[index]
CentreCOM 9924Ts コマンドリファレンス 3.1
スイッチング/バーチャルLAN
- 概要
- ポートとVLAN
- デフォルトVLAN
- ポートVLAN
- タグVLAN
- VLANタグ対応サーバーの共用
- VLANタグを利用したスイッチ間接続
- IPサブネットVLAN
- プロトコルVLAN
- マルチプルVLAN(Private VLAN)
- 基本ルール
- 設定例
- ダブルタグVLAN(Nested VLAN)
- 基本ルール
- 設定例
- VLAN間ルーティング
バーチャルLAN(VLAN)は、スイッチの設定によって論理的にブロードキャストドメインを分割する機能です。レイヤー2スイッチは、宛先MACアドレスとフォワーディングデータベースを用いて不要なトラフィックをフィルタリングする機能を持ちますが、未学習の宛先MACアドレスを持つユニキャストパケットと、マルチキャスト/ブロードキャストパケットは全ポートに出力します。VLANを作成して、頻繁に通信を行うホスト同士をグループ化することにより、不要なトラフィックの影響を受ける範囲を限定し、帯域をより有効に活用できるようになります。
本製品がサポートする基本的なVLANは次の3種類です。
- ポートVLAN(タグVLANを含む)
- IPサブネットVLAN
- プロトコルVLAN
さらに、レイヤー2スイッチとしての動作を前提とした特殊なVLANとして次の2種類があります。
- マルチプルVLAN(Private VLAN)
- ダブルタグVLAN(Nested VLAN)
Note
- ダブルタグVLAN(Nested VLAN)は別売のフィーチャーライセンスAT-FL-09が必要です。
この章では、最初に基本的なVLANについて解説し、その後で特殊なVLANについて解説します。
スイッチポートは少なくとも1つのポートVLANに所属していなくてはなりません(ミラーポートを除く)。また、ポートは複数のVLANに所属できますが、所属先VLANの種類によって、いくつのVLANに所属できるかが異なります。基本ルールは次のとおりです。
- ポートVLAN(タグなしポート):1つのVLANにだけ所属できます
- ポートVLAN(タグ付きポート):複数のVLANに所属できます
- IPサブネットVLAN(タグなしポート):複数のVLANに所属できます
- プロトコルVLAN(タグなしポート):複数のVLANに所属できます
■ ポートをIPサブネットVLAN、プロトコルVLANに所属させる場合、該当ポートをあらかじめ任意のポートVLANにタグなしポートとして参加させておく必要があります。
■ ポートが複数のVLANに所属している場合、受信パケットの所属先は次の基準にしたがって決定されます。スイッチポートがどのVLANに所属しているかは、SHOW VLAN PORTコマンドで確認できます。
- タグ付きパケットのVIDと、ポートが所属しているタグ付きポートVLANメンバーのVIDが合致する場合、該当VLANの所属と判断します。
- タグなしパケットの始点IPアドレスがIPサブネットVLANのサブネット範囲に合致する場合、IPサブネットVLANの所属と判断します。
- タグなしパケットのL3プロトコルタイプがプロトコルVLANの対象プロトコルに合致する場合、プロトコルVLANの所属と判断します。
- 上記の基準に当てはまらないタグなしパケットは、ポートVLANの所属と判断します。
以下の各節では、上記をふまえ、最初にもっとも基本的なVLANであるポートVLANとタグVLANについて説明したのち、その他のVLANについて簡単に説明します。
ご購入時の状態ではすべてのポートがVLAN default(VID=1)に所属しており、すべてのポートが相互に通信可能になっています。単なるレイヤー2スイッチとして本製品を使用する場合は、特別な設定を行うことなく、設置・配線を行うだけで使用できます。
VLAN defaultは特殊なVLANであり、下記の特長があります。
- VLAN defaultは削除できません。
- ポートがVLAN defaultにしか所属していない場合、同ポートをVLAN defaultから削除することはできません。ただし同ポートを、ユーザー定義のポートVLANにタグなしポートとして割り当てると、該当ポートは自動的にVLAN defaultから削除されます。
- ユーザー定義VLANのポートVLANメンバーからタグなしポートを削除すると、該当ポートは自動的にVLAN defaultのタグなしポートに戻ります。
- VLAN defaultは「default STP」以外のSTPドメインに参加できません。
- VLAN defaultはマルチプルVLAN(Private VLAN)になれません。
ポートVLANは、ポート単位でVLANの範囲を設定するもっとも基本的なVLANです。ポート1〜4はVLAN red、ポート5〜8はVLAN white、といったように設定します。
- 新規にVLANを作成するにはCREATE VLANコマンドを使います。VLAN作成時には、VLAN名とVLAN ID(VID)を割り当てる必要があります。VLAN名は任意の文字列(ただし、先頭文字は数字以外)、VIDは2〜4094の範囲の任意の数値です(1はVLAN defaultに割り当てられているため使用できません)。3つのVLAN、A(VID=10)、B(VID=20)、C(VID=30)を作成するには次のようにします。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
これ以降、VLAN名を指定するときはVLAN名、VIDのどちらを使ってもかまいません。ここではおもにVLAN名を使います。
- VLANを作成したら、ADD VLAN PORTコマンドでVLANにポートを割り当てます。
ADD VLAN=A PORT=1-4 ↓
ADD VLAN=B PORT=5-8 ↓
ADD VLAN=C PORT=9-12 ↓
このようにしてポートをdefault以外のVLANに割り当てると、そのポートは自動的にVLAN defaultから削除されます。
これで、物理的には1台のスイッチでありながら、ネットワーク的には3台のスイッチに分割されたような状態となります。VLAN A、B、Cは完全に独立しており、互いに通信することはできません。
■ VLANの情報を確認するには、SHOW VLANコマンドを使います。
■ VLANからポートを削除するには、DELETE VLAN PORTコマンドを使います。たとえば、ポート3と4をVLAN Aから削除するには、次のようにします。default以外のVLANから削除されたポートは、自動的にVLAN defaultの所属に戻ります。
■ VLANを削除するには、DESTROY VLANコマンドを使います。VLANの削除は、所属ポートをすべて削除してからでないと行えません。VLAN Cを削除するには、次のようにします。
DELETE VLAN=C PORT=ALL ↓
DESTROY VLAN=C ↓
Note
- VLAN defaultは削除できません。
タグVLANを使用すると、1つのポートを複数のVLANに所属させることができます。これは、イーサネットフレームにVLAN IDの情報を挿入し、各フレームが所属するVLANを識別できるようにすることによって実現されます(802.1Q VLANタギング)。タグVLANは、複数のVLANを複数の筐体にまたがって作成したい場合や、802.1Q対応サーバーを複数VLANから共用したい場合などに利用します。
Note
- VLANタグを使用する場合、接続先機器もVLANタグ(802.1Q)に対応している必要があります。
Note
- 802.1X認証のAuthenticatorポートとMACベース認証ポートをタグ付きに設定することはできません。
VLANタグを利用して、ポート4を2つのVLANに所属させ、どちらのVLANからも802.1Q対応サーバーにアクセスできるようにします。
ここでは次のようなネットワーク構成を例に説明します。
- VLAN A、Bを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
- VLAN Aにポートを追加します。ポート1〜3はタグを使わない通常のポートに設定し、ポート4はタグを使用するポートとして設定します。VLANにタグ付きポートを追加するときは、ADD VLAN PORTコマンドのFRAMEパラメーターにTAGGEDを指定します。FRAMEパラメーターを付けなかったときはタグなし(UNTAGGED)となります。
ADD VLAN=A PORT=1-3 ↓
ADD VLAN=A PORT=4 FRAME=TAGGED ↓
- VLAN Bにポートを追加します。ポート5〜8はタグを使わない通常のポートに設定し、ポート4はタグを使用するポートとして設定します。
ADD VLAN=B PORT=5-8 ↓
ADD VLAN=B PORT=4 FRAME=TAGGED ↓
以上で設定は完了です。
これにより、ポート1〜8から送受信されるフレームは次のようになります。
表 1
| ポート1〜3 |
送信 |
ポート1〜3から送信するフレームはVLAN A宛てのタグなしフレーム |
| 受信 |
ポート1〜3で受信したタグなしフレームはVLAN A(VID=10)所属とみなされる |
| ポート4 |
送信 |
ポート4から送信するフレームは、VLAN A宛てならVID=10のタグ付きで、VLAN B宛てならVID=20のタグ付きで送信される |
| 受信 |
ポート4ではVLAN A、B両方のトラフィックを受信する。受信するフレームはタグ付き。タグのVIDにより、所属VLANを判断する |
| ポート5〜8 |
送信 |
ポート5〜8から送信するフレームはVLAN B宛てのタグなしフレーム |
| 受信 |
ポート5〜8で受信したタグなしフレームはVLAN B(VID=20)所属とみなされる |
■ 上記の設定では、ポート4はVLAN defaultにも(タグなしポートとして)所属したままになっています。他にもVLAN default所属のポートがあってトラフィックが流れている場合、ポート4にもVLAN defaultのブロードキャストパケットが送出されます。これが望ましくない場合は、DELETE VLAN PORTコマンドを使って、ポート4をVLAN defaultから削除します。
DELETE VLAN=default PORT=4 ↓
VLANタグを利用して、2台のスイッチにまたがるVLANを作成します。ここでは次のようなネットワーク構成を例に説明します。ポート12をタグ付きに設定し、VLAN A、B両方のトラフィックがスイッチ間で流れるようにします。
スイッチの設定(A、B共通)
- VLANA、Bを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
- VLAN Aにポートを追加します。ポート1〜4はタグを使わない通常のポートに設定し、ポート12はタグを使用するポートとして設定します。VLANにタグ付きポートを追加するときは、ADD VLAN PORTコマンドのFRAMEパラメーターにTAGGEDを指定します。FRAMEパラメーターを付けなかったときはタグなし(UNTAGGED)となります。
ADD VLAN=A PORT=1-4 ↓
ADD VLAN=A PORT=12 FRAME=TAGGED ↓
- VLAN Bにポートを追加します。ポート5〜8はタグを使わない通常のポートに設定し、ポート12はタグを使用するポートとして設定します。
ADD VLAN=B PORT=5-8 ↓
ADD VLAN=B PORT=12 FRAME=TAGGED ↓
設定は以上です。
■ 複数のスイッチにまたがるVLANを作成する場合は、各筐体で同じVLAN IDを設定するようにしてください。一方、VLAN名は個々の筐体内でしか意味を持たないので、スイッチごとに異なっていてもかまいません(ただし、混乱を防ぐ意味では同じ名前を付けた方がよいでしょう)。
■ 上記の設定では、ポート12はVLAN defaultにも(タグなしポートとして)所属したままになっています。他にもVLAN default所属のポートがあってトラフィックが流れている場合、ポート12にもVLAN defaultのブロードキャストパケットが送出されます。これが望ましくない場合は、DELETE VLAN PORTコマンドを使って、ポート12をVLAN defaultから削除します。
DELETE VLAN=default PORT=12 ↓
IPサブネットVLANでは、受信したタグなしパケットの始点IPアドレスが特定のサブネットに属する場合、これをVLANメンバーと見なします。
Note
- IPサブネットVLANの対象となるプロトコルはIPだけです。ARPパケットのグルーピングにはプロトコルVLANを利用してください。
■ IPサブネットVLANを作成するには、CREATE VLANコマンドのSUBNET、MASKパラメーターでサブネットの範囲を指定します。MASKパラメーターを省略した場合は、SUBNETパラメーターで指定したアドレスのクラス標準マスクが使用されます。
CREATE VLAN=net10 VID=10 SUBNET=192.168.10.0 MASK=255.255.255.0 ↓
また、サブネットの範囲はADD VLAN SUBNETコマンドを使って後から追加することもできます。
CREATE VLAN=net10 VID=10 ↓
ADD VLAN=net10 SUBNET=192.168.10.0 MASK=255.255.255.0 ↓
Note
- IPサブネットVLANにサブネット範囲を複数設定する場合、および、IPサブネットVLANを複数作成する場合、サブネットのアドレス範囲が重複するような設定はできません。たとえば、VLAN Aのサブネット範囲を「172.16.10.0/24」(172.16.10.0〜172.16.10.255)に設定した場合、VLAN Bのサブネット範囲として「172.16.0.0/16」(172.16.0.0〜172.16.255.255)を指定することはできません。
■ IPサブネットVLANを作成し、サブネットの範囲を指定したら、ADD VLAN PORTコマンドでタグなしポートをIPサブネットVLANに関連付けます。このとき、どのサブネットメンバーに所属させるかを、SUBNETパラメーターで必ず指定してください。
ADD VLAN=net10 PORT=1-6 SUBNET=192.168.10.0 ↓
これにより、ポート1〜6で受信したIPパケットのうち、始点アドレスが192.168.10.0/24の範囲におさまるものがVLAN net10の所属として扱われます。
■ 同一のポート範囲(ポート1〜12)に対して、2つのIPサブネットVLANを作成するには次のようにします。
CREATE VLAN=A VID=10 SUBNET=192.168.10.0 MASK=255.255.255.0 ↓
CREATE VLAN=B VID=20 SUBNET=192.168.20.0 MASK=255.255.255.0 ↓
ADD VLAN=A PORT=1-12 SUBNET=192.168.10.0 ↓
ADD VLAN=B PORT=1-12 SUBNET=192.168.20.0 ↓
これにより、ポート1〜12で受信したパケットのうち、始点アドレスが192.168.10.0/24の範囲におさまるものはVLAN A、192.168.20.0/24の範囲におさまるものはVLAN Bの所属として扱われます。
また、その他のパケット(始点アドレスが上記以外、あるいは、IPでないパケット)は、受信ポートが所属しているポートVLANの所属になります。上記の例でVLAN A、B以外にユーザー定義のVLANがないと仮定すると、その他のパケットはVLAN defaultの所属として扱われます。
ポート1〜12以外のポートにも機器が接続されている場合、それらの機器が送信したパケットはVLAN default所属となるため、ポート1〜12にもパケットが出力される可能性があります。これを避けるには、ポート1〜12をVLAN default以外のポートVLANに所属させるか、ポート1〜12以外をVLAN default以外のポートVLANに所属させます。前者の設定は次のとおりです。
CREATE VLAN=DUMMY VID=100 ↓
ADD VLAN=DUMMY PORT=1-12 ↓
■ 前の例では、IPサブネット192.168.10.0/24と192.168.20.0/24は同一ポート上に混在していますが、それぞれのパケットが別のVLANに所属するため、互いに通信することはできません。サブネット間で通信を可能にするには、両方のVLANにIPアドレスを割り当て、VLAN間ルーティングを有効にする必要があります。
ENABLE IP ↓
ADD IP INT=vlan-A IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=vlan-B IP=192.168.20.1 MASK=255.255.255.0 ↓
詳細は「VLAN間ルーティング」をご覧ください。
プロトコルVLANでは、受信したタグなしパケットのL3プロトコルタイプフィールドに特定の値が格納されているパケットをVLANメンバーと見なします。プロトコルVLANは、他の種類のVLAN(ポートVLANなど)と組み合わせて使うケースがよくあります。
■ プロトコルVLANを作成するには、CREATE VLANコマンドのPROTOCOLパラメーターでプロトコルを指定します。プロトコルは、定義済みのプロトコル名(ADD VLAN PROTOCOLコマンドの表を参照)か16進表記(「0x」を前置)のプロトコル番号で指定します。
プロトコル名で指定する場合は次のようにします。
CREATE VLAN=nw VID=100 PROTOCOL="IPX 802.2" ↓
プロトコル番号で指定する場合は、フレームタイプ(エンキャプセレーション)に応じて、1バイト(802.2 LLC DSAP)、2バイト(Ethertypeまたは802.3 raw)、5バイト(SNAP)の16進数(「0x」を前置)で指定します。
CREATE VLAN=nw VID=100 PROTOCOL=0xe0 ↓
また、プロトコルはADD VLAN PROTOCOLコマンドを使って後から追加することもできます。
CREATE VLAN=nw VID=10 ↓
ADD VLAN=nw PROTOCOL="IPX 802.2" ↓
■ プロトコルVLANを作成し、対象プロトコルを指定したら、ADD VLAN PORTコマンドでタグなしポートをプロトコルVLANに関連付けます。このとき、どのプロトコルメンバーに所属させるかを、PROTOCOLパラメーターで必ず指定してください。
ADD VLAN=nw PORT=1-6 PROTOCOL="IPX 802.2" ↓
これにより、ポート1〜6で受信したパケットのうち、フレームタイプ802.2のIPXパケット(DSAP = 0xe0)がVLAN nwの所属として扱われます。
■ 2つのポートVLAN AとBを包含するプロトコルVLAN NBを作成します。ポート1〜8で受信したNetBEUIパケットはVLAN NB所属と見なされます。それ以外のパケットは、受信ポートが1〜4ならVLAN A、4〜8ならVLAN B所属として扱われます。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=NB VID=100 PROTOCOL=NetBEUI ↓
ADD VLAN=A PORT=1-4 ↓
ADD VLAN=B PORT=5-8 ↓
ADD VLAN=NB PORT=1-8 PROTOCOL=NetBEUI ↓
マルチプルVLAN(Private VLAN。以下、Private VLANで表記)は、アップリンクポートとプライベートポートという2種類のポートで構成される特殊なVLANです。
プライベートポートとアップリンクポートは相互に通信可能ですが、プライベートポート間では一切通信ができません。この性質を利用すれば、各部屋にインターネットアクセスを提供しつつ、部屋同士の通信は遮断するような構成を組むことができます。
Note
- DHCPサーバー機能とマルチプルVLAN(Private VLAN)は併用できません。
Note
- マルチプルVLANのプライベートポートではARPパケットの処理が行えないため、DHCP、SNMP、Telnet、IPルーティングなど、本製品との通信が必要な機能は使用できません。
次にPrivate VLANの基本ルールをまとめます。
■ Private VLANには次のルールが適用されます。
- Private VLANは、アップリンクポートとプライベートポートで構成される。
- Private VLANには、アップリンクポート(トランクグループでもよい)が1つ必要。
- Private VLANには、プライベートポートを複数割り当てられる。
- Private VLANには、プライベートポートでもアップリンクポートでもないポートは所属できない。
- VLAN defaultは、Private VLANになれない。
- 同一Private VLANのプライベートポート同士は通信できない。
■ アップリンクポートには次のルールが適用されます。
- アップリンクポートは、単一ポートか単一のトランクグループでなければならない。
- トランクグループをアップリンクポートとして指定してもよい。
- アップリンクポートは、複数のPrivate VLANに所属できる。
- アップリンクポートは、Private VLANでない通常のVLANには所属できない。
- アップリンクポートは、ポートVLAN、タグVLAN、IPサブネットVLAN、プロトコルVLANとの併用が可能。
■ プライベートポートには次のルールが適用されます。
- プライベートポートは、タグVLANやIPサブネットVLAN、プロトコルVLANを併用することにより複数のPrivate VLANに所属できるが、その場合すべてのPrivate VLANが同一のアップリンクポートを共有していなくてはならない。
- プライベートポートは、Private VLANでない通常のVLANには所属できない。
- プライベートポートは、他のPrivate VLANのアップリンクポートになることはできない。
- プライベートポートは、ポートVLAN、タグVLAN、IPサブネットVLAN、プロトコルVLANとの併用が可能。
- トランクポートをプライベートポートとして指定してもよい。
- プライベートポートではARPパケットの処理が行えないため、DHCP、SNMP、Telnet、IPルーティングなど、本製品との通信が必要な機能は使用できない
■ プライベートポートとアップリンクポートで受信したパケットは、それぞれ次のように処理されます。
- プライベートポートで受信したパケットは、VLAN IDや宛先MACアドレスに関わらず、すべてアップリンクポートに転送される。
- アップリンクポートで受信したパケットは、宛先MACアドレスの種類によって処理が異なる。
- ユニキャストパケットは、宛先MACアドレスに応じて、適切なプライベートポートにだけ転送される。
- ブロードキャスト・マルチキャストパケットは、すべてのプライベートポートに転送される。
次にPrivate VLANの設定例を示します。
ここでは、ポート5をアップリンクポートとし、ポート1〜4をプライベートポートとするPrivate VLAN「pv」を作成します。インターネットマンションなどでの一般的な使用例です。この構成では、本製品をレイヤー2スイッチとして使用することになります。
- Private VLAN「pv」を作成します。Private VLANを作成するには、CREATE VLANコマンドにPRIVATEオプションを付けます。
CREATE VLAN=pv VID=2 PRIVATE ↓
Note
- VLAN defaultをPrivate VLANにすることはできません。
- アップリンクポートを割り当てます。アップリンクポートを追加するには、ADD VLAN PORTコマンドにUPLINKオプションを付けて実行します。
ADD VLAN=pv PORT=5 UPLINK ↓
Note
- アップリンクポートは単一ポートか単一のトランクグループでなければなりません。1つのPrivate VLANにアップリンクポートを複数追加することはできません。
Note
- アップリンクポートとして追加するポートは、VLAN default以外の非Private VLANに所属していてはなりません。そのような場合は、最初に同ポートを非Private VLANから削除した上で、ADD VLAN PORTコマンドを実行してください。
- プライベートポートを割り当てます。プライベートポートを追加するには、ADD VLAN PORTコマンドをオプションなしで実行します。
設定は以上です。
ダブルタグVLAN(Nested VLAN。以下、Nested VLANで表記)は、その名のとおり、VLANタグを2重に付加する特殊なVLANです。オリジナルパケットのVLANタグ(内側タグ)をもう1つのタグ(外側タグ)でカプセル化する一種のトンネリング技術と言えます(802.1Qトンネリングなどとも呼ばれます)。
Nested VLANは、コアポートとカスタマーポートという2種類のポートで構成されます。
通常、コアポートはサービス事業者の広域網などに接続され、外側タグ(CID:カスタマーID)のついたパケットを送受信します。コアポートでは、送信時に外側タグを挿入し、受信時には外側タグを削除します。
一方、カスタマーポートは顧客のネットワークなどに接続され、内側タグだけの通常のタグ付きパケットおよびタグなしパケットを送受信します。カスタマーポートでは、送受信時にパケットの変更は行いません。
Note
- ダブルタグVLAN(Nested VLAN)は別売のフィーチャーライセンスAT-FL-09が必要です。
Note
- ダブルタグVLAN(Nested VLAN)はレイヤー2を前提とした機能です。Nested VLAN使用時のルーティングはサポート対象外となります。
Note
- ダブルタグVLAN(Nested VLAN)は、IPサブネットVLAN、IGMP Snooping、ハードウェアパケットフィルターのL3以上の条件パラメーター(L2は使用可)のいずれとも併用できません。
次にNested VLANの基本ルールをまとめます。
■ Nested VLANには次のルールが適用されます。
- Nested VLANは、コアポートとカスタマーポートで構成される。
- Nested VLANの所属ポートは、コアポート、カスタマーポートのどちらかでなくてはならない。
- Nested VLANの所属ポートは、コアポート、カスタマーポートのどちらか一方にしかなれない。
- Nested VLANの所属ポートは、Nested VLANでない通常のVLANには所属できない。
- VLAN defaultは、Nested VLANになれない。
- Nested VLAN内では、パケットの宛先MACアドレスとCID(Nested VLANのVID)に基づいてレイヤー2スイッチングが行われる。内側タグのVIDには関知しない。
- Nested VLANとIGMP Snoopingとは併用できない。
- Nested VLANとルーティングの併用はサポート対象外。
■ コアポートには次のルールが適用されます。
- コアポートは、タグ付きポートであり、タグ付きパケットだけを送受信できる(ここでのタグとは、CIDを格納する外側タグのこと)。
- コアポートは、タグ付き扱いなので、複数のNested VLANに所属できる。
- コアポートは、パケット送信前に外側タグを挿入する。
- コアポートは、パケット受信後に外側タグを削除する。
■ カスタマーポートには次のルールが適用されます。
- カスタマーポートは、タグなしポートであり、タグ付きパケット、タグなしパケットの両方を受信できる。また、送信時には、パケットがタグ付きかタグなしかには関知しない。タグ付き、タグなし両方のパケットを送信できる(ここでのタグとは、VIDを格納する内側タグのこと)。
- カスタマーポートは、タグなし扱いなので、通常1つのNested VLANにしか所属できないが、IPサブネットVLANやプロトコルVLANを併用すれば複数のNested VLANに所属することができる。
- カスタマーポートは、パケット送受信時にパケットの内容を変更しない(タグの挿入、削除などをしない)。
次にNested VLANの設定例を示します。
ここでは、A社とB社をそれぞれ収容するNested VLAN「Acompany」と「Bcompany」を作成します。A社のカスタマーID(CID)は10、B社は20とします。スイッチA、スイッチBの設定は共通です。
- Nested VLAN「Acompany」と「Bcompany」を作成します。Nested VLANを作成するには、CREATE VLANコマンドにNESTEDオプションを付けます。VIDパラメーターに指定するのは、外側タグに格納するカスタマーID(CID)です。
CREATE VLAN=Acompany VID=10 NESTED ↓
CREATE VLAN=Bcompany VID=20 NESTED ↓
- Nested VLAN「Acompany」と「Bcompany」に共通のコアポートを割り当てます。コアポートを追加するには、ADD VLAN PORTコマンドのNESTEDTYPEにCOREを指定します。
ADD VLAN=Acompany PORT=5 NESTEDTYPE=CORE ↓
ADD VLAN=Bcompany PORT=5 NESTEDTYPE=CORE ↓
Note
- コアポートは複数のNested VLANに所属できます。
- Nested VLAN「Acompany」と「Bcompany」のそれぞれにカスタマーポートを割り当てます。Nested VLANにカスタマーポートを追加するには、ADD VLAN PORTコマンドのNESTEDTYPEにCUSTOMERを指定します。
ADD VLAN=Acompany PORT=1 NESTEDTYPE=CUSTOMER ↓
ADD VLAN=Bcompany PORT=2 NESTEDTYPE=CUSTOMER ↓
設定は以上です。
■ 前の例を元に、Nested VLANの動作を簡単に説明します。ここでは、A社(1)からA社(2)に送られる、vlan1のパケットを例に取り上げます。
- スイッチAは、CID=10のカスタマーポートでVID=1のタグ付きパケットを受信します。
- スイッチAは、受信パケットの宛先MACアドレスとCID=10をキーにフォワーディングデータベースを検索し、出力ポートを決定します。ここではポート5が出力ポートになったとします。
- スイッチAは、CID=10とCID=20のコアポートであるポート5において、パケットに外側タグを付加し、CID=10を格納した上で送信します。
- スイッチBは、CID=10とCID=20のコアポートであるポート5において、CID=10のタグ付きパケットを受信します。また、外側タグを削除します。
- スイッチBは、受信パケットの宛先MACアドレスとCID=10をキーにフォワーディングデータベースを検索し、出力ポートを決定します。ここではポート1が出力ポートになったとします。
- スイッチBは、CID=10のカスタマーポートであるポート1からパケットを送信します。すでに外側タグは削除されているので、送信されるパケットにはオリジナルの内側タグ(VID=1)だけが付いています。
■ 外側タグのプロトコルタイプ(TPID)を変更するには、SET SWITCH NESTEDTPIDコマンドを使います。デフォルトは0x8100(802.1Qタグと同じ)です。
SET SWITCH NESTEDTPID=88ff ↓
各VLANは独立したブロードキャストドメインになるため、互いに通信することはできません。しかし、各VLANにレイヤー3プロトコル(IP)のアドレスを割り当て、ルーティング機能を有効にすれば、ネットワーク層レベルでパケットがルーティングされ、VLAN間通信が可能になります。ここではIPを例に、VLAN間ルーティングの基本設定について説明します。
- VLANを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
- VLANにポートを割り当てます。
ADD VLAN=A PORT=1-4 ↓
ADD VLAN=B PORT=5-8 ↓
ADD VLAN=C PORT=9-12 ↓
- IPを使用するため、IPモジュールを有効にします。
- 各VLAN(VLANインターフェース)にIPアドレスを割り当てます。IPアドレスの設定はADD IP INTERFACEコマンドで行います。
ADD IP INTERFACE=vlan-A IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan-B IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan-C IP=192.168.30.1 MASK=255.255.255.0 ↓
設定は以上です。
これにより、VLAN間でIPがルーティングされるようになります。VLAN間ルーティングは、同じプロトコルのレイヤー3インターフェースを2つ作成した時点で自動的に有効になります。
次の図は、この状態を概念的に示したものです。VLAN分けにより分割された仮想的なスイッチ3台の上位に、仮想的なルーターを設置したものと考えることができます。実際にはこれらのスイッチやルーターの機能は、1台の筐体内で実現されています。
■ VLANインターフェースの指定には次に示す2とおりの方法があります。レイヤー3(IPなど)のコマンドでVLANを指定するときは、どちらの方法を使ってもかまいません。詳細については、コマンドリファレンスの各コマンドの説明をご覧ください。
- VLAN名による指定
VLAN名が「myname」なら、vlan-mynameのように「vlan-」+VLAN名と指定します。次に例を示します。
ADD IP INT=vlan-myname IP=192.168.100.10 MASK=255.255.255.0 ↓
- VLAN ID(VID)による指定
VIDが10ならば、vlan10のように「vlan」+VIDのように指定します。VLAN名のときとは異なり、ハイフンが入らないことに注意してください。
ADD IP INT=vlan10 IP=192.168.10.1 MASK=255.255.255.0 ↓
■ 各VLANに割り当てられたIPアドレスは、SHOW IP INTERFACEコマンドで確認できます。
■ デフォルトルートを設定するには、ADD IP ROUTEコマンドを使います。
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=vlan-A NEXTHOP=192.168.10.254 ↓
■ 詳細は「IP」の章をご覧ください。
(C) 2005 - 2007 アライドテレシスホールディングス株式会社
PN: 613-000276 Rev.C