VLAN


1 機能概要

VLAN ( Virtual LAN ) は、物理的な接続構成と関係なく、仮想的にLANを構成することができる技術です。
L2スイッチでVLANを使用すると、ルーター (L3スイッチ) と同じように複数のブロードキャストドメインに分割することができます。
本L2スイッチでサポートするVLANについて、以下に示します。



2 用語の定義

ブロードキャストドメイン

Ethernetなどのネットワークで、ブロードキャストフレームが届く範囲のこと。
スイッチングハブなどのデータリンク層(MAC層)を中継する機器によって接続された端末同士が同じブロードキャストドメインに所属することになります。
一般的にEthernetにおけるネットワークとはこのブロードキャストドメインのことを指します。



3 機能詳細

3.1 VLAN ID の定義

本L2スイッチは、VLAN IDとして2~4094の範囲で最大255個定義することが可能です。(ID #1はデフォルトVLAN IDとして使用します。)
VLAN IDは、vlan databaseコマンドでVLANモード遷移後にvlanコマンドを使用して定義します。
詳細はコマンドリファレンスを参照願います。


3.2 LAN/SFPポートに対するVLAN設定

本L2スイッチでVLANを利用するためには、使用するVLANを定義した後に、以下の設定を行う必要があります。


本L2スイッチのLAN/SFPポートに対するVLANの制御仕様について以下に示します。
なお、コマンド仕様については、コマンドリファレンスを参照願います。

  1. 本L2スイッチのLAN/SFPポートは、以下に示すどちらかのモードに設定します。
  2. LAN/SFPポートのモード設定は、switchport mode コマンドで行います。
    トランクポートに設定する際、指定したVLAN ID以外のフレームを扱うかどうかを 入力フィルタ(ingress-filter) で制御することができます。
  3. LAN/SFPポートの設定モードの確認は、show interface switchportコマンドで行います。

  4. アクセスポートの所属VLANは、switchport access vlanコマンドで設定します。

  5. トランクポートの所属VLANは、switchport trunk allowed vlanコマンドで設定します。
    トランクポートは複数のVLANに所属できるため、以下に示す allnoneexceptaddremove で設定を行います。
  6. トランクポートに対して、タグなしフレームを扱うVLAN( ネイティブVLAN )を指定することができます。

  7. LAN/SFPポートの所属VLANの確認は、show vlanコマンドで行います。

3.3 VLANに対するアクセス制限

本L2スイッチは、VLANに対するアクセス制御機能として、VLANアクセスマップ機能を提供します。
VLANアクセスマップは、VLAN IDに対するフィルタ条件として、標準/拡張IPアクセス制御リスト、MACアクセス制御リストを関連付けることができます。
VLANアクセスマップの操作は、以下のコマンドで行います。


3.4 デフォルトVLAN

デフォルトVLANとは、本スイッチの初期状態から存在する VLAN #1 (vlan0.1) のことです。
デフォルトVLANは特殊なVLANであるため、常に存在し、削除することはできません。
なお、以下の操作を行うと、該当ポートは自動的にデフォルトVLANから削除されます。


3.5 ネイティブVLAN

ネイティブVLANとは、トランクポートに設定したLAN/SFPポートで、受信したタグなしフレームを所属させるVLANのことです。
LAN/SFPポートをトランクポートとして定義すると、デフォルトVLAN(VLAN #1)がネイティブVLANとして設定されます。
特定のVLANをネイティブVLANとして定義する場合は、switchport trunk native vlanコマンドを使用します。
該当LAN/SFPポートでタグなしフレームを扱わないようにしたい場合は、ネイティブVLANをなしに設定することも可能です。(switchport trunk native vlanコマンドでnoneを指定)
なお、タグなしフレームを扱わないように設定した場合、以下の機能を使用できなくなりますので、注意が必要です。


3.6 プライベートVLAN

本L2スイッチは、同一サブネット内でさらに通信可能なグループを分割する プライベートVLAN を構成できます。
動作仕様について、以下に示します。

  1. プライベートVLANは、以下に示す3種類のVLANで構成します。
  2. プライマリーVLANは、複数のプロミスカスポートを収容することができます。
    プロミスカスポートとして使用できるポートは、 アクセスポートトランクポートスタティック/LACP論理インターフェース です。

  3. セカンダリーVLAN(アイソレートVLAN、コミュニティVLAN)のホストポートとして使用できるポートは、 アクセスポート のみとなります。

  4. セカンダリーVLAN(アイソレートVLAN、コミュニティVLAN)は、 1つのプライマリーVLAN と関連付けすることができます。
    関連付けには、switchport private-vlan mappingコマンドを使用します。

4 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。



5 コマンド実行例

5.1 ポートベースVLAN の設定

ホストA~B間、ホストC~D間 の通信を可能にするために、本L2スイッチにポートベースVLANを設定します。

本L2スイッチのLANポートの設定は以下とします。

  1. vlan database コマンドでVLANモードに移行し、vlanコマンドで2つのVLANを定義します。
    L2SW(config)# vlan database … (VLANモードに移行)
    L2SW(config-vlan)# vlan 1000 … (VLAN #1000の作成)
    L2SW(config-vlan)# vlan 2000 … (VLAN #2000の作成)
    L2SW(config-if)# exit
    
  2. LANポート #1/#2をアクセスポートに設定し、VLAN #1000 に所属させます。
    L2SW(config)# interface ge1 … (interface modeに移行)
    L2SW(config-if)# switchport mode access … (アクセスポートに設定)
    L2SW(config-if)# switchport access vlan 1000 … (VLAN IDの指定)
    L2SW(config-if)# exit
    (同じ操作をge2に対して適用させます)
    
  3. LANポート #3/#4をアクセスポートに設定し、VLAN #2000 に所属させます。
    L2SW(config)# interface ge3
    L2SW(config-if)# switchport mode access
    L2SW(config-if)# switchport access vlan 2000
    L2SW(config-if)# exit
    (同じ操作をge4に対して適用させます)
    
  4. VLANの設定を確認します。
    L2SW#show vlan brief
    (u)-Untagged, (t)-Tagged
    VLAN ID  Name            State   Member ports
    ======= ================ ======= ===============================
    1       default          ACTIVE  ge5(u) ge6(u) ge7(u) ge8(u)
    1000    VLAN1000         ACTIVE  ge1(u) ge2(u)
    2000    VLAN2000         ACTIVE  ge3(u) ge4(u)
    
    


5.2 タグVLAN の設定

ホストA~B間、ホストC~D間の通信を可能にするために、本L2スイッチの#A~#B間にタグVLANを設定します。

本L2スイッチ#A/#Bの LANポートの設定は以下とします。

  1. [スイッチ#A/#B] VLAN を定義します。
    L2SW(config)#vlan database … (vlan mode に移行)
    L2SW(config-vlan)#vlan 1000 … (vlan0.1000の定義)
    L2SW(config-vlan)#vlan 2000 … (vlan0.2000の定義)
    
  2. [スイッチ#A/#B] LANポート1をアクセスポートに設定し、VLAN #1000 に所属させます。
    L2SW(config)#interface ge1 … (interface mode に移行)
    L2SW(config-if)#switchport mode access … (アクセスポートに設定)
    L2SW(config-if)#switchport access vlan 1000 … (vlan0.1000に所属させる)
    L2SW(config-if)#exit
    
  3. [スイッチ#A/#B] LANポート2をアクセスポートに設定し、VLAN #2000 に所属させます。
    L2SW(config)#interface ge2 … (interface modeに移行)
    L2SW(config-if)#switchport mode access … (アクセスポートに設定)
    L2SW(config-if)#switchport access vlan 2000 … (vlan0.2000に所属させる)
    L2SW(config-if)#exit
    
  4. [スイッチ#A/#B] LANポート3をトランクポートに設定し、VLAN #1000 / #2000 を所属させます。
    L2SW(config)#interface ge3 … (interface mode に移行)
    L2SW(config-if)#switchport mode trunk … (トランクポートに設定)
    L2SW(config-if)#switchport trunk allowed vlan add 1000 … (vlan 0.1000を追加)
    L2SW(config-if)#switchport trunk allowed vlan add 2000 … (vlan 0.2000を追加)
    L2SW(config-if)#exit
    
  5. VLANの設定を確認します。
    L2SW#show vlan brief
    (u)-Untagged, (t)-Tagged
    
    VLAN ID  Name                            State   Member ports
    ======= ================================ ======= ======================
    1       default                          ACTIVE  ge3(u)
    1000    VLAN1000                         ACTIVE  ge1(u) ge3(t)
    2000    VLAN2000                         ACTIVE  ge2(u) ge3(t)
    


5.3 プライベートVLAN の設定

本L2スイッチにプライベートVLANを設定し、以下を実現します。

ポート1~7に接続したホストは、ポート8に接続した回線を介してインターネットなどの外部回線に接続します
ポート1~4に接続したホスト間の通信は遮断します (アイソレートVLAN : VLAN #21)
ポート5~7に接続したホスト間の通信は許可します (コミュニティVLAN : VLAN #22)
ポート1~4に接続したホストとポート5~7に接続したホスト間の通信は遮断します

  1. プライベートVLANで使用するVLAN IDを定義します。
    L2SW(config)# vlan database … (vlanモードに移行)
    L2SW(config-vlan)# vlan 2  … (VLANの作成)
    L2SW(config-vlan)# vlan 21
    L2SW(config-vlan)# vlan 22
    L2SW(config-vlan)# private-vlan 2 primary … (Primary VLANの設定)
    L2SW(config-vlan)# private-vlan 21 isolated … (Isolated VLANの設定)
    L2SW(config-vlan)# private-vlan 22 community … (Community VLANの設定)
    L2SW(config-vlan)# private-vlan 2 association add 21 … (Primary VLANとの関連付け)
    L2SW(config-vlan)# private-vlan 2 association add 22
    L2SW(config-vlan)# exit
    
  2. LANポート1~4にアイソレートVLAN(VLAN #21)を設定します。
    L2SW(config)#interface ge1 … (interface modeに移行)
    L2SW(config-if)#switchport mode access … (アクセスポートに設定)
    L2SW(config-if)#switchport access vlan 21 .. (VLAN #21に所属)
    L2SW(config-if)#switchport mode private-vlan host … (プライベートVLANのホストポートに設定)
    L2SW(config-if)#switchport private-vlan host-association 2 add 21
    L2SW(config-if)#exit
    
    (上記設定をge2~ge4に対しても行います。)
    
  3. LANポート5~7にコミュニティVLAN(VLAN #22)を設定します。
    L2SW(config)#interface ge5 … (interfaceモードに移行)
    L2SW(config-if)#switchport mode access … (アクセスポートに設定)
    L2SW(config-if)#switchport access vlan 22 … (VLAN #22に所属)
    L2SW(config-if)#switchport mode private-vlan host … (プライベートVLANのホストポートに設定)
    L2SW(config-if)#switchport private-vlan host-association 2 add 22
    L2SW(config-if)#exit
    
    (上記設定をge6, ge7に対しても行います。)
    
  4. LANポート8にプライマリVLAN(VLAN #2)を設定します。(プロミスカスポート)
    L2SW(config)#interface ge8 … (interfaceモードに移行)
    L2SW(config-if)#switchport mode access … (アクセスポートに設定)
    L2SW(config-if)#switchport access vlan 2 … (VLAN #2に所属)
    L2SW(config-if)#switchport mode private-vlan promiscuous … (プライベートVLANのプロミスカスポートに設定)
    L2SW(config-if)#switchport private-vlan mapping 2 add 21
    L2SW(config-if)#switchport private-vlan mapping 2 add 22
    L2SW(config-if)#exit
    
  5. VLANの設定を確認します。
    L2SW#show vlan brief
    (u)-Untagged, (t)-Tagged
    
    VLAN ID  Name                            State   Member ports
    ======= ================================ ======= ======================
    1       default                          ACTIVE
    2       VLAN0002                         ACTIVE  ge8(u)
    21      VLAN0021                         ACTIVE  ge1(u) ge2(u) ge3(u)
                                                     ge4(u)
    22      VLAN0022                         ACTIVE  ge5(u) ge6(u) ge7(u)
    
    L2SW#show vlan private-vlan
     PRIMARY        SECONDARY          TYPE          INTERFACES
     -------        ---------       ----------      ----------
           2              21          isolated       ge1 ge2 ge3 ge4
           2              22         community       ge5 ge6 ge7
    



6 注意事項


7 関連文書

特になし

トップへ戻る