があります。VLAN ネットワーク インターフェイスと IP アドレス設定の詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。 |
プライマリ VLAN とセカンダリ VLAN の関連付け
セカンダリ VLAN 内のホスト ポートでプライベート VLAN 外と通信するには、セカンダリ VLAN をプライマリ VLAN に関連付ける必要があります。関連付けが正常に動作していない場合、セカンダリ VLAN のホスト ポート(独立ポートおよびコミュニティ ポート)はダウン ステートになります。
Note |
セカンダリ VLAN は、1 つのプライマリ VLAN のみにアソシエートすることができます。 |
アソシエーションの操作を可能にするには、次の条件を満たす必要があります。
-
プライマリ VLAN が存在する。
-
セカンダリ VLAN が存在する。
-
プライマリ VLAN がプライマリ VLAN として設定されている。
-
セカンダリ VLAN が、独立 VLAN またはコミュニティ VLAN として設定されている。
Note |
関連付けが動作していることを確認するには、show コマンドの出力を調べます。関連付けが動作していなくても、エラー メッセージは発行されません |
プライマリ VLAN またはセカンダリ VLAN を削除すると、その VLAN に関連付けされたポートは非アクティブになります。指定の VLAN をプライベート VLAN モードに再変換すると、元のアソシエーションが復元されます。
関連付けがプライベート VLAN トランク ポートで動作していない場合、ポート全体はダウンせずに、その VLAN だけがダウンします。
no private-vlan コマンドを入力すると、VLAN は通常の VLAN モードに戻ります。その VLAN 上の関連付けはすべて一時停止されますが、インターフェイスはプライベート VLAN モードのままになります。
プライマリ VLAN に対して no vlan コマンドを入力すると、その VLAN に関連付けされたすべてのプライベート VLAN は失われます。ただし、セカンダリ VLAN に対して no vlan コマンドを入力した場合、その VLAN とプライベート VLAN の関連付けは一時停止します。この VLAN を再作成してセカンダリ VLAN として設定すると元に戻ります。
Note |
この動作は、Catalyst デバイスの動作と異なります。 |
Note |
(no private-vlan primary コマンドを発行して)プライマリVLANのタイプを通常/ユーザVLANに変更すると、そのプライマリVLANの下のすべてのアソシエーションが動作不能になります。ただし、同じVLANのタイプを通常/ユーザVLANからプライマリVLANに変更した場合、タイプ変更後にプライマリVLANで再設定されない限り、プライマリVLANでのアソシエーションは引き続き動作しません。 |
セカンダリ VLAN とプライマリ VLAN の関連付けを変更するには、現在の関連付けを削除してから目的の関連付けを追加します。
プライベート VLAN 内のブロードキャスト トラフィック
プライベート VLAN にあるポートからのブロードキャスト トラフィックは、次のように流れます。
-
ブロードキャスト トラフィックは、すべての無差別ポートからプライマリ VLAN 内のすべてのポートに流れます。このブロードキャスト トラフィックは、プライベート VLAN パラメータで設定されていないポートを含め、プライマリ VLAN 内のすべてのポートに配信されます。
-
すべての独立ポートからのブロードキャスト トラフィックは、その独立ポートに関連付けられているプライマリ VLAN の無差別ポートにだけ配信されます。
-
コミュニティ ポートからのブロードキャスト トラフィックは、そのポートのコミュニティ内のすべてのポート、およびそのコミュニティ ポートに関連付けられているすべての無差別ポートに配信されます。このブロードキャスト パケットは、プライマリ VLAN 内の他のコミュニティまたは独立ポートには配信されません。
プライベート VLAN ポートの分離
プライベート VLAN を使用すると、次のように、エンド ステーションへのアクセスを制御できます。
-
エンド ステーションに接続されているインターフェイスを選択して独立ポートとして設定し、レイヤ 2 の通信をしないようにします。たとえば、エンド ステーションがサーバの場合、この設定によりサーバ間のレイヤ 2 通信ができなくなります。
-
デフォルト ゲートウェイおよび選択したエンド ステーション(バックアップ サーバーなど)に接続されているインターフェイスを無差別ポートとして設定し、すべてのエンド ステーションがデフォルト ゲートウェイにアクセスできるようにします。
プライベート VLAN および VLAN インターフェイス
レイヤ 2 VLAN への VLAN インターフェイスは、スイッチ仮想インターフェイス(SVI)とも呼ばれます。レイヤ 3 デバイスは、セカンダリ VLAN ではなく、プライマリ VLAN だけを介してプライベート VLAN と通信します。
VLAN ネットワーク インターフェイスは、プライマリ VLAN だけに対して設定します。セカンダリ VLAN には VLAN インターフェイスを設定しないでください。VLAN がセカンダリ VLAN として設定されている場合、セカンダリ VLAN の VLAN ネットワーク インターフェイスは非アクティブになります。VLAN インターフェイスの設定が正しくない場合、次のような状況になります。
-
アクティブな VLAN ネットワーク インターフェイスが設定された VLAN をセカンダリ VLAN として設定しようとすると、VLAN インターフェイスをディセーブルにするまでは、設定が許可されません。
-
セカンダリ VLAN として設定されている VLAN 上で VLAN ネットワーク インターフェイスを作成してイネーブルにしようとすると、その VLAN インターフェイスはディセーブルのままで、システムからエラーが返されます。
プライマリ VLAN がセカンダリ VLAN に関連付けられ、マッピングされている場合、プライマリ VLAN 上のすべての設定がセカンダリ VLAN に伝播されます。たとえば、プライマリ VLAN 上の VLAN ネットワーク インターフェイスに IP サブネットを割り当てると、このサブネットはプライベート VLAN 全体の IP サブネット アドレスになります。
Note |
VLAN インターフェイスを設定するには、VLAN インターフェイス機能をイネーブルにしておく必要があります。VLAN インターフェイスおよび IP アドレスの設定の詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。 |
複数のデバイスにまたがるプライベート VLAN
複数のデバイスにわたるようにプライベート VLAN を拡張するには、プライマリ VLAN、独立 VLAN、およびコミュニティ VLAN を、プライベート VLAN をサポートする他のデバイスにトランキングします。プライベート VLAN 設定のセキュリティを保持して、プライベート VLAN として設定された VLAN が他の目的に使用されないようにするには、プライベート VLAN ポートが設定されていないデバイスを含め、すべての中間デバイスにプライベート VLAN を設定します。
内部 VLAN タグを保持するプライベート VLAN
Cisco NX-OS リリース 10.2(3)F 以降、グローバル system dot1q-tunnel transit <vlan> を構成している場合トランジット ボックスとして機能するサポートされている Cisco Nexus スイッチでコマンドを実行すると、2 つ以上のタグを持つプライベート VLAN トランク ポートに着信するパケットは保持され、内部タグを削除せずに送信されます。このコマンドの詳細については、cisco.com の関連リリースの『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。
(注) |
PVLAN と QinQ が同じポートで設定されている場合、内部タグの保存は機能しません。 |
次の図は、パケットが PVLAN セカンダリ トランクから PVLAN 無差別トランクに移動したり、その逆に移動したりするときの、サポートされている Cisco Nexus スイッチでの内部タグの保持を示しています。
サンプル設定を次に示します。
vlan 10
private-vlan primary
private-vlan association 11-12
vlan 11
private-vlan isolated
vlan 12
private-vlan community
interface Ethernet1/1
switchport
switchport mode private-vlan trunk secondary
switchport private-vlan association trunk 10 11
no shutdown
interface Ethernet1/2
switchport
switchport mode private-vlan trunk promiscuous
switchport private-vlan mapping trunk 10 11-12
no shutdown
(config)# system dot1q-tunnel transit vlan 10,11
FEXホストインターフェイスポート上のプライベートVLAN
7.0(3)I2(1)以降、Cisco Nexus NX-OSは、Cisco Nexus 2000ファブリックエクステンダのホスト側ポート(FEX HIFポート)でプライベートVLAN(PVLAN)をサポートします。
PVLANは、単一接続ホストおよび単一接続FEX HIF設定でサポートされます。
(注) |
FEX HIF PC / VPC(ポートチャネル/仮想ポートチャネル)およびFEX AA(アクティブ/アクティブ)設定はサポートされていません。 |
プライベート VLAN のハイ アベイラビリティ
このソフトウェアは、コールド リブート時に、プライベート VLAN のステートフルおよびステートレスの両方の再起動において、ハイ アベイラビリティをサポートしています。ステートフルな再起動では、最大 3 回の再試行がサポートされます。再起動から 10 秒以内に 4 回以上の再試行を行うと、スーパーバイザ モジュールがリロードされます。
Note |
プライベート VLAN が設定されている場合(7.0(3)I1(2) 以前の場合)、Cisco NX-OS の以前のバージョンへのダウングレードはサポートされていません。 |
Note |
ハイ アベイラビリティ機能、の詳細については、『Cisco Nexus 9000 Series NX-OS High Availability and Redundancy Guide 』を参照してください。 |