このページの内容
例:QFXシリーズスイッチでセカンダリVLANトランクポートとプロミスキャスアクセスポートを使用したPVLANの設定
この例では、プライベート VLAN 設定の一部としてセカンダリ VLAN トランク ポートとプロミスキャス アクセス ポートを設定する方法を示します。セカンダリVLANトランクポートは、セカンダリVLANトラフィックを伝送します。
この例では、ELS(拡張レイヤー 2 ソフトウェア)構成スタイルをサポートしないスイッチに Junos OS を使用します。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
特定のプライベートVLANでは、セカンダリVLANトランクポートは1つのセカンダリVLANのトラフィックのみを伝送できます。ただし、セカンダリVLANトランクポートは、各セカンダリVLANが異なるプライベート(プライマリ)VLANのメンバーである限り、複数のセカンダリVLANのトラフィックを伝送できます。例えば、セカンダリVLANトランクポートは、プライマリVLAN pvlan100の一部であるコミュニティVLANのトラフィックを伝送でき、プライマリVLAN pvlan400の一部である分離VLANのトラフィックも伝送できます。
セカンダリVLANトラフィックを伝送するトランクポートを設定するには、スイッチ1の設定例のステップ12および13に示されているように、分離ステートメントとinterfaceステートメントを使用します。
セカンダリVLANトランクポートからトラフィックが送信される場合、通常、セカンダリポートがメンバーになっているプライマリVLANのタグが伝送されます。セカンダリVLANトランクポートから出るトラフィックにセカンダリVLANタグを保持させる場合は、 extend-secondary-vlan-id ステートメントを使用します。
プロミスキャス アクセス ポートはタグなしのトラフィックを伝送し、1 つのプライマリ VLAN のメンバーのみになることができます。プロミスキャス アクセス ポートに入力されたトラフィックは、プロミスキャス アクセス ポートがメンバーであるプライマリ VLAN のメンバーであるセカンダリ VLAN のポートに転送されます。セカンダリVLANポートがトランクポートの場合、このトラフィックはセカンダリVLANポートから発信するときに、適切なセカンダリVLANタグを伝送します。
アクセスポートをpromiscuousに設定するには、スイッチ2の設定例のステップ12に示されているように、promiscuousステートメントを使用します。
トラフィックがセカンダリVLANポートで受信し、プロミスキャスアクセスポートで送信する場合、トラフィックは送信時にタグなしになります。タグ付きトラフィックがプロミスキャスアクセスポートに侵入した場合、そのトラフィックは破棄されます。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
2台のQFXデバイス
QFXシリーズのJunos OSリリース12.2以降
概要とトポロジー
図1 は、この例で使用されているトポロジーを示しています。スイッチ1には、複数のプライマリおよびセカンダリプライベートVLANが含まれており、プライマリVLANpvlan100およびpvlan400のメンバーであるセカンダリVLANを伝送するように設定された2つのセカンダリVLANトランクポートも含まれています。
スイッチ2には、同じプライベートVLANが含まれています。図は、プロミスキャス アクセス ポートまたはプロミスキャス トランク ポートで構成されたスイッチ 2 の xe-0/0/0 を示しています。ここで紹介する設定例では、このポートをプロミスキャスアクセスポートとして設定しています。
また、この図は、スイッチ1のセカンダリVLANトランクポートに侵入した後のトラフィックの流れも示しています。
によるPVLANトポロジー
表1 および 表2 は、両方のスイッチのトポロジー例の設定を示しています。
| コンポーネント | 説明 |
|---|---|
PVLAN100、ID 100 |
プライマリVLAN |
PVLAN400、ID 400 |
プライマリVLAN |
comm300、ID 300 |
コミュニティVLAN、pvlan100のメンバー |
comm600、ID 600 |
コミュニティVLAN、pvlan400のメンバー |
isolation-vlan-id 200 |
分離VLANのVLAN ID、pvlan100のメンバー |
分離-VLAN-ID 500 |
pvlan400のメンバー、分離VLANのVLAN ID |
xe-0/0/0.0 |
プライマリVLANpvlan100およびpvlan400用のセカンダリVLANトランクポート |
xe-0/0/1.0 |
プライマリVLANPVLAN100およびPVLAN400用のPVLANトランクポート |
xe-0/0/2.0 |
PVLAN100用絶縁型アクセスポート |
xe-0/0/3.0 |
comm300用コミュニティアクセスポート |
xe-0/0/5.0 |
PVLAN400用の絶縁型アクセスポート |
xe-0/0/6.0 |
comm600のコミュニティトランクポート |
| コンポーネント | 説明 |
|---|---|
PVLAN100、ID 100 |
プライマリVLAN |
PVLAN400、ID 400 |
プライマリVLAN |
comm300、ID 300 |
コミュニティVLAN、pvlan100のメンバー |
comm600、ID 600 |
コミュニティVLAN、pvlan400のメンバー |
isolation-vlan-id 200 |
分離VLANのVLAN ID、pvlan100のメンバー |
分離-VLAN-ID 500 |
pvlan400のメンバー、分離VLANのVLAN ID |
xe-0/0/0.0 |
プライマリ VLAN pvlan100 のプロミスキャス アクセス ポート |
xe-0/0/1.0 |
プライマリVLANPVLAN100およびPVLAN400用のPVLANトランクポート |
xe-0/0/2.0 |
分離VLANのセカンダリトランクポート、PVLAN100のメンバー |
xe-0/0/3.0 |
comm300用コミュニティアクセスポート |
xe-0/0/5.0 |
PVLAN400用の絶縁型アクセスポート |
xe-0/0/6.0 |
comm600用コミュニティアクセスポート |
スイッチ1のPVLANの設定
CLIクイックコンフィグレーション
スイッチ 1 で PVLAN をすばやく作成および設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
手順
ステップバイステップの手順
プライベートVLANとセカンダリVLANトランクポートを設定するには:
インターフェイスとポートモードを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
プライマリVLANを作成します。
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
注:プライマリVLANは、1台のデバイスにのみ存在する場合でも、常にVLANにタグ付けする必要があります。
プライマリVLANをプライベートに設定します。
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
スイッチ間でプライベートVLANトラフィックを伝送するようにPVLANトランクポートを設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
VLAN ID 300 のセカンダリ VLAN comm300 を作成します。
[edit vlans] user@switch# set comm300 vlan-id 300
comm300のプライマリVLANを設定します。
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
comm300のインターフェイスを設定します。
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
VLAN ID 600 のセカンダリ VLAN comm600 を作成します。
[edit vlans] user@switch# set comm600 vlan-id 600
comm600のプライマリVLANを設定します。
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
comm600のインターフェイスを設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
スイッチ間の分離 VLAN を設定します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
注:分離されたVLANを伝送するようにセカンダリVLANトランクポートを設定する場合、 isolation-vlan-idも設定する必要があります。これは、分離されたVLANが1つのスイッチ上にのみ存在する場合にも当てはまります。
トランクポートxe-0/0/0がプライマリVLANのセカンダリVLANを伝送できるようにします。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
トランク ポート xe-0/0/0 を comm600(PVLAN400 のメンバー)に伝送するように設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
注:pvlan100およびpvlan400のすべての分離ポート(xe-0/0/0.0を含む)は、
isolation-vlan-id 200およびisolation-vlan-id 500の設定時に作成された分離VLANに自動的に含まれるため、分離されたVLANトラフィック(タグ200および500)を伝送するようにxe-0/0/0を明示的に設定する必要はありません。xe-0/0/2 と xe-0/0/6 を分離するように構成します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
結果
スイッチ1の設定の結果を確認します。
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
スイッチ 2 の PVLAN の設定
スイッチ2の設定は、スイッチ1の設定とほぼ同じです。最も大きな違いは、 図1 に示すように、スイッチ2のxe-0/0/0がプロミスキャストランクポートまたはプロミスキャスアクセスポートとして設定されていることです。以下の設定では、xe-0/0/0はプライマリVLAN pvlan100のプロミスキャスアクセスポートとして設定されています。
トラフィックがVLAN対応ポートで受信し、プロミスキャスアクセスポートで送信する場合、VLANタグは送信時にドロップされ、その時点でトラフィックはタグ付けされません。たとえば、comm600のトラフィックは、スイッチ1のxe-0/0/0.0で設定されたセカンダリVLANトランクポートに入力され、セカンダリVLANを介して転送される際にタグ600を伝送します。スイッチ2のxe-0/0/0.0からegressする場合、この例のようにxe-0/0/0.0をプロミスキャスアクセスポートとして設定するとタグは無効になります。代わりにxe-0/0/0.0をプロミスキャストランクポート(ポートモードトランク)として設定した場合、comm600のトラフィックは、エグレス時にプライマリVLANタグ(400)を伝送します。
CLIクイックコンフィグレーション
スイッチ 2 で PVLAN をすばやく作成および設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
手順
ステップバイステップの手順
プライベートVLANとセカンダリVLANトランクポートを設定するには:
インターフェイスとポートモードを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
プライマリVLANを作成します。
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
プライマリVLANをプライベートに設定します。
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
スイッチ間でプライベートVLANトラフィックを伝送するようにPVLANトランクポートを設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
VLAN ID 300 のセカンダリ VLAN comm300 を作成します。
[edit vlans] user@switch# set comm300 vlan-id 300
comm300のプライマリVLANを設定します。
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
comm300のインターフェイスを設定します。
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
VLAN ID 600 のセカンダリ VLAN comm600 を作成します。
[edit vlans] user@switch# set comm600 vlan-id 600
comm600のプライマリVLANを設定します。
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
comm600のインターフェイスを設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- スイッチ1のPVLANの設定
スイッチ間の分離 VLAN を設定します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
アクセスポートxe-0/0/0をPVLAN100に対してプロミスキャスに設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
注:プロミスキャス アクセス ポートは、1 つのプライマリ VLAN のメンバーにのみなります。
xe-0/0/2 と xe-0/0/6 を分離するように構成します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
結果
スイッチ2の設定の結果を確認します。
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
プライベート VLAN とセカンダリ VLAN が作成されたことの検証
目的
プライマリVLANとセカンダリVLANがスイッチ1で正しく作成されていることを確認します。
アクション
show vlansコマンドを使用します。
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
意味
出力には、プライベート VLAN が作成されたことが表示され、それらに関連付けられたインターフェイスとセカンダリ VLAN が識別されます。
イーサネットスイッチングテーブルのエントリーの検証
目的
プライマリVLAN pvlan100に対してイーサネットスイッチングテーブルエントリーが作成されたことを確認します。
アクション
PVLAN100のイーサネットスイッチングテーブルエントリーを表示します。
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0