[index]
SwitchBlade 4000シリーズ コマンドリファレンス 2.6
スイッチング/バーチャルLAN
- VLANの種類
- ポートとVLAN
- デフォルトVLAN
- ポートVLAN
- VLANタギング
- VLANタグ対応サーバーの共用
- VLANタグを利用したスイッチ間接続
- IPサブネットVLAN
- プロトコルVLAN
- MACアドレスVLAN
- リミテッドプロトコルVLAN
- VLAN間ルーティング
- パケットストームプロテクション
バーチャルLAN(VLAN)は、スイッチの設定によって論理的にブロードキャストドメインを分割する機能です。レイヤー2スイッチは、宛先MACアドレスとフォワーディングデータベースを用いて不要なトラフィックをフィルタリングする機能を持ちますが、未学習の宛先MACアドレスを持つユニキャストパケットと、マルチキャスト/ブロードキャストパケットは全ポートに出力します。VLANを作成して、頻繁に通信を行うホスト同士をグループ化することにより、不要なトラフィックの影響を受ける範囲を限定し、帯域をより有効に活用できるようになります。
本製品がサポートするVLANは次の5種類です。
- ポートVLAN(タグVLANを含む)
- IPサブネットVLAN
- プロトコルVLAN
- MACアドレスVLAN
- リミテッドプロトコルVLAN
ただし、すべての種類を同時に使用することはできません。使用可能なVLAN種別に関する基本ルールは次のとおりです。
- ポートVLAN(タグVLANを含む)はつねに使用できます。
- 残りの4種類は次の2グループに分けられます。同時に使用できるのはどちらか1グループのみです。
- IPサブネットVLAN、プロトコルVLAN
- MACアドレスVLAN、リミテッドプロトコルVLAN
- どの種類のVLANを使用できるかは、ポートVLAN以外のVLANを最初に作成したときに決まります。ご購入時のようにVLAN defaultだけが定義されている状態では、使用可能なVLAN種別は未確定です。
- 最初に作成したポートVLAN以外のVLANがIPサブネットVLANかプロトコルVLANならば、使用可能なVLAN種別は「IPサブネットVLAN、プロトコルVLAN、ポートVLAN」となります。
- 最初に作成したポートVLAN以外のVLANがMACアドレスVLANかリミテッドプロトコルVLANならば、使用可能なVLAN種別は「MACアドレスVLAN、リミテッドプロトコルVLAN、ポートVLAN」となります。
- 使用できるVLANの種類が確定したあとで、異なるグループの種類のVLANを作成することはできません。つまり、IPサブネットVLANとMACアドレスVLANを同時に使用することはできません。使用できるVLANの種類を変更するには、VLAN default以外のVLANをすべて削除し、使用可能なVLAN種別を「未確定」な状態に戻す必要があります。
- 現在使用可能なVLAN種別は、SHOW SWITCHコマンドで表示される「VLAN classification」欄で確認できます。「IP subnet, Protocol, Port」は「IPサブネットVLAN、プロトコルVLAN、ポートVLAN」を使用可能、「MAC address, Limited Protocol, Port」は「MACアドレスVLAN、リミテッドプロトコルVLAN、ポートVLAN」を使用可能なことを示します。「To be defined」は、ポートVLAN以外のVLANをまだ作成していないため、使用できるVLAN種別が確定していないことを示します。
スイッチポートは少なくとも1つのポートVLANに所属していなくてはなりません(ミラーポートを除く)。また、ポートは複数のVLANに所属できますが、所属先VLANの種類によって、いくつのVLANに所属できるかが異なります。基本ルールは次のとおりです。
- ポートVLAN(タグなしポート):1つのVLANにだけ所属できる
- ポートVLAN(タグ付きポート):複数のVLANに所属できる
- IPサブネットVLAN(タグなしポート):複数のVLANに所属できる
- プロトコルVLAN(タグなしポート):複数のVLANに所属できる
- MACアドレスVLAN(タグなしポート):複数のVLANに所属できる
- リミテッドプロトコルVLAN(タグなしポート):複数のVLANに所属できる
ただし、上記の基本ルールには、「VLANの種類」で述べた「同時に使用可能なVLAN種別」の制限が加わります。したがって、あるポートをIPサブネットVLANとMACアドレスVLANに所属させることはできません。
■ ポートをIPサブネットVLAN、プロトコルVLAN、MACアドレスVLAN、リミテッドプロトコルVLANに所属させる場合、該当ポートをあらかじめ任意のポートVLANにタグなしポートとして参加させておく必要があります。
■ ポートが複数のVLANに所属している場合、受信パケットの所属先は次の基準にしたがって決定されます。スイッチポートがどのVLANに所属しているかは、SHOW VLAN PORTコマンドで確認できます。
- 使用可能なVLAN種別が「IPサブネットVLAN、プロトコルVLAN、ポートVLAN」のとき
- パケットがIPサブネットVLANのサブネット範囲に合致する場合、IPサブネットVLANの所属と判断します。
- パケットがプロトコルVLANの対象プロトコルに合致する場合、プロトコルVLANの所属と判断します。
- 上記の基準に当てはまらないパケットは、ポートVLANの所属と判断します。
- 使用可能なVLAN種別が「MACアドレスVLAN、リミテッドプロトコルVLAN、ポートVLAN」のとき
- パケットがMACアドレスVLANのメンバーアドレスに合致する場合、MACアドレスVLANの所属と判断します。
- パケットがリミテッドプロトコルVLANの対象プロトコルに合致する場合、リミテッドプロトコルVLANの所属と判断します。
- 上記の基準に当てはまらないパケットは、ポートVLANの所属と判断します。
- 使用可能なVLAN種別が「未確定」のときは、システム上にポートVLANしか存在しないため、すべてのパケットがポートVLANの所属になります。
以下の各節では、上記をふまえ、最初にもっとも基本的なVLANであるポートVLANとタグVLANについて説明したのち、その他のVLANについて簡単に説明します。
ご購入時の状態ではすべてのポートがVLAN default(VID=1)に所属しており、すべてのポートが相互に通信可能になっています。単なるレイヤー2スイッチとして本製品を使用する場合は、特別な設定を行うことなく、設置・配線を行うだけで使用できます。
VLAN defaultは特殊なVLANであり、下記の特長があります。
- VLAN defaultは削除できません。
- ポートがVLAN defaultにしか所属していない場合、同ポートをVLAN defaultから削除することはできません。ただし同ポートを、ユーザー定義のポートVLANにタグなしポートとして割り当てると、該当ポートは自動的にVLAN defaultから削除されます。
- ユーザー定義VLANのポートVLANメンバーからタグなしポートを削除すると、該当ポートは自動的にVLAN defaultのタグなしポートに戻ります。
- VLAN defaultは「default STP」以外のSTPドメインに参加できません。
- VLAN defaultのVLAN種別(TYPE)は、ポートVLAN以外のVLANを最初に作成したときに決まります。最初に作成したポートVLAN以外のVLANがIPサブネットVLANかプロトコルVLANならば、VLAN defaultはIPサブネットVLANになります。また、最初に作成したポートVLAN以外のVLANがMACアドレスVLANかリミテッドプロトコルVLANならば、VLAN defaultはMACアドレスVLANになります。
ポートVLANは、ポート単位でVLANの範囲を設定するもっとも基本的なVLANです。ポート1〜4はVLAN red、ポート5〜8はVLAN white、といったように設定します。
- 新規にVLANを作成するにはCREATE VLANコマンドを使います。VLAN作成時には、VLAN名とVLAN ID(VID)を割り当てる必要があります。VLAN名は任意の文字列(ただし、先頭文字は数字以外)、VIDは2〜4078の範囲の任意の数値です(1はVLAN defaultに割り当てられているため使用できません)。3つのVLAN、A(VID=10)、B(VID=20)、C(VID=30)を作成するには次のようにします。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
これ以降、VLAN名を指定するときはVLAN名、VIDのどちらを使ってもかまいません。ここではおもにVLAN名を使います。
- VLANを作成したら、ADD VLAN PORTコマンドでVLANにポートを割り当てます。ここでは、VLAN Aにポート1.1〜1.4を、VLAN Bにポート1.5〜1.8を、VLAN Cにポート2.1〜2.8を割り当てます。
ADD VLAN=A PORT=1.1-1.4 ↓
ADD VLAN=B PORT=1.5-1.8 ↓
ADD VLAN=C PORT=2.1-2.8 ↓
このようにしてポートをdefault以外のVLANに割り当てると、そのポートは自動的にVLAN defaultから削除されます。すなわち、上記の設定を終えるとVLAN defaultには所属ポートが1つもない状態になります。
これで、物理的には1台のスイッチでありながら、ネットワーク的には3台のスイッチに分割されたような状態となります。VLAN A、B、Cは完全に独立しており、互いに通信することはできません。
■ VLANの情報を確認するには、SHOW VLANコマンドを使います。
■ VLANからポートを削除するには、DELETE VLAN PORTコマンドを使います。たとえば、ポート1.3と1.4をVLAN Aから削除するには、次のようにします。default以外のVLANから削除されたポートは、自動的にVLAN defaultの所属に戻ります。
DELETE VLAN=A PORT=1.3-1.4 ↓
■ VLANを削除するには、DESTROY VLANコマンドを使います。VLANの削除は、所属ポートをすべて削除してからでないと行えません。VLAN Cを削除するには、次のようにします。
DELETE VLAN=C PORT=ALL ↓
DESTROY VLAN=C ↓
Note
- VLAN defaultは削除できません。
VLANタグを使用すると、1つのポートを複数のポートVLANに所属させることができます。これは、イーサネットフレームにVLAN IDの情報を挿入し、各フレームが所属するVLANを識別できるようにすることによって実現されます(802.1Q VLANタギング)。タグVLANは、複数のVLANを複数の筐体にまたがって作成したい場合や、802.1Q対応サーバーを複数VLANから共用したい場合などに利用します。
Note
- VLAN内に、複数VLANに所属するポートが1つでも含まれている場合、そのVLANをdefault以外のSTPドメインに参加させることはできません。そうしたVLANでは、default STPを使ってください(VLANはデフォルトでdefault STP所属となります)。
VLANタグ対応サーバーの共用
VLANタグを利用して、ポート4を2つのVLANに所属させ、どちらのVLANからも802.1Q対応サーバーにアクセスできるようにします。
Note
- VLANタグを使用する場合、接続先機器もVLANタグ(802.1Q)に対応している必要があります。
ここでは次のようなネットワーク構成を例に説明します。
- VLAN A、Bを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
- VLAN Aにポートを追加します。ポート1.1〜1.4はタグを使わない通常のポートに設定し、ポート2.4はタグを使用するポートとして設定します。VLANにタグ付きポートを追加するときは、ADD VLAN PORTコマンドのFRAMEパラメーターにTAGGEDを指定します。FRAMEパラメーターを付けなかったときはタグなし(UNTAGGED)となります。
ADD VLAN=A PORT=1.1-1.4 ↓
ADD VLAN=A PORT=2.4 FRAME=TAGGED ↓
- VLAN Bにポートを追加します。ポート1.5〜1.8はタグを使わない通常のポートに設定し、ポート2.4はタグを使用するポートとして設定します。
ADD VLAN=B PORT=1.5-1.8 ↓
ADD VLAN=B PORT=2.4 FRAME=TAGGED ↓
以上で設定は完了です。
これにより、ポート1.1〜1.8から送受信されるフレームは次のようになります。
表 1
| ポート1.1〜1.4 |
送信 |
ポート1.1〜1.4から送信するフレームはVLAN A宛てのタグなしフレーム |
| 受信 |
ポート1.1〜1.4で受信したタグなしフレームはVLAN A(VID=10)所属とみなされる |
| ポート2.4 |
送信 |
ポート2.4から送信するフレームは、VLAN A宛てならVID=10のタグ付きで、VLAN B宛てならVID=20のタグ付きで送信される |
| 受信 |
ポート2.4ではVLAN A、B両方のトラフィックを受信する。受信するフレームはタグ付き。タグのVIDにより、所属VLANを判断する |
| ポート1.5〜1.8 |
送信 |
ポート1.5〜1.8から送信するフレームはVLAN B宛てのタグなしフレーム |
| 受信 |
ポート1.5〜1.8で受信したタグなしフレームはVLAN B(VID=20)所属とみなされる |
■ 上記の設定では、ポート2.4はVLAN defaultにも(タグなしポートとして)所属したままになっています。他にもVLAN default所属のポートがあってトラフィックが流れている場合、ポート2.4にもVLAN defaultのブロードキャストパケットが送出されます。これが望ましくない場合は、DELETE VLAN PORTコマンドを使って、ポート2.4をVLAN defaultから削除します。
DELETE VLAN=default PORT=2.4 ↓
VLANタグを利用したスイッチ間接続
VLANタグを利用して、2台のスイッチにまたがるVLANを作成します。ここでは次のようなネットワーク構成を例に説明します。ポート13をタグ付きに設定し、VLAN A、B両方のトラフィックがスイッチ間で流れるようにします。
スイッチの設定(A、B共通)
- VLANA、Bを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
- VLAN Aにポートを追加します。ポート1.1〜1.4はタグを使わない通常のポートに設定し、ポート2.8はタグを使用するポートとして設定します。VLANにタグ付きポートを追加するときは、ADD VLAN PORTコマンドのFRAMEパラメーターにTAGGEDを指定します。FRAMEパラメーターを付けなかったときはタグなし(UNTAGGED)となります。
ADD VLAN=A PORT=1.1-1.4 ↓
ADD VLAN=A PORT=2.8 FRAME=TAGGED ↓
- VLAN Bにポートを追加します。ポート1.5〜1.8はタグを使わない通常のポートに設定し、ポート2.8はタグを使用するポートとして設定します。
ADD VLAN=B PORT=1.5-1.8 ↓
ADD VLAN=B PORT=2.8 FRAME=TAGGED ↓
設定は以上です。
■ 複数のスイッチにまたがるVLANを作成する場合は、各筐体で同じVLAN IDを設定するようにしてください。一方、VLAN名は個々の筐体内でしか意味を持たないので、スイッチごとに異なっていてもかまいません(ただし、混乱を防ぐ意味では同じ名前を付けた方がよいでしょう)。
■ 上記の設定では、ポート2.8はVLAN defaultにも(タグなしポートとして)所属したままになっています。他にもVLAN default所属のポートがあってトラフィックが流れている場合、ポート2.8にもVLAN defaultのブロードキャストパケットが送出されます。これが望ましくない場合は、DELETE VLAN PORTコマンドを使って、ポート13をVLAN defaultから削除します。
DELETE VLAN=default PORT=2.8 ↓
IPサブネットVLANでは、受信したタグなしパケットの始点IPアドレスが特定のサブネットに属する場合、これをVLANメンバーと見なします。
Note
- IPサブネットVLANの対象となるプロトコルはIPだけです。ARPパケットのグルーピングにはプロトコルVLANを利用してください。
■ IPサブネットVLANを作成するには、CREATE VLANコマンドのTYPEパラメーターにSUBNETを指定します。また、SUBNETおよびMASKパラメーターでサブネットの範囲を指定します。MASKパラメーターを省略した場合は、SUBNETパラメーターで指定したアドレスのクラス標準マスクが使用されます。
CREATE VLAN=net10 VID=10 TYPE=SUBNET SUBNET=192.168.10.0 MASK=255.255.255.0 ↓
また、サブネットの範囲はADD VLAN SUBNETコマンドを使って後から追加することもできます。
CREATE VLAN=net10 VID=10 TYPE=SUBNET ↓
ADD VLAN=net10 SUBNET=192.168.10.0 MASK=255.255.255.0 ↓
Note
- 作成したVLANの種類を変更することはできません。変更したい場合は、DESTROY VLANコマンドでVLANを削除したのち、別の種類で新規作成してください。
Note
- IPサブネットVLANにサブネット範囲を複数設定する場合、および、IPサブネットVLANを複数作成する場合、サブネットのアドレス範囲が重複するような設定はできません。たとえば、VLAN Aのサブネット範囲を「172.16.10.0/24」(172.16.10.0〜172.16.10.255)に設定した場合、VLAN Bのサブネット範囲として「172.16.0.0/16」(172.16.0.0〜172.16.255.255)を指定することはできません。
■ IPサブネットVLANを作成し、サブネットの範囲を指定したら、ADD VLAN PORTコマンドでタグなしポートをIPサブネットVLANに関連付けます。
ADD VLAN=net10 PORT=1.1-1.4 SUBNET=192.168.10.0 ↓
これにより、ポート1.1〜1.4で受信したIPパケットのうち、始点アドレスが192.168.10.0/24の範囲におさまるものがVLAN net10の所属として扱われます。
■ 同一のポート範囲(ポート1.1〜1.8および2.1〜2.8)に対して、2つのIPサブネットVLANを作成するには次のようにします。
CREATE VLAN=A VID=10 TYPE=SUBNET SUBNET=192.168.10.0 MASK=255.255.255.0 ↓
CREATE VLAN=B VID=20 TYPE=SUBNET SUBNET=192.168.20.0 MASK=255.255.255.0 ↓
ADD VLAN=A PORT=1.1-1.8,2.1-2.8 SUBNET=192.168.10.0 ↓
ADD VLAN=B PORT=1.1-1.8,2.1-2.8 SUBNET=192.168.20.0 ↓
これにより、ポート1.1〜1.8および2.1〜2.8で受信したパケットのうち、始点アドレスが192.168.10.0/24の範囲におさまるものはVLAN A、192.168.20.0/24の範囲におさまるものはVLAN Bの所属として扱われます。
また、その他のパケット(始点アドレスが上記以外、あるいは、IPでないパケット)は、受信ポートが所属しているポートVLANの所属になります。上記の例でVLAN A、B以外にユーザー定義のVLANがないと仮定すると、その他のパケットはVLAN defaultの所属として扱われます。
ポート1.1〜1.8および2.1〜2.8以外のポートにも機器が接続されている場合、それらの機器が送信したパケットはVLAN default所属となるため、ポート1.1〜1.8および2.1〜2.8にもパケットが出力される可能性があります。これを避けるには、ポート1.1〜1.8および2.1〜2.8をVLAN default以外のポートVLANに所属させるか、ポート1.1〜1.8および2.1〜2.8以外をVLAN default以外のポートVLANに所属させます。前者の設定は次のとおりです。
CREATE VLAN=DUMMY VID=100 ↓
ADD VLAN=DUMMY PORT=1.1-1.8,2.1-2.8 ↓
■ 前の例では、IPサブネット192.168.10.0/24と192.168.20.0/24は同一ポート上に混在していますが、それぞれのパケットが別のVLANに所属するため、互いに通信することはできません。サブネット間で通信を可能にするには、両方のVLANにIPアドレスを割り当て、VLAN間ルーティングを有効にする必要があります。
ENABLE IP ↓
ADD IP INT=vlan-A IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=vlan-B IP=192.168.20.1 MASK=255.255.255.0 ↓
詳細は「VLAN間ルーティング」をご覧ください。
プロトコルVLANでは、受信したタグなしパケットのL2プロトコルタイプフィールドに特定の値が格納されているパケットをVLANメンバーと見なします。プロトコルVLANは、他の種類のVLAN(ポートVLANなど)と組み合わせて使うケースがよくあります。
■ プロトコルVLANを作成するには、CREATE VLANコマンドのTYPEパラメーターにPROTOCOLを指定します。また、PROTOCOLパラメーターでプロトコルを指定します。プロトコルは、定義済みのプロトコル名(ADD VLAN PROTOCOLコマンドの表を参照)か16進表記(「0x」を前置)のプロトコル番号で指定します。
プロトコル名で指定する場合は次のようにします。
CREATE VLAN=nw VID=100 TYPE=PROTOCOL PROTOCOL="IPX 802.2" ↓
プロトコル番号で指定する場合は、フレームタイプ(エンキャプセレーション)に応じて、1バイト(802.2 LLC DSAP)、2バイト(Ethertypeまたは802.3 raw)、5バイト(SNAP)の16進数(「0x」を前置)で指定します。
CREATE VLAN=nw VID=100 TYPE=PROTOCOL PROTOCOL=0xe0 ↓
また、プロトコルはADD VLAN PROTOCOLコマンドを使って後から追加することもできます。
CREATE VLAN=nw VID=10 TYPE=PROTOCOL ↓
ADD VLAN=nw PROTOCOL="IPX 802.2" ↓
Note
- 作成したVLANの種類を変更することはできません。変更したい場合は、DESTROY VLANコマンドでVLANを削除したのち、別の種類で新規作成してください。
■ プロトコルVLANを作成し、対象プロトコルを指定したら、ADD VLAN PORTコマンドでタグなしポートをプロトコルVLANに関連付けます。
ADD VLAN=nw PORT=1.1-1.4 PROTOCOL="IPX 802.2" ↓
これにより、ポート1.1〜1.4で受信したパケットのうち、フレームタイプ802.2のIPXパケット(DSAP = 0xe0)がVLAN nwの所属として扱われます。
■ 2つのポートVLAN AとBを包含するプロトコルVLAN NBを作成します。ポート1.1〜1.8および2.1〜2.8で受信したNetBEUIパケットはVLAN NB所属と見なされます。それ以外のパケットは、受信ポートが1.1〜1.4および2.1〜2.4ならVLAN A、1.5〜1.8および2.5〜2.8ならVLAN B所属として扱われます。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=NB VID=100 TYPE=PROTOCOL PROTOCOL=NetBEUI ↓
ADD VLAN=A PORT=1.1-1.4,2.1-2.4 ↓
ADD VLAN=B PORT=1.5-1.8,2.5-2.8 ↓
ADD VLAN=NB PORT=1.1-1.8,2.1-2.8 PROTOCOL=NetBEUI ↓
MACアドレスVLANでは、受信したタグなしパケットの送信元MACアドレスが特定のアドレスだった場合に、これをVLANメンバーと見なします。
■ MACアドレスVLANを作成するには、CREATE VLANコマンドのTYPEパラメーターにMACADDRESSを指定します。また、ADDRESS(およびENDADDRESS)パラメーターでメンバーとみなすMACアドレスを指定します。MACアドレスは「xx-xx-xx-xx-xx-xx」の形式で、ユニキャストアドレスのみ有効です。アドレスを1個だけ指定するときは、ADDRESSパラメーターに指定します。連続するアドレスを一度に指定するには、ADDRESSに先頭アドレスを、ENDADDRESSに終了アドレスを指定します。
アドレスを1個だけ指定する場合は次のようにします。
CREATE VLAN=private VID=10 TYPE=MACADDRESS ADDRESS=00-00-f4-12-34-56 ↓
連続するアドレスを複数指定する場合は次のようにします。
CREATE VLAN=private VID=10 TYPE=MACADDRESS ADDRESS=00-00-f4-12-34-56 ENDADDRESS=00-00-f4-12-34-ff ↓
Note
- アドレスを範囲指定する場合、1回のコマンド実行で追加できるアドレスは1024個までです。必要であれば複数回コマンドを実行してください。
また、MACアドレスはADD VLAN ADDRESSコマンドを使って後から追加することもできます。
CREATE VLAN=private VID=10 TYPE=MACADDRESS ↓
ADD VLAN=private ADDRESS=00-00-f4-ab-cd-ef ↓
ADD VLAN=private ADDRESS=00-00-f4-ff-00-00 ENDADDRESS=00-00-f4-ff-03-ff ↓
Note
- 作成したVLANの種類を変更することはできません。変更したい場合は、DESTROY VLANコマンドでVLANを削除したのち、別の種類で新規作成してください。
■ MACアドレスVLANを作成し、メンバーアドレスを指定したら、ADD VLAN PORTコマンドでタグなしポートをMACアドレスVLANに関連付けます。ADDRESSパラメーターには通常ALLを指定して、すべてのMACアドレスが対象になるようにします。
ADD VLAN=private PORT=1.1-1.4 ADDRESS=ALL ↓
これにより、ポート1.1〜1.4で受信したパケットのうち、送信元MACアドレスが登録済みのメンバーアドレスと合致するパケットがVLAN privateの所属として扱われます。
リミテッドプロトコルVLANは、指定できるプロトコルがIP、IPX、それ以外の原則3種に限定されたプロトコルVLANです。通常のプロトコルVLANを併用できないMACアドレスVLAN使用時に使います。
■ リミテッドプロトコルVLANを作成するには、CREATE VLANコマンドのTYPEパラメーターにLIMITEDPROTOCOLを指定します。また、LIMITEDPROTOCOLパラメーターでプロトコルを指定します。LIMITEDPROTOCOLには、定義済みのプロトコル名「IP」、「IPX」、「OTHER」か、プロトコル番号「0x0800」、「0xE0」、「0x8137」、「0xFFFF」、「0x0000008137」を指定します。IPXかOTHERを指定した場合は、ENCAPSULATIONパラメーターでフレームタイプも指定する必要があります。
Note
- 定義済みのプロトコル名「IP」にARPは含まれません。ARPは「OTHER」に含まれています。
Ethernet2のIPパケットだけを対象とするリミテッドプロトコルVLAN「ipp」を作成します。
CREATE VLAN=ipp VID=20 TYPE=LIMITEDPROTOCOL LIMITEDPROTOCOL=IP ↓
または
CREATE VLAN=ipp VID=20 TYPE=LIMITEDPROTOCOL LIMITEDPROTOCOL=0x0800 ↓
すべてのIPXパケットを対象とするリミテッドプロトコルVLAN「allipx」を作成します。
CREATE VLAN=allipx VID=30 TYPE=LIMITEDPROTOCOL LIMITEDPROTOCOL=IPX ENCAPSULATION=ALL ↓
また、プロトコルはADD VLAN LIMITEDPROTOCOLコマンドを使って後から追加することもできます。
CREATE VLAN=ipp VID=20 TYPE=LIMITEDPROTOCOL ↓
ADD VLAN=ipp LIMITEDPROTOCOL=IP ↓
Note
- 作成したVLANの種類を変更することはできません。変更したい場合は、DESTROY VLANコマンドでVLANを削除したのち、別の種類で新規作成してください。
■ リミテッドプロトコルVLANを作成し、対象プロトコルを指定したら、ADD VLAN PORTコマンドでタグなしポートをリミテッドプロトコルVLANに関連付けます。
ADD VLAN=ipp PORT=1.1-1.4 LIMITEDPROTOCOL=IP ↓
これにより、ポート1.1〜1.4で受信したパケットのうち、IPパケット(Ethertype = 0x0800)がVLAN ippの所属として扱われます。
■ リミテッドプロトコルVLANを使って、IPとそれ以外のプロトコル(OTHER)を分ける場合は、IP用のVLANを単なるポートVLANとせず、「LIMITEDPROTOCOL=IP」を明示的に指定したリミテッドプロトコルVLANにしてください。
CREATE VLAN=A VID=10 TYPE=LIMITEDPROTOCOL ↓
CREATE VLAN=B VID=20 TYPE=LIMITEDPROTOCOL ↓
CREATE VLAN=NONIP VID=100 TYPE=LIMITEDPROTOCOL ↓
ADD VLAN=A PORT=1.1-1.4,2.1-2.4 LIMITEDPROTOCOL=IP ↓
ADD VLAN=B PORT=1.5-1.8,2.5-2.8 LIMITEDPROTOCOL=IP ↓
ADD VLAN=NONIP PORT=1.1-1.8,2.1-2.8 LIMITEDPROTOCOL=OTHER ↓
VLAN A、Bの設定を次のようにすると(通常のポートVLANとして設定すると)、VLAN間のIP通信ができなくなりますのでご注意ください。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=NONIP VID=100 TYPE=LIMITEDPROTOCOL ↓
ADD VLAN=A PORT=1.1-1.4,2.1-2.4 ↓
ADD VLAN=B PORT=1.5-1.8,2.5-2.8 ↓
ADD VLAN=NONIP PORT=1.1-1.8,2.1-2.8 LIMITEDPROTOCOL=OTHER ↓
各VLANは独立したブロードキャストドメインになるため、互いに通信することはできません。しかし、各VLANにレイヤー3プロトコル(IP)のアドレスを割り当て、ルーティング機能を有効にすれば、ネットワーク層レベルでパケットがルーティングされ、VLAN間通信が可能になります。ここではIPを例に、VLAN間ルーティングの基本設定について説明します。
- VLANを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
- VLANにポートを割り当てます。
ADD VLAN=A PORT=1.1-1.4 ↓
ADD VLAN=B PORT=1.5-1.8 ↓
ADD VLAN=C PORT=2.1-2.8 ↓
- IPを使用するため、IPモジュールを有効にします。
- 各VLAN(VLANインターフェース)にIPアドレスを割り当てます。IPアドレスの設定はADD IP INTERFACEコマンドで行います。
ADD IP INTERFACE=vlan-A IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan-B IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan-C IP=192.168.30.1 MASK=255.255.255.0 ↓
設定は以上です。
これにより、VLAN間でIPがルーティングされるようになります。VLAN間ルーティングは、同じプロトコルのレイヤー3インターフェースを2つ作成した時点で自動的に有効になります。
次の図は、この状態を概念的に示したものです。VLAN分けにより分割された仮想的なスイッチ3台の上位に、仮想的なルーターを設置したものと考えることができます。実際にはこれらのスイッチやルーターの機能は、1台の筐体内で実現されています。
■ VLANインターフェースの指定には次に示す2とおりの方法があります。レイヤー3(IPなど)のコマンドでVLANを指定するときは、どちらの方法を使ってもかまいません。詳細については、コマンドリファレンスの各コマンドの説明をご覧ください。
- VLAN名による指定
VLAN名が「myname」なら、vlan-mynameのように「vlan-」+VLAN名と指定します。次に例を示します。
ADD IP INT=vlan-myname IP=192.168.100.10 MASK=255.255.255.0 ↓
- VLAN ID(VID)による指定
VIDが10ならば、vlan10のように「vlan」+VIDのように指定します。VLAN名のときとは異なり、ハイフンが入らないことに注意してください。
ADD IP INT=vlan10 IP=192.168.10.1 MASK=255.255.255.0 ↓
■ 各VLANに割り当てられたIPアドレスは、SHOW IP INTERFACEコマンドで確認できます。
■ デフォルトルートを設定するには、ADD IP ROUTEコマンドを使います。
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=vlan-A NEXTHOP=192.168.10.254 ↓
■ 詳細は「IP」の章をご覧ください。
パケットストームプロテクションは、VLANごとにレイヤー2のブロードキャストパケット、マルチキャストパケットの送信レートに上限を設定し、パケットストームを防止するための機能です。これらのパケットの送信レートが設定値を上回った場合、パケットは破棄されます。本機能はデフォルトではオフになっています。
制限できるのは以下のパケットです。かっこ内は設定パラメーターの名前です。
- ブロードキャストパケット(BCLIMIT)
- マルチキャストパケット(MCLIMIT)
送信レートの上限値は、ブロードキャストパケット、マルチキャストパケットのそれぞれについて、16個/秒〜1048560個/秒の範囲で指定できます。ただし、実際の設定値は、16の倍数になるよう切り捨てられます。
■ 送信レートの設定はSET VLANコマンドで行います。ここでは、VLAN orangeに対して、ブロードキャストパケットの送信レートを1秒あたり1000個、マルチキャストパケットの送信レートを1秒あたり1500個に制限します。
SET VLAN=orange BCLIMIT=1000 MCLIMIT=1500 ↓
Note
- パケットストームプロテクションは、64個のカウンターによって実現されています。BCLIMIT、MCLIMITパラメーターにNONE以外の値を設定すると、パラメーター1個あたりカウンター1個が消費されます。たとえば、VLAN orangeにBCLIMITとMCLIMITの両方を設定した場合、カウンターは2個消費されます。したがって、パケットストームプロテクションを利用できるVLANの数は最大64個、最小32個となります。
■ 送信レートの制限を解除するには値としてNONEを指定します。
SET VLAN=orange BCLIMIT=NONE MCLIMIT=NONE ↓
■ パケットストームプロテクションの設定状況はSHOW VLANコマンドで確認できます。「Broadcast limit」、「Multicast limit」をご覧ください。
(C) 2003 - 2005 アライドテレシスホールディングス株式会社
PN: J613-M6964-02 Rev.G