第4編
レイヤー2

プライベートVLANの機能説明

プライベートVLANは、レイヤー2レベルでトラフィックを分離するための機能です。1つのプライマリーVLANに、1つ以上のセカンダリーVLAN(1つの独立VLAN、複数のコミュニティーVLAN)を関連付けて設定します。異なるセカンダリーVLAN間での通信が制限されることにより、トラフィックの中継可能範囲を分離します。

プライベートVLANの概要

プライマリーVLAN、セカンダリーVLAN(独立VLAN、コミュニティーVLAN)に割り当てるポートの種別と動作について、以下に示します。

補 足

プライベートVLANのポート (プロミスキャスポート、ホストポート) では、タグなしフレーム形式で送受信します。

プライマリーVLAN

プライマリーVLANのポートは、プロミスキャスポート(Promiscuous Port)として設定します。プロミスキャスポートで受信したトラフィックは、すべてのプロミスキャスポートとホストポートに中継可能です。

独立VLAN(Isolated VLAN)

独立VLANのホストポート(Isolated Port)で受信したトラフィックは、プロミスキャスポートにのみ中継可能です。独立VLANの別のホストポートや、コミュニティーVLANのホストポートには中継しません。

コミュニティーVLAN(Community VLAN)

コミュニティーVLANのホストポート(Community Port)で受信したトラフィックは、プロミスキャスポート、および同じコミュニティーVLANの別のホストポートに中継可能です。異なるコミュニティーVLANのホストポートや、独立VLANのホストポートには中継しません。

プライベートVLANの種別は、private-vlanコマンドで設定します。プライマリーVLANに、セカンダリーVLANを関連付けるには、private-vlan associationコマンドを使用します。

プライベートVLANのポート種別は、switchport mode private-vlanコマンドで設定します。プロミスキャスポートとして割り当てるには、switchport private-vlan mappingコマンドを使用します。ホストポートとして割り当てるには、switchport private-vlan host-associationコマンドを使用します。

プライベートVLANの制限事項

プライベートVLANを使用する場合は、以下の制限事項があります。

  • プライベートVLANでは、通常のVLANより多くのMACアドレステーブルを使用します。
  • VLAN 1はプライベートVLANとして使用できません。
  • セカンダリーVLANでは、VLANインターフェースを作成してIPアドレスを設定することはできません。プライマリーVLANでは設定できますが、ホストポート経由ではそのIPアドレスとの通信(Telnetやpingなど、すべてのIP通信)はできません。

また、プライベートVLANでは、以下の機能との併用は不可、または未サポートです。

  • プライベートVLANと他VLANとの間のレイヤー3中継
  • OSPFやVRRPなど、すべてのレイヤー3関連機能(ただし、プロミスキャスポート経由の管理用のスタティックルートは除く)
  • DHCP関連機能、CFM、IGMPスヌーピング、MLDスヌーピング、RPVST+、VLANベースモードのループ検知機能
  • AccessDefender機能のダイナミックVLAN、Gateway認証、DHCPスヌーピング
  • その他、ホストポート経由で装置のIPアドレスとの通信が関連する機能

スイッチを跨いでプライベートVLANを構築する場合

プライベートVLANでは、基本的にプロミスキャスポートとホストポートを使用しますが、スイッチを跨いで同じポリシーのプライベートVLANを構築する場合のみ、スイッチ間を接続するポートはトランクポート設定で接続します。この場合、スイッチを跨いでもプライベートVLANの動作を維持するために、通常のトランクポートの動作ではなく、以下のような動作になります。

  • トランクポートで受信したプライマリーVLANのタグ付きフレームは、すべてのポートに中継可能です。
  • トランクポートで受信した独立VLANのタグ付きフレームは、プロミスキャスポートと別のトランクポートにのみ中継可能です。独立VLANのホストポートや、コミュニティーVLANのホストポートには中継しません。
  • トランクポートで受信したコミュニティーVLANのタグ付きフレームは、プロミスキャスポート、トランクポート、および同じコミュニティーVLANのホストポートに中継可能です。異なるコミュニティーVLANのホストポートや、独立VLANのホストポートには中継しません。

ただし、この構成の場合、以下のようなフラッディングトラフィックが増える仕様制限があることに注意してください。以下では、2台のスイッチ(SW1とSW2)をトランクポート設定で接続している構成を例に説明します。

  • SW1のプロミスキャスポートで受信し、宛先MACアドレスの端末がSW2のホストポートの先に存在する場合、そのトラフィックはSW1では常にフラッディング中継動作になります。
  • SW1のホストポートで受信し、宛先MACアドレスの端末がSW2のプロミスキャスポートの先に存在する場合、そのトラフィックはSW1では常にフラッディング中継動作になります。

ページトップへ