Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

ON THIS PAGE

プライベート VLAN

 

プライベート Vlan について

Vlan は指定されたユーザーにブロードキャストを制限します。プライベート Vlan (PVLANs) は、VLAN 内の通信を制限することによって、この概念をさらに一歩進めます。これを実現するために、PVLANs はメンバースイッチポート (プライベートポートと呼ばれる) を通過するトラフィックフローを制限し、指定されたアップリンクトランクポートまたは同一 VLAN 内で指定されたポートとのみ通信するようにします。アップリンクトランクポートまたはリンクアグリゲーショングループ (LAG) は通常、ルーター、ファイアウォール、サーバー、またはプロバイダネットワークに接続されています。各 PVLAN には通常、1つのアップリンクポートとのみ通信する多数のプライベートポートが含まれているため、ポート間の相互通信ができません。

PVLANs は、VLAN 内のポート間でレイヤー2の分離を提供し、プライマリ VLAN 内にセカンダリ Vlan (コミュニティー vlan と分離された vlan) を作成して、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割します。同じコミュニティー VLAN 内のポートが相互に通信できます。独立した VLAN 内のポートは、1つのアップリンクポートとのみ通信できます。

通常の Vlan と同様に、PVLANs はレイヤー 2 で分離されており、次のオプションのいずれかを実行してレイヤー3トラフィックをセカンダリ vlan 間でルーティングする必要があります。

  • プロミスカスポート接続 (ルーター使用時)

  • RVI (ルーティングされた VLAN インターフェイス)

PVLAN では、セカンダリ Vlan 間でレイヤー3トラフィックをルーティングするために、前述のオプションの1つだけを必要としています。RVI を使用する場合でも、プロミスカスポートをルーターに接続して実装することで、PVLAN を出入りするトラフィックのみを処理するように設定することができます。

PVLANs は、ブロードキャストおよび不明なユニキャストトラフィックのフローを制限し、既知のホスト間の通信を制限するのに役立ちます。サービスプロバイダは PVLANs を使用して、お客様の相互の分離を維持しています。PVLAN のもう1つの一般的な用途は、ホテルで部屋単位のインターネットアクセスを提供することです。

PVLAN を構成して、PVLANs をサポートするスイッチにまたがることができます。

このトピックでは、EX シリーズスイッチの PVLANs に関する以下の概念について説明します。

PVLANs のメリット

単一の VLAN を分離する必要があるのは、以下の導入シナリオにおいて特に便利です。

  • サーバーファーム—一般的なインターネットサービスプロバイダは、サーバーファームを使用して、多数のお客様に Web ホスティングを提供しています。1台のサーバーファーム内のさまざまなサーバーを特定することで、管理が容易になります。レイヤー2ブロードキャストが VLAN 内のすべてのサーバーに配信されるため、すべてのサーバーが同じ VLAN 内にある場合、セキュリティの問題が発生します。

  • メトロポリタンイーサネット—ネットワークメトロサービスプロバイダは、さまざまなホーム、レンタルコミュニティ、およびビジネスへのレイヤー2イーサネットアクセスを提供しています。お客様に1つの VLAN を導入する従来のソリューションは、拡張性に優れていないため、管理が難しく、IP アドレスが無駄になる可能性があります。PVLANs は、安全性と効率性に優れたソリューションを提供します。

PVLANs の典型的な構造と主要アプリケーション

PVLAN は、単一のスイッチ上で設定することも、複数のスイッチにまたがるように構成することもできます。ドメインとポートのタイプは、以下のとおりです。

  • プライマリ VLAN—PVLAN のプライマリ vlan は、完全な PVLAN の 802.1 q タグ (VLAN ID) で定義されています。プライマリ PVLAN には、複数のセカンダリ Vlan (1 つの独立した VLAN と複数のコミュニティー Vlan) を含めることができます。

  • 分離された VLAN—/分離ポートプライマリ vlan には、1つの独立した vlan のみを含めることができます。分離された VLAN 内のインターフェイスは、パケットをプロミスカスポートまたは ISL (相互スイッチリンク) ポートにのみ転送できます。 分離インターフェイスは、パケットを別の分離インターフェイスに転送することはできません。さらに、分離インターフェイスでは、別の分離インターフェイスからのパケットを受信することはできません。お客様のデバイスがゲートウェイルーターだけにアクセスする必要がある場合、デバイスは、独立したトランクポートに接続する必要があります。

  • コミュニティー VLAN/コミュニティーポート—1 つの PVLAN 内で複数のコミュニティー vlan を構成できます。特定のコミュニティ VLAN 内のインターフェイスは、同じコミュニティ VLAN に属する他の任意のインターフェイスとのレイヤー2通信を確立できます。コミュニティ VLAN 内のインターフェイスは、プロミスカスポートまたは ISL ポートと通信することもできます。 たとえば、他の顧客デバイスから分離する必要があっても、互いに通信できるようにする必要がある2つの顧客デバイスがある場合は、コミュニティーポートを使用します。

  • —プロミスカスポートは、インターフェイスが分離された vlan に属しているか、コミュニティー vlan に所属しているかどうかにかかわらず、PVLAN 内のすべてのインターフェイスとのレイヤー2通信を実行します。プロミスカスポートはプライマリ VLAN のメンバーですが、セカンダリサブドメイン内には含まれていません。通常、エンドポイントデバイスと通信する必要があるレイヤー3ゲートウェイ、DHCP サーバー、その他の信頼できるデバイスは、プロミスカスポートに接続されています。

  • Isl (スイッチ間リンク)—は、PVLAN 内の複数のスイッチを接続し、2個以上の vlan を含むトランクポートです。PVLAN が複数のスイッチにまたがる場合にのみ必要となります。

PVLAN は、プライマリ・ドメイン (プライマリ VLAN) で構成されています。PVLAN では、セカンダリvlan を構成します。これは、プライマリドメイン内にサブドメインとしてネストされています。PVLAN は、単一のスイッチ上で設定することも、複数のスイッチにまたがるように構成することもできます。に図 1示されている PVLAN は、プライマリ PVLAN ドメインとさまざまなサブドメインを持つ2つのスイッチを備えています。

図 1: PVLAN のサブドメイン
PVLAN のサブドメイン

図 3示すように、PVLAN にはプライマリドメインと複数のセカンダリドメインが1つしかありません。ドメインのタイプは以下のとおりです。

  • プライマリ VLAN—vlan を使用して、フレームを下流の分離およびコミュニティー vlan に転送します。PVLAN のプライマリ VLAN は、完全な PVLAN 用の 802.1 Q タグ (VLAN ID) を使用して定義されています。プライマリ PVLAN には、複数のセカンダリ Vlan (1 つの独立した VLAN と複数のコミュニティー Vlan) を含めることができます。

  • プライマリ vlan から—のみパケットを受信し、プライマリ vlan への上位フレームを転送する、セカンダリ分離 vlan vlan。孤立した VLAN は、プライマリ VLAN 内にネストされたセカンダリ VLAN です。プライマリ VLAN には、1つの独立した VLAN のみを含めることができます。分離された VLAN (分離インターフェイス) 内のインターフェイスは、パケットをプロミスカスポートまたは PVLAN トランクポートにのみ転送できます。分離インターフェイスは、パケットを別の分離インターフェイスに転送することはできません。また、分離インターフェイスで別の分離インターフェイスからパケットを受信することもできません。お客様のデバイスがルーターだけにアクセスする必要がある場合、デバイスは、分離されたトランクポートに接続する必要があります。

  • PVLAN トランクポートを—介して、独立した vlan トラフィックをスイッチ間で転送するために使用されるセカンダリ INTERSWITCH 分離 vlan vlan です。802.1 q タグは、interswitch 分離された Vlan に必要です。 IEEE 802.1 Q は、トランクデバイスが4バイトの VLAN フレーム識別タブをパケットヘッダーに挿入する内部タグ機構を使用しているため、このようなことがあります。Interswitch 分離 VLAN は、プライマリ VLAN 内にネストされたセカンダリ VLAN です。

  • セカンダリコミュニティー VLAN—vlan は、コミュニティのメンバー (VLAN 内のユーザーのサブセット) 間でフレームを転送し、フレームを上位 vlan に転送するために使用されます。コミュニティー VLAN は、プライマリ VLAN 内にネストされたセカンダリ VLAN です。1つの PVLAN 内で複数のコミュニティー Vlan を構成できます。特定のコミュニティ VLAN 内のインターフェイスは、同じコミュニティ VLAN に属する他の任意のインターフェイスとのレイヤー2通信を確立できます。コミュニティー内のインターフェイスは、プロミスカスポートまたは PVLAN トランクポートと通信することもできます。

図 2は、プライマリ VLAN (100) に2つのコミュニティードメイン(300400、1つの interswitch 分離ドメインを含む、複数のスイッチにまたがる PVLAN を示しています。

図 2: 複数のスイッチにまたがる PVLAN
複数のスイッチにまたがる PVLAN

プライマリおよびセカンダリ Vlan は、QFX シリーズでサポートされる 4089 Vlan 数の制限に対してカウントします。たとえば、各 VLAN はこの図 2制限をカウントします。

MX シリーズルーターの PVLANs の典型的な構造と主要アプリケーション

構成された PVLAN はプライマリドメインになり、セカンダリ Vlan はプライマリドメイン内にネストされたサブドメインになります。PVLAN は、単一のルーター上に作成できます。に図 3示されている PVLAN は、1つのルーターと、1つのプライマリ PVLAN ドメインと複数のセカンダリサブドメインを備えています。

図 3: 1つのルーターを備えた PVLAN のサブドメイン
1つのルーターを備えた PVLAN のサブドメイン

ドメインのタイプは以下のとおりです。

  • プライマリ VLAN—vlan を使用して、フレームを下流の分離およびコミュニティー vlan に転送します。

  • プライマリ vlan から—のみパケットを受信し、プライマリ vlan への上位フレームを転送する、セカンダリ分離 vlan vlan。

  • PVLAN トランクポートから—別のルーターに分離 vlan トラフィックを転送するために使用される、セカンダリ INTERSWITCH 分離 vlan vlan。

  • コミュニティのメンバー—間でフレームを転送するために使用されるセカンダリコミュニティー vlan VLAN。 vlan 内のユーザーのサブセットであり、フレームをアップストリームでプライマリ VLAN に転送します。

PVLANs は、MPC1、MPC2、および適応型サービスを提供する MX シリーズルーター上で、MX240、MX480、MX960 のルーター、さらには拡張 LAN モードの Dpc によってサポートさ MX80 れています。

EX シリーズスイッチにおける PVLANs の一般的な構造と主要アプリケーション

PVLAN のプライマリ VLAN は、完全な PVLAN 用の 802.1 Q タグ (VLAN ID) を使用して定義されています。EX9200 スイッチでは、各セカンダリ VLAN も個別の VLAN ID を使用して定義する必要があります。

図 4は、1つのスイッチ上の PVLAN を示しており、 100プライマリ vlan (vlan) には300 2 つ400のコミュニティー vlan (vlan および vlan 50) と1個の独立した vlan (vlan) が含まれています。

図 4: 単一の EX スイッチ上のプライベート VLAN
単一の EX スイッチ上のプライベート VLAN

図 5では、プライマリ VLAN (VLAN 100) に2個のコミュニティー vlan (VLAN 300および vlan 400) と1個の分離された vlan (vlan 200) が含まれる、複数のスイッチをスパニングする PVLAN を示しています。また、スイッチ1と2が interswitch リンク (PVLAN トランクリンク) を介して接続されていることも示しています。

図 5: 複数の EX シリーズスイッチをまたがる PVLAN
複数の EX シリーズスイッチをまたがる PVLAN

また、PVLANs に表示さ図 4図 5 、ルーターに接続するプロミスカスポートを使用して、コミュニティと孤立した vlan 間でレイヤー3トラフィックをルーティングすることもできます。ルーターに接続されたプロミスカスポートを使用する代わりに、 図 4図 5 (EX スイッチ上で) に示されているスイッチまたはスイッチのいずれかに、rvi を構成することができます。

分離およびコミュニティ Vlan 間でレイヤー3トラフィックをルーティングするには、ルーターをプロミスカスポートに接続するか、 図 4また図 5はに示すように、または、rvi を構成する必要があります。

RVI オプションを選択した場合、PVLAN ドメインのプライマリ VLAN 用に RVI を設定する必要があります。この RVI は、ドメインに1つ以上のスイッチが含まれているかどうかに関係なく、PVLAN ドメイン全体を提供します。RVI を設定した後、 セカンダリ VLAN インターフェイスによって受信されたレイヤー3パケットは、rvi によってマッピングおよびルーティングを実行します。

RVI を設定する場合は、プロキシアドレス解決プロトコル (ARP) も有効にして、RVI がセカンダリ VLAN インターフェイスによって受信した ARP 要求を処理できるようにする必要があります。

単一スイッチと複数のスイッチでの PVLANs の設定の詳細については、Creating a Private VLAN on a Single EX Series Switch (CLI Procedure)を参照してください。RVI の設定の詳細については、 Configuring a Routed VLAN Interface in a Private VLAN on an EX Series Switchを参照してください。

孤立したコミュニティ Vlan 間のルーティング

分離およびコミュニティ Vlan 間でレイヤー3トラフィックをルーティングするには、外部ルーターまたはスイッチをプライマリ VLAN のトランクポートに接続する必要があります。プライマリ VLAN のトランクポートは、プロミスカスポートです。そのため、PVLAN のすべてのポートと通信できます。

PVLANs は、802.1 の Q タグを使用してパケットを識別します。

パケットが顧客固有の 802.1 Q タグでマークされている場合、そのタグは、ネットワーク内のスイッチまたはルーターのパケットの所有権を特定します。場合によっては、異なるサブドメインからのパケットを追跡するために、802.1 の Q タグが PVLANs 内で必要になることがあります。表 1 Vlan 802.1 q タグがプライマリ vlan またはセカンダリ vlan 上で必要な場合を示します。

表 1: PVLAN の Vlan に 802.1 Q タグが必要な場合

1台のスイッチ上で 複数のスイッチで

プライマリ VLAN

802.1 Q タグを指定するには、VLAN ID を設定します。

802.1 Q タグを指定するには、VLAN ID を設定します。

セカンダリ VLAN

Vlan でタグは必要ありません。

Vlan には802.1 の Q タグが必要です。

  • VLAN ID を設定して、コミュニティ VLAN ごとに 802.1 Q タグを指定します。

  • 分離 ID を設定して、分離 VLAN ID の 802.1 Q タグを指定します。

IP アドレスを効率的に使用する PVLANs

PVLANs は ip アドレスの保護と IP アドレスの効率的な割り当てを提供します。一般的なネットワークでは、Vlan は通常、単一の IP サブネットに対応しています。PVLANs では、サブネットがプライマリ VLAN に割り当てられているため、すべてのセカンダリ Vlan 内のホストは同じ IP サブネットに属しています。セカンダリ VLAN 内のホストには、プライマリ VLAN に関連付けられた IP サブネットに基づいて IP アドレスが割り当てられ、その IP サブネットマスク情報はプライマリ VLAN サブネットの内容を反映しています。ただし、各セカンダリ VLAN は個別のブロードキャストドメインです。

PVLAN のポートタイプと転送ルール

PVLANs は最大6種類のポートタイプを使用できます。「」で図 2示されたネットワークは、プロミスカスポートを使用してルーターに情報を転送します。金融および人事コミュニティーと各スイッチへの接続用コミュニティーポート、サーバーとの接続用の孤立したポート、PVLAN トランクポートによる2つの接続スイッチ. PVLAN のポートにはさまざまな制約があります。

  • プロミスカスポート—は、インターフェイスが分離された vlan に属しているか、コミュニティー vlan に所属しているかに関係なく、プロミスカスポートが、PVLAN 内のすべてのインターフェイスとのレイヤー2通信を実行します。プロミスカスポートはプライマリ VLAN のメンバーですが、セカンダリサブドメイン内には含まれていません。通常、エンドポイントデバイスと通信する必要があるレイヤー3ゲートウェイ、DHCP サーバー、その他の信頼できるデバイスは、プロミスカスポートに接続されています。

  • PVLAN トランクリンク—PVLAN トランクリンク (interswitch link とも呼ばれる) は、PVLAN が複数のスイッチにまたがるように設定されている場合にのみ必要です。PVLAN トランクリンクは、PVLAN を構成する複数のスイッチを接続します。

  • PVLAN トランクポート—スイッチをスパンするには、マルチスイッチの PVLAN 構成で PVLAN トランクポートが必要になります。PVLAN トランクポートは、PVLAN (プライマリ VLAN、コミュニティー Vlan、interswitch 分離 VLAN) 内のすべての Vlan のメンバーであり、プライマリ VLAN とすべてのセカンダリ vlan からのトラフィックを伝送します。分離されたポート以外のすべてのポートと通信できます。

    PVLAN トランクポートと分離ポートの間の通信は通常、片方向です。Interswitch 分離され’た VLAN の PVLAN トランクポートのメンバーシップは送信専用であり、分離ポートが PVLAN トランクポートにパケットを転送できますが、PVLAN トランクポートはパケットを分離されたポートに転送することはありません (パケット ingressed aプロミスカスアクセスポートを備えているため、同じプライマリ VLAN 内のすべてのセカンダリ Vlan に、プロミスカスポートとして転送されます。

  • セカンダリ VLAN トランクポート (非表示)—セカンダリトランクポートはセカンダリ vlan トラフィックを伝送します。特定のプライベート VLAN に対して、セカンダリ VLAN トランクポートは1つのセカンダリ VLAN にのみトラフィックを伝送できます。ただし、セカンダリ vlan トランクポートでは、各セカンダリ VLAN が異なるプライマリ VLAN のメンバーである限り、複数のセカンダリ vlan にトラフィックを伝送できます。たとえば、セカンダリ VLAN トランクポートは、プライマリ VLAN pvlan100 の一部であるコミュニティー VLAN へのトラフィックを伝送し、プライマリ VLAN pvlan400 の一部である分離された VLAN へのトラフィックを伝送することもできます。

  • コミュニティーポート—コミュニティーポートは、自社のプロミスカスポートと通信します。コミュニティーポートは、特定のユーザーグループのみを対象としています。これらのインターフェイスは、レイヤー2で、他のコミュニティ内の他のすべてのインターフェイスまたは PVLAN 内の独立したポートから分離されています。

  • 分離され—たアクセスポート分離ポートは、プロミスカスポートと PVLAN トランクポート—でのみレイヤー2接続を実現します。これら2つのポートが同じ分離 VLAN のメンバーである場合でも、分離ポートは別の分離ポートと通信できません (またはinterswitch 分離 VLAN) ドメインです。通常、メールサーバーやバックアップサーバーなどのサーバーは、独立したポートに接続されています。ホテルでは、各部屋は通常、独立したポートに接続されているため、ルーム間の通信は不可能ですが、各ルームはプロミスカスポート上でインターネットにアクセスできます。

  • プロミスカスアクセスポート (表示さ—れません) これらのポートはタグなしトラフィックを伝送します。プロミスカスアクセスポートで ingresses したトラフィックは、デバイス上のすべてのセカンダリ VLAN ポートに転送されます。VLAN 対応のポートおよび egresses のプロミスカスアクセスポート上でデバイスに ingresses トラフィックが送信された場合、トラフィックは送信時にタグなしの状態になります。Ingresses のトラフィックがプロミスカスアクセスポート上にある場合、トラフィックは破棄されます。

  • Interswitch リンクポート—Interswitch リンク (ISL) ポートは、PVLAN がそのルーターをスパンする場合に2つのルーターを接続するトランクポートです。ISL ポートは、PVLAN 内のすべての Vlan のメンバー (プライマリ VLAN、コミュニティー Vlan、分離された VLAN) です。

    ISL ポートと分離されたポートの間の通信は単一方向です。Interswitch の分離’された VLAN の isl ポートのメンバーシップは送信専用であり、isl ポート上の着信トラフィックが分離された vlan に割り当てられることはありません。分離ポートはパケットを PVLAN トランクポートに転送できますが、PVLAN トランクポートから分離ポートにパケットを転送することはできません。表 3さまざまなタイプのポート間にレイヤー2接続があるかどうかをまとめます。

表 2ELS をサポートする EX シリーズスイッチにおける PVLAN 内のさまざまなタイプのポート間のレイヤー2接続をまとめています。

表 2: ELS をサポートする EX シリーズスイッチでの PVLAN ポートとレイヤー2転送

From ポートタイプ

独立したポートですか?

ポートを無差別にするには

コミュニティーポートへ

スイッチ間リンクポートをお考えですか?

分離

拒否

許可

拒否

許可

検出

許可

許可

許可

許可

コミュニティー1

拒否

許可

許可

許可

表 3: PVLAN ポートとレイヤー2接続

ポートタイプ

プロミスカストランク

PVLAN トランク

セカンダリトランク

コミュニティー

分離アクセス

プロミスカスアクセス

プロミスカストランク

あり

あり

PVLAN トランク

あり

あり

はい—同じコミュニティーのみ

あり

あり

セカンダリトランク

あり

あり

なし

あり

なし

あり

コミュニティー

あり

あり

はい—同じコミュニティーのみ

なし

あり

分離アクセス

あり

1—方向性のみ

なし

なし

なし

あり

プロミスカスアクセス

あり

あり

なし

表 4PVLAN 内のさまざまなタイプのポート間にレイヤー2接続があるかどうかをまとめます。

表 4: ELS サポートなし EX シリーズスイッチでの PVLAN ポートとレイヤー2接続

ポートタイプ

宛先: →

差出人:↓

検出

コミュニティー

分離

PVLAN トランク

RVI

検出

あり

あり

コミュニティー

あり

はい—同じコミュニティーのみ

なし

あり

あり

分離

あり

なし

なし

あり

注: この通信は単一方向です。

あり

PVLAN トランク

あり

はい—同じコミュニティーのみ

あり

注: この通信は単一方向です。

あり

あり

RVI

あり

あり

「」で表 4説明し たように、分離されたポートと PVLAN トランクポートの間のレイヤー2通信は単一方向です。つまり、分離されたポートは PVLAN トランクポートにパケットを送信するだけで、PVLAN トランクポートは、分離されたポートからのみパケットを受信できます。逆に、PVLAN トランクポートから分離ポートにパケットを送信することはできず、孤立したポートは PVLAN トランクポートからパケットを受信することはできません。

プライマリ VLAN 上no-mac-learningで有効にした場合、PVLAN 内のすべての分離された vlan (または INTERSWITCH 分離 vlan) は、その設定を継承します。ただし、任意のコミュニティ Vlan で MAC アドレス学習を無効にする場合は、それらno-mac-learningの各 vlan 上で構成する必要があります。

PVLAN の作成

「」で図 6示されているフローチャートは、pvlans 作成プロセスの一般的な考え方を示しています。ここに記載されている順序で構成手順を完了した場合、これらの PVLAN ルールに違反することはありません。(PVLAN ルールでは、PVLAN トランクポートの設定は複数のルーターにまたがる PVLAN にのみ適用されます)。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • コミュニティーの VLAN ID を構成する場合は、まずプライマリ VLAN を構成する必要があります。

  • 分離 VLAN ID を構成する場合は、まずプライマリ VLAN を構成する必要があります。

PVLAN インターフェイスでの voice over IP (VoIP) VLAN の設定はサポートされていません。

1台のルーター上での VLAN の設定は、に図 6示すように、比較的簡単に行うことができます。

図 6: 単一のスイッチ上での PVLAN の構成
単一のスイッチ上での PVLAN の構成

プライマリ VLAN の設定は、以下のステップで構成されています。

  1. プライマリ VLAN 名と 802.1 Q タグを構成します。
  2. ローカルスイッチングなし、プライマリ VLAN で行います。
  3. プロミスカストランクポートとアクセスポートを構成します。
  4. プライマリ VLAN のプロミスカストランクとアクセスポートのメンバーになります。

プライマリ VLAN 内では、セカンダリコミュニティ Vlan またはセカンダリ分離 Vlan、あるいはその両方を構成できます。セカンダリコミュニティー VLAN の設定は、以下のステップで構成されています。

  1. 通常のプロセスを使用して VLAN を構成します。
  2. VLAN のアクセスインターフェイスを構成します。
  3. コミュニティー VLAN へのプライマリ VLAN の割り当て

孤立した vlan は、分離された VLAN がメンバーとしてアクセスインターフェイスを持つ場合に内部的に作成されます。 ローカルスイッチングなしは、プライマリ VLAN で有効になっています。

802.1 q タグは、interswitch 分離された Vlan に必要です。 IEEE 802.1 Q は、トランクデバイスが4バイトの VLAN フレーム識別タブをパケットヘッダーに挿入する内部タグ機構を使用しているため、このようなことがあります。

トランクポートはマルチルーターの PVLAN 構成—にのみ必要です。トランクポートは、プライマリ vlan とすべてのセカンダリ vlan からのトラフィックを伝送します。

プライベート Vlan の限界

プライベート VLAN 構成には、以下の制約が適用されます。

  • アクセスインターフェイスは、1つの PVLAN ドメインにのみ所属することができます。つまり、2つの異なるプライマリ Vlan に参加することはできません。

  • トランクインターフェイスは、セカンダリ Vlan が2つの異なるプライマリ vlan にある限り、2つのセカンダリ vlan のメンバーになることができます。トランクインターフェイスは、同じプライマリ vlan 内にある2つのセカンダリ vlan のメンバーになることはできません。

  • PVLAN に含まれているすべての Vlan 上で、複数のスパニングツリープロトコル (MSTP) の単一の領域を構成する必要があります。

  • VLAN スパニングツリープロトコル (VSTP) はサポートされていません。

  • IGMP スヌーピングはプライベート Vlan ではサポートされていません。

  • プライベート Vlan ではルーティング VLAN インターフェイスはサポートされていません

  • 同じプライマリ VLAN でのセカンダリ Vlan 間のルーティングはサポートされていません。

  • 構成ステートメントの中には、セカンダリ VLAN では指定できないものがあります。以下のステートメントは、プライマリ PVLAN の [edit vlans vlan-name switch-options]階層レベルでのみ設定できます。

  • プライマリ VLAN をセカンダリ VLAN に変更する場合は、まず、それを通常の vlan に変更し、変更をコミットする必要があります。たとえば、以下の手順に従います。

    1. プライマリ VLAN を通常の VLAN に変更します。
    2. 構成をコミットします。
    3. 通常の VLAN をセカンダリ VLAN に変更します。
    4. 構成をコミットします。

    セカンダリ VLAN がプライマリ VLAN に変更されるようにする場合は、同一のコミットシーケンスに従ってください。つまり、セカンダリ VLAN を通常の vlan として設定し、その変更をコミットしてから、通常の VLAN をプライマリ VLAN に変更します。

以下の機能は、ELS 構成スタイルをサポートする Junos スイッチの PVLANs ではサポートされていません

  • DHCP セキュリティ機能 (DHCP スヌーピング、動的 ARP インスペクション、IP ソースガード)

  • 送信 VLAN ファイアウォールフィルター

  • イーサネットリング保護 (ERP)

  • 柔軟な VLAN タグ付け

  • global-mac-statistics

  • 統合型ルーティングおよびブリッジング (IRB) インターフェイス

  • マルチキャストスヌーピングまたは IGMP スヌーピング

  • マルチシャーシのリンクアグリゲーショングループ (MC ラグ)

  • ポート ミラーリング

  • Q イン Q トンネリング

  • VLAN スパニングツリープロトコル (VSTP)

  • ボイスオーバー IP (VoIP)

以下のステートメントは、プライマリ PVLAN の[edit vlans vlan-name switch-options]階層レベルでのみ設定できます。

複数のスイッチ間で PVLAN トラフィックフローを理解する

このトピックでは、プライベート VLAN (PVLAN) を使用して構成されたマルチスイッチネットワーク上の3つの異なるトラフィックフローについて説明します。PVLANs は、メンバースイッチポート (プライベートポート“”と呼ばれる) を通してトラフィックフローを制限するため、特定のアップリンクトランクポートまたは同じ VLAN 内で指定されたポートとのみ通信できます。

このトピックでは、以下を説明します。

コミュニティ VLAN がタグなしトラフィックを送信

このシナリオでは、スイッチ1のコミュニティー 1 (インターフェイス ge-0/0/0) の VLAN は、タグなしトラフィックを送信します。の図 7矢印は、このトラフィックフローを表しています。

図 7: コミュニティ VLAN からタグなしトラフィックを送信
コミュニティ VLAN からタグなしトラフィックを送信

このシナリオでは、スイッチ1上で以下の活動が行われます。

  • コミュニティー 1 VLAN (インターフェイス x)-0/0/0: 内容

  • pvlan100 on interface ge-0/0/0: ・

  • コミュニティー 1 VLAN (インターフェイス x)-0/0/12: トラフィックを受信

  • PVLAN トランクポート: トラフィックは、ge-1/0/2 から、タグ10を使用して ae0 から出てきます。

  • Community-2: インターフェイスがトラフィックを受信しない

  • 分離された Vlan: インターフェイスがトラフィックを受信しない

このシナリオでは、このアクティビティはスイッチ3上で行われます。

  • Community-0/0/23 (PVLAN トランク) 上のコミュニティー 1 VLAN: 内容

  • pvlan100 on interface ge-0/0/23: ・

  • Community-0/0/9 および ge-0/0/16 のコミュニティー 1 VLAN (インターフェイス): トラフィックを受信

  • プロミスカストランクポート: トラフィックは、タグ100を使用して ge 0/0/0 から抜けます。

  • Community-2: インターフェイスがトラフィックを受信しない

  • 分離された Vlan: インターフェイスがトラフィックを受信しない

孤立した VLAN でタグ付けされていないトラフィックを送信

このシナリオでは、スイッチ1上のインターフェイス ge-1/0/0 はタグなしトラフィックを送信します。の図 8矢印は、このトラフィックフローを表しています。

図 8: 孤立した VLAN からタグ付けされていないトラフィックを送信
孤立した VLAN からタグ付けされていないトラフィックを送信

このシナリオでは、スイッチ1上で以下の活動が行われます。

  • インターフェイス ge での分離 VLAN1-1/0/0: 内容

  • pvlan100 on interface ge-1/0/0: ・

  • Pvlan からのトラフィックは、タグ50を使用して、1/0/2 と ae0 の間で終了します。

  • コミュニティー1およびコミュニティー-2: インターフェイスがトラフィックを受信しない

  • 分離された Vlan: インターフェイスがトラフィックを受信しない

このシナリオでは、このアクティビティはスイッチ3上で行われます。

  • インターフェイス ge 上の VLAN-0/0/23 (PVLAN トランクポート): 内容

  • pvlan100 on interface ge0/0/23: ・

  • プロミスカストランクポート: トラフィックは、タグ100を使用して ge 0/0/0 から抜けます。

  • コミュニティー1およびコミュニティー-2: インターフェイスがトラフィックを受信しない

  • 分離された Vlan: トラフィックを受信しない

PVLAN のタグ付きトラフィックをプロミスカスポートで送信

このシナリオでは、PVLAN のタグ付きトラフィックは、プロミスカスポートで送信されます。の図 9矢印は、このトラフィックフローを表しています。

図 9: PVLAN のタグ付きトラフィックをプロミスカスポートで送信
PVLAN のタグ付きトラフィックをプロミスカスポートで送信

このシナリオでは、スイッチ1上で以下の活動が行われます。

  • pvlan100 VLAN on interface ae0 (PVLAN トランク): 内容

  • コミュニティー-1、コミュニティー2、およびインターフェイス ae0 上のすべての分離された Vlan: ・

  • インターフェイス ae0 上の VLAN: ・

  • Pvlan からのトラフィックは、タグ100を使用して、1/0/2 から抜けます。

  • コミュニティー1およびコミュニティー-2: インターフェイスがトラフィックを受信する

  • 分離された Vlan: トラフィックの受信

このシナリオでは、このアクティビティはスイッチ3上で行われます。

  • pvlan100 on interface ge-0/0/0: 内容

  • コミュニティー-1、Community-2、およびインターフェイス x 上の分離 Vlan-0/0/0: ・

  • インターフェイス ge 上の VLAN-0/0/0: ・

  • コミュニティー1およびコミュニティー-2: インターフェイスがトラフィックを受信する

  • 分離された Vlan: トラフィックの受信

PVLANs 上のセカンダリ VLAN トランクポートおよびプロミスカスアクセスポートについて

Vlan は指定されたユーザーにブロードキャストを制限します。プライベート Vlan (PVLANs) は、VLAN を複数のブロードキャストサブドメインに分割し、実質的にプライマリ VLAN 内にセカンダリ Vlan を配置することで、さらに一歩前進しています。PVLANs は、メンバーポートを介してトラフィックフローを制限します。これらのポートは、指定されたアップリンクトランクポートまたは同一 VLAN 内で指定されたポートとのみ通信するようになっています。アップリンクトランクポートは通常、ルーター、ファイアウォール、サーバー、またはプロバイダネットワークに接続されています。通常、PVLAN には、1つのアップリンクだけで通信する多数のプライベートポートが含まれているため、ポート間の相互通信ができません。

セカンダリトランクポートとプロミスカスアクセスポートは、次のような複雑な導入環境で使用するために PVLANs の機能を拡張します。

  • エンタープライズ VMWare インフラストラクチャ環境

  • VM 管理を使用したマルチテナントクラウドサービス

  • 複数のお客様向けの Web ホスティングサービス

たとえば、セカンダリ VLAN トランクポートを使用して、QFX デバイスをプライベート Vlan を使用して構成された VMware サーバーに接続することができます。プロミスカスアクセスポートを使用して、QFX デバイスを、トランクポートをサポートしていないもののシステムに接続することができます。ただし、プライベート Vlan に参加する必要があります。

このトピックでは、QFX シリーズの PVLANs に関する以下の概念について説明します。

PVLAN ポートタイプ

PVLANs では、次のようなポートタイプを使用できます。

  • プロミスカスポート—1 つのプロミスカスポートは、ルーター、ファイアウォール、サーバー、プロバイダネットワークに接続された上流のトランクポートです。プロミスカストランクポートは、PVLAN 内の個別およびコミュニティーポートを含むすべてのインターフェイスと通信できます。

  • PVLAN トランクポート—スイッチをスパンするには、マルチスイッチの PVLAN 構成で PVLAN トランクポートが必要になります。PVLAN トランクポートは、PVLAN (プライマリ VLAN、コミュニティー Vlan、interswitch 分離 VLAN) 内のすべての Vlan のメンバーであり、プライマリ VLAN とすべてのセカンダリ vlan からのトラフィックを伝送します。すべてのポートと通信できます。

    PVLAN トランクポートと分離ポートの間の通信は通常、片方向です。Interswitch 分離され’た VLAN の PVLAN トランクポートのメンバーシップは送信専用であり、分離ポートが PVLAN トランクポートにパケットを転送できますが、PVLAN トランクポートはパケットを分離されたポートに転送することはありません (パケット ingressed aプロミスカスアクセスポートを備えているため、同じプライマリ VLAN 内のすべてのセカンダリ Vlan に、プロミスカスポートとして転送されます。

  • セカンダリ vlan トランクポート—セカンダリ vlan トランクポートは、セカンダリ vlan トラフィックを伝送します。特定のプライベート (プライマリ) VLAN では、セカンダリ VLAN トランクポートは1つのセカンダリ VLAN にのみトラフィックを伝送できます。ただし、セカンダリ vlan トランクポートでは、各セカンダリ VLAN が異なるプライマリ VLAN のメンバーである限り、複数のセカンダリ vlan にトラフィックを伝送できます。たとえば、セカンダリ VLAN トランクポートは、プライマリ VLAN pvlan100 の一部であるコミュニティー VLAN へのトラフィックを伝送し、プライマリ VLAN pvlan400 の一部である分離された VLAN へのトラフィックを伝送することもできます。

    セカンダリ VLAN トランクポートからトラフィック egresses が送信されると、通常はセカンダリポートがメンバーになっているプライマリ VLAN のタグが付けられます。セカンダリ VLAN トランクポートから egresses のトラフィックがセカンダリ VLAN タグを保持するようにするには、extend-secondary-vlan-idステートメントを使用します。

  • コミュニティーポート—コミュニティーポートは、自社のプロミスカスポートと通信します。コミュニティーポートは、特定のユーザーグループのみを対象としています。これらのインターフェイスは、レイヤー2で、他のコミュニティ内の他のすべてのインターフェイスまたは PVLAN 内の独立したポートから分離されています。

  • 分離され—たアクセスポートの分離ポートは、プロミスカスポートと PVLAN トランクポートでのみレイヤー2接続を実現します。独立したアクセスポートは、これら2つのポートが同じ分離 VLAN のメンバーである場合でも、別の分離されたポートと通信できません。

  • プロミスカスアクセス—ポートこれらのポートはタグが付いていないトラフィックを伝送し、1つのプライマリ VLAN のみのメンバーになることができます。プロミスカスアクセスポート上で ingresses されたトラフィックは、プロミスカスアクセスポートがメンバーになっているプライマリ VLAN のメンバーであるセカンダリ Vlan のポートに転送します。この場合、セカンダリ vlan ポートがトランクポートである場合、セカンダリ vlan ポートから egresses されているときに、トラフィックは適切なセカンダリ VLAN タグを伝達します。2つ目の VLAN ポートでトラフィックが ingresses、プロミスカスアクセスポート上で egresses が検出された場合は、送信時にトラフィックがタグなしになります。Ingresses のトラフィックがプロミスカスアクセスポート上にある場合、トラフィックは破棄されます。

セカンダリ VLAN トランクポートの詳細

セカンダリ VLAN トランクポートを使用する場合は、以下の点に注意してください。

  • セカンダリ VLAN トランクポートに参加する各プライマリ VLAN に分離された VLAN ID を構成する必要があります。これは、セカンダリ VLAN トランクポートが伝送されるセカンダリ Vlan が単一のデバイスに限定される場合にも該当します。

  • ポートが特定のプライマリ VLAN のセカンダリ VLAN トランクポートに設定されている場合は、同じ物理ポートを次のいずれかに設定することもできます。

    • 別のプライマリ VLAN 用のセカンダリ VLAN トランクポート

    • 別のプライマリ VLAN の PVLAN トランク

    • プロミスカストランクポート

    • 非プライベート VLAN 用アクセスポート

  • セカンダリ vlan トランクポート (セカンダリ VLAN タグ付き) と egresses が PVLAN トランクポート上で ingresses しているトラフィックは、出口でセカンダリ VLAN タグを保持します。

  • プロミスカストランクポート上のセカンダリ VLAN トランクポートと egresses で ingresses したトラフィックは、送信時に適切なプライマリ VLAN タグを持ちます。

  • Ingresses のセカンダリ VLAN トランクポートと egresses で検出されたトラフィックは、出口によってタグなしのアクセスポートになっています。

  • Ingresses がプロミスカストランクポートでプライマリ VLAN タグと egresses を備えたトラフィックが、セカンダリ VLAN トランクポート上で使用されると、送信時に適切なセカンダリ VLAN タグが送信されます。たとえば、スイッチ上で次のように構成しているとします。

    • プライマリ VLAN 100

    • プライマリ VLAN の一部としてのコミュニティー VLAN 200

    • プロミスカストランクポート

    • コミュニティー VLAN 200 を伝送するセカンダリトランクポート

    パケット ingresses は、プロミスカストランクポートでプライマリ VLAN タグ100と egresses を使用して、セカンダリ VLAN トランクポートにある場合、出口でタグ200を実行します。

使用事例

同一の物理インターフェイス上で、複数のセカンダリ vlan トランクポートを (異なるプライマリ Vlan で) 構成するか、セカンダリ VLAN トランクポートを他のタイプの VLAN ポートと組み合わせることができます。以下の使用事例では、これを行う例を挙げています。各事例でトラフィックがどのように流れるかを示します。

2個のプライマリ VLAN でのセカンダリ VLAN トランク

この使用例では、次の構成を持つ2つのスイッチがあるとします。

  • タグ100を使用したプライマリ VLAN pvlan100。

    • タグ200を使用した孤立した VLAN isolated200 は、pvlan100 のメンバーです。

    • タグ300を使用したコミュニティー VLAN comm300 は、pvlan100 のメンバーです。

  • タグ400を使用したプライマリ VLAN pvlan400。

    • タグ500を使用した孤立した VLAN isolated500 は、pvlan400 のメンバーです。

    • タグ600を使用したコミュニティー VLAN comm600 は、pvlan400 のメンバーです。

  • インターフェイス xe-0/0/0/スイッチ1は、この例で使用されるプライベート Vlan で構成された VMware サーバーに接続します (図は示されていません)。このインターフェイスは、セカンダリ vlan comm600 および pvlan100 のメンバーである分離 VLAN (タグ 200) にトラフィックを伝送するためのセカンダリ VLAN トランクポートで構成されています。

  • スイッチ2のインターフェイス xe-0/0/0 は、プロミスカストランクポートまたはプロミスカスアクセスポートとして設定されています。後者の場合は、トランクポートをサポートしていないが、この例で使用されているプライベート Vlan を使用して構成されているシステムに接続することを前提にすることができます。

  • スイッチ1では、xe-0/0/6 は comm600 のメンバーになっており、トランクポートとして設定されています。

  • スイッチ2では、xe-0/0/6 は comm600 のメンバーであり、アクセスポートとして設定されています。

図 10は、このトポロジーと、isolated200 と comm600 のトラフィックが、スイッチ1上の xe-0/0/0 で ingressing 後にフローする仕組みを示しています。トラフィックは、矢印が示す位置にのみ流れることに注意してください。たとえば、インターフェイス xe-0/0/2、xe-0/0/3、および xe-0/0/5 では、これらのインターフェイスにパケットが送信されないため、スイッチ1には矢印が付いていません。

図 10: 1つのインターフェース上で2個のセカンダリ VLAN トランクポート
1つのインターフェース上で2個のセカンダリ VLAN トランクポート

以下に、VLAN isolated200 のトラフィックフローを示します。

  1. PVLAN トランクポートがすべての Vlan のメンバーであるため、スイッチ1のセカンダリ VLAN トランクポートで isolated200 ingresses のトラフィックが PVLAN トランクポートに egresses ます。パケットは、egressing 時にセカンダリ VLAN タグ (200) を保持します。
  2. スイッチ2のセカンダリ VLAN トランクポートで isolated200 ingresses のトラフィックが通過すると、egresses/0/0 になります。これは、プロミスカストランクポートまたはプロミスカスアクセスポートとして構成されています。
    • スイッチ2の xe-0/0/0 がプロミスカストランクポートとして設定されている場合、パケットはこのポートでプライマリ VLAN タグ (100) とともに送信します。

    • スイッチ2の xe-0/0/0 がプロミスカスアクセスポートとして設定されている場合は、このポートで送信したパケットはタグなしになります。

VLAN isolated200 のトラフィックは、同じ分離 VLAN のメンバーであるにもかかわらず、スイッチ1またはセカンダリ VLAN トランクポート xe-0/0/2 上の分離アクセスポート xe-0/0/2 を送信していないことに注意してください。

以下に、VLAN comm600 のトラフィックフローを示します。

  1. PVLAN トランクポートがすべての Vlan のメンバーであるため、スイッチ1のセカンダリ VLAN トランクポートで comm600 ingresses のトラフィックが PVLAN トランクポートに egresses ます。パケットは、egressing 時にセカンダリ VLAN タグ (600) を保持します。
  2. Comm600 のトラフィックは、スイッチ1のコミュニティーポート xe-0/0/6 にも egresses しています。ポートがトランクとして設定されているため、トラフィックはタグ付けされます。
  3. スイッチ2の PVLAN トランクポート上の comm600 ingresses のトラフィックが終了すると、このインターフェイスがプロミスカストランクポートとして設定されている場合は、xe-0/0/0 を egresses します。

    スイッチ2の xe-0/0/0 がプロミスカスアクセスポートとして設定されている場合、ポートは1つのプライマリ VLAN のみに参加できます。この場合、プロミスカスアクセスポートは pvlan100 の一部であるため、comm600 のトラフィックが it から送信されることはありません。

  4. Comm600 のトラフィックは、スイッチ2のコミュニティーポート xe-0/0/6 にも egresses しています。この場合、ポートモードがアクセスされているため、トラフィックはタグ付けされません。

セカンダリ VLAN トランクとプロミスカストランク

この使用例では、前の使用事例と同じポートと Vlan で2台のスイッチが構成されていると仮定し、1つの例外を除きます。この場合、xe-0/0/0/スイッチ1は VLAN pvlan100 用のセカンダリ VLAN トランクポートとして設定されており、pvlan400 用のプロミスカストランクポートとしても設定されています。

図 11このトポロジと、isolated200 (pvlan100 のメンバー) および comm600 (pvlan400 のメンバー) のトラフィックが、スイッチ1の ingressing の後に流れる方法を示します。

図 11: 1つのインターフェース上でのセカンダリ VLAN トランクとプロミスカストランク
1つのインターフェース上でのセカンダリ VLAN トランクとプロミスカストランク

VLAN isolated200 のトラフィックフローは、前の使用事例と同じですが、comm600 のフローは異なります。以下に、VLAN comm600 のトラフィックフローを示します。

  1. スイッチ1の comm600 ingresses のトラフィックがコミュニティ VLAN ポート xe-0/0/6 では、スイッチ1上のプロミスカストランクポート xe-0/0/0 に egresses しています。この場合、プライマリ VLAN タグ (400) を保持しています。
  2. Comm600 のトラフィックは、PVLAN トランクポートがすべての Vlan のメンバーであるため、PVLAN トランクポート上でも egresses します。パケットは、egressing 時にセカンダリ VLAN タグ (600) を保持します。
  3. スイッチ2の PVLAN トランクポート上の comm600 ingresses のトラフィックが終了すると、このインターフェイスがプロミスカストランクポートとして設定されている場合は、xe-0/0/0 を egresses します。

    このインターフェースがプロミスカスアクセスポートとして設定されている場合は、このポートが pvlan100 のみに参加できるため、このインターフェイスが、無作為に送信されることはありません。

  4. Comm600 のトラフィックは、スイッチ2のコミュニティーポート xe-0/0/6 にも egresses しています。

セカンダリ VLAN トランクと PVLAN トランク

この使用例では、以前の使用事例と同じポートと Vlan を持つ2台のスイッチが構成されていると仮定します。この場合、スイッチ1の PVLAN トランクポートとして構成されており、pvlan400 用に構成されています。

図 12このトポロジと、comm300 (pvlan100 のメンバー) および comm600 (pvlan400 のメンバー) のトラフィックが、スイッチ1の ingressing の後に流れる方法を示します。

図 12: 1つのインターフェイス上のセカンダリ VLAN トランクと PVLAN トランク
1つのインターフェイス上のセカンダリ VLAN トランクと PVLAN トランク

以下に、VLAN comm300 のトラフィックフローを示します。

  1. Comm300 ingresses のコミュニティーポート xe-0/0/3 スイッチ1上でのトラフィックは、PVLAN トランクポート xe-0/0/1 を egresses しています。その PVLAN トランクポートはすべての Vlan のメンバーであるためです。パケットは、egressing 時にセカンダリ VLAN タグ (300) を保持します。

    このインターフェイスのセカンダリ VLAN トランクのポートは comm300 ではなく isolated200 を伴うため、comm300 のトラフィックは xe-0/0/0 に送信されません。

  2. スイッチ2の PVLAN トランクポートで comm300 ingresses のトラフィックを egresses した後、この xe-0/0/0 は、プロミスカストランクポートまたはプロミスカスアクセスポートとして構成されています。
    • スイッチ2の xe-0/0/0 がプロミスカストランクポートとして設定されている場合、パケットはこのポートでプライマリ VLAN タグ (100) とともに送信します。

    • スイッチ2の xe-0/0/0 がプロミスカスアクセスポートとして設定されている場合は、このポートで送信したパケットはタグなしになります。

  3. Comm300 のトラフィックは、スイッチ2のコミュニティーポート xe-0/0/3 にも egresses しています。

以下に、VLAN comm600 のトラフィックフローを示します。

  1. Comm600 ingresses のトラフィックが PVLAN ポート xe-0/0/0/スイッチ1では、スイッチ1のコミュニティーポート xe-0/0/6 を egresses します。パケットは、xe-0/0/6 がトランクポートであるため、egressing 時にセカンダリ VLAN タグ (600) を保持します。
  2. Comm600 のトラフィックは PVLAN トランクポート xe-0/0/1 にも egresses しています。これは PVLAN トランクポートがすべての Vlan のメンバーであるためです。パケットは、egressing 時にセカンダリ VLAN タグ (600) を保持します。
  3. スイッチ2の PVLAN トランクポート上の comm600 ingresses のトラフィックが終了すると、このインターフェイスがプロミスカストランクポートとして設定されている場合は、xe-0/0/0 を egresses します。

    このインターフェースがプロミスカスアクセスポートとして設定されている場合は、このポートが pvlan100 のみに参加できるため、このインターフェイスが、無作為に送信されることはありません。

  4. Comm600 のトラフィックは、スイッチ2のコミュニティーポート xe-0/0/6 にも egresses しています。このトラフィックは、xe-0/0/6 がアクセスポートであるため、送信時にタグなしで表示されます。

セカンダリ VLAN トランクと非プライベート VLAN インターフェイス

このような使用例では、前述の使用事例と同じポートと Vlan で2つのスイッチが構成されていることを前提としています。

  • スイッチ1の xe 0/0/0/ゼロの構成:

    • VLAN pvlan100 用のセカンダリ VLAN トランクポート

    • Vlan700 のアクセスポート

  • ポート xe-0/0/6 はどちらのスイッチでも、vlan700 のアクセスポートです。

図 13このトポロジーと、isolated200 (pvlan100 のメンバー) および vlan700 のトラフィックが、スイッチ1の ingressing の後にどのように流れるかを示します。

図 13: 1つのインターフェイスでのセカンダリ VLAN トランクと非プライベート VLAN ポート
1つのインターフェイスでのセカンダリ VLAN トランクと非プライベート VLAN ポート

以下に、VLAN isolated200 のトラフィックフローを示します。

  1. スイッチ1のセカンダリ VLAN トランクポートで isolated200 ingresses のトラフィックが送信された後、PVLAN トランクポートに egresses します。パケットは、egressing 時にセカンダリ VLAN タグ (200) を保持します。
  2. スイッチ2の PVLAN トランクポートで isolated200 ingresses のトラフィックを egresses した後、この xe-0/0/0 は、プロミスカストランクポートまたはプロミスカスアクセスポートとして構成されています。
    • スイッチ2の xe-0/0/0 がプロミスカストランクポートとして設定されている場合、パケットはこのポートでプライマリ VLAN タグ (100) とともに送信します。

    • スイッチ2の xe-0/0/0 がプロミスカスアクセスポートとして設定されている場合は、このポートで送信したパケットはタグなしになります。

VLAN isolated200 のトラフィックは、同じ分離 VLAN のメンバーであるにもかかわらず、スイッチ1またはセカンダリ VLAN トランクポート xe-0/0/2 上の分離アクセスポート xe-0/0/2 を送信していないことに注意してください。

Vlan700 ingresses のトラフィックが xe-0/0/0/スイッチ1のアクセスポートで構成された後、アクセスポート xe-0/0/6 を egresses しています。そのポートは同じ VLAN のメンバーであるためです。Xe-0/0/1 の PVLAN トランクはこの VLAN を持たないため、vlan700 のトラフィックはスイッチ2に転送されません (xe-0/0/スイッチ2のメンバーは vlan700)。

プロミスカスアクセスポートでのトラフィック Ingressing

この使用例では、前の使用事例と同じポートと Vlan を持つ2台のスイッチが構成されていると仮定します。この場合、スイッチ1の 0/0/0 はプロミスカスアクセスポートとして設定されており、pvlan100 のメンバーであることを除けばなりません。図 14は、このトポロジーと、タグ付けされたトラフィックが、スイッチ1上のこのインターフェースから ingressing 後にどのように流れるかを示しています。

図 14: プロミスカスアクセスポートでのトラフィック Ingressing
プロミスカスアクセスポートでのトラフィック Ingressing

図に示すように、プロミスカスアクセスポートに ingresses れたタグなしトラフィックは、プロミスカスアクセスポートがメンバーになっているのと同じプライマリ VLAN のメンバーであるすべてのセカンダリ VLAN ポートに転送されるようになっています。アクセスポートから egresses されているときにトラフィックをタグなしで、スイッチ2のトランクポート (xe-0/0/2) の出口でタグ付けします。

同じインターフェイスで 802.1 X 認証とプライベート Vlan を組み合わせて使用

同一インターフェイス上での 802.1 X 認証と PVLANs の使用の理解

同じインターフェイス上で、802.1 X 認証とプライベート Vlan (PVLANs) の両方を設定できるようになりました。

IEEE 802.1 X 認証はネットワークエッジセキュリティーを提供します。これにより、インターフェイスでサプリカント (クライアント) からのすべてのトラフィックをブロックすることにより、権限のないユーザーアクセスからイーサネット Lan を保護します。 認証サーバー(RADIUS サーバー) です。

プライベート Vlan (PVLANs) は、VLAN 内のポート間でレイヤー2の分離を提供し、セカンダリ Vlan を作成することで、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割します。PVLANs は、ブロードキャストおよび不明なユニキャストトラフィックのフローを制限し、既知のホスト間の通信を制限するのに役立ちます。

802.1 X 認証と PVLANs の両方が構成されているスイッチで、新しいデバイスが PVLAN ネットワークに接続されている場合、デバイスは認証され、PVLAN 構成または RADIUS プロファイルに基づいてセカンダリ VLAN に割り当てられます。その後、デバイスは IP アドレスを取得し、PVLAN ネットワークへのアクセスが許可されます。

本書では、802.1 X 認証やプライベート Vlan に関する詳細な情報を提供していません。これらの詳細については、各機能に固有の機能のドキュメントを参照してください。802.1 X の詳細については、『ユーザーアクセスと認証ユーザーガイド』を参照してください。PVLANs については、「イーサネットスイッチングユーザーガイド」を参照してください。

802.1 X 認証と PVLANs の組み合わせの構成ガイドライン

これらの2つの機能を同じインターフェイスで構成する場合は、以下のガイドラインと制限事項を念頭に置いてください。

  • 802.1 X 対応インターフェイスは、プロミスカスインターフェイス (設定によってプライマリ VLAN のメンバーであるインターフェイス) として設定することも、interswitch リンク (ISL) インターフェイスとして構成することもできません。

  • 論理インタフェース—上で同一の PVLAN ドメインに属する異なる vlan 上で複数のユーザーを認証できないたとえば、インターフェイス ge-0/0/0 がsupplicant multiple構成され、クライアント c1 と C2 が認証され、ダイナミック vlan V1 に追加される場合などです。V2 は、それぞれ V1 と V2 が異なる PVLAN ドメインに属している必要があります。

  • VoIP VLAN とデータ VLAN が異なる場合、これらの2つの Vlan は異なる PVLAN ドメインに存在する必要があります。

  • PVLAN のメンバーシップが変更された場合 (つまり、インターフェイスが別の PVLAN で再構成された場合)、クライアントを再認証する必要があります。

例:1つの構成でプライベート Vlan を使用した 802.1 X 認証の構成

要件

  • 18.2 R1 以降の Junos OS リリース

  • EX2300、EX3400、EX4300 スイッチ

開始する前に、認証サーバーとして使用する RADIUS サーバーを指定します。Specifying RADIUS Server Connections on Switches (CLI Procedure)を参照してください。

概要

以下の構成セクションは、アクセスプロファイルの設定、802.1 X 認証の構成、最後に Vlan (PVLANs を含む) の設定を示しています。

1つの構成でプライベート Vlan を使用した 802.1 X 認証の構成

CLI 簡単構成



[edit]
set access radius-server 10.20.9.199 port 1812
set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"
set access profile dot1x-auth authentication-order radius
set access profile authp authentication-order radius
set access profile authp radius authentication-server 10.204.96.165
set switch-options voip interface ge-0/0/8.0 vlan voip
set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data
set protocols dot1x authenticator authentication-profile-name authp
set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple
set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius
set vlans community vlan-id 20
set vlans community private-vlan community
set vlans community-one vlan-id 30
set vlans community-one private-vlan community
set vlans isolated vlan-id 200
set vlans isolated private-vlan isolated
set vlans pvlan vlan-id 2000
set vlans pvlan isolated-vlan isolated
set vlans pvlan community-vlans [community community-one]
set vlans data vlan-id 43
set vlans voip vlan-id 33

ステップごとの手順

1つの構成で 802.1 X 認証と PVLANs を構成するには、次のようにします。

  1. アクセスプロファイルを設定します。
    [edit access]
    set radius-server 10.20.9.199 port 1812
    set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"
    set profile dot1x-auth authentication-order radius
    set profile authp authentication-order radius
    set profile authp radius authentication-server 10.204.96.165
    [edit switch-options]
    set voip interface ge-0/0/8.0 vlan voip

    設定済みの VoIP VLAN は、PVLAN (プライマリ、コミュニティー、分離) になることはできません。

  2. 802.1 X の設定を構成します。
    [edit interfaces]
    set ge-0/0/8 unit 0 family ethernet-switching interface-mode access
    set ge-0/0/8 unit 0 family ethernet-switching vlan members data
    [edit protocols]
    set dot1x authenticator authentication-profile-name authp
    set dot1x authenticator interface ge-0/0/8.0 supplicant multiple
    set dot1x authenticator interface ge-0/0/8.0 mac-radius

    構成されたデータ VLAN は、コミュニティ VLAN または独立した VLAN である場合もあります。

  3. Vlan (PVLANs を含む) を構成するには、次のようにします。
    [edit vlans]
    set community vlan-id 20
    set community private-vlan community
    set community-one vlan-id 30
    set community-one private-vlan community
    set isolated vlan-id 200
    set isolated private-vlan isolated
    set pvlan vlan-id 2000
    set pvlan isolated-vlan isolated
    set pvlan community-vlans [community community-one]
    set data vlan-id 43
    set voip vlan-id 33

結果

設定モードから、スイッチに以下showのコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

クライアント MAC アドレスがプライマリ VLAN で学習されていることを確認します。

目的

クライアント MAC アドレスがプライマリ VLAN で学習されたことを示します。

アクション

user@switch> show ethernet-switching table
プライマリ VLAN が認証された VLAN であることを確認します。

目的

プライマリ VLAN が認証済み VLAN として示されていることを示します。

アクション

user@switch> show dot1x interface ge-0/0/8.0 detail

プライベート Vlan へのアクセスポートセキュリティーの導入

PVLANs 上のアクセスポートセキュリティについて

プライベート Vlan (PVLANs) で、DHCP スヌーピングなどのアクセスポートセキュリティー機能を有効にすることができるようになりました。

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。PVLAN 機能により、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、実質的に vlan 内に VLAN を配置することができます。

イーサネット Lan は、アドレススプーフィング (偽造) やレイヤー2サービス拒否 (DoS) などの攻撃に対して、ネットワークデバイス上で脆弱になっています。以下のアクセスポートセキュリティ機能は、そのような攻撃によって発生する可能性のある情報や生産性の損失からデバイスを保護し、PVLAN でこれらのセキュリティ機能を構成できるようになりました。

  • DHCP スヌーピング—フィルターとブロックが、信頼されていないポートで dhcp サーバーメッセージを受信しています。DHCP スヌーピングは dhcp リース情報のデータベースを構築して管理します。これは DHCP スヌーピングデータベースと呼ばれます。

  • IPv6 の—DHCP スヌーピングを覗き見しています。

  • DHCP オプション 82—は、Dhcp リレーエージェント情報オプションとしても知られています。IP アドレスや MAC アドレスのスプーフィング、DHCP IP アドレスの枯渇などの攻撃に対するスイッチの保護に役立ちます。オプション82は、DHCP クライアントのネットワークの場所に関する情報を提供します。DHCP サーバーは、この情報を使用して、クライアントの IP アドレスまたはその他のパラメーターを実装します。

  • DHCPv6 オプション:

    • オプション 37—リモート ID オプション (DHCPv6 用)リモートホストのネットワークの場所に関する情報を DHCPv6 パケットに挿入します。

    • オプション 18—サーキット ID オプション (DHCPv6 用)、クライアントポートに関する情報を DHCPv6 パケットに挿入します。

    • オプション 16—ベンダー ID オプション (DHCPv6)、クライアントハードウェアのベンダーに関する情報を DHCPv6 パケットに挿入します。

  • ダイナミック ARP インスペクション (DAI DYNAMIC)—は、アドレス解決プロトコル (arp) スプーフィング攻撃を防止します。ARP の要求と応答は、DHCP スヌーピングデータベース内のエントリと比較され、それらの比較の結果に基づいてフィルタリングの決定が行われます。

  • IP ソースガード—により、イーサネット LAN への ip アドレススプーフィング攻撃の影響が軽減されます。信頼できないアクセスインターフェイスから DHCP スヌーピングデータベースに送信された、パケット内の送信元 IP アドレスを検証します。パケットを検証できない場合は、破棄されます。

  • Ipv6 の送信—元ガード IP ソースガード。

  • IPv6 の近傍検索—検査によって、ipv6 アドレススプーフィング攻撃を防止します。近隣探索要求と DHCPv6 スヌーピングデータベース内のエントリを比較し、これらの比較の結果に基づいてフィルタリングの決定を行います。

このドキュメントでは、アクセスポートのセキュリティ機能や PVLANs に関する詳細な情報は提供していません。これらの詳細については、各機能に固有の機能のドキュメントを参照してください。アクセスポートのセキュリティについては、『 Security Services 管理ガイド』を参照してください。PVLANs については、「イーサネットスイッチングユーザーガイド」を参照してください。

PVLANs にアクセスポートセキュリティ機能を導入するための構成ガイドライン

PVLANs 上でアクセスポートセキュリティー機能を構成する際には、以下のガイドラインと制限事項を念頭に置いてください。

  • プライマリ vlan とそのすべてのセカンダリ Vlan の両方に対して、同じアクセスポートセキュリティ機能を適用する必要があります。

  • PVLAN は、1つの統合ルーティングおよびブリッジング (IRB) インターフェイスのみを持つことができ、IRB インターフェイスはプライマリ VLAN 上に存在する必要があります。

  • PVLANs 上のアクセスポートセキュリティ構成の制限は、PVLANs にないアクセスポートセキュリティー機能構成の場合と同じです。『 Security Services Administration Guide 』のアクセスポートセキュリティに関する資料を参照してください。

例:PVLAN のアクセスポートセキュリティーの構成

要件

  • 18.2 R1 以降の Junos OS リリース

  • EX4300 スイッチ

概要

ここでは、以下の構成について説明します。

  • プライベート VLAN とプライマリ VLAN の構成 (vlan-pri) と3つのセカンダリ—Vlan コミュニティ vlan (vlan-hrおよび vlan-finance) と分離された VLAN (vlan-iso)。

  • これらの Vlan 上のインターフェイス間の通信を送信するために使用されるインターフェイスの構成。

  • PVLAN を構成するプライマリおよびセカンダリ Vlan でアクセスセキュリティー機能を設定します。

表 5は、トポロジ例の設定を示しています。

表 5: アクセスポートセキュリティー機能を備えた PVLAN を構成するためのトポロジーのコンポーネント

インターフェース説明

ge-0/0/0.0

プライマリ VLAN (vlan1) トランクインターフェイス

ge-0/0/11.0

ユーザー1、HR コミュニティー (vlan-HR)

ge-0/0/12.0

ユーザー2、HR コミュニティー (vlan-HR)

ge-0/0/13.0

ユーザー3、ファイナンスコミュニティー (vlan-finance)

ge-0/0/14.0

ユーザー4、財務コミュニティー (vlan-finance)

ge-0/0/15.0

メールサーバー、分離 (vlan-iso)

ge-0/0/16.0

バックアップ・サーバー、分離型 (vlan-iso)

ge-1/0/0.0

プライマリ VLAN (vlan-pri) トランクインターフェイス

PVLAN のアクセスポートセキュリティーの構成

CLI 簡単構成

ステップごとの手順

プライベート VLAN (PVLAN) を構成し、その PVLAN でアクセスポートセキュリティー機能を構成するには、次のようにします。

  1. PVLAN—を設定して、プライマリ vlan とセカンダリ vlan を作成し、vlan id をそれらに割り当てます。インターフェイスを Vlan に関連付けます。(Vlan の構成の詳細については、 ELS サポートを使用した EX シリーズスイッチの vlan の構成を参照してください (CLI 手続き)。
  2. プライマリ VLAN とそのすべてのセカンダリ Vlan でアクセスポートセキュリティー機能を構成します。

    ARP インスペクション、IP ソースガード、IPv6 送信元ガード、近傍検索インスペクション、DHCP オプション82、または DHCPv6 オプションを構成する場合、DHCP スヌーピングおよび DHCPv6 スヌーピングは自動的に設定されます。

結果

設定モードから、スイッチに以下showのコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

アクセスセキュリティ機能が期待どおりに機能していることを確認する

目的

PVLAN に設定したアクセスポートのセキュリティ機能が期待どおりに機能していることを確認します。

アクション

show dhcp-securityおよびclear dhcp-security CLI コマンドを使用して、機能が期待どおりに動作していることを確認します。これらのコマンドの詳細については、『 Security Services Administration Guide 』を参照してください。

ELS サポート (CLI プロシージャ) による単一スイッチへのプライベート VLAN の作成

このタスクでは、拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートするスイッチに Junos OS を使用します。EX シリーズスイッチが、ELS をサポートしていないソフトウェアを実行する場合は、Creating a Private VLAN on a Single EX Series Switch (CLI Procedure)を参照してください。ELS の詳細については、「Using the Enhanced Layer 2 Software CLI」を参照してください。

プライベート Vlan は、Junos OS リリース 15.1 X53 を実行している QFX5100 スイッチおよび QFX10002 スイッチではサポートされていません。

セキュリティ上の理由により、ブロードキャストおよび不明なユニキャストトラフィックのフローを制限したり、既知のホスト間の通信を制限したりすると役立つことがよくあります。プライベート Vlan (PVLANs) を使用すると、ブロードキャストドメイン (プライマリ VLAN) を複数の独立したブロードキャストサブドメイン (セカンダリ Vlan) に分割し、実質的に VLAN 内に VLAN を配置することができます。この手順では、単一のスイッチ上で PVLAN を作成する方法について説明します。

PVLAN が1つのスイッチで構成されている場合でも、各セカンダリ VLAN の VLAN ID を指定する必要があります。

プライマリ VLAN を事前に構成する必要はありません。このトピックでは、この PVLAN 構成手順の一部として設定されるプライマリ VLAN について説明します。

PVLANs の構成に関するガイドラインのリストについては、「Understanding Private VLANsて」を参照してください。

単一のスイッチ上でプライベート VLAN を構成するには、次のようにします。

  1. プライマリ VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set primary-vlan-name vlan-id vlan-id-number
  2. PVLAN のすべてのサブドメインと通信するために、プライマリ VLAN 内で少なくとも1つのインターフェイスを構成します。このインターフェイスは、プロミスカスポートとして機能します。トランクポートまたはアクセスポートのいずれかを指定できます。
    [edit interfaces]

    user@switch# set interface-name unit 0 family ethernet-switching
    user@switch# set interface-name unit 0 family ethernet-switching vlan members primary-vlan-name
  3. PVLAN を外部ルーターまたはスイッチに接続するトランクポートとして、プライマリ VLAN の別のプロミスカスインターフェイスを構成します。
    [edit interfaces]

    user@switch# set interface-name unit 0 family ethernet-switching interface-mode trunk
    user@switch# set interface-name unit 0 family ethernet-switching vlan members primary-vlan-name
  4. 分離 vlan を作成するにはisolated 、以下private-vlanのオプションを選択し、分離された vlan の vlan ID を設定します。
    [edit vlans]

    user@switch# set isolated-vlan-name private-vlan isolated vlan-id isolated-vlan-id

    プライベート VLAN 内には、独立した VLAN を1つだけ作成できます。分離された VLAN の VLAN 名の設定は必須ではありません。VLAN ID を設定する必要があります。

  5. コミュニティー VLAN を作成するにはcommunityprivate-vlan、[] オプションを選択し、このコミュニティ vlan の vlan ID を設定します。
    [edit vlans]

    user@switch# set community-vlan-name private-vlan community vlan-id community-vlan-id

    追加のコミュニティー Vlan を作成するには、この手順を繰り返して、コミュニティ VLAN に別の名前を指定します。コミュニティ VLAN の VLAN 名の設定は必須ではありません。VLAN ID を設定する必要があります。

  6. 次のように、分離された VLAN とプライマリ VLAN を関連付けます。
    [edit vlans]

    user@switch# set primary-vlan-name vlan-id primary-vlan-id isolated-vlanisolated-vlan-name
  7. 各コミュニティ VLAN をプライマリ VLAN に関連付けます。
    [edit vlans]

    user@switch# set primary-vlan-name vlan-id primary-vlan-id community-vlancommunity-vlan-name
  8. まだ実行していない場合は、分離された VLAN のインターフェイスを少なくとも1つ構成します。
    [edit interfaces]

    user@switch# set interface-name unit logical-unit-number family ethernet-switching interface-mode access vlan members isolated-vlan-name
  9. まだ構成していない場合は、コミュニティー VLAN の少なくとも1つのインターフェイスを設定します。
    [edit interfaces]

    user@switch# set interface-name unit logical-unit-number family ethernet-switching interface-mode access vlan members community-vlan-name

    PVLAN に追加する他のコミュニティー Vlan で同じステップを繰り返します。

単一の QFX スイッチでのプライベート VLAN の作成

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。プライベート VLAN (PVLAN) 機能を使用すると、ブロードキャストドメインを複数の分離されたブロードキャストサブドメインに分割し、基本的にプライマリ VLAN 内にセカンダリ VLAN を配置することができます。このトピックでは、単一のスイッチで PVLAN を構成する方法について説明します。

開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ Vlan の名前を構成します。(この手順の一部として構成—されているプライマリ VLAN を事前設定する必要はありません)。セカンダリ Vlan 用の VLAN Id (タグ) を作成する必要はありません。セカンダリ VLAN にタグ付けする場合、機能が損なわれることはありませんが、1つのスイッチ上でセカンダリ Vlan を構成したときにタグが使用されることはありません。

PVLAN を構成する際には、以下のルールを念頭に置いてください。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • コミュニティー VLAN を構成する場合は、最初にプライマリ VLAN と PVLAN トランクポートを構成する必要があります。また、 pvlan文を使用して、プライマリ VLAN をプライベートに設定する必要があります。

  • 分離された VLAN を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

ここに記載されている順序で構成手順を完了した場合、これらの PVLAN ルールに違反することはありません。単一のスイッチ上でプライベート VLAN を構成するには、次のようにします。

  1. プライマリ VLAN の名前と VLAN ID (802.1 Q タグ) を設定します。
    [edit vlans]

    user@switch# set primary-vlan-name vlan-id vlan-id-number
  2. VLAN をプライベートに設定します。
    [edit vlans]

    user@switch# set primary-vlan-name pvlan
  3. プライマリ VLAN のトランクインターフェイスを構成します。
    [edit interfaces]

    user@switch# set interface-name unit 0 family ethernet-switching port-mode trunk
    user@switch# set interface-name unit 0 family ethernet-switching vlan members primary-vlan-name
  4. トランクインターフェイスをプライマリ VLAN に追加します。
    [edit vlans]

    user@switch# set primary-vlan-name interface interface-name
  5. コミュニティー (セカンダリ) Vlan のアクセスインターフェイスを設定します。
    [edit interfaces]

    user@switch# set interface-name unit 0 family ethernet-switching port-mode access
  6. コミュニティ Vlan にアクセスインターフェイスを追加します。
    [edit vlans]

    user@switch# set community-vlan-name interface interface-name
  7. コミュニティ VLAN ごとに、プライマリ VLAN を設定します。
    [edit vlans]

    user@switch# set community-vlan-name primary-vlan primary-vlan-name
  8. 孤立したポートを構成します。
    [edit vlans]

    user@switch# set primary-vlan-name interface interface-name isolated

単一の EX シリーズスイッチ (CLI の手順) でプライベート VLAN を作成する

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。EX シリーズスイッチのプライベート VLAN (PVLAN) 機能を使用すると、プライマリ VLAN としても知られるブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割できます。これは、セカンダリ Vlan としても知られています。プライマリ VLAN をセカンダリ Vlan に分割すると、別の VLAN 内に VLAN が実質的にネストされます。このトピックでは、単一のスイッチで PVLAN を構成する方法について説明します。

開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ Vlan の名前を構成します。(セカンダリ Vlan とは異なり、プライマリ vlan を事前設定する必要は—ありません)。この手順では、プライマリ vlan を完全に構成できます。1つのスイッチでセカンダリ VLAN が構成されている場合、タグは必要ありませんが、セカンダリ VLAN をタグ付きで構成すると機能に悪影響を与えることはありません。セカンダリ Vlan の構成方法については、 Configuring VLANs for EX Series Switchesを参照してください。

PVLAN を単一のスイッチ上で構成する場合は、以下のルールを念頭に置いてください。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • PVLAN インターフェイスでの VoIP VLAN の設定はサポートされていません。

単一のスイッチ上でプライベート VLAN を構成するには、次のようにします。

  1. プライマリ VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set primary-vlan-name vlan-id vlan-id-number
  2. インターフェイスとポートモードを設定します。
    [edit interfaces]

    user@switch# set interface-name unit 0 family ethernet-switching port-mode mode
    user@switch# set interface-name unit 0 family ethernet-switching vlan members (all | vlan-id | vlan-number)
  3. パケットを互いに転送しないように、プライマリ VLAN のアクセスポートを構成します。
    [edit vlans]

    user@switch# set vlan-id vlan-id-number no-local-switching
  4. コミュニティ VLAN ごとに、アクセスインターフェイスを構成します。
    [edit vlans]

    user@switch# set community-vlan-name interface-mac-limit interface-name
  5. コミュニティ VLAN ごとに、プライマリ VLAN を設定します。
    [edit vlans]

    user@switch# set community-vlan-name primary-vlan primary-vlan-name

分離された Vlan は、このプロセスの一部としては構成されていません。その代わりに、 ローカルスイッチングなしはプライマリ VLAN で有効になっており、分離された VLAN はメンバーとしてアクセスインターフェイスを持っています。

ルーターに接続しているプロミスカスポートの代わりに、ルーティングされた VLAN インターフェイス (RVI) を使用して、独立したコミュニティ Vlan とコミュニティー間のルーティングを可能にするには、 Configuring a Routed VLAN Interface in a Private VLAN on an EX Series Switchを参照してください。

PVLAN ドメイン内の独立型およびコミュニティー内の Vlan 間でレイヤー3トラフィックをルーティングするために、RVI の使用をサポートしているのは EX8200 スイッチまたは EX8200 のみバーチャルシャーシです。

複数の QFX シリーズスイッチにまたがってプライベート VLAN を作成する

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。プライベート VLAN (PVLAN) 機能を使用すると、ブロードキャストドメインを複数の分離されたブロードキャストサブドメインに分割し、基本的にプライマリ VLAN 内にセカンダリ VLAN を配置することができます。このトピックでは、複数のスイッチにまたがる PVLAN を構成する方法について説明します。

開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ Vlan の名前を構成します。(この手順の一部として構成—されているプライマリ VLAN を事前設定する必要はありません)。セカンダリ Vlan 用の VLAN Id (タグ) を作成する必要はありません。セカンダリ VLAN にタグ付けする場合、機能が損なわれることはありませんが、1つのスイッチ上でセカンダリ Vlan を構成したときにタグが使用されることはありません。

PVLANs の作成には、以下のルールが適用されます。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • コミュニティー VLAN を構成する場合は、最初にプライマリ VLAN と PVLAN トランクポートを構成する必要があります。また、 pvlan文を使用して、プライマリ VLAN をプライベートに設定する必要があります。

  • 分離された VLAN を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

ここに記載されている順序で構成手順を完了した場合、これらの PVLAN ルールに違反することはありません。プライベート VLAN を複数のスイッチにまたがるように構成するには、次のようにします。

  1. プライマリ VLAN の名前と VLAN ID (802.1 Q タグ) を設定します。
    [edit vlans]

    user@switch# set primary-vlan-name vlan-id vlan-id-number
  2. VLAN をプライベートに設定します。
    [edit vlans]

    user@switch# set primary-vlan-name pvlan
  3. プライマリ VLAN のトランクインターフェイスを構成します。
    [edit interfaces]

    user@switch# set interface-name unit 0 family ethernet-switching port-mode trunk
    user@switch# set interface-name unit 0 family ethernet-switching vlan members primary-vlan-name
  4. トランクインターフェイスをプライマリ VLAN に追加します。
    [edit vlans]

    user@switch# set primary-vlan-name interface interface-name
  5. コミュニティー (セカンダリ) Vlan のアクセスインターフェイスを設定します。
    [edit interfaces]

    user@switch# set interface-name unit 0 family ethernet-switching port-mode access
  6. コミュニティ Vlan にアクセスインターフェイスを追加します。
    [edit vlans]

    user@switch# set community-vlan-name interface interface-name
  7. コミュニティ VLAN ごとに、プライマリ VLAN を設定します。
    [edit vlans]

    user@switch# set community-vlan-name primary-vlan primary-vlan-name
  8. 独立した VLAN ID を構成して、スイッチにまたがる interswitch の分離ドメインを作成します。
    [edit vlans]

    user@switch# set primary-vlan-name isolation-vlan-id number
  9. 孤立したポートを構成します。
    [edit vlans]

    user@switch# set primary-vlan-name interface interface-name isolated

ELS サポートで複数の EX シリーズスイッチを使用したプライベート VLAN の作成 (CLI 手続き)

このタスクでは、拡張レイヤー2ソフトウェア (els) のサポートを備えた EX シリーズスイッチの Junos OS を使用します。このスイッチで els をサポートしないソフトウェアが実行されている場合は、複数の EX シリーズスイッチを使用してCreating a Private VLAN Spanning Multiple EX Series Switches (CLI Procedure)。ELS の詳細については、「Using the Enhanced Layer 2 Software CLI」を参照してください。

プライベート Vlan は、Junos OS リリース 15.1 X53 を実行している QFX5100 スイッチおよび QFX10002 スイッチではサポートされていません。

セキュリティ上の理由により、ブロードキャストおよび不明なユニキャストトラフィックのフローを制限したり、既知のホスト間の通信を制限したりすると役立つことがよくあります。プライベート Vlan (PVLANs) を使用すると、ブロードキャストドメイン (プライマリ VLAN) を複数の独立したブロードキャストサブドメイン (セカンダリ Vlan) に分割し、実質的に VLAN 内に VLAN を配置することができます。この手順では、複数のスイッチにまたがる PVLAN を構成する方法について説明します。

PVLANs の構成に関するガイドラインのリストについては、「Understanding Private VLANsて」を参照してください。

PVLAN を複数のスイッチにまたがるように設定するには、PVLAN に参加するすべてのスイッチで以下の手順を実行します。

  1. 次のように、固有の VLAN 名を設定し、VLAN の 802.1 Q タグを指定して、プライマリ VLAN を作成します。
    [edit vlans]
    user@switch# set primary-vlan-name vlan-id number
  2. ルーターに接続するスイッチで、プロミスカスインターフェイスをトランクポートとして構成し、PVLAN をルーターに接続します。
    [edit interfaces]

    user@switch# set interface-name unit 0 family ethernet-switching interface-mode trunk
    user@switch# set interface-name unit 0 family ethernet-switching vlan members primary-vlan-name
  3. すべてのスイッチで、スイッチを相互接続するために使用される ISL (スイッチ間リンク) としてトランクインターフェイスを構成します。
    [edit interfaces]

    user@switch# set interface-name unit 0 family ethernet-switching interface-mode trunk inter-switch-link
    user@switch# set interface-name unit 0 family ethernet-switching vlan members name-of-primary-vlan
  4. 次のisolatedprivate-vlanオプションを選択し、分離された vlan の vlan ID を設定して、プライマリ vlan 内に分離された vlan を作成します。
    [edit vlans]

    user@switch# set isolated-vlan-name private-vlan isolated vlan-id isolated-vlan-id

    プライベート VLAN 内には、独立した VLAN を1つだけ作成できます。分離された VLAN には、PVLAN を構成する複数のスイッチからのメンバーインターフェイスを含めることができます。

    分離された VLAN の VLAN 名の設定は必須ではありません。VLAN ID を設定する必要があります。

  5. 次のcommunityprivate-vlanオプションを選択し、このコミュニティ vlan の vlan ID を設定して、プライマリ VLAN 内にコミュニティー vlan を作成します。
    [edit vlans]

    user@switch# set community-vlan-name private-vlan community vlan-id community-vlan-id

    追加のコミュニティー Vlan を作成するには、この手順を繰り返して、コミュニティ VLAN に別の名前を指定します。コミュニティ VLAN の VLAN 名の設定は必須ではありません。VLAN ID を設定する必要があります。

  6. 次のように、分離された VLAN とプライマリ VLAN を関連付けます。
    [edit vlans primary-vlan-name vlan-id primary-vlan-id]

    user@switch# set isolated-vlanisolated-vlan-name
  7. 各コミュニティ VLAN をプライマリ VLAN に関連付けます。
    [edit vlans primary-vlan-name vlan-id primary-vlan-id]

    user@switch# set community-vlancommunity-vlan-name
  8. まだ構成していない場合は、少なくとも1つのアクセスインターフェイスを、分離された VLAN のメンバーに設定します。
    [edit interface]

    user@switch# set interface-name unit logical-unit-number family ethernet-switching interface-mode access vlan members isolated-vlan-name
  9. まだコミュニティ VLAN のメンバーになるように、少なくとも1つのアクセスインターフェイスを設定していない場合は、構成します。
    [edit interface]

    user@switch# set interface-name unit logical-unit-number family ethernet-switching interface-mode access vlan members community-vlan-name

    PVLAN に含まれている他のコミュニティー Vlan に対して、この手順を繰り返します。

複数の EX シリーズスイッチをまたがるプライベート VLAN の作成 (CLI の手順)

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。EX シリーズスイッチのプライベート VLAN (PVLAN) 機能により、管理者はブロードキャストドメイン (プライマリ VLAN とも呼ばれる) を複数の分離されたブロードキャストサブドメイン (セカンダリ Vlan とも呼ばれる) に分割できます。プライマリ VLAN をセカンダリ Vlan に分割すると、別の VLAN 内に VLAN が実質的にネストされます。このトピックでは、複数のスイッチにまたがる PVLAN を構成する方法について説明します。

開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ Vlan の名前を構成します。(セカンダリ Vlan とは異なり、プライマリ vlan を事前設定する必要は—ありません)。この手順では、プライマリ vlan を完全に構成できます。セカンダリ Vlan の構成方法については、 Configuring VLANs for EX Series Switchesを参照してください。

PVLANs の作成には、以下のルールが適用されます。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • セカンダリ Vlan を構成する前に、プライマリ VLAN と PVLAN トランクポートを構成する必要があります。

  • PVLAN インターフェイスでの VoIP VLAN の設定はサポートされていません。

  • PVLAN トランクポートで複数の VLAN 登録プロトコル (MVRP) が設定されている場合、セカンダリ Vlan と PVLAN トランクポートの設定は同じコミット操作でコミットされる必要があります。

プライベート VLAN を複数のスイッチにまたがるように構成するには、次のようにします。

  1. プライマリ VLAN 用の名前と 802.1 Q タグを構成します。.
    [edit vlans]

    user@switch# set primary-vlan-name vlan-id number
  2. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。
    [edit vlans]

    user@switch# set primary-vlan-name no-local-switching
  3. プライマリ VLAN を隣接スイッチに接続する PVLAN トランクインタフェースを設定します。
    [edit vlans]

    user@switch# set primary-vlan-name interface interface-name pvlan-trunk
  4. スイッチにまたがるコミュニティ VLAN 用の名前と 802.1 Q タグを構成します。
    [edit vlans]

    user@switch# set community-vlan-name vlan-id number
  5. アクセスインターフェイスをコミュニティ VLAN に追加します。
    [edit vlans]

    user@switch# set community-vlan-name interface interface-name
  6. 指定されたコミュニティ VLAN のプライマリ VLAN を指定してください:
    [edit vlans]

    user@switch# set community-vlan-name primary-vlan primary-vlan-name
  7. 指定されたプライマリ VLAN に分離インターフェイスを追加します。
    [edit vlans]

    user@switch# set primary-vlan-name interface interface-name

    分離インターフェイスを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているものとして構成してはなりません。

  8. Interswitch の分離された VLAN の 802.1 Q タグを設定します。
    [edit vlans]

    user@switch# set primary-vlan-name isolation-id number

    802.1 q タグは、interswitch 分離された Vlan に必要です。 IEEE 802.1 Q は、トランクデバイスが4バイトの VLAN フレーム識別タブをパケットヘッダーに挿入する内部タグ機構を使用しているため、このようなことがあります。

ルーターに接続しているプロミスカスポートの代わりに、ルーティングされた VLAN インターフェイス (RVI) を使用して、独立したコミュニティ Vlan とコミュニティー間のルーティングを可能にするには、 Configuring a Routed VLAN Interface in a Private VLAN on an EX Series Switchを参照してください。

PVLAN ドメイン内の独立型およびコミュニティー内の Vlan 間でレイヤー3トラフィックをルーティングするために、RVI の使用をサポートしているのは EX8200 スイッチまたは EX8200 のみバーチャルシャーシです。

例:ELS サポートによる単一スイッチでのプライベート VLAN の構成

この例では、拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートするスイッチに Junos OS を使用しています。EX スイッチが、ELS をサポートしていないソフトウェアを実行している場合は、次の例を参照してください。Example: Configuring a Private VLAN on a Single EX Series Switchでプライベート VLAN を構成します。ELS の詳細については、「Using the Enhanced Layer 2 Software CLI」を参照してください。

プライベート Vlan は、Junos OS リリース 15.1 X53 を実行している QFX5100 スイッチおよび QFX10002 スイッチではサポートされていません。

セキュリティ上の理由により、ブロードキャストおよび不明なユニキャストトラフィックのフローを制限したり、既知のホスト間の通信を制限したりすると役立つことがよくあります。プライベート Vlan (PVLANs) を使用すると、ブロードキャストドメイン (プライマリ VLAN) を複数の独立したブロードキャストサブドメイン (セカンダリ Vlan) に分割し、実質的に VLAN 内に VLAN を配置することができます。

この例では、単一のスイッチで PVLAN を作成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1つの Junos OS スイッチ

  • Junos OS リリース 14.1 x53-D10 またはEX シリーズスイッチ用

    Junos OS リリース14.1 の X53-D15 またはそれ以降。 QFX シリーズスイッチ用

概要とトポロジー

セキュリティと効率を向上させるために、加入者のグループを分離することができます。この設定例では、シンプルなトポロジを使用して、1つのプライマリ VLAN と3つのセカンダリ Vlan (1 つの分離 VLAN、2つのコミュニティー Vlan) を持つ PVLAN を作成する方法を示します。

表 6は、この例で使用されるトポロジのインターフェイスを示しています。

表 6: PVLAN を構成するためのトポロジのインターフェイス

インターフェース説明

ge-0/0/0

ge-1/0/0

プロミスカスメンバーポート

ge-0/0/11、 ge-0/0/12

HR コミュニティー VLAN メンバーポート

ge-0/0/13、 ge-0/0/14

ファイナンス・コミュニティー・ VLAN メンバー・ポート

ge-0/0/15、 ge-0/0/16

孤立したメンバーポート

表 7は、この例で使用されているトポロジーの VLAN Id を示しています。

表 7: PVLAN を構成するためのトポロジー内の VLAN Id

VLAN ID説明

100

プライマリ VLAN

200

HR コミュニティー VLAN

300

ファイナンスコミュニティー VLAN

400

孤立した VLAN

図 15は、この例のトポロジを示しています。

図 15: 単一の EX シリーズスイッチ上のプライベート VLAN のトポロジ
単一の EX シリーズスイッチ上のプライベート VLAN のトポロジ

構成

既存の VLAN をプライベート PVLAN の基礎として使用し、その内部にサブドメインを作成することができます。この例では、VLAN—名を使用してプライマリ vlan を作成します。 vlan-pri—手順の一部として。

PVLAN を構成するには、以下のタスクを実行します。

CLI 簡単構成

PVLAN を簡単に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]


set vlans vlan-pri vlan-id 100
set vlans vlan-iso private-vlan isolated vlan-id 400
set vlans vlan-hr private-vlan community vlan-id 200
set vlans vlan-finance private-vlan community vlan-id 300
set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr
set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr
set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance
set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance
set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso
set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso
set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri

ステップごとの手順

PVLAN を設定するには、次のようにします。

  1. プライマリ VLAN を作成します (この例では、名前は vlan-pri) のプライベート VLAN を実行します。
    [edit vlans]

    user@switch# set vlan-pri vlan-id 100
  2. 独立した VLAN を作成し、それに VLAN ID を割り当てます。
    [edit vlans]

    user@switch# set vlan-iso private-vlan isolated vlan-id 400
  3. HR コミュニティー VLAN を作成し、それに VLAN ID を割り当てます。
    [edit vlans]

    user@switch# set vlan-hr private-vlan community vlan-id 200
  4. ファイナンスコミュニティ VLAN を作成し、それに VLAN ID を割り当てます。
    [edit vlans]

    user@switch# set vlan-finance private-vlan community vlan-id 300
  5. セカンダリ Vlan をプライマリ VLAN と関連付けます。
    [edit vlans]

    user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
  6. インターフェイスを適切なインターフェイスモードに設定します。
    [edit interfaces]

    user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr
    user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr
    user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance
    user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance
    user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso
    user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
  7. プライマリ VLAN のプロミスカストランクインターフェイスを構成します。このインターフェイスは、プライマリ VLAN によってセカンダリ Vlan と通信するために使用されます。
    user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
  8. PVLAN をルーターに接続することで、プライマリ VLAN の別のトランクインターフェイス (無差別インターフェイス) を構成できます。
    user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri

例:単一 QFX シリーズスイッチでのプライベート VLAN の構成

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限したり、既知のホスト間の通信を制限したりすると便利なことがよくあります。プライベート VLAN (PVLAN) 機能により、管理者は、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的に VLAN 内に VLAN を配置することができます。

この例では、単一のスイッチで PVLAN を作成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1つの QFX3500 デバイス

  • QFX シリーズの Junos OS リリース12.1 以降

PVLAN の構成を開始する前に、必要な Vlan を作成して設定していることを確認してください。Configuring VLANs on Switches参照してください。

概要とトポロジー

複数の建物と Vlan がある大規模オフィスでは、セキュリティ上の理由により、またはブロードキャストドメインのパーティションを作成するためにワークグループやその他のエンドポイントを分離する必要がある場合があります。この設定例では、シンプルなトポロジを示しています。これは、1つのプライマリ VLAN と財務用に1つずつと、2つのコミュニティ Vlan—を備えた PVLAN の作成方法を示すものです。さらに、メールサーバー用とバックアップサーバー用に1つずつ、

表 8サンプルトポロジの設定の一覧が表示されます。

表 8: PVLAN を構成するためのトポロジの構成要素

インターフェース説明

ge-0/0/0.0

プライマリ VLAN (pvlan100) トランクインターフェイス

ge-0/0/11.0

ユーザー1、HR コミュニティー (hr-comm)

ge-0/0/12.0

ユーザー2、HR コミュニティー (hr-comm)

ge-0/0/13.0

ユーザー3、ファイナンスコミュニティー (finance-comm)

ge-0/0/14.0

ユーザー4、財務コミュニティー (finance-comm)

ge-0/0/15.0

メールサーバー、分離 (isolated)

ge-0/0/16.0

バックアップサーバー、分離 (isolated)

ge-1/0/0.0

プライマリ VLAN (pvlan100) トランクインターフェイス

構成

CLI 簡単構成

PVLAN を簡単に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]


set vlans pvlan100 vlan-id 100


set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk


set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan


set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk


set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan


set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access


set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access


set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access


set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access


set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access


set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access


set vlans pvlan100 pvlan


set vlans pvlan100 interface ge-0/0/0.0


set vlans pvlan100 interface ge-1/0/0.0


set vlans hr-comm interface ge-0/0/11.0


set vlans hr-comm interface ge-0/0/12.0


set vlans finance-comm interface ge-0/0/13.0


set vlans finance-comm interface ge-0/0/14.0


set vlans hr-comm primary-vlan pvlan100


set vlans finance-comm primary-vlan pvlan100


set pvlan100 interface ge-0/0/15.0 isolated


set pvlan100 interface ge-0/0/16.0 isolated

ステップごとの手順

PVLAN を設定するには、次のようにします。

  1. プライマリ VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set pvlan vlan-id 100
  2. インターフェイスとポートモードを設定します。
    [edit interfaces]

    user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk
    user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan
    user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk
    user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan
    user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access
    user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access
    user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access
    user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access
    user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access
    user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
  3. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。

    プライマリ VLAN はタグ付き VLAN でなければなりません。

    [edit vlans]

    user@switch# set pvlan100 pvlan
  4. トランクインターフェイスをプライマリ VLAN に追加します。
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0
    user@switch# set pvlan100 interface ge-1/0/0.0
  5. 各セカンダリ VLAN に対して、アクセスインターフェイスを構成します。

    セカンダリ Vlan をタグなし Vlan にすることをお勧めします。セカンダリ VLAN にタグ付けすると、機能が損なわれることはありません。ただし、セカンダリ VLAN が1台のスイッチ上で構成されている場合、タグは使用されません。

    [edit vlans]

    user@switch# set hr-comm interface ge-0/0/11.0
    user@switch# set hr-comm interface ge-0/0/12.0


    user@switch# set finance-comm interface ge-0/0/13.0
    user@switch# set finance-comm interface ge-0/0/14.0
  6. コミュニティ VLAN ごとに、プライマリ VLAN を設定します。
    [edit vlans]

    user@switch# set hr-comm primary-vlan pvlan100
    user@switch# set finance-comm primary-vlan pvlan100
  7. プライマリ VLAN で分離インターフェイスを構成します。
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/15.0 isolated
    user@switch# set pvlan100 interface ge-0/0/16.0 isolated

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

プライベート VLAN とセカンダリ Vlan が作成されたことを確認します。

目的

プライマリ VLAN とセカンダリ Vlan がスイッチ上で適切に作成されていることを確認します。

アクション

次のshow vlansコマンドを使用します。

user@switch> show vlans pvlan100 extensive


user@switch> show vlans hr-comm extensive
user@switch> show vlans finance-comm extensive


user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive


user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive

意味

この出力は、プライマリ VLAN が作成されたことを示し、それに関連付けられているインターフェイスとセカンダリ Vlan を識別します。

例:単一の EX シリーズスイッチでのプライベート VLAN の構成

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。EX シリーズスイッチのプライベート VLAN (PVLAN) 機能を使用すると、管理者はブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的に VLAN 内に VLAN を配置することができます。

この例では、単一の EX シリーズスイッチで PVLAN を作成する方法について説明します。

PVLAN インターフェイスでの voice over IP (VoIP) VLAN の設定はサポートされていません。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • EX シリーズスイッチ1台

  • EX シリーズスイッチの Junos OS リリース9.3 以降

PVLAN の構成を開始する前に、必要な Vlan を作成して設定していることを確認してください。Configuring VLANs for EX Series Switches参照してください。

概要とトポロジー

複数の建物と Vlan がある大規模オフィスでは、セキュリティ上の理由により、またはブロードキャストドメインのパーティションを作成するためにワークグループやその他のエンドポイントを分離する必要がある場合があります。この設定例では、シンプルなトポロジを示しています。これは、1つのプライマリ VLAN と財務用に1つずつと、2つのコミュニティ Vlan—を備えた PVLAN の作成方法を示すものです。さらに、メールサーバー用とバックアップサーバー用に1つずつ、

表 9は、トポロジ例の設定を示しています。

表 9: PVLAN を構成するためのトポロジの構成要素

インターフェース説明

ge-0/0/0.0

プライマリ VLAN (vlan1) トランクインターフェイス

ge-0/0/11.0

ユーザー1、HR コミュニティー (人事通信)まで

ge-0/0/12.0

ユーザー2、HR コミュニティー (人事通信)まで

ge-0/0/13.0

ユーザー3、ファイナンスコミュニティー (財務-com)まで

ge-0/0/14.0

ユーザー4、財務コミュニティー (財務-com)まで

ge-0/0/15.0

メールサーバー、分離 (分離)まで

ge-0/0/16.0

バックアップサーバー、分離 (分離)まで

ge-1/0/0.0

プライマリ VLAN (pvlan) トランクインターフェイス

図 16は、この例のトポロジを示しています。

図 16: 単一の EX シリーズスイッチ上のプライベート VLAN のトポロジ
単一の EX シリーズスイッチ上のプライベート VLAN のトポロジ

構成

PVLAN を構成するには、以下のタスクを実行します。

CLI 簡単構成

PVLAN を簡単に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]
set vlans vlan1 vlan-id 1000
set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1
set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1
set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access
set vlans vlan1 no-local-switching
set vlans vlan1 interface ge-0/0/0.0
set vlans vlan1 interface ge-1/0/0.0
set vlans hr-comm vlan-id 400
set vlans hr-comm interface ge-0/0/11.0
set vlans hr-comm interface ge-0/0/12.0
set vlans finance-comm vlan-id 300
set vlans finance-comm interface ge-0/0/13.0
set vlans finance-comm interface ge-0/0/14.0
set vlans hr-comm primary-vlan vlan1
set vlans finance-comm primary-vlan vlan1
set vlans vlan1 interface ge-0/0/15.0
set vlans vlan1 interface ge-0/0/16.0

ステップごとの手順

PVLAN を設定するには、次のようにします。

  1. プライマリ VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set vlan1 vlan-id 1000
  2. インターフェイスとポートモードを設定します。
    [edit interfaces]

    user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk
    user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan
    user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk
    user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1
    user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access
    user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access
    user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access
    user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access
    user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access
    user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
  3. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。

    プライマリ VLAN はタグ付き VLAN でなければなりません。

    [edit vlans]

    user@switch# set vlan1 no-local-switching
  4. トランクインターフェイスをプライマリ VLAN に追加します。
    [edit vlans]

    user@switch# set vlan1 interface ge-0/0/0.0
    user@switch# set vlan1 interface ge-1/0/0.0
  5. 各セカンダリ VLAN について、VLAN Id とアクセスインターフェイスを構成します。

    セカンダリ Vlan をタグなし Vlan にすることをお勧めします。セカンダリ VLAN にタグ付けすると、機能が損なわれることはありません。ただし、セカンダリ VLAN が1台のスイッチ上で構成されている場合、タグは使用されません。

    [edit vlans]

    user@switch# set hr-comm vlan-id 400

    user@switch# set hr-comm interface ge-0/0/11.0
    user@switch# set hr-comm interface ge-0/0/12.0

    user@switch# set finance-comm vlan-id 300
    user@switch# set finance-comm interface ge-0/0/13.0
    user@switch# set finance-comm interface ge-0/0/14.0
  6. コミュニティ VLAN ごとに、プライマリ VLAN を設定します。
    [edit vlans]

    user@switch# set hr-comm primary-vlan vlan1
    user@switch# set finance-comm primary-vlan vlan1
  7. 各分離インターフェイスをプライマリ VLAN に追加します。
    [edit vlans]

    user@switch# set vlan1 interface ge-0/0/15.0
    user@switch# set vlan1 interface ge-0/0/16.0

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

プライベート VLAN とセカンダリ Vlan が作成されたことを確認します。

目的

プライマリ VLAN とセカンダリ Vlan がスイッチ上で適切に作成されていることを確認します。

アクション

次のshow vlansコマンドを使用します。

user@switch> show vlans vlan1 extensive


user@switch> show vlans hr-comm extensive
user@switch> show vlans finance-comm extensive


user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive


user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive

意味

この出力は、プライマリ VLAN が作成されたことを示し、それに関連付けられているインターフェイスとセカンダリ Vlan を識別します。

例:複数の QFX スイッチにまたがるプライベート VLAN の構成

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限したり、既知のホスト間の通信を制限したりすると便利なことがよくあります。プライベート VLAN (PVLAN) 機能により、管理者は、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的に VLAN 内に VLAN を配置することができます。PVLAN は複数のスイッチにまたがることができます。

この例では、複数のスイッチにまたがる PVLAN を作成する方法について説明します。この例では、複数のセカンダリ Vlan を含む1つのプライマリ PVLAN を作成しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3台の QFX3500 デバイス

  • QFX シリーズの Junos OS リリース12.1 以降

PVLAN の構成を開始する前に、必要な Vlan を作成して設定していることを確認してください。Configuring VLANs on Switches参照してください。

概要とトポロジー

複数の建物と Vlan がある大規模オフィスでは、セキュリティ上の理由により、またはブロードキャストドメインのパーティションを作成するためにワークグループやその他のエンドポイントを分離する必要がある場合があります。この設定例では、複数の QFX デバイスの PVLAN を作成する方法を示しています。1つのプライマリ VLAN (HR および Finance 用に1つ)、および interswitch 分離された VLAN (メールサーバー、バックアップサーバー、CVS サーバー用) が含まれる、それぞれに2つのコミュニティー Vlan があります。PVLAN は、3つのスイッチ、2台のアクセススイッチ、1つの分散スイッチで構成されています。PVLAN は、プロミスカスポートを介してルーターに接続されています。これは、分散スイッチ上で設定されます。

スイッチ1とスイッチ2の分離ポートは、同一ドメイン内に含まれていても、レイヤー2接続を持たないということです。「Understanding Private VLANsて」を参照してください。

図 17この例—のトポロジを示します。2つのアクセススイッチが、ルーターへの接続を (プロミスカスポート経由で) 配信スイッチに接続しています。

図 17: 複数のスイッチにまたがる PVLAN トポロジ
複数のスイッチにまたがる PVLAN トポロジ

表 10表 11、サンプル表 12トポロジの設定をリストしています。

表 10: 複数のデバイスにまたがる PVLAN を構成するためのトポロジーにおけるスイッチ1のコンポーネント

プロパティ設定

VLAN 名とタグ Id

プライマリ-vlan、タグ 100

分離: vlan id、タグ 50

財務-com、タグ 300

人事通信、タグ 400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ1をスイッチ3に接続します。



ge-0/0/5.0、スイッチ1をスイッチ2に接続します。

プライマリ VLAN での孤立したインターフェイス

ge-0/0/15.0、メールサーバー

ge-0/0/16.0、バックアップサーバー

VLAN のインターフェイス 財務-com

ge-0/0/11.0

ge-0/0/12.0

VLAN のインターフェイス 人事通信

ge-0/0/13.0

ge-0/0/14.0

表 11: 複数のデバイスにまたがる PVLAN を構成するためのトポロジーのスイッチ2のコンポーネント

プロパティ設定

VLAN 名とタグ Id

プライマリ-vlan、タグ 100

分離: vlan id、タグ 50

財務-com、タグ 300

人事通信、タグ 400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ2をスイッチ3に接続します。



ge-0/0/5.0、スイッチ2をスイッチ1に接続します。

プライマリ VLAN での孤立したインターフェイス

ge-0/0/17.0、CVS サーバー

VLAN のインターフェイス 財務-com

ge-0/0/11.0

ge-0/0/12.0

VLAN のインターフェイス 人事通信

ge-0/0/13.0

ge-0/0/14.0

表 12: トポロジー内のスイッチ3のコンポーネントは、複数のデバイスにまたがる PVLAN を構成するためのものです。

プロパティ設定

VLAN 名とタグ Id

プライマリ-vlan、タグ 100

分離: vlan id、タグ 50

財務-com、タグ 300

人事通信、タグ 400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ3をスイッチ1に接続します。



ge-0/0/1.0、スイッチ3をスイッチ2に接続します。

プロミスカスポート

ge-0/0/2PVLAN をルーターに接続します。

注: PVLAN を PVLAN のメンバーとして PVLAN 外の別のスイッチやルーターに接続するトランクポートを構成する必要があります。これは、プロミスカスポートとして暗黙的に構成されます。

スイッチ1で PVLAN を構成しています

複数のスイッチで PVLAN を構成する場合、以下のルールが適用される。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。最初にプライマリ VLAN を構成することをお勧めします。

  • コミュニティーの VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。また、 pvlan文を使用して、プライマリ VLAN をプライベートに設定する必要があります。

  • 分離 VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

CLI 簡単構成

複数のスイッチにまたがる PVLAN を簡単に作成して設定するには、以下のコマンドをコピーして、スイッチ1の端末ウィンドウに貼り付けます。

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm interface ge-0/0/11.0


set vlans finance-comm interface ge-0/0/12.0


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm interface ge-0/0/13.0


set vlans hr-comm interface ge-0/0/14.0


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/15.0


set vlans pvlan100 interface ge-0/0/16.0


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk


set vlans pvlan100 pvlan


set vlans pvlan100 pvlan isolation-vlan-id 50


set pvlan100 interface ge-0/0/15.0 isolated


set pvlan100 interface ge-0/0/16.0 isolated

ステップごとの手順

  1. プライマリ VLAN の VLAN ID を設定します。
    [edit vlans]
    user@switch# set pvlan100 vlan-id 100
  2. PVLAN トランクインターフェイスを設定して、この VLAN を隣接するスイッチ間で接続します。
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk
    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  3. プライマリ VLAN をプライベートに設定し、ローカルスイッチングを持たないようにします。
    [edit vlans]

    user@switch# set pvlan100 pvlan
  4. の VLAN ID を設定します。 財務-comスイッチにまたがるコミュニティー VLAN:
    [edit vlans]

    user@switch# set finance-comm vlan-id 300
  5. のアクセスインターフェイスを構成します。 財務-comVLAN
    [edit vlans]

    user@switch# set finance-comm interface ge-0/0/11.0
    user@switch# set finance-comm interface ge-0/0/12.0
  6. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 財務-com:
    [edit vlans]

    user@switch# set vlans finance-comm primary-vlan pvlan100
  7. スイッチをまたがる HR コミュニティー VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set hr-comm vlan-id 400
  8. のアクセスインターフェイスを構成します。 人事通信VLAN
    [edit vlans]

    user@switch# set hr-comm interface ge-0/0/13.0
    user@switch# set hr-comm interface ge-0/0/14.0
  9. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 人事通信:
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  10. Interswitch の分離 ID を設定して、スイッチにまたがる interswitch の孤立ドメインを作成します。
    [edit vlans]
    user@switch# set pvlan100 pvlan isolation-vlan-id 50
  11. プライマリ VLAN で分離インターフェイスを構成します。
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/15.0 isolated
    user@switch# set pvlan100 interface ge-0/0/16.0 isolated

    分離ポートを構成する場合、それをプライマリ VLAN のメンバーとして含めますが、コミュニティー VLAN のメンバーとして構成しないでください。

結果

構成の結果を確認します。

スイッチ2での PVLAN の構成

CLI 簡単構成

複数のスイッチにまたがってプライベート VLAN をすばやく作成して設定するには、以下のコマンドをコピーして、スイッチ2の端末ウィンドウに貼り付けます。

スイッチ2の構成は、interswitch の分離ドメイン内のインターフェイスを除いて、スイッチ1の構成と同じです。スイッチ2では、インターフェイスは ge-0/0/17.0

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm interface ge-0/0/11.0


set vlans finance-comm interface ge-0/0/12.0


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm interface ge-0/0/13.0


set vlans hr-comm interface ge-0/0/14.0


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/17.0


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk


set vlans pvlan100 pvlan


set vlans pvlan100 pvlan isolation-vlan-id 50


set pvlan100 interface ge-0/0/17.0 isolated

ステップごとの手順

複数のスイッチにまたがる PVLAN on スイッチ2を構成するには、次のようにします。

  1. の VLAN ID を設定します。 財務-comスイッチにまたがるコミュニティー VLAN:
    [edit vlans]

    user@switch# set finance-comm vlan-id 300
  2. のアクセスインターフェイスを構成します。 財務-comVLAN
    [edit vlans]

    user@switch# set finance-comm interface ge-0/0/11.0
    user@switch# set finance-comm interface ge-0/0/12.0
  3. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 財務-com:
    [edit vlans]

    user@switch# set vlans finance-comm primary-vlan pvlan100
  4. スイッチをまたがる HR コミュニティー VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set hr-comm vlan-id 400
  5. のアクセスインターフェイスを構成します。 人事通信VLAN
    [edit vlans]

    user@switch# set hr-comm interface ge-0/0/13.0
    user@switch# set hr-comm interface ge-0/0/14.0
  6. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 人事通信:
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  7. プライマリ VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set pvlan100 vlan-id 100
  8. この VLAN を隣接するスイッチ間で接続する PVLAN トランクインターフェイスを設定します。
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk
    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  9. プライマリ VLAN をプライベートに設定し、ローカルスイッチングを持たないようにします。
    [edit vlans]

    user@switch# set pvlan100 pvlan
  10. Interswitch の分離 ID を設定して、スイッチにまたがる interswitch の孤立ドメインを作成します。
    [edit vlans]

    user@switch# set pvlan100 pvlan isolation-vlan-id 50

    分離ポートを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているものとして構成してはなりません。

  11. プライマリ VLAN で分離されたインターフェイスを構成します。
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/17.0 isolated

結果

構成の結果を確認します。

スイッチ3で PVLAN を構成しています

CLI 簡単構成

スイッチ3を迅速にこの PVLAN のディストリビューションスイッチとして設定するには、以下のコマンドをコピーして、スイッチ3の端末ウィンドウに貼り付けます。

インターフェイス ge-0/0/2.0 は、PVLAN をルーターに接続するトランクポートです。

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk


set vlans pvlan100 pvlan


set vlans pvlan100 pvlan isolation-vlan-id 50

ステップごとの手順

この PVLAN のディストリビューションスイッチとしてスイッチ3を構成するには、以下の手順に従います。

  1. の VLAN ID を設定します。 財務-comスイッチにまたがるコミュニティー VLAN:
    [edit vlans]

    user@switch# finance-comm vlan-id 300
  2. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 財務-com:
    [edit vlans]

    user@switch# set vlans finance-comm primary-vlan pvlan100
  3. スイッチにまたがる HR コミュニティー VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set hr-comm vlan-id 400
  4. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 人事通信:
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  5. プライマリ VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set pvlan100 vlan-id 100
  6. この VLAN を隣接するスイッチ間で接続する PVLAN トランクインターフェイスを設定します。
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk
    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  7. プライマリ VLAN をプライベートに設定し、ローカルスイッチングを持たないようにします。
    [edit vlans]

    user@switch# set pvlan100 pvlan
  8. Interswitch の分離 ID を設定して、スイッチにまたがる interswitch の孤立ドメインを作成します。
    [edit vlans]

    user@switch# set pvlan100 pvlan isolation-vlan-id 50

    分離ポートを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているものとして構成してはなりません。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

スイッチ1でプライマリ VLAN およびセカンダリ Vlan が作成されたことを確認します。

目的

スイッチ1で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

user@switch> show vlans extensive

意味

この出力は、スイッチ1で PVLAN が作成されたことを示しており、2つの分離 Vlan、2つのコミュニティー Vlan、および interswitch の独立した VLAN が含まれていることを示しています。Pvlan と Isl を分離したフィールドが存在することは、この PVLAN が複数のスイッチにまたがることを示しています。

スイッチ2でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ2で、複数のスイッチにまたがる PVLAN 構成が正常に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

user@switch> show vlans extensive

意味

この出力は、PVLAN がスイッチ2で作成されたことを示しており、1つの孤立した VLAN、2つのコミュニティー Vlan、interswitch の独立した VLAN が含まれていることを示しています。Pvlan と Isl を分離したフィールドが存在することは、この PVLAN が複数のスイッチにまたがることを示しています。この出力をスイッチ1の出力と比較すると、両方のスイッチが同じ PVLAN に属していることがわかります (pvlan100)。

スイッチ3でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ3上で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

user@switch> show vlans extensive

意味

この出力には、PVLAN (pvlan100) はスイッチ3上で構成されており、分離された Vlan、2つのコミュニティー Vlan、interswitch の分離 VLAN はありません。しかし、スイッチ3はディストリビューションスイッチとして機能しているため、出力には PVLAN 内のアクセスインターフェイスは含まれません。表示されるのは pvlan接続するインターフェイス pvlan100同じ PVLAN 内でスイッチ3から他のスイッチ (スイッチ1およびスイッチ 2) を使用しています。

例:IRB インターフェイスを使用して、プライベート VLAN を複数のスイッチにまたがるように構成する

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限したり、既知のホスト間の通信を制限したりすると便利なことがよくあります。プライベート VLAN (PVLAN) 機能により、管理者は、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的に VLAN 内に VLAN を配置することができます。PVLAN は複数のスイッチにまたがることができます。この例では、複数のスイッチにまたがる PVLAN を作成する方法について説明します。この例では、複数のセカンダリ Vlan を含む1つのプライマリ PVLAN を作成しています。

通常の Vlan と同様に、PVLANs はレイヤー 2 で分離されている ため、通常はレイヤー3デバイスを使用してトラフィックをルーティングする必要があります。Junos OS 14.1 X53-D30 をはじめとして、統合型ルーティングおよびブリッジング (IRB) インターフェイスを使用し て、PVLAN に接続されたデバイス間でレイヤー3トラフィックをルーティングできます。この方法で IRB インターフェイスを使用すると、PVLAN のデバイスがレイヤー 3 で他のコミュニティまたは分離された vlan 内のデバイスや、PVLAN 外のデバイスと通信することもできます。この例も、PVLAN 構成に IRB インターフェイスを組み込む方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3台の QFX シリーズまたは EX4600 スイッチ

  • QFX シリーズまたは EX4600 の PVLAN による Junos OS リリース

概要とトポロジー

複数の建物と Vlan がある大規模オフィスでは、セキュリティ上の理由により、またはブロードキャストドメインのパーティションを作成するためにワークグループやその他のエンドポイントを分離する必要がある場合があります。この設定例では、複数のスイッチで構成された PVLAN を作成する方法を示しています。1つのプライマリ VLAN (HR 用と経理用に1つ)、および interswitch の分離 VLAN (メールサーバー、バックアップサーバー、CVS サーバー用) を備えた、2つのコミュニティー Vlan があります。PVLAN は、3つ—のスイッチと1つの分散スイッチで構成されています。PVLAN のデバイスは、レイヤー3で相互に接続され、ディストリビューションスイッチで構成された IRB インターフェイスを介して、PVLAN 外のデバイスとの間でつながっています。

スイッチ1とスイッチ2の分離ポートは、同一ドメイン内に含まれていても、レイヤー2接続を持たないということです。「Understanding Private VLANsて」を参照してください。

図 18は、この例のトポロジを示しています。

図 18: IRB インターフェイスを使用して複数のスイッチにまたがる PVLAN トポロジ
IRB インターフェイスを使用して複数のスイッチにまたがる PVLAN トポロジ

表 13表 14、サンプル表 15トポロジの設定をリストしています。

表 13: 複数のデバイスにまたがる PVLAN を構成するためのトポロジーにおけるスイッチ1のコンポーネント

プロパティ設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolated-vlan-id、タグ50

finance-comm300

タグhr-comm、タグ400

Interswitch のリンクインターフェイス

xe-0/0/0.0、スイッチ1をスイッチ3に接続します。



xe-0/0/5.0、スイッチ1をスイッチ2に接続します。

プライマリ VLAN での孤立したインターフェイス

xe-0/0/15.0、メールサーバー

xe-0/0/16.0、バックアップサーバー

VLAN のインターフェイスfinance-com

xe-0/0/11.0

xe-0/0/12.0

VLAN のインターフェイスhr-comm

xe-0/0/13.0

xe-0/0/14.0

表 14: 複数のデバイスにまたがる PVLAN を構成するためのトポロジーのスイッチ2のコンポーネント

プロパティ設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolated-vlan-id、タグ50

finance-comm300

タグhr-comm、タグ400

Interswitch のリンクインターフェイス

xe-0/0/0.0、スイッチ2をスイッチ3に接続します。



xe-0/0/5.0、スイッチ2をスイッチ1に接続します。

プライマリ VLAN での孤立したインターフェイス

xe-0/0/17.0、CVS サーバー

VLAN のインターフェイスfinance-com

xe-0/0/11.0

xe-0/0/12.0

VLAN のインターフェイスhr-comm

xe-0/0/13.0

xe-0/0/14.0

表 15: トポロジー内のスイッチ3のコンポーネントは、複数のデバイスにまたがる PVLAN を構成するためのものです。

プロパティ設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolated-vlan-id、タグ50finance-comm、タグ300

hr-comm、タグ400

Interswitch のリンクインターフェイス

xe-0/0/0.0スイッチ3をスイッチ1に接続します。



xe-0/0/1.0スイッチ3をスイッチ2に接続します。

プロミスカスポート

xe-0/0/2PVLAN を他のネットワークに接続します。

注: PVLAN を PVLAN のメンバーとして PVLAN 外の別のスイッチやルーターに接続するトランクポートを構成する必要があります。これは、プロミスカスポートとして暗黙的に構成されます。

IRB インターフェイス

xe-0/0/0

xe-0/0/1

IRB インターフェイスで無制限のプロキシ ARP を構成することで、ARP 解決が可能になり、IPv4 を使用するデバイスがレイヤー3で通信できるようになります。IPv6 トラフィックの場合は、IRB のアドレスを宛先アドレスに明示的にマッピングして、ARP 解決が可能になるようにする必要があります。

構成の概要

PVLAN を複数のスイッチに設定する場合は、以下のルールが適用されます。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • プライマリ VLAN は、interswitch link インターフェイスのメンバーになることができる唯一の VLAN です。

IRB のインターフェイスを PVLAN に設定する場合は、以下のルールが適用されます。

  • PVLAN に参加するスイッチの数に関係なく、PVLAN には1つの IRB インターフェイスのみを作成できます。

  • IRB インターフェイスは、PVLAN のプライマリ VLAN のメンバーである必要があります。

  • レイヤー3で接続する各ホストデバイスは、デフォルトゲートウェイアドレスとして IRB の IP アドレスを使用する必要があります。

スイッチ1で PVLAN を構成しています

CLI 簡単構成

複数のスイッチにまたがる PVLAN を簡単に作成して設定するには、以下のコマンドをコピーして、スイッチ1の端末ウィンドウに貼り付けます。

[edit]
set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100


set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100


set vlans finance-comm vlan-id 300 private-vlan community


set vlans hr-comm vlan-id 400 private-vlan community


set vlans isolated-vlan vlan-id 50 private-vlan isolated


set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50


set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300


set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300


set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400


set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400


set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50


set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50

ステップごとの手順

  1. インターフェイス xe-0/0/0 をトランクに設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  2. インタフェース xe-0/0/0 を、すべての Vlan を搬送する interswitch リンクとして設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
  3. インターフェイス xe-0/0/0 のメンバーとなるように pvlan100 (プライマリ VLAN) を設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
  4. インターフェイス xe-0/0/5 をトランクに設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  5. インターフェース xe-0/0/5 を、すべての Vlan を搬送する interswitch リンクとして設定します。
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
  6. Pvlan100 をインターフェイス xe-0/0/5 のメンバーになるように設定します。
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
  7. 財務組織用のコミュニティー VLAN を作成します。
    [edit vlans]

    set finance-comm vlan-id 300 private-vlan community
  8. HR 組織用のコミュニティー VLAN を作成します。
    [edit vlans]

    set hr-comm vlan-id 400 private-vlan community
  9. メールおよびバックアップサーバー用に、分離された VLAN を作成します。
    [edit vlans]

    set isolated-vlan vlan-id 50 private-vlan isolated
  10. プライマリ VLAN を作成し、コミュニティーと分離した Vlan メンバーにします。
    [edit vlans]

    set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
  11. インターフェイス xe-0/0/11 のメンバーになるように VLAN 300 (a コミュニティー VLAN) を構成します。
    [edit interfaces]
    user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
  12. インターフェイス xe-0/0/12 のメンバーとなるように VLAN 300 (コミュニティー VLAN) を構成します。
    [edit interfaces]
    user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
  13. インターフェイス xe-0/0/13 のメンバーとなるように VLAN 400 (コミュニティー VLAN) を構成します。
    [edit interfaces]
    user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
  14. インターフェイス xe-0/0/14 のメンバーとなるように VLAN 400 (コミュニティー VLAN) を構成します。
    [edit interfaces]
    user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
  15. インターフェイス xe-0/0/15 のメンバーとしての VLAN 50 (分離された VLAN) を構成します。
    [edit interfaces]
    user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
  16. VLAN 50 (分離された VLAN) をインターフェイス xe-0/0/16 のメンバーになるように設定します。
    [edit interfaces]
    user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50

結果

構成の結果を確認します。

スイッチ2での PVLAN の構成

CLI 簡単構成

複数のスイッチにまたがってプライベート VLAN をすばやく作成して設定するには、以下のコマンドをコピーして、スイッチ2の端末ウィンドウに貼り付けます。

スイッチ2の構成は、分離された VLAN を除き、スイッチ1の構成と同じです。スイッチ2の場合は、孤立したxe-0/0/17.0 VLAN インターフェイスが使用されます。

[edit]
set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100


set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100


set vlans finance-comm vlan-id 300 private-vlan community


set vlans hr-comm vlan-id 400 private-vlan community


set vlans isolated-vlan vlan-id 50 private-vlan isolated


set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50


set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300


set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300


set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400


set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400


set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50

ステップごとの手順

  1. インターフェイス xe-0/0/0 をトランクに設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  2. インタフェース xe-0/0/0 を、すべての Vlan を搬送する interswitch リンクとして設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
  3. インターフェイス xe-0/0/0 のメンバーとなるように pvlan100 (プライマリ VLAN) を設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
  4. インターフェイス xe-0/0/5 をトランクに設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  5. インターフェース xe-0/0/5 を、すべての Vlan を搬送する interswitch リンクとして設定します。
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
  6. Pvlan100 をインターフェイス xe-0/0/5 のメンバーになるように設定します。
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
  7. 財務組織用のコミュニティー VLAN を作成します。
    [edit vlans]

    set finance-comm vlan-id 300 private-vlan community
  8. HR 組織用のコミュニティー VLAN を作成します。
    [edit vlans]

    set hr-comm vlan-id 400 private-vlan community
  9. メールおよびバックアップサーバー用に、分離された VLAN を作成します。
    [edit vlans]

    set isolated-vlan vlan-id 50 private-vlan isolated
  10. プライマリ VLAN を作成し、コミュニティーと分離した Vlan メンバーにします。
    [edit vlans]

    set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
  11. インターフェイス xe-0/0/11 のメンバーになるように VLAN 300 (a コミュニティー VLAN) を構成します。
    [edit interfaces]
    user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
  12. インターフェイス xe-0/0/12 のメンバーとなるように VLAN 300 (コミュニティー VLAN) を構成します。
    [edit interfaces]
    user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
  13. インターフェイス xe-0/0/13 のメンバーとなるように VLAN 400 (コミュニティー VLAN) を構成します。
    [edit interfaces]
    user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
  14. インターフェイス xe-0/0/14 のメンバーとなるように VLAN 400 (コミュニティー VLAN) を構成します。
    [edit interfaces]
    user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
  15. VLAN 50 (分離された VLAN) をインターフェイス xe-0/0/17 のメンバーになるように設定します。
    [edit interfaces]
    user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50

結果

構成の結果を確認します。

スイッチ3で PVLAN を構成しています

CLI 簡単構成

スイッチ3を迅速にこの PVLAN のディストリビューションスイッチとして設定するには、以下のコマンドをコピーして、スイッチ3の端末ウィンドウに貼り付けます。

インターフェース xe-0/0/2.0 は、PVLAN を別のネットワークに接続するトランクポートです。

[edit]


[edit]
set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100


set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link


set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100


set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk


set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100


set vlans pvlan100 vlan-id 100


set interfaces irb unit 100 family inet address 192.168.1.1/24


set vlans pvlan100 l3-interface irb.100


set interfaces irb unit 100 proxy-arp unrestricted

ステップごとの手順

この PVLAN のディストリビューションスイッチとしてスイッチ3を構成するには、以下の手順に従います。

  1. インターフェイス xe-0/0/0 をトランクに設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  2. インタフェース xe-0/0/0 を、すべての Vlan を搬送する interswitch リンクとして設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
  3. インターフェイス xe-0/0/0 のメンバーとなるように pvlan100 (プライマリ VLAN) を設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
  4. インターフェイス xe-0/0/5 をトランクに設定します。
    [edit interfaces]
    user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
  5. インターフェース xe-0/0/5 を、すべての Vlan を搬送する interswitch リンクとして設定します。
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
  6. Pvlan100 をインターフェイス xe-0/0/5 のメンバーになるように設定します。
    [edit interfaces]
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
  7. インターフェイス xe-0/0/2 (プロミスカスインターフェイス) をトランクとして構成します。
    [edit interfaces]
    user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
  8. Pvlan100 をインターフェイス xe-0/0/2 のメンバーになるように設定します。
    [edit interfaces]
    user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
  9. プライマリ VLAN を作成します。
    [edit vlans]

    set vlans pvlan100 vlan-id 100
  10. IRB インターフェイスirbを作成し、スイッチ1および2に接続されたデバイスが使用するサブネット内のアドレスを割り当てます。
    [edit interfaces]

    set irb unit 100 family inet address 192.168.1.1/24

    レイヤー3で接続する各ホストデバイスは、IRB インターフェイスと同じサブネット内に存在し、デフォルトゲートウェイアドレスとして IRB インターフェイスの IP アドレスを使用する必要があります。

  11. インターフェイスをプライマリ VLAN pvlan100にバインドすることによって、IRB のインターフェイス構成を完了します。
    [edit vlans]

    set pvlan100 l3-interface irb.100
  12. IRB インターフェイスの各ユニットに対して無制限のプロキシー ARP を設定して、ARP 解決が IPv4 トラフィックに対応するようにします。
    [edit interfaces]

    set irb unit 100 proxy-arp unrestricted

    コミュニティーと孤立した Vlan のデバイスはレイヤー2で分離されているため、この手順は Vlan 間で ARP 解決を実行し、IPv4 を使用するデバイスがレイヤー3で通信できるようにする必要があります。IPv6 トラフィックの場合は、IRB のアドレスを宛先アドレスに明示的にマッピングして、ARP 解決を可能にする必要があります。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

スイッチ1でプライマリ VLAN およびセカンダリ Vlan が作成されたことを確認します。

目的

スイッチ1で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

user@switch> show vlans extensive

意味

この出力は、スイッチ1で PVLAN が作成されたことを示しており、2つの分離 Vlan、2つのコミュニティー Vlan、および interswitch の独立した VLAN が含まれていることを示しています。トランクとスイッチ間の分離フィールドが存在することは、この PVLAN が複数のスイッチにまたがっていることを示しています。

スイッチ2でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ2で、複数のスイッチにまたがる PVLAN 構成が正常に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

user@switch> show vlans extensive

意味

この出力は、PVLAN がスイッチ2で作成されたことを示しており、1つの孤立した VLAN、2つのコミュニティー Vlan、interswitch の独立した VLAN が含まれていることを示しています。トランクとスイッチ間の分離フィールドが存在することは、この PVLAN が複数のスイッチにまたがっていることを示しています。この出力をスイッチ1の出力と比較すると、両方のスイッチが同じ PVLAN (pvlan100) に属していることがわかります。

スイッチ3でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ3上で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

user@switch> show vlans extensive

意味

この出力は、PVLAN (pvlan100) がスイッチ3で設定されていること、分離した vlan、2つのコミュニティー vlan、および interswitch の独立した vlan を含まないことを示しています。しかし、スイッチ3はディストリビューションスイッチとして機能しているため、出力には PVLAN 内のアクセスインターフェイスは含まれません。同じ PVLAN 内のスイッチ3から他pvlan100のスイッチ (スイッチ1およびスイッチ 2) に接続するトランクインターフェイスのみを示しています。

例:複数の EX シリーズスイッチをまたがるプライベート VLAN の構成

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。EX シリーズスイッチのプライベート VLAN (PVLAN) 機能を使用すると、管理者はブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的に VLAN 内に VLAN を配置することができます。PVLAN は複数のスイッチにまたがることができます。

この例では、複数の EX シリーズスイッチの PVLAN を作成する方法について説明します。この例では、複数のセカンダリ Vlan を含む1つのプライマリ PVLAN を作成します。

PVLAN インターフェイスでの voice over IP (VoIP) VLAN の設定はサポートされていません。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3つの EX シリーズスイッチ

  • EX シリーズスイッチの Junos OS リリース10.4 以降

PVLAN の構成を開始する前に、必要な Vlan を作成して設定していることを確認してください。Configuring VLANs for EX Series Switches参照してください。

概要とトポロジー

複数の建物と Vlan がある大規模オフィスでは、セキュリティ上の理由により、またはブロードキャストドメインのパーティションを作成するためにワークグループやその他のエンドポイントを分離する必要がある場合があります。この設定例では、複数の EX シリーズスイッチの PVLAN を作成する方法を示しています。2つのコミュニティー Vlan (1 つは HR 用と Finance 用)、Interswitch 分離 VLAN (メールサーバー、バックアップサーバー、CVS) を含むプライマリ VLANサーバー) です。PVLAN は、3つのスイッチ、2台のアクセススイッチ、1つの分散スイッチで構成されています。PVLAN は、プロミスカスポートを介してルーターに接続されています。これは、分散スイッチ上で設定されます。

スイッチ1とスイッチ2の分離ポートは、同じドメイン内に含まれていても、レイヤー2接続を持っていません。「Understanding Private VLANsて」を参照してください。

図 19この例—のトポロジを示します。2つのアクセススイッチが、ルーターへの接続を (プロミスカスポート経由で) 配信スイッチに接続しています。

図 19: 複数のスイッチにまたがる PVLAN トポロジ
複数のスイッチにまたがる PVLAN トポロジ

表 16表 17、サンプル表 18トポロジの設定をリストしています。

表 16: 複数の EX シリーズスイッチの PVLAN を構成するためのトポロジーにおけるスイッチ1のコンポーネント

プロパティ設定

VLAN 名とタグ Id

プライマリ-vlan、タグ 100

分離-id、タグ 50

財務-com、タグ 300

人事通信、タグ 400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ1をスイッチ3に接続します。



ge-0/0/5.0、スイッチ1をスイッチ2に接続します。

VLAN のインターフェイス 分離

ge-0/0/15.0、メールサーバー

ge-0/0/16.0、バックアップサーバー

VLAN のインターフェイス 財務-com

ge-0/0/11.0

ge-0/0/12.0

VLAN のインターフェイス 人事通信

ge-0/0/13.0

ge-0/0/14.0

表 17: 複数の EX シリーズスイッチの PVLAN を構成するためのトポロジーのスイッチ2のコンポーネント

プロパティ設定

VLAN 名とタグ Id

プライマリ-vlan、タグ 100

分離-id、タグ 50

財務-com、タグ 300

人事通信、タグ 400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ2をスイッチ3に接続します。



ge-0/0/5.0、スイッチ2をスイッチ1に接続します。

VLAN のインターフェイス 分離

ge-0/0/17.0、CVS サーバー

VLAN のインターフェイス 財務-com

ge-0/0/11.0

ge-0/0/12.0

VLAN のインターフェイス 人事通信

ge-0/0/13.0

ge-0/0/14.0

表 18: 複数の EX シリーズスイッチを構成するためのトポロジーにおけるスイッチ3のコンポーネント (PVLAN)

プロパティ設定

VLAN 名とタグ Id

プライマリ-vlan、タグ 100

分離-id、タグ 50

財務-com、タグ 300

人事通信、タグ 400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ3をスイッチ1に接続します。



ge-0/0/1.0、スイッチ3をスイッチ2に接続します。

プロミスカスポート

ge-0/0/2PVLAN をルーターに接続します。

注: PVLAN を PVLAN のメンバーとして PVLAN 外の別のスイッチやルーターに接続するトランクポートを構成する必要があります。これは、プロミスカスポートとして暗黙的に構成されます。

スイッチ1で PVLAN を構成しています

CLI 簡単構成

複数のスイッチで PVLAN を構成する場合、以下のルールが適用される。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。最初にプライマリ VLAN を構成することをお勧めします。

  • PVLAN インターフェイスでの voice over IP (VoIP) VLAN の設定はサポートされていません。

  • コミュニティーの VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

  • 分離 VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

  • MVRP が PVLAN トランクポート上で構成されている場合、セカンダリ Vlan と PVLAN トランクポートを1回のコミットでコミットする必要があります。

複数のスイッチにまたがる PVLAN を簡単に作成して設定するには、以下のコマンドをコピーして、スイッチ1の端末ウィンドウに貼り付けます。

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm interface ge-0/0/11.0


set vlans finance-comm interface ge-0/0/12.0


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm interface ge-0/0/13.0


set vlans hr-comm interface ge-0/0/14.0


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/15.0


set vlans pvlan100 interface ge-0/0/16.0


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk


set vlans pvlan100 no-local-switching


set vlans pvlan100 isolation-id 50

ステップごとの手順

以下の構成手順を完了します。—また、1回のコミットで構成をコミットする前に、すべてのステップを完了します。以下の3つのルールに違反した場合に発生するエラーメッセージが発生しないようにするには、これが最も簡単な方法です。

  • コミュニティーの VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

  • 分離 VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

  • セカンダリ vlan と PVLAN トランクは、1つのコミットでコミットする必要があります。

複数のスイッチにまたがるスイッチ1で PVLAN を構成するには、次のようにします。

  1. プライマリ VLAN の VLAN ID を設定します。
    [edit vlans]
    user@switch# set pvlan100 vlan–id 100
  2. この VLAN を隣接するスイッチ間で接続する PVLAN トランクインターフェイスを設定します。
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk


    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  3. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。
    [edit vlans]

    user@switch# set pvlan100 no-local-switching
  4. の VLAN ID を設定します。 財務-comスイッチにまたがるコミュニティー VLAN:
    [edit vlans]

    user@switch# finance-comm vlan-id 300
    user@switch# set pvlan100 vlan–id 100
  5. のアクセスインターフェイスを構成します。 財務-comVLAN
    [edit vlans]

    user@switch# set finance-comm interface interfacege-0/0/11.0
    user@switch# set finance-comm interface ge-0/0/12.0
  6. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 財務-com:
    [edit vlans]

    user@switch# set vlans finance-comm primary-vlan pvlan100
  7. スイッチをまたがる HR コミュニティー VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# hr-comm vlan-id 400
  8. のアクセスインターフェイスを構成します。 人事通信VLAN
    [edit vlans]

    user@switch# set hr-comm interface ge-0/0/13.0


    user@switch# set hr-comm interface ge-0/0/14.0
  9. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 人事通信:
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  10. スイッチ間の分離されたドメインを作成するには、相互切り替え分離 ID を設定します。
    [edit vlans]
    user@switch# set pvlan100 isolation-id 50

    分離ポートを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているという構成は行いません。

結果

構成の結果を確認します。

スイッチ2での PVLAN の構成

CLI 簡単構成

複数のスイッチにまたがってプライベート VLAN をすばやく作成して設定するには、以下のコマンドをコピーして、スイッチ2の端末ウィンドウに貼り付けます。

スイッチ2の構成は、スイッチ間の分離されたドメイン内のインターフェイスを除き、スイッチ1の構成と同じです。スイッチ2では、インターフェイスは ge-0/0/17.0

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm interface ge-0/0/11.0


set vlans finance-comm interface ge-0/0/12.0


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm interface ge-0/0/13.0


set vlans hr-comm interface ge-0/0/14.0


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/17.0


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk


set vlans pvlan100 no-local-switching


set vlans pvlan100 isolation-id 50

ステップごとの手順

複数のスイッチにまたがる PVLAN on スイッチ2を構成するには、次のようにします。

  1. の VLAN ID を設定します。 財務-comスイッチにまたがるコミュニティー VLAN:
    [edit vlans]

    user@switch# finance-comm vlan-id 300
    user@switch# set pvlan100 vlan–id 100
  2. のアクセスインターフェイスを構成します。 財務-comVLAN
    [edit vlans]

    user@switch# set finance-comm interface ge-0/0/11.0
    user@switch# set finance-comm interface ge-0/0/12.0
  3. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 財務-com:
    [edit vlans]

    user@switch# set vlans finance-comm primary-vlan pvlan100
  4. スイッチをまたがる HR コミュニティー VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# hr-comm vlan-id 400
  5. のアクセスインターフェイスを構成します。 人事通信VLAN
    [edit vlans]

    user@switch# set hr-comm interface ge-0/0/13.0


    user@switch# set hr-comm interface ge-0/0/14.0
  6. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 人事通信:
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  7. プライマリ VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set pvlan100 vlan–id 100
  8. この VLAN を隣接するスイッチ間で接続する PVLAN トランクインターフェイスを設定します。
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk


    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  9. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。
    [edit vlans]

    user@switch# set pvlan100 no-local-switching
  10. スイッチ間の分離されたドメインを作成するには、相互切り替え分離 ID を設定します。
    [edit vlans]

    user@switch# set pvlan100 isolation-id 50

    分離ポートを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているという構成は行いません。

結果

構成の結果を確認します。

スイッチ3で PVLAN を構成しています

CLI 簡単構成

スイッチ3を迅速にこの PVLAN のディストリビューションスイッチとして設定するには、以下のコマンドをコピーして、スイッチ3の端末ウィンドウに貼り付けます。

インターフェイス ge-0/0/2.0 は、PVLAN をルーターに接続するトランクポートです。

[edit]


set vlans finance-comm vlan-id 300


set vlans finance-comm primary-vlan pvlan100


set vlans hr-comm vlan-id 400


set vlans hr-comm primary-vlan pvlan100


set vlans pvlan100 vlan-id 100


set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk


set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk


set vlans pvlan100 no-local-switching


set vlans pvlan100 isolation-id 50

ステップごとの手順

この PVLAN のディストリビューションスイッチとしてスイッチ3を構成するには、以下の手順に従います。

  1. の VLAN ID を設定します。 財務-comスイッチにまたがるコミュニティー VLAN:
    [edit vlans]

    user@switch# finance-comm vlan-id 300
    [edit vlans]

    user@switch# set pvlan100 vlan–id 100
  2. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 財務-com:
    [edit vlans]

    user@switch# set vlans finance-comm primary-vlan pvlan100
  3. スイッチにまたがる HR コミュニティー VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# hr-comm vlan-id 400
  4. このセカンダリコミュニティ VLAN のプライマリ VLAN を設定します。 人事通信:
    [edit vlans]

    user@switch# set vlans hr-comm primary-vlan pvlan100
  5. プライマリ VLAN の VLAN ID を設定します。
    [edit vlans]

    user@switch# set pvlan100 vlan–id 100
  6. この VLAN を隣接するスイッチ間で接続する PVLAN トランクインターフェイスを設定します。
    [edit vlans]

    user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk


    user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk


  7. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。
    [edit vlans]

    user@switch# set pvlan100 no-local-switching
  8. スイッチ間の分離されたドメインを作成するには、相互切り替え分離 ID を設定します。
    [edit vlans]

    user@switch# set pvlan100 isolation-id 50

    分離ポートを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているという構成は行いません。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

スイッチ1でプライマリ VLAN およびセカンダリ Vlan が作成されたことを確認します。

目的

スイッチ1で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

user@switch> show vlans extensive

意味

この出力は、スイッチ1で PVLAN が作成されたことを示しており、2つの分離 Vlan、2つのコミュニティー Vlan、および interswitch の独立した VLAN が含まれていることを示しています。の pvlanおよび スイッチ間の分離フィールドは、この PVLAN が複数のスイッチにまたがっていることを示しています。

スイッチ2でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ2で、複数のスイッチにまたがる PVLAN 構成が正常に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

user@switch> show vlans extensive

意味

この出力は、スイッチ1で PVLAN が作成されたことを示しており、2つの分離 Vlan、2つのコミュニティー Vlan、および interswitch の独立した VLAN が含まれていることを示しています。の pvlanおよび スイッチ間の分離フィールドは、これが複数のスイッチに PVLAN ていることを示しています。この出力をスイッチ1の出力と比較すると、両方のスイッチが同じ PVLAN に属していることがわかります (pvlan100)。

スイッチ3でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ3上で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

user@switch> show vlans extensive

意味

この出力には、PVLAN (pvlan100) はスイッチ3上で構成されており、2つの分離 Vlan、2つのコミュニティー Vlan、interswitch 分離 VLAN が含まれています。しかし、スイッチ3はディストリビューションスイッチとして機能しているため、出力には PVLAN 内のアクセスインターフェイスは含まれません。表示されるのは pvlan接続するインターフェイス pvlan100同じ PVLAN 内でスイッチ3から他のスイッチ (スイッチ1およびスイッチ 2) を使用しています。

例:QFX シリーズスイッチでのセカンダリ VLAN トランクポートおよびプロミスカスアクセスポートを使用した PVLANs の構成

この例では、プライベート VLAN 構成の一部としてセカンダリ VLAN トランクポートとプロミスカスアクセスポートを構成する方法を示します。セカンダリ VLAN トランクポートは、セカンダリ VLAN トラフィックを伝送します。

特定のプライベート VLAN に対して、セカンダリ VLAN トランクポートは1つのセカンダリ VLAN にのみトラフィックを伝送できます。ただし、セカンダリ vlan トランクポートは、各セカンダリ VLAN が異なるプライベート (プライマリ) VLAN のメンバーである限り、複数のセカンダリ vlan にトラフィックを伝送することができます。たとえば、セカンダリ VLAN トランクポートは、プライマリ VLAN pvlan100 の一部であるコミュニティー VLAN へのトラフィックを伝送し、プライマリ VLAN pvlan400 の一部である分離された VLAN へのトラフィックを伝送することもできます。

トランクポートがセカンダリ VLAN トラフィックを伝送するように設定するisolatedにはinterface 、ステップ12および13スイッチ1の例の構成に示されているように、隔離されたステートメントを使用します。

セカンダリ VLAN トランクポートからトラフィック egresses が送信されると、通常はセカンダリポートがメンバーになっているプライマリ VLAN のタグが付けられます。セカンダリ VLAN トランクポートから egresses のトラフィックがセカンダリ VLAN タグを保持するようにするには、extend-secondary-vlan-idステートメントを使用します。

プロミスカスアクセスポートは、タグ付けされていないトラフィックを伝送し、1つのプライマリ VLAN のみのメンバーになることができます。プロミスカスアクセスポート上で ingresses されたトラフィックは、プロミスカスアクセスポートがメンバーになっているプライマリ VLAN のメンバーであるセカンダリ Vlan のポートに転送します。このトラフィックは、セカンダリ vlan ポートがトランクポートである場合、セカンダリ vlan ポートから egresses されたときに、適切なセカンダリ VLAN タグを伝送します。

アクセスポートをプロミスカスとして設定するには、スイッチ2の構成例12のステップに示すように、promiscuous文を使用します。

2つ目の VLAN ポートでトラフィックが ingresses、プロミスカスアクセスポート上で egresses が検出された場合は、送信時にトラフィックがタグなしになります。Ingresses のトラフィックがプロミスカスアクセスポート上にある場合、トラフィックは破棄されます。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • QFX デバイス2台

  • QFX シリーズの Junos OS リリース12.2 以降

概要とトポロジー

図 20は、この例で使用されているトポロジを示しています。スイッチ1には、複数のプライマリおよびセカンダリプライベート Vlan が含まれており、プライマリ Vlan pvlan100 および pvlan400 のメンバーであるセカンダリ Vlan を伝送するように構成された2つのセカンダリ VLAN トランクポートも含まれています。

スイッチ2には、同じプライベート Vlan が含まれています。この図は、プロミスカスアクセスポートまたはプロミスカストランクポートで構成された、スイッチ2の xe-0/0/0 を示しています。ここに記載されている例の構成では、このポートをプロミスカスアクセスポートとして構成しています。

この図はまた、スイッチ1のセカンダリ VLAN トランクポートで ingressing 後のトラフィックの流れを示しています。

図 20: セカンダリ VLAN トランクポートとプロミスカスアクセスポートを備えた PVLAN トポロジ
セカンダリ VLAN トランクポートとプロミスカスアクセスポートを備えた PVLAN トポロジ

表 19また表 20 、両方のスイッチのサンプルトポロジの設定を示しています。

表 19: スイッチ1でセカンダリ VLAN トランクを構成するためのトポロジーのコンポーネント

コンポーネント説明

pvlan100、ID 100

プライマリ VLAN

pvlan400、ID 400

プライマリ VLAN

comm300、ID 300

コミュニティー VLAN、pvlan100 のメンバー

comm600、ID 600

コミュニティー VLAN、pvlan400 のメンバー

分離: vlan id 200

孤立した VLAN の VLAN ID、pvlan100 のメンバー

分離–vlan id 500

孤立した VLAN の VLAN ID、pvlan400 のメンバー

xe-0/0/0.0

プライマリ Vlan pvlan100 および pvlan400 のセカンダリ VLAN トランクポート

xe-0/0/1.0

プライマリ Vlan pvlan100 および pvlan400 の PVLAN トランクポート

xe-0/0/2.0

Pvlan100 用の独立アクセスポート

xe-0/0/3.0

Comm300 のコミュニティーアクセスポート

xe-0/0/5.0

Pvlan400 用の独立アクセスポート

xe-0/0/6.0

Comm600 のコミュニティートランクポート

表 20: スイッチ2でセカンダリ VLAN トランクを構成するためのトポロジーの構成要素

コンポーネント説明

pvlan100、ID 100

プライマリ VLAN

pvlan400、ID 400

プライマリ VLAN

comm300、ID 300

コミュニティー VLAN、pvlan100 のメンバー

comm600、ID 600

コミュニティー VLAN、pvlan400 のメンバー

分離: vlan id 200

孤立した VLAN の VLAN ID、pvlan100 のメンバー

分離–vlan id 500

孤立した VLAN の VLAN ID、pvlan400 のメンバー

xe-0/0/0.0

プライマリ Vlan 用のプロミスカスアクセスポート pvlan100

xe-0/0/1.0

プライマリ Vlan pvlan100 および pvlan400 の PVLAN トランクポート

xe-0/0/2.0

孤立した VLAN のセカンダリトランクポート、pvlan100 のメンバー

xe-0/0/3.0

Comm300 のコミュニティーアクセスポート

xe-0/0/5.0

Pvlan400 用の独立アクセスポート

xe-0/0/6.0

Comm600 のコミュニティーアクセスポート

スイッチ1上の PVLANs の設定

CLI 簡単構成

スイッチ1の PVLANs を簡単に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]


set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk


set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk


set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100


set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400



set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access


set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access


set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access


set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk


set vlans pvlan100 vlan-id 100


set vlans pvlan400 vlan-id 400


set vlans pvlan100 pvlan


set vlans pvlan400 pvlan


set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk



set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk


set vlans comm300 vlan-id 300


set vlans comm300 primary-vlan pvlan100


set vlans comm300 interface xe-0/0/3.0


set vlans comm600 vlan-id 600


set vlans comm600 primary-vlan pvlan400


set vlans comm600 interface xe-0/0/6.0


set vlans pvlan100 pvlan isolation-vlan-id 200


set vlans pvlan400 pvlan isolation-vlan-id 500


set vlans pvlan100 interface xe-0/0/0.0 isolated


set vlans pvlan400 interface xe-0/0/0.0 isolated


set vlans comm600 interface xe-0/0/0.0


set vlans pvlan100 interface xe-0/0/2.0 isolated


set vlans pvlan400 interface xe-0/0/5.0 isolated

ステップごとの手順

プライベート Vlan とセカンダリ VLAN トランクポートを構成するには、次のようにします。

  1. インターフェイスとポートモードを構成します。
    [edit interfaces]

    user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk
    user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk
    user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100
    user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400
    user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access
    user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access
    user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
  2. プライマリ Vlan を作成します。
    [edit vlans]

    user@switch# set pvlan100 vlan-id 100

    user@switch# set pvlan400 vlan-id 400

    プライマリ Vlan は、1つのデバイスだけに存在する場合でも、常にタグ付けされた Vlan でなければなりません。

  3. プライマリ Vlan をプライベートに設定します。
    [edit vlans]

    user@switch# set pvlan100 pvlan

    user@switch# set pvlan400 pvlan
  4. PVLAN トランクポートを構成して、スイッチ間でプライベート VLAN トラフィックを実行します。
    [edit vlans]

    user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk

    user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
  5. VLAN ID 300 を使用したセカンダリ VLAN comm300 の作成:
    [edit vlans]

    user@switch# set comm300 vlan-id 300
  6. Comm300 のプライマリ VLAN を構成します。
    [edit vlans]

    user@switch# set comm300 primary-vlan pvlan100
  7. Comm300 のインターフェイスを構成します。
    [edit vlans]

    user@switch# set comm300 interface xe-0/0/3.0
  8. VLAN ID 600 を使用したセカンダリ VLAN comm600 の作成:
    [edit vlans]

    user@switch# set comm600 vlan-id 600
  9. Comm600 のプライマリ VLAN を構成します。
    [edit vlans]

    user@switch# set comm600 primary-vlan pvlan400
  10. Comm600 のインターフェイスを構成します。
    [edit vlans]

    user@switch# set comm600 interface xe-0/0/6.0
  11. Interswitch 分離 Vlan を構成します。
    [edit vlans]

    user@switch# set pvlan100 pvlan isolation-vlan-id 200

    user@switch# set pvlan400 pvlan isolation-vlan-id 500

    セカンダリ VLAN トランクポートを構成して分離された VLAN を実行する場合は、isolation-vlan-idも構成する必要があります。このことは、分離された VLAN が1つのスイッチにのみ存在する場合にも当てはまります。

  12. トランクポート xe-0/0/0 を有効にすることにより、プライマリ Vlan のセカンダリ Vlan を実行できます。
    [edit vlans]

    user@switch# set pvlan100 interface xe-0/0/0.0 isolated

    user@switch# set pvlan400 interface xe-0/0/0.0 isolated
  13. トランクポート xe-0/0/ゼロを設定して、comm600 (所属 pvlan400) に対応します。
    [edit vlans]

    user@switch# set comm600 interface xe-0/0/0.0

    Xe-0/0/0.0––を含む pvlan100 および pvlan400 の分離されたすべてのポートが自動的に分離 vlan に含まれるため、このようにして、固有の vlan トラフィック (タグ200、500) を明示的に設定する必要はありません。構成isolation-vlan-id 200isolation-vlan-id 500れています。

  14. 「Xe-0/0/2」と「xe-0/0/6」を構成して、分離されるようにします。
    [edit vlans]

    user@switch# set pvlan100 interface xe-0/0/2.0 isolated

    user@switch# set pvlan400 interface xe-0/0/5.0 isolated

結果

スイッチ1の構成の結果を確認します。

スイッチ2の PVLANs の設定

スイッチ2の設定は、スイッチ1の構成とほぼ同じです。最も重要な違いは、スイッチ2の xe-0/0/0 がプロミスカスポートまたはプロミスカスアクセスポートとして設定図 20されていることです。次の構成では、xe-0/0/0 はプライマリ VLAN pvlan100 用のプロミスカスアクセスポートとして設定されます。

VLAN 対応のポートと egresses がプロミスカスアクセスポート上で ingresses を使用している場合、VLAN タグは送信時にドロップされ、その時点ではトラフィックがタグ付けされません。たとえば、comm600 ingresses のトラフィックは、スイッチ1の xe-0/0/0.0 で構成されたセカンダリ VLAN トランクポート上で、セカンダリ VLAN から転送されるタグ600を使用しています。スイッチ2上の xe-0/0/0.0 から egresses した場合、この例に示すように、無差別アクセスポートとして xe-0/0/0.0 を設定すると、タグが付けられません。代わりに、comm600 のトラフィックは、egresses 時にプライマリ VLAN タグ (400) を保持しています。そのため、xe-0/0/0.0 をプロミスカストランクポート (ポートモードトランク) として設定することもできます。

CLI 簡単構成

スイッチ2の PVLANs を簡単に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]


set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access


set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk


set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100


set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400



set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk


set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access


set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access


set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access


set vlans pvlan100 vlan-id 100


set vlans pvlan400 vlan-id 400


set vlans pvlan100 pvlan


set vlans pvlan400 pvlan


set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk



set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk


set vlans comm300 vlan-id 300


set vlans comm300 primary-vlan pvlan100


set vlans comm300 interface xe-0/0/3.0


set vlans comm600 vlan-id 600


set vlans comm600 primary-vlan pvlan400


set vlans comm600 interface xe-0/0/6.0


set vlans pvlan100 pvlan isolation-vlan-id 200


set vlans pvlan400 pvlan isolation-vlan-id 500


set vlans pvlan100 interface xe-0/0/0.0 promiscuous


set vlans pvlan100 interface xe-0/0/2.0 isolated


set vlans pvlan400 interface xe-0/0/5.0 isolated

ステップごとの手順

プライベート Vlan とセカンダリ VLAN トランクポートを構成するには、次のようにします。

  1. インターフェイスとポートモードを構成します。
    [edit interfaces]

    user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access

    user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk
    user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100
    user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400

    user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk
    user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access
    user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access
    user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
  2. プライマリ Vlan を作成します。
    [edit vlans]

    user@switch# set pvlan100 vlan-id 100

    user@switch# set pvlan400 vlan-id 400
  3. プライマリ Vlan をプライベートに設定します。
    [edit vlans]

    user@switch# set pvlan100 pvlan

    user@switch# set pvlan400 pvlan
  4. PVLAN トランクポートを構成して、スイッチ間でプライベート VLAN トラフィックを実行します。
    [edit vlans]

    user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk

    user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
  5. VLAN ID 300 を使用したセカンダリ VLAN comm300 の作成:
    [edit vlans]

    user@switch# set comm300 vlan-id 300
  6. Comm300 のプライマリ VLAN を構成します。
    [edit vlans]

    user@switch# set comm300 primary-vlan pvlan100
  7. Comm300 のインターフェイスを構成します。
    [edit vlans]

    user@switch# set comm300 interface xe-0/0/3.0
  8. VLAN ID 600 を使用したセカンダリ VLAN comm600 の作成:
    [edit vlans]

    user@switch# set comm600 vlan-id 600
  9. Comm600 のプライマリ VLAN を構成します。
    [edit vlans]

    user@switch# set comm600 primary-vlan pvlan400
  10. Comm600 のインターフェイスを構成します。
    [edit vlans]

    user@switch# set comm600 interface xe-0/0/6.0
  11. Interswitch 分離 Vlan を構成します。

    [edit vlans]

    user@switch# set pvlan100 pvlan isolation-vlan-id 200

    user@switch# set pvlan400 pvlan isolation-vlan-id 500
  12. Pvlan100 のプロミスカスとしてアクセスポート xe/0/0 を構成するには、次のようにします。
    [edit vlans]

    user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous

    プロミスカスアクセスポートは、1つのプライマリ VLAN のみのメンバーになることができます。

  13. 「Xe-0/0/2」と「xe-0/0/6」を構成して、分離されるようにします。
    [edit vlans]

    user@switch# set pvlan100 interface xe-0/0/2.0 isolated

    user@switch# set pvlan400 interface xe-0/0/5.0 isolated

結果

スイッチ2の設定の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

プライベート VLAN とセカンダリ Vlan が作成されたことを確認します。

目的

スイッチ1でプライマリ VLAN とセカンダリ Vlan が適切に作成されていることを確認します。

アクション

次のshow vlansコマンドを使用します。

user@switch> show vlans private-vlan

意味

この出力は、プライベート Vlan が作成され、それらに関連付けられているインターフェイスとセカンダリ Vlan を識別したことを示しています。

イーサネット・スイッチング・テーブルのエントリーの確認

目的

イーサネットスイッチングテーブルエントリがプライマリ VLAN pvlan100 用に作成されたことを確認します。

アクション

Pvlan100 のイーサネット交換テーブルエントリを表示します。

user@switch> show ethernet-switching table vlan pvlan100 private-vlan

プライベート VLAN がスイッチ上で動作していることを確認します。

目的

プライベート Vlan (PVLANs) の作成と設定が完了したら、適切に設定されていることを確認します。

アクション

  1. プライマリおよびセカンダリ VLAN 構成が正常に作成されたかどうかを確認するには、以下のようにします。
    • 1つのスイッチ上の PVLAN についてshow configuration vlansは、次のコマンドを使用します。

      user@switch> show configuration vlans
    • 複数のスイッチにまたがる PVLAN の場合は、 show vlansextensiveコマンド

      user@switch> show vlans extensive
  2. show vlans extensiveこのコマンドを使用して、1つのスイッチまたは複数のスイッチにまたがる PVLAN の PVLAN の VLAN 情報とリンクステータスを表示します。
    • 1つのスイッチ上の PVLAN の場合:

      user@switch> show vlans pvlan extensive
    • 複数のスイッチにまたがる PVLAN の場合:

      user@switch> show vlans extensive
  3. 以下のshow ethernet-switching tableコマンドを使用して、vlan 上で MAC 学習のログを表示します。
    user@switch> show ethernet-switching table

複数のスイッチにまたがる PVLAN を設定している場合、すべてのスイッチで同じコマンドを使用して、これらのスイッチで MAC 学習のログを確認することができます。

意味

この出力は、1つのスイッチ上の PVLAN を表示しています。プライマリ VLAN には2つのコミュニティードメインが含まれていることがわかります (community1および community2)、2個の独立ポート、および2個のトランクポートがあります。1つのスイッチ上の PVLAN は、1つのタグ (1000) は、プライマリ VLAN 用です。

複数のスイッチにまたがる PVLAN には、複数のタグが含まれています。

  • コミュニティードメイン COM1タグで識別されます。 100

  • コミュニティードメイン community2タグで識別されます。 20

  • Interswitch の分離ドメインは、タグで識別されます。 50

  • プライマリ VLAN primaryタグで識別されます。 10

また、複数のスイッチにまたがる PVLAN では、トランクインターフェイスを pvlan

QFX スイッチのプライベート Vlan のトラブルシューティング

プライベート VLAN 構成のトラブルシューティングには、以下の情報を使用してください。

プライベート Vlan の限界

プライベート VLAN 構成には、以下の制約が適用されます。

  • IGMP スヌーピングはプライベート Vlan ではサポートされていません。

  • プライベート Vlan ではルーティング VLAN インターフェイスはサポートされていません

  • 同じプライマリ VLAN でのセカンダリ Vlan 間のルーティングはサポートされていません。

  • プライマリ VLAN をセカンダリ VLAN に変更する場合は、まず、それを通常の vlan に変更し、変更をコミットする必要があります。たとえば、以下の手順に従います。

    1. プライマリ VLAN を通常の VLAN に変更します。
    2. 構成をコミットします。
    3. 通常の VLAN をセカンダリ VLAN に変更します。
    4. 構成をコミットします。

    セカンダリ VLAN がプライマリ VLAN に変更されるようにする場合は、同一のコミットシーケンスに従ってください。つまり、セカンダリ VLAN を通常の vlan として設定し、その変更をコミットしてから、通常の VLAN をプライマリ VLAN に変更します。

プライベート Vlan による転送

問題

Description:

  • 孤立した VLAN またはコミュニティ VLAN のタグ付きトラフィックが PVLAN トランクポートで受信されると、MAC アドレスがプライマリ VLAN から学習されます。このため、[show ethernet-switching table] コマンドからの出力は、MAC アドレスがプライマリ vlan から学習され、セカンダリ vlan に複製済みであることを示しています。この動作は、転送の決定に影響を与えません。

  • セカンダリ VLAN タグを持つパケットがプロミスカスポートで受信された場合、それが受け入れられ、転送される。

  • パケットが PVLAN トランクポートで受信され、以下の条件の両方に該当する場合、それはドロップされます。

    • このパケットには、コミュニティーの VLAN タグが含まれています。

    • パケットは、分離された VLAN で学習したユニキャスト MAC アドレスまたはマルチキャストのグループ MAC アドレスに送信されます。

  • パケットが PVLAN トランクポートで受信され、以下の条件の両方に該当する場合、それはドロップされます。

    • パケットには、独立した VLAN タグがあります。

    • パケットは、コミュニティ VLAN で学習したユニキャスト MAC アドレスまたはマルチキャストのグループ MAC アドレスに送信されます。

  • プライマリ VLAN タグを持つパケットが、セカンダリ (孤立またはコミュニティ) VLAN ポートによって受信された場合、セカンダリポートはパケットを転送します。

  • 1つのデバイスでコミュニティ VLAN を構成し、第2のデバイスで別のコミュニティ VLAN を構成し、両方のコミュニティー vlan が同じ VLAN ID を使用している場合、いずれかの Vlan のトラフィックを別の VLAN に転送できます。たとえば、次のような構成があるとします。

    • スイッチ1のコミュニティー VLAN comm1 は、VLAN ID 50 を持ち、プライマリ VLAN pvlan100 のメンバーです。

    • スイッチ2のコミュニティー VLAN comm2 も VLAN ID 50 を持ち、プライマリ VLAN pvlan200 のメンバーです。

    • プライマリ VLAN pvlan100 が両方のスイッチに存在しています。

    Comm1 のトラフィックがスイッチ1からスイッチ2に送られる場合、comm2 に参加しているポートに送信されます。(トラフィックは、comm1 のポートにも転送されます)。

ソリューション

これらは予期された動作です。

プライベート Vlan を使用した送信ファイアウォールフィルター

問題

Description: 出力方向にファイアウォールフィルターをプライマリ VLAN に適用した場合、以下に示すように、トラフィックがプライマリ VLAN タグまたは孤立した VLAN タグで egresses すると、プライマリ VLAN のメンバーであるセカンダリ Vlan にもフィルターが適用されます。

  • セカンダリ VLAN トランクポートからプロミスカスポート (トランクまたはアクセス) へ転送されたトラフィック

  • 分離された VLAN を PVLAN トランクポートに搬送するセカンダリ VLAN トランクポートから転送されるトラフィック。

  • プロミスカスポート (トランクまたはアクセス) からセカンダリ VLAN トランクポートへ転送されたトラフィック

  • PVLAN トランクポートから転送されたトラフィック。セカンダリ VLAN トランクポートに

  • コミュニティーポートからプロミスカスポート (トランクまたはアクセス) へのトラフィックの転送

出力方向にファイアウォールフィルターをプライマリ VLAN に適用した場合、以下に示すように、コミュニティー VLAN タグ付きの egresses のトラフィックにはフィルターが適用されません

  • コミュニティートランクポートから PVLAN トランクポートへ転送されたトラフィック

  • セカンダリ VLAN トランクポートから転送されたトラフィック (コミュニティー VLAN を PVLAN トランクポートに搬送する)

  • プロミスカスポート (トランクまたはアクセス) からコミュニティートランクポートに転送されたトラフィック

  • PVLAN トランクポートから転送されたトラフィック。コミュニティートランクポートへ

出力方向にファイアウォールフィルターをコミュニティ VLAN に適用すると、以下のような現象が適用されます。

  • このフィルターは、プロミスカスポート (トランクまたはアクセス) からコミュニティートランクポートに転送されたトラフィックに適用します (トラフィックがコミュニティー VLAN タグと egresses しているためです)。

  • このフィルターは、コミュニティーポートから PVLAN トランクポートに転送されるトラフィックに適用されます (トラフィックがコミュニティー VLAN タグに egresses れているためです)。

  • このフィルターは、コミュニティーポートからプロミスカスポートに転送されたトラフィックには適用していません(トラフィックがプライマリ VLAN タグまたはタグなしの egresses で行われるためです)。

ソリューション

これらは予期された動作です。この問題が発生するのは、ファイアウォールフィルターをプライベート VLAN に出力方向に適用していて、入力方向のプライベート VLAN にファイアウォールフィルターを適用した場合には発生しないためです。

送信ポートとプライベート Vlan のミラーリング

問題

Description: 送信時にプライベート VLAN (PVLAN) トラフィックをミラーリングするポートミラーリング構成を作成する場合、ミラー化されたトラフィック (analyzer システムに送信されるトラフィック) には、発信 VLAN ではなく受信 VLAN の VLAN タグが含まれています。たとえば、次の PVLAN 構成があるとします。

  • プライマリ Vlan pvlan100 と pvlan400 を伝送するプロミスカストランクポート。

  • セカンダリ VLAN isolated200 を搬送する、独立したアクセスポート。この VLAN は、プライマリ VLAN pvlan100 のメンバーです。

  • セカンダリ VLAN comm300 を搬送するコミュニティーポート。この VLAN は、プライマリ VLAN pvlan100 のメンバーでもあります。

  • Analyzer システムに接続する出力インターフェイス (モニタインターフェイス) です。このインターフェイスは、ミラー化されたトラフィックをアナライザーに転送します。

Pvlan100 用パケットがプロミスカストランクポートで入力され、分離アクセスポートで終了した場合、元のパケットは、アクセスポートで終了するため、出力時にタグが付いていないことになります。ただし、pvlan100 が analyzer に送信されると、ミラーコピーはそのタグを保持します。

もう1つの例を示します。Comm300 のパケットがコミュニティーポートに ingresses し、プロミスカストランクポート上で egresses を使用している場合、元のパケットは予想どおりに出口で pvlan100 のタグを伝達します。ただし、comm300 が analyzer に送信されると、ミラーコピーはそのタグを保持します。

ソリューション

これは予期された動作です。