プライベートVLAN(Private VLAN)と保護ポート
プライベートVLANとは、
VLANの中に複数のVLANを作る技術の事です。プライベートVLANによって区切られたプライベートVLAN内でブロードキャストドメインを分割する事が出来ます。
又、従来では同一VALN間でトラフィック制御する際ACLなどを使用して制御が複雑になるなどの問題点がありましたが、プライベートVLANはその欠点を解消しております。
保護ポートとは、
保護ポートとは、プライベートVLANに比べてセカンダリVLANを設定せずにVLANのトラフィック制御をする事が出来る技術の事です。保護ポートを設定したインターフェース同士は通信する事が出来ませんが、その他のポートとは通信する事が可能です。
■ 保護ポートの基本設定
Switch(config)# interface { インターフェース名 }
Switch(config-if)# switchport access vlan { VLAN番号 }
Switch(config-if)# switchport mode access
Switch(config-if)# switchport protected //保護ポートの設定
保護ポートの設定はとても簡単ですが、細かくトラフィック制御する事が出来ません。
■ プライベートVLANの用語
プライマリVLAN ・・・VLANドメイン全体の事。(従来通りのVLANの解釈)
セカンダリVLAN ・・・プライマリVLANに作成するVLANの事。セカンダリVLANは、独立VLANとコミュニティVLANに分類できます。
独立VLAN ・・・プライマリVLAN内とのみ通信可能なVLANの事。同じセカンダリーVLAN同士も通信する事は出来ません。
コミュニティVLAN・・・同じコミュニティVLANとプライマリVLAN内とのみ通信可能なVLANの事。
■ 基本設定
①VTPをトランスペアレントモードにする
Switch(config)#vtp mode transparent
②プライマリVLANとセカンダリVLANの設定
Switch(config)# vlan { 作成するVLAN番号 }
Switch(config-vlan)#private-vlan { primary | isolated | community }
[ private-vlanのパラメータの詳細 ]
(1) プライマリVLAN
・ primary ・・・プライマリVLANの設定
例>
Switch(config)# vlan 50
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association { セカンダリVLAN番号 }
※既にプライマリVLANの定義が終わっている場合は、以下のコマンドセカンダリVLANの追加、削除が可能。
Switch(config-vlan)# private-vlan association [ add | remove ] { セカンダリVLAN番号 }
(2) セカンダリVLAN
・ isolated(隔離モード) ・・・プライマリVLANと通信する事は出来るがセカンダリVLANを含むその他のVLANと通信する事は出来ない。
・ community(コミュニティモード) ・・・同じコミュニティとプライマリVLANとは通信する事が出来るが、その他のセカンダリVLANとは通信できない。
③各インターフェースの設定
(1) プライマリVLANの設定
Switch(config)# interface { インターフェース名 }
Switch(config-if)# switchport mode private-vlan primiscuous
Switch(config-if)# switchport private-vlan mapping { プライマリVLAN } [ add | remove ] {セカンダリVLAN} //プライマリVLANとセカンダリVLANのマッピング
(2) セカンダリVLAN(独立VLAN、コミュニティVLAN)の設定
Switch(config)# interface { インターフェース名 }
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association { プライマリVLAN } {セカンダリVLAN} //プライマリVLANとセカンダリVLANの関連付け
■ プライベートVLANの設定例
(1) プライマリVLANの設定
Switch(config)#vtp mode transparent
Switch(config)# vlan 50
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 5,10,15
Switch(config-vlan)# exit
Switch(config)# vlan 5
Switch(config-vlan)#private-vlan isolated
Switch(config-vlan)# exit
Switch(config)# vlan 10
Switch(config-vlan)#private-vlan community
Switch(config-vlan)# exit
Switch(config)# vlan 15
Switch(config-vlan)#private-vlan community
Switch(config-vlan)# exit
Switch(config)# interface fa0/24
Switch(config-if)# switchport mode private-vlan primiscuous
Switch(config-if)# switchport private-vlan mapping 50 5,10,15
Switch(config-if)# exit
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 50 5
Switch(config-if)# exit
Switch(config)# interface fa0/3
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 50 10
Switch(config-if)# exit
Switch(config)# interface fa0/5
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 50 15
Switch(config-if)# exit