[index]
CentreCOM 9424T コマンドリファレンス 2.11
バーチャルLAN/概要・基本設定
- デフォルトVLAN
- ポートVLAN
- タグVLAN
- VLANタグ対応サーバーの共用
- VLANタグを利用したスイッチ間接続
- マルチプルVLAN(Protected Ports VLAN)
- MACアドレスVLAN
バーチャルLAN(VLAN)は、スイッチの設定によって論理的にブロードキャストドメインを分割する機能です。レイヤー2スイッチは、宛先MACアドレスとフォワーディングデータベースを用いて不要なトラフィックをフィルタリングする機能を持ちますが、未学習の宛先MACアドレスを持つユニキャストフレームと、マルチキャスト/ブロードキャストフレームは全ポートに出力します。VLANを作成して、頻繁に通信を行うホスト同士をグループ化することにより、不要なトラフィックの影響を受ける範囲を限定し、帯域をより有効に活用できるようになります。
ご購入時の状態ではすべてのポートがDefault_VLAN(VID=1)に所属しており、すべてのポートが相互に通信可能になっています。
ポートVLANは、ポート単位でVLANの範囲を設定するもっとも基本的なVLANです。ポート1〜8はVLAN A、ポート9〜16はVLAN B、ポート17〜24はVLAN Cといったように設定します。
- 新規にVLANを作成するにはCREATE VLANコマンドを使います。VLAN作成時には、VLAN名とVLAN ID(VID)を割り当てる必要があります。VLAN名は任意の文字列(ただし、数字だけの文字列と「Default_VLAN」、「ALL」は使用できません)、VIDは2〜4094の範囲の任意の数値です(1はDefault_VLANのために予約済みです)。3つのVLAN、A(VID=10)、B(VID=20)、C(VID=30)を作成するには次のようにします。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
これ以降、VLAN名を指定するときはVLAN名、VIDのどちらを使ってもかまいません。ここではおもにVLAN名を使います。
- VLANを作成したら、ADD VLANコマンド(CREATE VLANコマンドで、ポートを指定することも可)でVLANにポートを割り当てます。ここでは、VLAN Aにポート1〜8を、VLAN Bにポート9〜16を、VLAN Cにポート17〜24を割り当てます。
ADD VLAN=A PORT=1-8 ↓
ADD VLAN=B PORT=9-16 ↓
ADD VLAN=C PORT=17-24 ↓
このようにしてポートをDefault_VLAN以外のVLANに割り当てると、そのポートは自動的にDefault_VLANから削除されます。すなわち、上記の設定を終えるとDefault_VLANには所属ポートが1つもない状態になります。
これで、物理的には1台のスイッチでありながら、ネットワーク的には3台のスイッチに分割されたような状態となります。VLAN A、B、Cは完全に独立しており、互いに通信することはできません。
■ VLANの情報を確認するには、SHOW VLANコマンドを使います。
■ VLANからポートを削除するには、DELETE VLANコマンドを使います。たとえば、ポート7と8をVLAN Aから削除するには、次のようにします。Default_VLAN以外のVLANから削除されたポートは、自動的にDefault_VLANの所属に戻ります。
■ VLANを削除するには、DESTROY VLANコマンドを使います。VLAN Cを削除するには、次のようにします。
Note
- Default_VLANは削除できません。
タグVLANを使用すると、1つのポートを複数のVLANに所属させることができます。これは、イーサネットフレームにVLAN IDの情報を挿入し、各フレームが所属するVLANを識別できるようにすることによって実現されます(802.1Q VLANタギング)。タグVLANは、複数のVLANを複数の筐体にまたがって作成したい場合や、802.1Q対応サーバーを複数VLANから共用したい場合などに利用します。
各ポートのVLAN設定には次のルールが適用されます。
- ポートは、0〜1つのVLANにタグなしポート(Untagged Port)として所属できる
- ポートは、0〜複数のVLANにタグ付きポート(Tagged Port)として所属できる
Note
- VLANタグを使用する場合、接続先機器もVLANタグ(802.1Q)に対応している必要があります。
VLANタグを利用して、ポート4を2つのVLANに所属させ、どちらのVLANからも802.1Q対応サーバーにアクセスできるようにします。
Note
- VLANタグを使用する場合、接続先機器もVLANタグ(802.1Q)に対応している必要があります。
ここでは次のようなネットワーク構成を例に説明します。
- VLAN A、Bを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
- VLAN Aにポートを追加します。ポート1〜3はタグを使わない通常のポートに設定し、ポート4はタグを使用するポートとして設定します。VLANにタグ付きポートを追加するときは、ADD VLANコマンドのFRAMEパラメーターにTAGGEDを指定します(CREATE VLANコマンドのTAGGEDPORTパラメーターでも指定できます)。FRAMEパラメーターを付けなかったときはタグなし(UNTAGGED)となります。
ADD VLAN=A PORT=1-3 ↓
ADD VLAN=A PORT=4 FRAME=TAGGED ↓
- VLAN Bにポートを追加します。ポート5〜8はタグを使わない通常のポートに設定し、ポート4はタグを使用するポートとして設定します。
ADD VLAN=B PORT=5-8 ↓
ADD VLAN=B PORT=4 FRAME=TAGGED ↓
以上で設定は完了です。
これにより、ポート1〜8から送受信されるフレームは次のようになります。
表 1
| ポート1〜3 |
送信 |
ポート1〜3から送信するフレームはVLAN A宛てのタグなしフレーム。 |
| 受信 |
ポート1〜3で受信したタグなしフレームはVLAN A(VID=10)所属とみなされる。 |
| ポート4 |
送信 |
ポート4から送信するフレームは、VLAN A宛てならVID=10のタグ付きで、VLAN B宛てならVID=20のタグ付きで送信される。 |
| 受信 |
ポート4ではVLAN A、B両方のトラフィックを受信する。受信するフレームはタグ付き。タグのVIDにより、所属VLANを判断する。 |
| ポート5〜8 |
送信 |
ポート5〜8から送信するフレームはVLAN B宛てのタグなしフレーム。 |
| 受信 |
ポート5〜8で受信したタグなしフレームはVLAN B(VID=20)所属とみなされる。 |
■ 上記の設定では、ポート4はVLAN defaultにも(タグなしポートとして)所属したままになっています。他にもVLAN default所属のポートがあってトラフィックが流れている場合、ポート4にもVLAN defaultのブロードキャストパケットが送出されます。これが望ましくない場合は、DELETE VLANコマンドを使って、ポート4をVLAN defaultから削除します。
DELETE VLAN=default_VLAN PORT=4 ↓
VLANタグを利用して、2台のスイッチにまたがるVLANを作成します。ここでは次のようなネットワーク構成を例に説明します。ポート24をタグ付きに設定し、VLAN A、B両方のトラフィックがスイッチ間で流れるようにします。
スイッチの設定(A、B共通)
- VLANA、Bを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
- VLAN Aにポートを追加します。ポート1〜12はタグを使わない通常のポートに設定し、ポート24はタグを使用するポートとして設定します。VLANにタグ付きポートを追加するときは、ADD VLANコマンドのFRAMEパラメーターにTAGGEDを指定します。FRAMEパラメーターを付けなかったときはタグなし(UNTAGGED)となります。
ADD VLAN=A PORT=1-12 ↓
ADD VLAN=A PORT=24 FRAME=TAGGED ↓
- VLAN Bにポートを追加します。ポート13〜23はタグを使わない通常のポートに設定し、ポート24はタグを使用するポートとして設定します。
ADD VLAN=B PORT=13-23 ↓
ADD VLAN=B PORT=24 FRAME=TAGGED ↓
設定は以上です。
■ 複数のスイッチにまたがるVLANを作成する場合は、各筐体で同じVLAN IDを設定するようにしてください。一方、VLAN名は個々の筐体内でしか意味を持たないので、スイッチごとに異なっていてもかまいません(ただし、混乱を防ぐ意味では同じ名前を付けた方がよいでしょう)。
| マルチプルVLAN(Protected Ports VLAN) |
CREATE VLANコマンドにPORTPROTECTEDオプションをつけると、Protected Ports VLANになります。Protected Ports VLANに属するポートには、アップリンク属性(UPLINKを指定)またはクライアント属性(グループ番号を指定)を設定します。
同一グループ番号同士のポート間では通信が可能ですが、グループ番号の異なるポート間では通信ができません。アップリンクポートとクライアントポート間での通信は可能です。
Note
- 複数のProtected Ports VLANが存在し(例えばVLAN10とVLAN20が存在するような場合)、アップリンクポートの一部を共有している場合、VLAN10のクライアントからVLAN20宛てにパケットを送信すると、VLAN20のアップリンクポートだけでなくクライアントポートにも送信されます。
Note
- ポート認証のマルチプルダイナミックVLAN(SET PORTAUTH PORTコマンドのVLANASSIGNMENTTYPE=USERによる設定)と、Protected Ports VLANは併用できません。
次に、Protected Ports VLANの設定例を示します。(この例は、インターネットマンションなどでの一般的な使用例です。)
- Protected Ports VLANを作成するには、CREATE VLANコマンドで、PORTPROTECTEDを指定します。Protected Ports VLAN mvを作成します。
CREATE VLAN=mv VID=2 PORTPROTECTED ↓
- VLANにポートを割り当てるには、ADD VLANコマンドのGROUPパラメーターで、UPLINK(アップリンク属性)またはグループ番号(クライアント属性)を指定します。
ADD VLAN=mv PORT=1 GROUP=1 ↓
ADD VLAN=mv PORT=2 GROUP=2 ↓
ADD VLAN=mv PORT=3,4 GROUP=3 ↓
ADD VLAN=mv PORT=24 GROUP=UPLINK ↓
設定は以上です。異なるグループ間では通信することができませんが、同じグループに属するポート同士、またはアップリンクポート間では通信が可能です。
■ Protected Ports VLANの設定には、次の決まりがあります。
複数のProtected Ports VLAN間で、アップリンクポートとクライアントポートは重複することができません。
表 2:間違った設定例
| VLAN |
UPLINK |
CLIENT |
| v10 |
1 |
[2], [3], [4], [5] |
| v20 |
5 |
[6], [7], [8], [9] |
表 3:正しい設定例
| VLAN |
UPLINK |
CLIENT |
| v10 |
1 |
[2], [3], [4], [5] |
| v20 |
10 |
[6], [7], [8], [9] |
クライアントポートが複数のProtected Ports VLAN間で重複する場合には、同一ポートグループにします。
表 4:間違った設定例
| VLAN |
UPLINK |
CLIENT |
| v10 |
1 |
[2], [3], [4-5] |
| v20 |
1 |
[5], [6], [7] |
表 5:正しい設定例
| VLAN |
UPLINK |
CLIENT |
| v10 |
1 |
[2], [3], [4-5] |
| v20 |
1 |
[4-5], [6], [7] |
■ 802.1QタグVLAN機能と併用する場合、次の決まりがあります。
タグVLANポートとクライアントポートは重複することができません。
表 6:間違った設定例
| VLAN |
タグなしポート |
タグ付きポート |
| v10 |
1-3 |
4 |
| VLAN |
UPLINK |
CLIENT |
| v20 |
10 |
[4], [5], [6] |
表 7:正しい設定例
| VLAN |
タグなしポート |
タグ付きポート |
| v10 |
1-3 |
4 |
| VLAN |
UPLINK |
CLIENT |
| v20 |
10 |
[5], [6], [7] |
Note
- マルチプルVLANとタグVLANを併用した場合には、マルチプルVLAN優先で処理されます。
MACアドレスVLANは、スイッチのポート単位ではなく、接続する端末のMACアドレス単位でVLANの範囲を指定します。
MACアドレスVLANを使用すると、端末を接続するスイッチのポートを変更してもVLAN設定を変更する必要がなく、VLANのリソースを共有することができます。
また、MACアドレスVLANでは、所属する端末のMACアドレスを指定すると共に、出力ポートも指定します。未学習の宛先MACアドレスを持つパケットを受信した場合、MACアドレスVLANで指定されているすべての出力ポートからフレームを出力します(フラッディング)。
MACアドレスVLAN設定には、次のルールが適用されます。
- MACアドレスVLANは、タグ付きパケットを扱うことはできない
- MACアドレスVLANに所属するMACアドレスを指定するには、最低1つの出力ポートを指定する
- 1つのポートは、複数のMACアドレスVLANの出力ポートとして指定することができる
- 1つのMACアドレスは、1つのMACアドレスVLANにしか所属できない
- MACアドレスVLAN全体で、1024個のMACアドレスを指定できる
- MACアドレスVLANのMACADDRESSパラメーターに、マルチキャストアドレスを指定することはできない
- 1つのポートが、MACアドレスVLANの出力ポートであり、また、ポートVLANに所属する場合、ブロードキャストパケットは、どちらのVLANにもフラッディングされる
Note
- MACアドレスVLANで本製品宛ての通信、およびルーティングをさせることはできません。
Note
- MACアドレスVLANにMACアドレスを追加したとき、別のVLANから、MACアドレスVLANに追加したMACアドレスを送信元MACアドレスとして持つ機器同士で双方向のユニキャスト通信を行うと、パケットが転送されてしまいます。
ここでは、次のようなネットワーク構成を例に説明します。
- MACアドレスVLANを作成するには、CREATE VLANコマンドで、TYPEパラメーターにMACADDRESSを指定します。MACアドレスVLAN macbaseを作成します。
CREATE VLAN=macbase VID=30 TYPE=MACADDRESS ↓
- VLANにMACアドレスを割り当てるには、ADD VLANコマンドのDESTADDRESSパラメーターで指定します。
ADD VLAN=macbase DESTADDRESS=00:00:f4:12:34:56 ↓
- VLANに出力ポートを割り当てるには、ADD VLANコマンドのPORTパラメーターで指定します。
ADD VLAN=macbase PORT=1-6 DESTADDRESS=00:00:f4:12:34:56 ↓
設定は以上です。
■ VLANからMACアドレスを削除するには、DELETE VLANコマンドを使います。
DELETE VLAN=macbase DESTADDRESS=00:00:f4:12:34:56 ↓
ただし、MACアドレスに出力ポートが割り当てられている場合には、MACアドレスを削除することができないので、先に、出力ポートを削除してください。
DELETE VLAN=macbase PORT=15-20 DESTADDRESS=00:00:f4:12:34:56 ↓
■ スイッチポートは、ポートVLANにタグなしポートとして所属すると共に、MACアドレスVLANに出力ポートとして所属することもできます。ただし、MACアドレスVLANが優先されます。
■ スイッチポートでタグなしパケットを受信した場合、まず初めに、送信元MACアドレスがMACアドレスVLANに所属するMACアドレスとして指定されているかどうかをチェックします。
送信元MACアドレスが、MACアドレスVLANに所属するMACアドレスと一致した場合、パケットはポートVLANに対応するものではなく、MACアドレスべースVLANに対応するものとして扱われます。アドレスが一致しなかった場合は、パケットは、ポートVLANに対応するものとして扱われます。
■ 送信元MACアドレスがMACアドレスVLANに所属するMACアドレスと一致した場合、下記の様に処理されます。
- パケットの宛先MACアドレスが、学習済みMACアドレスとしてフォワーディングデータベースに登録されていなかった場合、MACアドレスVLANで指定されているすべての出力ポート(入力ポートは除く)からフレームを出力する(フラッディング)。
- パケットの宛先MACアドレスが、学習済みMACアドレスとしてフォワーディングデータベースに登録されていて、学習されたポートがMACアドレスVLANの出力ポートであった場合、パケットは該当ポートに転送されます(フォワーディング)。
- パケットの宛先MACアドレスが、学習済みMACアドレスとしてフォワーディングデータベースに登録されているが、学習されたポートがMACアドレスVLANの出力ポートでなかった場合、パケットは破棄されます(ディスカード)。
(C) 2009-2010 アライドテレシスホールディングス株式会社
PN: 613-001210 Rev.C