例:QFX シリーズ スイッチでセカンダリ VLAN トランク ポートと無差別アクセス ポートを使用した PVLAN の設定
この例では、セカンダリ VLAN トランク ポートと無差別アクセス ポートをプライベート VLAN 設定の一部として設定する方法を示します。セカンダリ VLAN トランク ポートは、セカンダリ VLAN トラフィックを伝送します。
この例では、拡張レイヤー2ソフトウェア(ELS)構成スタイルをサポートしないスイッチにJunos OSを使用しています。ELSの詳細については、 拡張レイヤー2ソフトウェアのCLIを使用するを参照してください。
特定のプライベートVLANにおいて、セカンダリVLANトランクポートは1つのセカンダリVLANのトラフィックのみを伝送できます。ただし、セカンダリ VLAN トランク ポートは、各セカンダリ VLAN が異なるプライベート(プライマリ)VLAN のメンバーである限り、複数のセカンダリ VLAN のトラフィックを伝送できます。たとえば、セカンダリVLANトランクポートは、プライマリVLAN pvlan100の一部であるコミュニティVLANのトラフィックを伝送し、プライマリVLAN pvlan400の一部である分離VLANのトラフィックも伝送できます。
セカンダリVLANトラフィックを伝送するようにトランクポートを設定するには、スイッチ1の設定例の手順と12に示されているinterfaceように、分離されたandステートメントを使用します。isolated13
トラフィックがセカンダリVLANトランクポートから出るとき、通常、セカンダリポートがメンバーであるプライマリVLANのタグを伝送します。セカンダリVLANトランクポートから出るトラフィックにセカンダリVLANタグを保持させるには、 extend-secondary-vlan-id ステートメントを使用します。extend-secondary-vlan-id
無差別アクセス ポートはタグなしトラフィックを伝送し、1 つのプライマリ VLAN のメンバーにしかなれません。無作為検出アクセス ポートで受信したトラフィックは、無作為検出アクセス ポートが属するプライマリ VLAN のメンバーであるセカンダリ VLAN のポートに転送されます。セカンダリVLANポートがトランクポートの場合、このトラフィックはセカンダリVLANポートから出るときに適切なセカンダリVLANタグを伝送します。
アクセス ポートを無作為に設定するには、スイッチ 2 の設定例の手順で示したように、promiscuous ステートメントを使用します。promiscuous12
トラフィックがセカンダリVLANポートで受信し、無差別アクセスポートで送信する場合、トラフィックはエグレスでタグなしになります。タグ付きトラフィックが無差別アクセス ポートで受信した場合、そのトラフィックは破棄されます。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
2 つの QFX デバイス
QFXシリーズのJunos OSリリース12.2以降
概要とトポロジー
図 1 この例で使用されているトポロジーを示しています。スイッチ 1 には、複数のプライマリおよびセカンダリプライベート VLAN が含まれており、プライマリ VLAN pvlan100 および pvlan400 のメンバーであるセカンダリ VLAN を伝送するように設定された 2 つのセカンダリ VLAN トランク ポートも含まれています。
スイッチ 2 には、同じプライベート VLAN が含まれています。この図は、スイッチ2のxe-0/0/0を、無差別アクセスポートまたは無差別トランクポートで構成したものです。ここに含まれる設定例では、このポートをプロミスキャス アクセス ポートとして設定しています。
この図は、スイッチ 1 のセカンダリ VLAN トランク ポートで受信したトラフィックの流れも示しています。
と に、両方のスイッチのトポロジー例の設定を示します。表 1表 2
| コンポーネント | 説明 |
|---|---|
pvlan100、ID 100 |
プライマリ VLAN |
pvlan400、ID 400 |
プライマリ VLAN |
comm300、ID 300 |
コミュニティVLAN、pvlan100のメンバー |
comm600、ID 600 |
コミュニティVLAN、pvlan400のメンバー |
分離-VLAN-ID 200 |
pvlan100 のメンバーである分離 VLAN の VLAN ID |
分離–VLAN ID 500 |
pvlan400 のメンバーである、分離された VLAN の VLAN ID |
xe-0/0/0.0 |
プライマリ VLAN pvlan100 および pvlan400 用のセカンダリ VLAN トランク ポート |
xe-0/0/1.0 |
プライマリ VLAN pvlan100 および pvlan400 用の PVLAN トランク ポート |
xe-0/0/2.0 |
pvlan100 用分離アクセスポート |
xe-0/0/3.0 |
comm300 用コミュニティ アクセス ポート |
xe-0/0/5.0 |
pvlan400用分離アクセスポート |
xe-0/0/6.0 |
comm600 のコミュニティ トランク ポート |
| コンポーネント | 説明 |
|---|---|
pvlan100、ID 100 |
プライマリ VLAN |
pvlan400、ID 400 |
プライマリ VLAN |
comm300、ID 300 |
コミュニティVLAN、pvlan100のメンバー |
comm600、ID 600 |
コミュニティVLAN、pvlan400のメンバー |
分離-VLAN-ID 200 |
pvlan100 のメンバーである分離 VLAN の VLAN ID |
分離–VLAN ID 500 |
pvlan400 のメンバーである、分離された VLAN の VLAN ID |
xe-0/0/0.0 |
プライマリVLAN用のプロミスキャスアクセスポートpvlan100 |
xe-0/0/1.0 |
プライマリ VLAN pvlan100 および pvlan400 用の PVLAN トランク ポート |
xe-0/0/2.0 |
独立 VLAN のセカンダリ トランク ポート、pvlan100 のメンバー |
xe-0/0/3.0 |
comm300 用コミュニティ アクセス ポート |
xe-0/0/5.0 |
pvlan400用分離アクセスポート |
xe-0/0/6.0 |
comm600 用コミュニティ アクセス ポート |
スイッチ 1 の PVLAN の設定
CLIクイック構成
スイッチ 1 で PVLAN をすばやく作成および設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
手順
ステップバイステップでの手順
プライベート VLAN とセカンダリ VLAN トランク ポートを設定するには、次の手順を実行します。
インターフェイスとポート モードを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
プライマリ VLAN を作成します。
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
注:プライマリVLANは、1つのデバイス上にのみ存在する場合でも、常にVLANにタグを付ける必要があります。
プライマリVLANをプライベートに設定します。
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
スイッチ間でプライベート VLAN トラフィックを伝送するように PVLAN トランク ポートを構成します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
VLAN ID 300 のセカンダリ VLAN comm300 を作成します。
[edit vlans] user@switch# set comm300 vlan-id 300
comm300 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
comm300 のインターフェイスを設定します。
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
VLAN ID 600 のセカンダリ VLAN comm600 を作成します。
[edit vlans] user@switch# set comm600 vlan-id 600
comm600 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
comm600 のインターフェイスを設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
インタースイッチ分離VLANを設定します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
注:セカンダリVLANトランクポートに分離VLANを伝送するように設定する場合は、 isoation-vlan-idも設定する必要があります。isolation-vlan-idこれは、分離されたVLANが1つのスイッチにのみ存在する場合にも当てはまります。
トランク ポート xe-0/0/0 がプライマリ VLAN のセカンダリ VLAN を伝送できるようにします。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
トランクポートxe-0/0/0をcomm600(pvlan400のメンバー)を伝送するように設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
注:と の設定時に作成された分離VLANには、pvlan100およびpvlan400のすべての分離ポート(xe-0/0/0.0を含む)が自動的に含まれるため、分離VLANトラフィック(タグ200および500)を伝送するためにxe-0/0/0を明示的に設定する必要はありません。
isolation-vlan-id 200isolation-vlan-id 500xe-0/0/2 と xe-0/0/6 を分離するように設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
結果
スイッチ 1 の設定の結果を確認します。
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
スイッチ 2 の PVLAN の設定
スイッチ 2 の設定は、スイッチ 1 の設定とほぼ同じです。最も大きな違いは、図に示すように、 スイッチ2のxe-0/0/0が無差別トランクポートまたは無差別アクセスポートとして設定されていることです。図 1次の設定では、xe-0/0/0 がプライマリ VLAN pvlan100 のプロミスキャス アクセス ポートとして設定されています。
トラフィックがVLAN対応ポートで受信し、無差別アクセスポートで送信された場合、VLANタグは出力で破棄され、その時点でトラフィックのタグは解除されます。たとえば、スイッチ1のxe-0/0/0.0に設定されたセカンダリVLANトランクポート上のcomm600イングレスのトラフィックは、セカンダリVLANを介して転送されるときにタグ600を伝送します。スイッチ2でxe-0/0/0.0からエグレスする場合、この例のようにxe-0/0/0.0を無差別アクセスポートとして設定するとタグが解除されます。代わりに xe-0/0/0.0 を無差別トランク ポート(ポートモード トランク)として設定すると、comm600 のトラフィックは出力時にプライマリ VLAN タグ(400)を伝送します。
CLIクイック構成
スイッチ 2 で PVLAN をすばやく作成および設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
手順
ステップバイステップでの手順
プライベート VLAN とセカンダリ VLAN トランク ポートを設定するには、次の手順を実行します。
インターフェイスとポート モードを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
プライマリ VLAN を作成します。
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
プライマリVLANをプライベートに設定します。
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
スイッチ間でプライベート VLAN トラフィックを伝送するように PVLAN トランク ポートを構成します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
VLAN ID 300 のセカンダリ VLAN comm300 を作成します。
[edit vlans] user@switch# set comm300 vlan-id 300
comm300 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
comm300 のインターフェイスを設定します。
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
VLAN ID 600 のセカンダリ VLAN comm600 を作成します。
[edit vlans] user@switch# set comm600 vlan-id 600
comm600 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
comm600 のインターフェイスを設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- スイッチ 1 の PVLAN の設定
インタースイッチ分離VLANを設定します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
アクセスポートxe-0/0/0をpvlan100に対してプロミスキャスになるように設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
注:無差別アクセス ポートは、1 つのプライマリ VLAN のみのメンバーになることができます。
xe-0/0/2 と xe-0/0/6 を分離するように設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
結果
スイッチ 2 の設定の結果を確認します。
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
プライベート VLAN とセカンダリ VLAN が作成されたことの確認
目的
プライマリVLANとセカンダリVLANがスイッチ1で正しく作成されたことを確認します。
アクション
show vlans コマンドを使用します。
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
意味
出力には、プライベートVLANが作成されたことが表示され、それらに関連付けられたインターフェイスとセカンダリVLANが識別されます。
イーサネット スイッチング テーブルのエントリーの検証
目的
プライマリ VLAN pvlan100 のイーサネット スイッチング テーブルのエントリーが作成されていることを確認します。
アクション
pvlan100 のイーサネット スイッチング テーブルのエントリーを表示します。
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0