L2スイッチング / バーチャルLAN
バーチャルLAN(VLAN)は、スイッチの設定によって論理的にブロードキャストドメインを分割する機能です。レイヤー2スイッチは、宛先MACアドレスとフォワーディングデータベースを用いて不要なトラフィックをフィルタリングする機能を持ちますが、未学習の宛先MACアドレスを持つユニキャストパケットと、マルチキャスト/ブロードキャストパケットは全ポートに出力します。VLANを作成して、頻繁に通信を行うホスト同士をグループ化することにより、不要なトラフィックの影響を受ける範囲を限定し、帯域をより有効に活用できるようになります。
VLANの種類
本製品がサポートしているVLANの種類は次のとおりです。
- ポートVLAN(タグVLANを含む)
- IPサブネットVLAN
- プロトコルVLAN
さらに、レイヤー2スイッチとしての動作を前提とした特殊なVLANとして次の種類があります。
この章では、最初に基本的なVLANについて解説し、その後で特殊なVLANについて解説します。
ポートの種類
VLANを利用するには、VLANを作成(定義)した後、各スイッチポートに対してどのVLANに所属させるかを指定する必要があります。特定のVLANに所属しているスイッチポートの集合を、該当VLANのメンバーポートと呼びます。メンバーポートには、次の種類があります。
- タグなしポート(アクセスポート)
- タグ付きポート(トランクポート)
ポートとVLAN
スイッチポートは少なくとも1つのポートVLANに所属していなくてはなりません(ミラーポートを除く)。また、ポートは複数のVLANに所属できますが、所属先VLANの種類によって、いくつのVLANに所属できるかが異なります。基本ルールは次のとおりです。
- ポートVLAN(タグなし):1つのVLANにだけ所属できます
- ポートVLAN(タグ付き):複数のVLANに所属できます
- IPサブネットVLAN(タグなし):複数のVLANに所属できます
- プロトコルVLAN(タグなし):複数のVLANに所属できます
■ ポートが複数のVLANに所属している場合、受信パケットの所属先は次の基準にしたがって決定されます。スイッチポートがどのVLANに所属しているかは、show interface switchportコマンドで確認できます。
- 該当ポートがタグ付きポート(トランクポート)の場合
- 受信パケットがタグ付きの場合は、VLANタグに格納されたVIDが、該当ポートの所属先タグVLAN(switchport trunk allowed vlanコマンドで指定されたVLAN)のどれかと一致する場合、そのVIDを持つVLANの所属と判断する。所属先でないVIDを持つタグ付きパケットを受信した場合は、該当ポートのイングレスフィルタリング設定(switchport modeコマンドのingress-filterパラメーター)によって以下のように処理する。
- イングレスフィルタリングが有効(初期設定)であれば、該当パケットを破棄する。
- イングレスフィルタリングが無効で、かつVLANタグに格納されたVIDが本装置内に設定されたいずれかのVLANのVIDと一致する場合、そのVIDを持つVLANの所属と判断する。一致しない場合は該当パケットを破棄する。
- 受信パケットがタグなしの場合は、次の順序で所属VLANが決定される。
- 該当ポートのネイティブVLAN(switchport trunk native vlanコマンドで設定)がなし(none)に設定されている場合、タグなしパケットを受け入れずに破棄する。
- 該当ポートにVLANクラシファイアグループが適用されている場合、グループ内のルールを順にチェックし、最初にマッチしたルールで指定されたVLANの所属と判断する。
- 該当ポートにVLANクラシファイアグループが適用されていない場合、あるいは、グループ内のルールにマッチするものがなかった場合は、該当ポートのネイティブVLANの所属と判断する。
- 該当ポートがタグなしポート(アクセスポート)の場合
- 該当ポートにVLANクラシファイアグループが適用されている場合、グループ内のルールを順にチェックし、最初にマッチしたルールで指定されたVLANの所属と判断する。
- 該当ポートにVLANクラシファイアグループが適用されていない場合、あるいは、グループ内のルールにマッチするものがなかった場合は、switchport access vlanコマンドで設定されたポートVLANの所属と判断する。
以下の各節では、上記をふまえ、最初にもっとも基本的なVLANであるポートVLANとタグVLANについて説明したのち、その他のVLANについて簡単に説明します。
デフォルトVLAN
初期状態では、すべてのポートがタグなしポート(アクセスポート)としてvlan1(デフォルトVLAN)に所属しており、すべてのポートが相互に通信可能になっています。単なるレイヤー2スイッチとして本製品を使用する場合は、特別な設定を行うことなく、設置・配線を行うだけで使用できます。
デフォルトVLANは特殊なVLANであり、削除することはできません。
ポートVLAN
次に単純なポートVLANの設定方法を示します。
デフォルトでは、すべてのスイッチポートがvlan1(デフォルトVLAN)に所属しています。
- vlan databaseコマンドでVLANモードに移行し、vlanコマンドで3つのVLAN(vlan10, vlan20, vlan30)を作成します。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 10,20,30 ↓
awplus(config-vlan)# exit ↓
- 次にスイッチポートをVLANに割り当てます。ポートごとにinterfaceコマンドを実行してインターフェースモードに移行し、switchport modeコマンドで該当ポートをアクセスポート(タグなしポート)に設定し、最後にswitchport access vlanコマンドで所属VLANを指定します。
awplus(config)# interface port1.0.1-1.0.8 ↓
awplus(config-if)# switchport mode access ↓
awplus(config-if)# switchport access vlan 10 ↓
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.9-1.0.16 ↓
awplus(config-if)# switchport mode access ↓
awplus(config-if)# switchport access vlan 20 ↓
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.17-1.0.24 ↓
awplus(config-if)# switchport mode access ↓
awplus(config-if)# switchport access vlan 30 ↓
awplus(config-if)# exit ↓
初期状態では、すべてのポートがアクセスポート(タグなしポート)に設定されているため、特に設定を変更していない場合は「switchport mode access」を省略できます。
設定は以上です。
このようにしてポートをデフォルトVLAN以外のVLANに割り当てると、そのポートは自動的にデフォルトVLANから削除されます。
これで、物理的には1台のスイッチでありながら、ネットワーク的には3台のスイッチに分割されたような状態となります。vlan10、20、30は完全に独立しており、互いに通信することはできません。
■ VLANの設定を確認するには、show vlanコマンドを使います。
awplus# show vlan all ↓
VLAN ID Name Type State Member ports
(u)-Untagged, (t)-Tagged
======= ================ ======= ======= ====================================
1 default STATIC ACTIVE
10 VLAN0010 STATIC ACTIVE port1.0.1(u) port1.0.2(u) port1.0.3(u)
port1.0.4(u) port1.0.5(u) port1.0.6(u)
port1.0.7(u) port1.0.8(u)
20 VLAN0020 STATIC ACTIVE port1.0.9(u) port1.0.10(u)
port1.0.11(u) port1.0.12(u)
port1.0.13(u) port1.0.14(u)
port1.0.15(u) port1.0.16(u)
30 VLAN0030 STATIC ACTIVE port1.0.17(u) port1.0.18(u)
port1.0.19(u) port1.0.20(u)
port1.0.21(u) port1.0.22(u)
port1.0.23(u) port1.0.24(u)
■ ポートをデフォルトVLANに戻すには、インターフェースモードに移行してから、switchport access vlanコマンドをno形式で実行してください。たとえば、port1.0.17~1.0.24をデフォルトVLANの所属に戻すには、次のようにします。
awplus(config)# interface port1.0.17-1.0.24 ↓
awplus(config-if)# no switchport access vlan ↓
■ VLANを削除するには、vlanコマンドをno形式で実行します。たとえば、vlan30を削除するには次のようにします。これにより、vlan30所属のタグなしポート(アクセスポート)はデフォルトVLANの所属に戻ります。
awplus(config)# vlan database ↓
awplus(config-vlan)# no vlan 30 ↓
vlan1(デフォルトVLAN)は削除できません。
タグVLAN
タグVLANを使用すると、1つのポートを複数のVLANに所属させることができます。これは、イーサネットフレームにVLAN IDの情報を挿入し、各フレームが所属するVLANを識別できるようにすることによって実現されます(IEEE 802.1Q VLANタギング)。
タグVLANは、複数のVLANを複数の筐体にまたがって作成したい場合や、IEEE 802.1Q対応サーバーを複数VLANから共用したい場合などに利用します。
タグVLANを使用する場合、接続先機器もタグVLAN(IEEE 802.1Q)に対応している必要があります。
以下では、VLANタグを利用して2台のスイッチにまたがるVLANを作成する方法を説明します。ここでは次のようなネットワーク構成を例に説明します。
この例では、port1.0.1をタグ付きポート(トランクポート)に設定し、vlan10、vlan20両方のトラフィックがスイッチ間で流れるようにします。スイッチA、Bとも設定は同じです。
- vlan databaseコマンドでVLANモードに移行し、2つのVLAN(vlan10, vlan20)を作成します。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 10,20 ↓
awplus(config-vlan)# exit ↓
- 次にタグなしポート(アクセスポート)をVLANに割り当てます。ポートごとにinterfaceコマンドを実行してインターフェースモードに移行し、switchport modeコマンドで該当ポートをアクセスポート(タグなしポート)に設定し、最後にswitchport access vlanコマンドで所属VLANを指定します。
awplus(config)# interface port1.0.2-1.0.12 ↓
awplus(config-if)# switchport mode access ↓
awplus(config-if)# switchport access vlan 10 ↓
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.13-1.0.24 ↓
awplus(config-if)# switchport mode access ↓
awplus(config-if)# switchport access vlan 20 ↓
awplus(config-if)# exit ↓
初期状態では、すべてのポートがアクセスポート(タグなしポート)に設定されているため、特に設定を変更していない場合は「switchport mode access」を省略できます。
- 最後にport1.0.1をタグ付きポート(トランクポート)に設定し、vlan10とvlan20のトラフィックだけを通すよう設定します。switchport modeコマンドで該当ポートをトランクポートに設定し、switchport trunk allowed vlanコマンドで所属VLANを指定します。アクセスポートと異なり、トランクポートは複数のVLANに所属させることができます。
awplus(config)# interface port1.0.1 ↓
awplus(config-if)# switchport mode trunk ↓
awplus(config-if)# switchport trunk allowed vlan add 10,20 ↓
awplus(config-if)# exit ↓
設定は以上です。
これにより、各ポートから送受信されるフレームは次のようになります。
表 1
| port1.0.2~1.0.12 |
アクセスポート |
送信 |
vlan10宛てのフレームをタグなしで出力する |
| 受信 |
受信したタグなしフレームはvlan10所属と見なす。タグ付きフレームはvlan10宛てのみ受け入れ、その他は破棄する |
| port1.0.13~1.0.24 |
アクセスポート |
送信 |
vlan20宛てのフレームをタグなしで出力する |
| 受信 |
受信したタグなしフレームはvlan20所属と見なす。タグ付きフレームはvlan20宛てのみ受け入れ、その他は破棄する |
| port1.0.1 |
トランクポート |
送信 |
vlan10、vlan20宛てのフレームをタグ付きで出力する。VLANタグにはVLAN ID(10か20)を格納する |
| 受信 |
受信したタグ付きフレームは、タグに格納されたVLAN IDが10であるか20であるかによって、vlan10かvlan20の所属と見なす。それ以外のVLAN IDを持つタグ付きフレームは破棄する。タグなしフレームを受信した場合は、ネイティブVLANの所属と見なす |
■ タグVLANを使って複数のスイッチにまたがるVLANを作成する場合は、各筐体で同じVLAN IDを設定するようにしてください。
■ 上記の設定では、port1.0.1はデフォルトVLAN(vlan1)にも(タグなしポートとして)所属したままになっています(これをネイティブVLANと呼びます)。他にもデフォルトVLAN所属のポートがあってトラフィックが流れている場合、port1.0.1にもデフォルトVLANのブロードキャストパケットが送出されます。これが望ましくない場合は、switchport trunk native vlanコマンドを使って、port1.0.1のネイティブVLANをなし(none)に設定します。
awplus(config)# interface port1.0.1 ↓
awplus(config-if)# switchport trunk native vlan none ↓
ネイティブVLAN
ネイティブVLANとは、タグ付きポートで受信したタグなしパケットの所属先VLANのことです。初期状態ではvlan1に設定されているため、タグ付きポートで受信したタグなしパケットはvlan1の所属として扱われます。これを変更したい場合はswitchport trunk native vlanコマンドで別のVLAN IDを指定する必要があります。
VLANクラシファイア
VLANクラシファイアは、受信したタグなしパケットの所属先VLANをIPアドレスやプロトコルタイプに基づいて決めるための仕組みです。本製品のIPサブネットVLANとプロトコルVLANは、VLANクラシファイアを使って定義します。
VLANクラシファイアの基本的な設定手順は次のとおりです。
- 必要なVLANを定義します。これにはVLANモードのvlanコマンドを使います。
- VLANクラシファイアルールを作成し、IPサブネットVLAN、プロトコルVLANの分類条件を定義します。これには、vlan classifier ruleコマンドを使います。1ルール1条件で必要な数だけルールを定義します。
- VLANクラシファイアグループを作成し、VLANクラシファイアルールをリストにまとめあげます。これには、vlan classifier groupコマンドを使います。
- スイッチポートにVLANクラシファイアグループを関連付けます。これにより、同ポートで受信したタグなしパケットは、グループ内の各ルールと照合され、最初にマッチしたルールで指定されたVLANの所属として扱われるようになります。どのルールにもマッチしなかったパケットは、該当ポート本来のVLAN所属と見なされます。
以下、具体的な設定例を示します。
IPサブネットVLAN
IPサブネットVLANでは、受信したタグなしパケットの始点IPアドレスが特定のサブネットに属する場合、これをVLANメンバーと見なします。また、ARPパケットも、送信者IPアドレスが対象サブネットに属する場合、同じVLANのメンバーとして扱われます。
本製品のIPサブネットVLANは、「VLANクラシファイア」を利用して定義します。
次に例を示します。
- IPサブネットVLANとして使用するVLAN(vlan10とvlan20)のIDをvlanコマンドで定義します。
なお、ここでは各ポート本来の所属先はvlan1のままとしておきます。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 10,20 ↓
awplus(config-vlan)# exit ↓
- IPサブネットVLANを作成する場合は、vlan classifier ruleコマンドのipv4パラメーターでサブネットの範囲を、vlanパラメーターで所属先のVLAN IDを指定します。
たとえば次の例では、始点IPアドレスが「192.168.10.0/24」の範囲内ならvlan10、「192.168.20.0/24」の範囲内ならvlan20の所属とするVLANクラシファイアルール「1」と「2」を作成しています。
awplus(config)# vlan classifier rule 1 ipv4 192.168.10.0/24 vlan 10 ↓
awplus(config)# vlan classifier rule 2 ipv4 192.168.20.0/24 vlan 20 ↓
同一VLANクラシファイアグループにまとめるルールの間では所属先VLANが重複しないように設定してください。
- VLANクラシファイアルールで分類条件を定義したら、vlan classifier groupコマンドを使ってルールをリスト(VLANクラシファイアグループ)にまとめあげます。受信パケットのチェックは、リストに追加した順序で行われるため、追加順序には注意してください。
ここでは、手順1で作成したルール「1」、「2」を、ルール番号と同じ順序でVLANクラシファイアグループ「1」にまとめています。
awplus(config)# vlan classifier group 1 add rule 1 ↓
awplus(config)# vlan classifier group 1 add rule 2 ↓
- VLANクラシファイアグループの設定が完了したら、インターフェースモードのvlan classifier activateコマンドを使って、VLANクラシファイアグループをスイッチポートに適用します。
ここでは、スイッチポート1.0.1~1.0.12に対して、VLANクラシファイアグループ「1」を適用しています。
awplus(config)# interface port1.0.1-1.0.12 ↓
awplus(config-if)# vlan classifier activate 1 ↓
awplus(config-if)# exit ↓
設定は以上です。
これにより、ポート1.0.1~1.0.12で受信したIPパケットのうち、始点アドレスが192.168.10.0/24の範囲におさまるものはvlan10、192.168.20.0/24の範囲におさまるものはvlan20の所属として扱われるようになります。また、ARPパケットも同様に、送信者IPアドレス(Sender Protocol Address)が192.168.10.0/24の範囲におさまるものはvlan10、192.168.20.0/24の範囲におさまるものはvlan20所属として扱われます。
それ以外の受信パケットは、各ポート本来のタグなしVLAN所属と見なされます。
ポート本来のタグなしVLANとは、次のものを指します。
- タグなしポート(アクセスポート)の場合は、switchport access vlanコマンドで指定したVLANのことです。同コマンドを実行していない場合は、初期値のvlan1になります。
- タグ付きポート(トランクポート)の場合は、switchport trunk native vlanコマンドで指定したVLAN(ネイティブVLAN)のことです。同コマンドを実行していない場合は、初期値のvlan1となります。なお、同コマンドでネイティブVLANをなし(none)に設定している場合は、タグなしパケット自体を受信せずに破棄するため、VLANクラシファイアの処理も行われませんので注意してください。
ここでは、ポート1.0.1~1.0.12で受信したパケットのうち、IPサブネットVLANのvlan10、vlan20に割り振られなかったパケット(IPXパケットなど)はvlan1の所属として扱われます。
■ なお、前の例では、IPサブネット192.168.10.0/24と192.168.20.0/24は同一ポート上に混在していますが、それぞれのパケットが別のVLANに所属するため、互いに通信することはできません。サブネット間で通信を可能にするには、両方のVLANにIPアドレスを割り当て、VLAN間ルーティングを有効にする必要があります。
awplus(config)# interface vlan10 ↓
awplus(config-if)# ip address 192.168.10.1/24 ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan20 ↓
awplus(config-if)# ip address 192.168.20.1/24 ↓
awplus(config-if)# exit ↓
詳細は本解説編の「VLAN間ルーティング」をご覧ください。
プロトコルVLAN
プロトコルVLANでは、受信したタグなしパケットのL3プロトコルタイプフィールドに特定の値が格納されているパケットをVLANメンバーと見なします。
本製品のプロトコルVLANは、「VLANクラシファイア」を利用して定義します。
次に例を示します。
- vlanコマンドで必要なVLANを定義し、基本的なポートVLANの設定を行います。
ここでは、vlan10とvlan20は通常のポートVLAN、vlan100がプロトコルVLAN用のIDです。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 10,20,100 ↓
awplus(config-vlan)# exit ↓
awplus(config)# interface port1.0.1-1.0.4 ↓
awplus(config-if)# switchport access vlan 10 ↓
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.5-1.0.8 ↓
awplus(config-if)# switchport access vlan 20 ↓
awplus(config-if)# exit ↓
- プロトコルVLANを作成する場合は、vlan classifier ruleコマンドのprotoパラメーターでプロトコルを、encapパラメーターでEthernetのフレームフォーマット(エンキャプセレーション)を指定します。プロトコルは、定義済みのプロトコル名(vlan classifier ruleコマンドの表を参照)か10進表記のプロトコル番号で指定します。フレームフォーマットは、ethv2(Ethernetバージョン2)、nosnapllc(IEEE 802.2 LLC)、snapllc(IEEE 802.2 LLC + SNAP)から選択します。
たとえば次の例では、NetBEUIプロトコル(フレームフォーマットはLLC)のパケットをvlan100の所属とするVLANクラシファイアルール「1」を作成しています。
awplus(config)# vlan classifier rule 1 proto netbeui encap nosnapllc vlan 100 ↓
- VLANクラシファイアルールで分類条件を定義したら、vlan classifier groupコマンドを使ってルールをリスト(VLANクラシファイアグループ)にまとめあげます。受信パケットのチェックは、リストに追加した順序で行われるため、追加順序には注意してください。
ここでは、手順1で作成したルール「1」だけを、ルール番号と同じ順序でVLANクラシファイアグループ「1」にまとめています。
awplus(config)# vlan classifier group 1 add rule 1 ↓
- VLANクラシファイアグループの設定が完了したら、インターフェースモードのvlan classifier activateコマンドを使って、VLANクラシファイアグループをスイッチポートに適用します。
ここでは、スイッチポート1.0.1~1.0.8に対して、VLANクラシファイアグループ「1」を適用しています。
awplus(config)# interface port1.0.1-1.0.8 ↓
awplus(config-if)# vlan classifier activate 1 ↓
設定は以上です。
これにより、ポート1.0.1~1.0.8で受信したIPパケットのうち、フレームフォーマットがLLCで、上位プロトコルがNetBEUIのものはvlan100の所属として扱われるようになります。
それ以外の受信パケットは、各ポート本来のタグなしVLAN所属と見なされます。
ポート本来のタグなしVLANとは、次のものを指します。
- タグなしポート(アクセスポート)の場合は、switchport access vlanコマンドで指定したVLANのことです。同コマンドを実行していない場合は、初期値のvlan1になります。
- タグ付きポート(トランクポート)の場合は、switchport trunk native vlanコマンドで指定したVLAN(ネイティブVLAN)のことです。同コマンドを実行していない場合は、初期値のvlan1となります。なお、同コマンドでネイティブVLANをなし(none)に設定している場合は、タグなしパケット自体を受信せずに破棄するため、VLANクラシファイアの処理も行われませんので注意してください。
ここでは、ポート1.0.1~1.0.4で受信したNetBEUI以外のパケットはvlan10、ポート1.0.5~1.0.8で受信したNetBEUI以外のパケットはvlan20の所属として扱われます。
VLANクラシファイアの適用中にポートのVLANタグ設定を変更する
VLANクラシファイアを適用しているポートのVLANタグ設定(アクセスポート/トランクポート)を変更する場合は、次の手順で設定を変更してください。
タグなし(アクセスポート)からタグ付き(トランクポート)への設定変更
ここでは次のように設定されたポート1.0.2を例に説明します。
(VLANタグ設定とVLANクラシファイアの適用設定だけを示しています)
interface port1.0.2
switchport mode access
vlan classifier activate 1
スイッチポートのVLANタグ設定をタグなし(アクセスポート)からタグ付き(トランクポート)に変更する場合は、VLANクラシファイアの適用を解除してから、トランクポートに設定を変更してください。
awplus(config)# interface port1.0.2 ↓
awplus(config-if)# no vlan classifier activate 1 ↓
awplus(config-if)# switchport mode trunk ↓
awplus(config-if)# switchport trunk allowed vlan add 10,20 ↓
トランクポートへの設定変更後にもVLANクラシファイアを使用する場合は、トランクポートへの変更後に再度 VLANクラシファイアを適用してください。これにより該当トランクポートで受信したタグなしパケットに対して、VLANクラシファイアの処理が行われるようになります。
awplus(config-if)# vlan classifier activate 1 ↓
次のように誤ってVLANクラシファイアを解除しないまま、トランクポートに設定を変更してしまった場合は、いったんアクセスポートに設定を戻してから、前記の手順を再実行してください。
! VLANクラシファイアを解除しないままトランクポートに変更してしまった
awplus(config)# interface port1.0.2 ↓
awplus(config-if)# switchport mode trunk ↓
awplus(config-if)# switchport trunk allowed vlan add 10,20 ↓
! いったんアクセスポートに戻して再設定
awplus(config-if)# switchport mode access ↓
awplus(config-if)# no vlan classifier activate 1 ↓
awplus(config-if)# switchport mode trunk ↓
awplus(config-if)# switchport trunk allowed vlan add 10,20 ↓
タグ付き(トランクポート)からタグなし(アクセスポート)への設定変更
ここでは次のように設定されたポート1.0.2を例に説明します。
(VLANタグ設定とVLANクラシファイアの適用設定だけを示しています)
interface port1.0.2
switchport mode trunk
switchport trunk allowed vlan add 10,20
vlan classifier activate 1
スイッチポートのVLANタグ設定をタグ付き(トランクポート)からタグなし(アクセスポート)に変更する場合は、アクセスポートに設定を変更してから、VLANクラシファイアの適用を解除してください。
awplus(config)# interface port1.0.2 ↓
awplus(config-if)# switchport mode access ↓
awplus(config-if)# no vlan classifier activate 1 ↓
アクセスポートへの設定変更後にもVLANクラシファイアを使用する場合は、VLANクラシファイアの適用を解除した後で、再度 VLANクラシファイアを適用してください。これにより該当アクセスポートで受信したタグなしパケットに対して、VLANクラシファイアの処理が行われるようになります。
awplus(config-if)# vlan classifier activate 1 ↓
マルチプルVLAN(プライベートVLAN)
マルチプルVLAN(プライベートVLAN。以下、プライベートVLANで表記)は、プロミスキャスポート(アップリンクポート)とホストポート(プライベートポート)という2種類のポートで構成される特殊なVLANです。
ホストポートとプロミスキャスポートは相互に通信可能ですが、ホストポート間では原則としていっさい通信ができません。この性質を利用すれば、各部屋にインターネットアクセスを提供しつつ、部屋同士の通信は遮断するような構成を組むことができます。
なお、本製品のプライベートVLANでは、ホストポートを「コミュニティーVLAN」でグループ分けすることにより、同一コミュニティーVLAN所属のホストポート間で通信を可能にすることもできます。
DHCP SnoopingとマルチプルVLAN(プライベートVLAN)を併用する場合は、以下に注意してください。
- ARPセキュリティーとの併用はできません。
- DHCP SnoopingのTrustedポートは必ずプロミスキャスポート(アップリンクポート)に設定する必要があります。
- すべてのマルチプルVLAN(プライベートVLAN)でDHCP Snoopingを有効にする必要があります。
基本ルール
次にプライベートVLANの基本ルールをまとめます。
- プライベートVLANは、プライマリーVLAN(アップリンク用VLAN)1つとセカンダリーVLAN(端末接続用VLAN)1つ以上で構成される。
- プライマリーVLANはプロミスキャスポート(共用のアップリンクポート)を収容するVLAN。プライマリーVLANには複数のプロミスキャスポートを所属させられる。
プロミスキャスポートとして使用できるのは単一スイッチポートかスタティックチャンネルグループ(手動設定のトランクグループ)のみ。LACPチャンネルグループ(自動設定のトランクグループ)はプロミスキャスポートとして使用できない。
- セカンダリーVLANはホストポート(端末接続用のプライベートポート)を収容するVLAN。セカンダリーVLANには次の2種類があり、それぞれ複数のホストポートを所属させられる。
- アイソレートVLAN(Isolated VLAN):アイソレートVLAN内のホストポートはプライマリーVLANのプロミスキャスポートとだけ通信できる。アイソレートVLAN内のホストポート同士は通信できず、また、コミュニティーVLAN内のホストポートとも通信できない。なお、アイソレートVLANは1つのプロミスキャスポートとしか関連付けられない(アイソレートVLAN内のポートは1つのプロミスキャスポートとしか通信できない)。
- コミュニティーVLAN(Community VLAN):コミュニティーVLAN内のホストポートはプライマリーVLANのプロミスキャスポートだけでなく、同一コミュニティーVLAN内のホストポートとも通信できる。他のコミュニティーVLANに所属するホストポートや、アイソレートVLAN内のホストポートとは通信できない。コミュニティーVLANは複数のプロミスキャスポートと関連付けられる(コミュニティーVLAN内のポートは複数のプロミスキャスポートと通信できる)。
- 1つのプライマリーVLANに対しては、複数のセカンダリーVLANを関連付けることができる。ただし、その性質上、1つのプライマリーVLANに関連付けられるアイソレートVLANは1つだけとなる。一方、コミュニティーVLANは1つのプライマリーVLANに対して複数関連付けが可能。
- 1つのプライマリーVLANにおいて、プロミスキャスポートは複数設定できるが、アイソレートVLANは1つのプロミスキャスポートとしか関連付けられない。これは、アイソレートVLAN内のポートが1つのプロミスキャスポートとしか通信できないことを意味する。一方、コミュニティーVLANは複数のプロミスキャスポートと関連付けられる。
- セカンダリーVLANは1つのプライマリーVLANとだけ関連付けられる。セカンダリーVLANを複数のプライマリーVLANと関連付けることはできない。
- プライベートVLANの所属ポート(プロミスキャスポートとホストポート)はタグなし(アクセスポート)に設定しておく必要がある。プライベートVLANの所属ポートをタグ付き(トランクポート)に設定することはできない。
プライベートVLANの所属ポートをタグ付き(トランクポート)にする場合は、後述のエンハンストプライベートVLANを使用してください。
Ping、Telnet、SNMPなどによる本体の機器監視を行う場合は、次のいずれかの方法を使用してください。
- プライマリーVLANにIPアドレスを設定する。
これによりプロミスキャスポート側の端末から本体宛ての通信が可能となります。
- 監視用のポートVLANを別途作成してIPアドレスを設定する。
別途作成したVLAN経由で本体宛ての通信が可能です。
設定例
次にプライベートVLANの設定例を示します。
ここでは、ポート1.0.1をプロミスキャスポートとし、ポート1.0.2~1.0.24をホストポートとするプライベートVLANを作成します。これは、インターネットマンションなどでの一般的な使用例です。この構成では、本製品をレイヤー2スイッチとして使用することになります。
- プライマリーVLAN:vlan2
- セカンダリーVLAN
- アイソレートVLAN:vlan21
- ホストポート:port1.0.2~port1.0.16
- コミュニティーVLAN:vlan22
- ホストポート:port1.0.17~port1.0.24
- 最初にプライベートVLANで使用するVLANを定義します。ここでは、プライマリーVLANとしてvlan2を、セカンダリーVLANとしてvlan21(アイソレートVLAN)とvlan22(コミュニティーVLAN)を使います。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 2,21-22 ↓
- 定義したVLANのプライベートVLANにおける役割を設定します。
awplus(config-vlan)# private-vlan 2 primary ↓
awplus(config-vlan)# private-vlan 21 isolated ↓
awplus(config-vlan)# private-vlan 22 community ↓
- プライマリーVLAN(vlan2)にセカンダリーVLAN(vlan21、vlan22)を関連付けます。
awplus(config-vlan)# private-vlan 2 association add 21-22 ↓
awplus(config-vlan)# exit ↓
- アイソレートVLAN(vlan21)にホストポートを割り当てます。
switchport mode private-vlanコマンドで対象ポートをホストポートに設定し、switchport private-vlan host-associationコマンドでプライマリーVLAN(vlan2)と所属先のセカンダリーVLAN(vlan21)を指定します。
awplus(config)# interface port1.0.2-port1.0.16 ↓
awplus(config-if)# switchport mode private-vlan host ↓
awplus(config-if)# switchport private-vlan host-association 2 add 21 ↓
awplus(config-if)# exit ↓
- 同様にして、コミュニティーVLAN(vlan22)にホストポートを割り当てます。
awplus(config)# interface port1.0.17-port1.0.24 ↓
awplus(config-if)# switchport mode private-vlan host ↓
awplus(config-if)# switchport private-vlan host-association 2 add 22 ↓
awplus(config-if)# exit ↓
- 最後にプロミスキャスポートの設定をします。
switchport mode private-vlanコマンドで対象ポートをプロミスキャスポートに設定し、switchport private-vlan mappingコマンドで所属先プライマリーVLAN(vlan2)を指定するとともに、このプロミスキャスポートを利用できるセカンダリーVLAN(ここではvlan21とvlan22)を指定します。
awplus(config)# interface port1.0.1 ↓
awplus(config-if)# switchport mode private-vlan promiscuous ↓
awplus(config-if)# switchport private-vlan mapping 2 add 21-22 ↓
手動設定のトランクグループ(スタティックチャンネルグループ)をプロミスキャスポートに設定した場合、再起動トリガー(type reboot)を設定し、再起動後にプロミスキャスポートの設定が再入力されるようにしてください。
設定は以上です。
これにより、アイソレートVLAN所属のポート1.0.2~1.0.16に接続されたホストは、プロミスキャスポート(ポート1.0.1)に接続されたルーターとしかレイヤー2の通信ができなくなります。また、コミュニティーVLAN所属のポート1.0.17~1.0.24に接続されたホストは互いに通信でき、プロミスキャスポート(ポート1.0.1)に接続されたルーターとも通信できますが、アイソレートVLAN所属のポート1.0.2~1.0.16に接続されたホストとは通信できなくなります。
■ プロミスキャスポートを複数設定することもできます。
たとえば、上記設定例に対して、ポート1.0.25をプロミスキャスポートとして追加することを考えます。
プライベートVLANには、「1つのプライマリーVLANにおいて、プロミスキャスポートは複数設定できるが、アイソレートVLANは1つのプロミスキャスポートとしか関連付けられない」というルールがあります。
上記設定例では、すでにアイソレートVLAN(vlan21)はプロミスキャスポート(ポート1.0.1)と関連付けられているので、これ以上プロミスキャスポートを関連付けることはできません。
一方、コミュニティーVLAN(vlan22)には、関連付けられるプロミスキャスポートの数に制限がないため、プロミスキャスポート(ポート1.0.25)を追加で関連付けることができます。以下、追加設定を示します。
awplus(config)# interface port1.0.25 ↓
awplus(config-if)# switchport mode private-vlan promiscuous ↓
awplus(config-if)# switchport private-vlan mapping 2 add 22 ↓
ここで「switchport private-vlan mapping 2 add 21-22」のようにすると、「Only one promiscuous port may be associated with an isolated vlan」というエラーになります。これはアイソレートVLANであるvlan21がすでにプロミスキャスポート(ポート1.0.1)と関連付けられているためです。
アイソレートVLAN所属のポート1.0.2~1.0.16に接続されたホストは、これまでどおりプロミスキャスポート(ポート1.0.1)に接続されたルーターとしかレイヤー2の通信ができません。一方、コミュニティーVLAN所属のポート1.0.17~1.0.24に接続されたホストは互いに通信でき、プロミスキャスポート(ポート1.0.1と1.0.25)に接続されたルーターとも通信できますが、アイソレートVLAN所属のポート1.0.2~1.0.16に接続されたホストとは通信できません。
エンハンストプライベートVLAN
エンハンストプライベートVLANは、プライベートVLANの所属ポートをタグ付き(トランクポート)として使用できる、特殊なプライベートVLANです。
エンハンストプライベートVLANは、プロミスキャスポート(アップリンク用ポート)1つとセカンダリーポート(端末接続用ポート)1つ以上が所属するプライベートVLANグループとして構成されます。
エンハンストプライベートVLANのセカンダリーポートは、アイソレートVLAN(Isolated VLAN)としてのみ使用可能です。
設定例
■ トランクポートをプライベートVLANに設定する手順を示します。
- VLAN10、VLAN20、VLAN30を作成します。
awplus# configure terminal ↓
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 10,20,30 ↓
- VLAN10、VLAN20、VLAN30をプライベートVLANに指定します。
awplus(config-vlan)# private-vlan 10 isolated ↓
awplus(config-vlan)# private-vlan 20 isolated ↓
awplus(config-vlan)# private-vlan 30 isolated ↓
- ポート1.0.1をVLAN10、VLAN20、VLAN30のトランクポートに設定します。
awplus(config-vlan)# interface port1.0.1 ↓
awplus(config-if)# switchport mode trunk ↓
awplus(config-if)# switchport trunk allowed vlan add 10,20,30 ↓
- ポート1.0.2をVLAN10、VLAN20のトランクポートに設定します。
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.2 ↓
awplus(config-if)# switchport mode trunk ↓
awplus(config-if)# switchport trunk allowed vlan add 10,20 ↓
- ポート1.0.3をVLAN10、VLAN20、VLAN30のトランクポートに設定します。
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.3 ↓
awplus(config-if)# switchport mode trunk ↓
awplus(config-if)# switchport trunk allowed vlan add 10,20,30 ↓
- ポート1.0.1をプロミスキャスポートとしてプライベートVLANグループ1に所属させます。
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.1 ↓
awplus(config-if)# switchport mode private-vlan trunk promiscuous group 1 ↓
- ポート1.0.2をセカンダリーポートとしてプライベートVLANグループ1に所属させます。
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.2 ↓
awplus(config-if)# switchport mode private-vlan trunk secondary group 1 ↓
- ポート1.0.3をセカンダリーポートとしてプライベートVLANグループ1に所属させます。
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.3 ↓
awplus(config-if)# switchport mode private-vlan trunk secondary group 1 ↓
設定は以上です。
■ タグなしポート(アクセスポート)と同様に動作させて使いたい場合、ネイティブVLANのみ設定します。その後、セカンダリーポートとしてプライベートVLANグループ1に所属させます。
awplus(config)# interface port1.0.4 ↓
awplus(config-if)# switchport mode trunk ↓
awplus(config-if)# switchport trunk native vlan 10 ↓
awplus(config-if)# switchport mode private-vlan trunk secondary group 1 ↓
エンハンストプライベートVLAN を使用した場合、プロミスキャスポート(アップリンク用ポート)1つとセカンダリーポート(端末接続用ポート)ともタグ付き(トランクポート)のみ使用可能です。
セカンダリーポート(端末接続用ポート)をタグなしポート(アクセスポート)として使用したい場合は、トランクポートの設定を行い、タグ付けを行わずネイティブVLAN の設定を行うことでタグなしポート(アクセスポート)と同様に動作させることが可能です。
VLAN間ルーティング
各VLANは独立したブロードキャストドメインになるため、互いに通信することはできません。しかし、各VLANにレイヤー3アドレス(IPアドレス)を割り当てれば、ネットワーク層レベルでパケットが転送され、VLAN間通信が可能になります。ここではIPを例に、VLAN間ルーティングの基本設定について説明します。
- VLANを作成します。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 10,20,30 ↓
awplus(config-vlan)# exit ↓
- VLANにポートを割り当てます。
awplus(config)# interface port1.0.1-port1.0.8 ↓
awplus(config-if)# switchport mode access ↓
awplus(config-if)# switchport access vlan 10 ↓
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.9-port1.0.16 ↓
awplus(config-if)# switchport mode access ↓
awplus(config-if)# switchport access vlan 20 ↓
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.17-port1.0.24 ↓
awplus(config-if)# switchport mode access ↓
awplus(config-if)# switchport access vlan 30 ↓
awplus(config-if)# exit ↓
- 各VLAN(VLANインターフェース)にIPアドレスを割り当てます。IPアドレスの設定はip addressコマンドで行います。
awplus(config)# interface vlan10 ↓
awplus(config-if)# ip address 192.168.10.1/24 ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan20 ↓
awplus(config-if)# ip address 192.168.20.1/24 ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan30 ↓
awplus(config-if)# ip address 192.168.30.1/24 ↓
awplus(config-if)# exit ↓
設定は以上です。
これにより、VLAN間でIPパケットが転送されるようになります。VLAN間ルーティングは、同じプロトコルのレイヤー3アドレスを2つ設定した時点で自動的に有効になります。
次の図は、この状態を概念的に示したものです。VLAN分けにより分割された仮想的なスイッチ3台の上位に、仮想的なルーターを設置したものと考えることができます。実際にはこれらのスイッチやルーターの機能は、1台の筐体内で実現されています。
■ 各VLANに割り当てられたIPアドレスは、show ip interfaceコマンドで確認できます。
awplus# show ip interface ↓
■ いずれかのVLAN上に別のルーターが存在する場合は、経路制御の設定が必要です。経路情報を静的に設定するにはip routeコマンドを使います。
awplus(config)# ip route 0.0.0.0/0 192.168.10.254 ↓
より詳しくは以下の各解説編をご覧ください。
ボイスVLAN
ボイスVLANは、IP電話などを接続する音声データ用のVLANを簡単に設定するための機能です。この機能はLLDP-MED(LLDPの拡張機能)との併用を想定しているため、詳細は「運用・管理」の「LLDP」をご覧ください。
(C) 2015 - 2018 アライドテレシスホールディングス株式会社
PN: 613-002106 Rev.N