[index] CentreCOM 8700SLシリーズコマンドリファレンス 2.9

スイッチング/バーチャルLAN

  - デフォルトVLAN
  - ポートVLAN
  - タグVLAN
   - VLANタグ対応サーバーの共用
   - VLANタグを利用したスイッチ間接続
  - VLAN間ルーティング
  - Protected VLAN
  - マルチプルVLAN（Private VLAN）
   - 基本ルール
   - 設定例

バーチャルLAN（VLAN）は、スイッチの設定によって論理的にブロードキャストドメインを分割する機能です。レイヤー2スイッチは、宛先MACアドレスとフォワーディングデータベースを用いて不要なトラフィックをフィルタリングする機能を持ちますが、未学習の宛先MACアドレスを持つユニキャストフレームと、マルチキャスト/ブロードキャストフレームは全ポートに出力します。VLANを作成して、頻繁に通信を行うホスト同士をグループ化することにより、不要なトラフィックの影響を受ける範囲を限定し、帯域をより有効に活用できるようになります。

本製品はご購入時の状態でレイヤー2スイッチとして機能するよう設定されています。単なるスイッチとして使用するだけであれば、特別な設定を行うことなく、設置・配線を行うだけで使用できます。

デフォルトVLAN

ご購入時の状態ではすべてのポートがVLAN default（VID=1）に所属しており、すべてのポートが相互に通信可能になっています。

Note - GBICスロットは、GBICモジュールが装着されていない場合でも、システムからはポートとして認識されます。

ポートVLAN

ポートVLANは、ポート単位でVLANの範囲を設定するもっとも基本的なVLANです。ポート1～4はVLAN red、ポート5～8はVLAN white、といったように設定します。

新規にVLANを作成するにはCREATE VLANコマンドを使います。VLAN作成時には、VLAN名とVLAN ID（VID）を割り当てる必要があります。VLAN名は任意の文字列（ただし、数字だけの文字列と「default」、「ALL」は使用できません）、VIDは2～4094の範囲の任意の数値です（1はVLAN defaultのために予約済みです）。3つのVLAN、A（VID=10）、B（VID=20）、C（VID=30）を作成するには次のようにします。
これ以降、VLAN名を指定するときはVLAN名、VIDのどちらを使ってもかまいません。ここではおもにVLAN名を使います。
VLANを作成したら、ADD VLAN PORTコマンドでVLANにポートを割り当てます。ここでは、VLAN Aにポート1～8を、VLAN Bにポート9～16を、VLAN Cにポート17～24を割り当てます。
このようにしてポートをDefault以外のVLANに割り当てると、そのポートは自動的にVLAN defaultから削除されます。すなわち、上記の設定を終えるとVLAN defaultの所属ポートは、ポート25と26だけになります（この例では使用しません）。

これで、物理的には1台のスイッチでありながら、ネットワーク的には3台のスイッチに分割されたような状態となります。VLAN A、B、Cは完全に独立しており、互いに通信することはできません。

■ VLANの情報を確認するには、SHOW VLANコマンドを使います。

■ VLANからポートを削除するには、DELETE VLAN PORTコマンドを使います。たとえば、ポート7と8をVLAN Aから削除するには、次のようにします。Default以外のVLANから削除されたポートは、自動的にVLAN defaultの所属に戻ります。

DELETE VLAN=A PORT=7-8 ↓

■ VLANを削除するには、DESTROY VLANコマンドを使います。VLANの削除は、所属ポートをすべて削除してからでないと行えません。VLAN Cを削除するには、次のようにします。


DELETE VLAN=C PORT=ALL ↓

DESTROY VLAN=C ↓

Note - VLAN defaultは削除できません。

タグVLAN

タグVLANを使用すると、1つのポートを複数のVLANに所属させることができます。これは、イーサネットフレームにVLAN IDの情報を挿入し、各フレームが所属するVLANを識別できるようにすることによって実現されます（802.1Q VLANタギング）。タグVLANは、複数のVLANを複数の筐体にまたがって作成したい場合や、802.1Q対応サーバーを複数VLANから共用したい場合などに利用します。

各ポートのVLAN設定には次のルールが適用されます。

ポートは、0～1つのVLANにタグなしポート（Untagged Port）として所属できる
ポートは、0～複数のVLANにタグ付きポート（Tagged Port）として所属できる
ミラーポート以外のポート（通常のポート）は、必ず1つ以上のVLANに所属していなくてはならない

Note - VLANタグを使用する場合、接続先機器もVLANタグ（802.1Q）に対応している必要があります。

Note - 802.1X認証のAuthenticatorポートとMACベース認証ポートをタグ付きに設定することはできません。

VLANタグ対応サーバーの共用

VLANタグを利用して、ポート4を2つのVLANに所属させ、どちらのVLANからも802.1Q対応サーバーにアクセスできるようにします。

ここでは次のようなネットワーク構成を例に説明します。

VLAN A、Bを作成します。
VLAN Aにポートを追加します。ポート1～3はタグを使わない通常のポートに設定し、ポート4はタグを使用するポートとして設定します。VLANにタグ付きポートを追加するときは、ADD VLAN PORTコマンドのFRAMEパラメーターにTAGGEDを指定します。FRAMEパラメーターを付けなかったときはタグなし（UNTAGGED）となります。
VLAN Bにポートを追加します。ポート5～8はタグを使わない通常のポートに設定し、ポート4はタグを使用するポートとして設定します。

以上で設定は完了です。

これにより、ポート1～8から送受信されるフレームは次のようになります。

表 1

ポート1～3 送信ポート1～3から送信するフレームはVLAN A宛てのタグなしフレーム

受信ポート1～3で受信したタグなしフレームはVLAN A（VID=10）所属とみなされる

ポート4 送信ポート4から送信するフレームは、VLAN A宛てならVID=10のタグ付きで、VLAN B宛てならVID=20のタグ付きで送信される

受信ポート4ではVLAN A、B両方のトラフィックを受信する。受信するフレームはタグ付き。タグのVIDにより、所属VLANを判断する

ポート5～8 送信ポート5～8から送信するフレームはVLAN B宛てのタグなしフレーム

受信ポート5～8で受信したタグなしフレームはVLAN B（VID=20）所属とみなされる

■ 上記の設定では、ポート4はVLAN defaultにも（タグなしポートとして）所属したままになっています。他にもVLAN default所属のポートがあってトラフィックが流れている場合、ポート4にもVLAN defaultのブロードキャストパケットが送出されます。これが望ましくない場合は、DELETE VLAN PORTコマンドを使って、ポート4をVLAN defaultから削除します。

DELETE VLAN=default PORT=4 ↓

VLANタグを利用したスイッチ間接続

VLANタグを利用して、2台のスイッチにまたがるVLANを作成します。ここでは次のようなネットワーク構成を例に説明します。ポート25をタグ付きに設定し、VLAN A、B両方のトラフィックがスイッチ間で流れるようにします。

スイッチの設定（A、B共通）

VLAN A、Bを作成します。
VLAN Aにポートを追加します。ポート1～12はタグを使わない通常のポートに設定し、ポート25はタグを使用するポートとして設定します。VLANにタグ付きポートを追加するときは、ADD VLAN PORTコマンドのFRAMEパラメーターにTAGGEDを指定します。FRAMEパラメーターを付けなかったときはタグなし（UNTAGGED）となります。
VLAN Bにポートを追加します。ポート13～24はタグを使わない通常のポートに設定し、ポート25はタグを使用するポートとして設定します。

設定は以上です。

■ 複数のスイッチにまたがるVLANを作成する場合は、各筐体で同じVLAN IDを設定するようにしてください。一方、VLAN名は個々の筐体内でしか意味を持たないので、スイッチごとに異なっていてもかまいません（ただし、混乱を防ぐ意味では同じ名前を付けた方がよいでしょう）。

■ 上記の設定では、ポート25はVLAN defaultにも（タグなしポートとして）所属したままになっています。他にもVLAN default所属のポートがあってトラフィックが流れている場合、ポート25にもVLAN defaultのブロードキャストパケットが送出されます。これが望ましくない場合は、DELETE VLAN PORTコマンドを使って、ポート25をVLAN defaultから削除します。

DELETE VLAN=default PORT=25 ↓

VLAN間ルーティング

各VLANは独立したブロードキャストドメインになるため、互いに通信することはできません。しかし、各VLANにレイヤー3プロトコル（IP）のアドレスを割り当て、ルーティング機能を有効にすれば、ネットワーク層レベルでパケットがルーティングされ、VLAN間通信が可能になります。ここではIPを例に、VLAN間ルーティングの基本設定について説明します。

VLANを作成します。
VLANにポートを割り当てます。
IPを使用するため、IPルーティングモジュールを有効にします。
各VLAN（VLANインターフェース）にIPアドレスを割り当てます。IPアドレスの設定はADD IP INTERFACEコマンドで行います。

設定は以上です。

これにより、VLAN間でIPがルーティングされるようになります。VLAN間ルーティングは、同じプロトコルのレイヤー3インターフェースを2つ作成した時点で自動的に有効になります。

次の図は、この状態を概念的に示したものです。VLAN分けにより分割された仮想的なスイッチ3台の上位に、仮想的なルーターを設置したものと考えることができます。実際にはこれらのスイッチやルーターの機能は、一台の筐体内で実現されています。

■ VLANインターフェースの指定には次に示す2とおりの方法があります。レイヤー3（IPなど）のコマンドでVLANを指定するときは、どちらの方法を使ってもかまいません。詳細については、コマンドリファレンスの各コマンドの説明をご覧ください。

VLAN名による指定
VLAN名が「myname」なら、vlan-mynameのように「vlan-」+VLAN名と指定します。次に例を示します。
VLAN ID（VID）による指定
VIDが10ならば、vlan10のように「vlan」+VIDのように指定します。VLAN名のときとは異なり、ハイフンが入らないことに注意してください。

■ 各VLANに割り当てられたIPアドレスは、SHOW IP INTERFACEコマンドで確認できます。

■ デフォルトルートを設定するには、ADD IP ROUTEコマンドを使います。

ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=vlan-A NEXTHOP=192.168.10.254 ↓

■ 詳細は「IP」の章をご覧ください。

Protected VLAN

CREATE VLANコマンドにPROTECTEDオプションを付けると、作成したVLAN内ではポート間のレイヤー2通信ができなくなります（レイヤー3通信は可能です）。

Note - Protected VLANとマルチプルVLAN（Private VLAN）は併用できません。なお、Protected VLANはレイヤー3スイッチとしての機能、Private VLANはレイヤー2スイッチとしての機能です。

次に設定例を示します。

2つのVLAN、wan（VID=2）とlan（VID=10）を作成します。VLAN lanはPROTECTEDオプション付きで作成し、Protected VLANとします。
各VLANにポートを割り当てます。
Note - Protected VLANの所属ポートは、すべてタグなし（Untagged）に設定してください。

Note - Protected VLAN内では、IGMP Snoopingを使用できません。
IPを有効にします。
各VLANにIPアドレスを割り当てます。

設定は以上です。

マルチプルVLAN（Private VLAN）

マルチプルVLAN（Private VLAN。以下、Private VLANで表記）は、アップリンクポートとプライベートポートという2種類のポートで構成される特殊なVLANです。

プライベートポートとアップリンクポートは相互に通信可能ですが、プライベートポート間では原則として一切通信ができません。この性質を利用すれば、各部屋にインターネットアクセスを提供しつつ、部屋同士の通信は遮断するような構成を組むことができます。

なお、本製品のPrivate VLANでは、プライベートポートをグループ分けすることにより、同一グループ所属のプライベートポート間で通信を可能にすることもできます。

Note - 8748SLでは、ポートグループ「1～24、50」と「25～48、49」をまたぐプライベートポートグループは作成できません。

Note - Protected VLANとマルチプルVLAN（Private VLAN）は併用できません。なお、Protected VLANはレイヤー3スイッチとしての機能、Private VLANはレイヤー2スイッチとしての機能です。

基本ルール

次にPrivate VLANの基本ルールをまとめます。

■ Private VLANには次のルールが適用されます。

Private VLANは、アップリンクポートとプライベートポートで構成される。
Private VLANには、アップリンクポート（トランクグループでもよい）が1つ以上必要。
Private VLANには、プライベートポートを複数割り当てられる。
Private VLANには、プライベートポートでもアップリンクポートでもないポートは所属できない。
VLAN defaultは、Private VLANになれない。
同一Private VLANのプライベートポート同士は原則として通信できない。ただし、同一グループに設定されたプライベートポート間では通信可能。
ルーティングの設定が行われている場合、プライベートポートと別VLANのポートとの間の通信は可能。

■ アップリンクポートには次のルールが適用されます。

アップリンクポートは、複数設定することが可能。
トランクグループをアップリンクポートとして指定してもよい。
アップリンクポートは、複数のPrivate VLANに所属できる。
アップリンクポートは、Private VLANでない通常のVLANには所属できない。
アップリンクポートは、ポートVLAN、タグVLANとの併用が可能。

■ プライベートポートには次のルールが適用されます。

プライベートポートは、Private VLANでない通常のVLANには所属できない。
プライベートポートは、他のPrivate VLANのアップリンクポートになることはできない。
プライベートポートは、ポートVLAN、タグVLANとの併用が可能。
トランクポートをプライベートポートとして指定してもよい。

設定例

次にPrivate VLANの設定例を示します。

ここでは、ポート25をアップリンクポートとし、ポート1～24をプライベートポートとするPrivate VLAN「pv」を作成します。プライベートポートの中でも、ポート17～24は1つのグループとして互いに通信できるようにします。この構成では、本製品をレイヤー2スイッチとして使用することになります。

Private VLAN「pv」を作成します。Private VLANを作成するには、CREATE VLANコマンドにPRIVATEオプションを付けます。
Note - VLAN defaultをPrivate VLANにすることはできません。
アップリンクポートを割り当てます。アップリンクポートを追加するには、ADD VLAN PORTコマンドにUPLINKオプションを付けて実行します。
Note - アップリンクポートとして追加するポートは、VLAN default以外の非Private VLANに所属していてはなりません。そのような場合は、最初に同ポートを非Private VLANから削除した上で、ADD VLAN PORTコマンドを実行してください。
プライベートポートを割り当てます。最初に、ポート1～16を各々独立したプライベートポートとして追加します。これには、ADD VLAN PORTコマンドをオプションなしで実行します。
Note - アップリンクポートを割り当てていないと、プライベートポートの追加はできません。Private VLANの設定をするときは、必ず最初にアップリンクポートを割り当ててください。
次にポート17～24を同一グループ所属のプライベートポートとして追加します。この場合は、ADD VLAN PORTコマンドをGROUPオプション付きで実行します。
Note - 8748SLでは、ポートグループ「1～24、50」と「25～48、49」をまたぐプライベートポートグループは作成できません。

設定は以上です。

PN: J613-M0019-01 Rev.Q

ポート1～3	送信	ポート1～3から送信するフレームはVLAN A宛てのタグなしフレーム
ポート1～3	受信	ポート1～3で受信したタグなしフレームはVLAN A（VID=10）所属とみなされる
ポート4	送信	ポート4から送信するフレームは、VLAN A宛てならVID=10のタグ付きで、VLAN B宛てならVID=20のタグ付きで送信される
ポート4	受信	ポート4ではVLAN A、B両方のトラフィックを受信する。受信するフレームはタグ付き。タグのVIDにより、所属VLANを判断する
ポート5～8	送信	ポート5～8から送信するフレームはVLAN B宛てのタグなしフレーム
ポート5～8	受信	ポート5～8で受信したタグなしフレームはVLAN B（VID=20）所属とみなされる