[index]
CentreCOM FS900Mシリーズ コマンドリファレンス 1.6.0
バーチャルLAN/概要・基本設定
- デフォルトVLAN
- ポートVLAN
- タグVLAN
- VLANタグ対応サーバーの共用
- VLANタグを利用したスイッチ間接続
- マルチプルVLAN(Protected Port VLAN)
- 基本ルール
- 設定例
バーチャルLAN(VLAN)は、スイッチの設定によって論理的にブロードキャストドメインを分割する機能です。レイヤー2スイッチは、宛先MACアドレスとフォワーディングデータベースを用いて不要なトラフィックをフィルタリングする機能を持ちますが、未学習の宛先MACアドレスを持つユニキャストフレームと、マルチキャスト/ブロードキャストフレームは全ポートに出力します。VLANを作成して、頻繁に通信を行うホスト同士をグループ化することにより、不要なトラフィックの影響を受ける範囲を限定し、帯域をより有効に活用できるようになります。
本製品はご購入時の状態でレイヤー2スイッチとして機能するよう設定されています。単なるスイッチとして使用するだけであれば、特別な設定を行うことなく、設置・配線を行うだけで使用できます。
ご購入時の状態ではすべてのポートがVLAN default(VID=1)に所属しており、すべてのポートが相互に通信可能になっています。
ポートVLANは、ポート単位でVLANの範囲を設定するもっとも基本的なVLANです。ポート1〜2はVLAN A、ポート3〜5はVLAN B、ポート6〜8はVLAN Cといったように設定します。
- 新規にVLANを作成するにはCREATE VLANコマンドを使います。VLAN作成時には、VLAN名とVLAN ID(VID)を割り当てる必要があります。VLAN名は任意の文字列(ただし、数字だけの文字列と「default」、「ALL」は使用できません)、VIDは2〜4094の範囲の任意の数値です(1はVLAN defaultのために予約済みです)。3つのVLAN、A(VID=10)、B(VID=20)、C(VID=30)を作成するには次のようにします。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
これ以降、VLAN名を指定するときはVLAN名、VIDのどちらを使ってもかまいません。ここではおもにVLAN名を使います。
- VLANを作成したら、ADD VLAN PORTコマンドでVLANにポートを割り当てます。ここでは、VLAN Aにポート1〜2を、VLAN Bにポート3〜5を、VLAN Cにポート6〜8を割り当てます。
ADD VLAN=A PORT=1-2 ↓
ADD VLAN=B PORT=3-5 ↓
ADD VLAN=C PORT=6-8 ↓
このようにしてポートをDefault以外のVLANに割り当てると、そのポートは自動的にVLAN defaultから削除されます。すなわち、上記の設定を終えるとVLAN defaultには所属ポートが1つもない状態になります。
これで、物理的には1台のスイッチでありながら、ネットワーク的には3台のスイッチに分割されたような状態となります。VLAN A、B、Cは完全に独立しており、互いに通信することはできません。
■ VLANの情報を確認するには、SHOW VLANコマンドを使います。
■ VLANからポートを削除するには、DELETE VLAN PORTコマンドを使います。たとえば、ポート2をVLAN Aから削除するには、次のようにします。Default以外のVLANから削除されたポートは、自動的にVLAN defaultの所属に戻ります。
■ ポートの所属するVLANを変更する場合、たとえば上記の例で、VLAN Aに所属していたポート1を、VLAN Bの所属に変更するような場合には、一度、ポート1をVLAN Aから削除してから、VLAN Bにポートを割り当ててください。
Note
- ポートの所属するVLANを変更する場合には、該当するポートのポートセキュリティーをオフにしてから、所属するVLANを変更してください。ポートセキュリティーオンのままで所属するVLANを変更した場合、元のVLANに所属する学習済みMACアドレスが残ってしまい、ポートセキュリティー機能が正常に働かなくなる可能性があります。このようなときには、下記の方法で対応してください。
■ VLANを削除するには、DESTROY VLANコマンドを使います。VLANの削除は、所属ポートをすべて削除してからでないと行えません。VLAN Cを削除するには、次のようにします。
DELETE VLAN=C PORT=ALL ↓
DESTROY VLAN=C ↓
Note
- VLAN defaultは削除できません。
タグVLANを使用すると、1つのポートを複数のVLANに所属させることができます。これは、イーサネットフレームにVLAN IDの情報を挿入し、各フレームが所属するVLANを識別できるようにすることによって実現されます(802.1Q VLANタギング)。タグVLANは、複数のVLANを複数の筐体にまたがって作成したい場合や、802.1Q対応サーバーを複数VLANから共用したい場合などに利用します。
各ポートのVLAN設定には次のルールが適用されます。
- ポートは、0〜1つのVLANにタグなしポート(Untagged Port)として所属できる
- ポートは、0〜複数のVLANにタグ付きポート(Tagged Port)として所属できる
- ミラーポート以外のポート(通常のポート)は、必ず1つ以上のVLANに所属していなくてはならない
Note
- VLANタグを使用する場合、接続先機器もVLANタグ(802.1Q)に対応している必要があります。
Note
- ポート認証のSupplicantポートをタグ付きに設定することはできません。
VLANタグを利用して、ポート4を2つのVLANに所属させ、どちらのVLANからも802.1Q対応サーバーにアクセスできるようにします。
Note
- VLANタグを使用する場合、接続先機器もVLANタグ(802.1Q)に対応している必要があります。
ここでは次のようなネットワーク構成を例に説明します。
- VLAN A、Bを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
- VLAN Aにポートを追加します。ポート1〜3はタグを使わない通常のポートに設定し、ポート4はタグを使用するポートとして設定します。VLANにタグ付きポートを追加するときは、ADD VLAN PORTコマンドのFRAMEパラメーターにTAGGEDを指定します。FRAMEパラメーターを付けなかったときはタグなし(UNTAGGED)となります。
ADD VLAN=A PORT=1-3 ↓
ADD VLAN=A PORT=4 FRAME=TAGGED ↓
- VLAN Bにポートを追加します。ポート5〜8はタグを使わない通常のポートに設定し、ポート4はタグを使用するポートとして設定します。
ADD VLAN=B PORT=5-8 ↓
ADD VLAN=B PORT=4 FRAME=TAGGED ↓
以上で設定は完了です。
これにより、ポート1〜8から送受信されるフレームは次のようになります。
表 1
ポート1〜3 |
送信 |
ポート1〜3から送信するフレームはVLAN A宛てのタグなしフレーム。 |
受信 |
ポート1〜3で受信したタグなしフレームはVLAN A(VID=10)所属とみなされる。 |
ポート4 |
送信 |
ポート4から送信するフレームは、VLAN A宛てならVID=10のタグ付きで、VLAN B宛てならVID=20のタグ付きで送信される。 |
受信 |
ポート4ではVLAN A、B両方のトラフィックを受信する。受信するフレームはタグ付き。タグのVIDにより、所属VLANを判断する。 |
ポート5〜8 |
送信 |
ポート5〜8から送信するフレームはVLAN B宛てのタグなしフレーム。 |
受信 |
ポート5〜8で受信したタグなしフレームはVLAN B(VID=20)所属とみなされる。 |
■ 上記の設定では、ポート4はVLAN defaultにも(タグなしポートとして)所属したままになっています。他にもVLAN default所属のポートがあってトラフィックが流れている場合、ポート4にもVLAN defaultのブロードキャストパケットが送出されます。これが望ましくない場合は、DELETE VLAN PORTコマンドを使って、ポート4をVLAN defaultから削除します。
DELETE VLAN=default PORT=4 ↓
VLANタグを利用して、2台のスイッチにまたがるVLANを作成します。ここでは次のようなネットワーク構成を例に説明します。ポート8をタグ付きに設定し、VLAN A、B両方のトラフィックがスイッチ間で流れるようにします。
スイッチの設定(A、B共通)
- VLANA、Bを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
- VLAN Aにポートを追加します。ポート1〜3はタグを使わない通常のポートに設定し、ポート8はタグを使用するポートとして設定します。VLANにタグ付きポートを追加するときは、ADD VLAN PORTコマンドのFRAMEパラメーターにTAGGEDを指定します。FRAMEパラメーターを付けなかったときはタグなし(UNTAGGED)となります。
ADD VLAN=A PORT=1-3 ↓
ADD VLAN=A PORT=8 FRAME=TAGGED ↓
- VLAN Bにポートを追加します。ポート4〜7はタグを使わない通常のポートに設定し、ポート8はタグを使用するポートとして設定します。
ADD VLAN=B PORT=4-7 ↓
ADD VLAN=B PORT=8 FRAME=TAGGED ↓
設定は以上です。
■ 複数のスイッチにまたがるVLANを作成する場合は、各筐体で同じVLAN IDを設定するようにしてください。一方、VLAN名は個々の筐体内でしか意味を持たないので、スイッチごとに異なっていてもかまいません(ただし、混乱を防ぐ意味では同じ名前を付けた方がよいでしょう)。
■ 上記の設定では、ポート8はVLAN defaultにも(タグなしポートとして)所属したままになっています。他にもVLAN default所属のポートがあってトラフィックが流れている場合、ポート8にもVLAN defaultのブロードキャストパケットが送出されます。これが望ましくない場合は、DELETE VLAN PORTコマンドを使って、ポート8をVLAN defaultから削除します。
DELETE VLAN=default PORT=8 ↓
マルチプルVLAN(Protected Port VLAN) |
マルチプルVLAN(Protected Port VLAN。以下、Protected Port VLANで表記)は、アップリンクポートとクライアントポートという2種類のポートで構成される特殊なVLANです。
クライアントポートとアップリンクポートは相互に通信可能です。クライアントポートでは同一グループ番号同士のポート間では通信が可能ですが、グループ番号の異なるポート間では通信ができません。この性質を利用すれば、各部屋にインターネットアクセスを提供しつつ、部屋同士の通信は遮断するような構成を組むことができます。
Note
- マルチプルVLANのクライアントポートでは、SNMP、Telnetなど、本製品宛ての通信が必要な機能は使用できません。
次にProtected Port VLANの基本ルールをまとめます。
■ Protected Port VLANには次のルールが適用されます。
- Protected Port VLANは、アップリンクポートとクライアントポートで構成される。
- Protected Port VLANには、アップリンクポート(トランクグループでもよい)が1つ必要。
- Protected Port VLANには、クライアントポートを複数割り当てられる。
- Protected Port VLANには、クライアントポートでもアップリンクポートでもないポートは所属できない。
- VLAN defaultは、Protected Port VLANになれない。
- 同一Protected Port VLANのクライアントポート同士は通信できない。
■ アップリンクポートには次のルールが適用されます。
- アップリンクポートは、複数のProtected Port VLANに所属できる。
- アップリンクポートは、Protected Port VLANでない通常のVLANには所属できない。
- アップリンクポートは、ポートVLAN、タグVLANとの併用が可能。
- アップリンクポートは、ポートトランキングとの併用が可能。
■ クライアントポートには次のルールが適用されます。
- クライアントポートは、タグVLANを併用することにより複数のProtected Port VLANに所属できる。
- クライアントポートは、Protected Port VLANでない通常のVLANには所属できない。
- クライアントポートは、他のProtected Port VLANのアップリンクポートになることはできない。
- クライアントポートは、ポートVLAN、タグVLANとの併用が可能。
- クライアントポートは、ポートトランキングとの併用が可能。
■ クライアントポートとアップリンクポートで受信したパケットは、それぞれ次のように処理されます。
- クライアントポートで受信したパケットは、宛先MACアドレスの種類によって処理が異なる。
- アップリンクポートで受信したユニキャストパケットは、宛先MACアドレスに応じて、適切なクライアントポートにだけ転送される。
- アップリンクポートで受信したブロードキャスト・マルチキャストパケットは、すべてのクライアントポートに転送される。
次にProtected Port VLANの設定例を示します。
ここでは、ポート8をアップリンクポートとし、ポート1〜4をクライアントポートとするProtected Port VLAN「mv」を作成します。
- Protected Port VLAN mvを作成します。
CREATE VLAN=mv VID=2 PORTPROTECTED ↓
- VLANにポートを割り当てます。
ADD VLAN=mv PORT=1 GROUP=1 ↓
ADD VLAN=mv PORT=2 GROUP=2 ↓
ADD VLAN=mv PORT=3-4 GROUP=3 ↓
ADD VLAN=mv PORT=8 GROUP=UPLINK ↓
設定は以上です。異なるグループ間では通信することができませんが、同じグループに属するポート同士、またはアップリンクポート間では通信が可能です。
ADD VLAN PORTコマンドのGROUPパラメーターにAUTOを指定すると、未使用のグループ番号がポートごとに割り当てられます。PORTパラメーターで指定されたポートリストは1ポートあたり1クライアントとして割り当てられます。
ポート8をアップリンクとして、ポート1〜7を別々のクライアントに設定する場合は、下記のように指定します。
CREATE VLAN=protected VID=10 PORTPROTECTED ↓
ADD VLAN=protected PORT=8 GROUP=UPLINK ↓
ADD VLAN=protected PORT=1-7 GROUP=AUTO ↓
Note
- ADD VLAN PORTコマンドで、「GROUP=AUTO」を指定して実行した後、CREATE CONFIGコマンドを実行すると、スクリプトファイルには、「GROUP=自動的に割り当てられたグループ番号」という形で保存されます。スクリプトファイルを直接編集する場合には、「GROUP=AUTO」を指定することは 可能です。
■ Protected Port VLANの設定には、次の決まりがあります。
クライアントポートが複数のProtected Port VLAN間で重複する場合には、同一ポートグループにします。
表 2:正しい設定例
VLAN |
UPLINK |
CLIENT |
v10 |
1 |
[2], [3], [4-5] |
v20 |
1 |
[4-5], [6], [7] |
Note
- ポート1とポート4-5はタグ付きポートとなります。
表 3:間違った設定例
VLAN |
UPLINK |
CLIENT |
v10 |
1 |
[2], [3], [4-5] |
v20 |
1 |
[5], [6], [7] |
表 4:正しい設定例
VLAN |
UPLINK |
CLIENT |
v10 |
1 |
[3-4] |
v20 |
2 |
[3-4] |
Note
- v20のUPLINKにポート1を追加する場合、ポート1、2を同時に指定する必要があります。あとからポートを追加することはできないので、ポート1を削除し、再度設定する必要があります。
■ 802.1QタグVLAN機能と併用する場合、次の制限事項が発生します。
Note
- マルチプルVLANとタグVLANを併用した場合には、マルチプルVLAN優先で処理されます。
表 5
VLAN |
タグなしポート |
タグ付きポート |
default(1) |
1, 6-9 |
- |
v10 |
2(C), 3(C) |
1(U), 6(C) |
v20 |
4(C), 5(C) |
1(U), 6(C) |
(U)はアップリンクポート、(C)はクライアントポートを示す
上記の設定例の場合、ポート6からタグなしパケットを受信したとき、default VLANにフラッディングされるはずが、ポート1にしかフラッディングされません。
(C) 2006-2008 アライドテレシスホールディングス株式会社
PN: 613-000325 Rev.F