プライベート VLAN について

単一のVLANを分離する必要があることは、以下の導入シナリオで特に役立ちます。

• サーバー ファーム - 一般的なインターネット サービス プロバイダーは、サーバー ファームを使用して、多数の顧客に Web ホスティングを提供します。1 つのサーバー ファーム内にさまざまなサーバーを配置すると、管理が容易になります。レイヤー2ブロードキャストはVLAN内のすべてのサーバーに送信されるため、すべてのサーバーが同じVLAN内にある場合、セキュリティ上の懸念が生じます。

• メトロポリタンイーサネットネットワーク—メトロサービスプロバイダは、さまざまな家庭、賃貸コミュニティ、企業にレイヤー2イーサネットアクセスを提供しています。顧客ごとに1つのVLANを導入する従来のソリューションは拡張性に欠け、管理も難しく、IPアドレスの浪費につながる可能性があります。PVLAN は、より安全で効率的なソリューションを提供します。

PVLAN は、1 つのスイッチで設定することも、複数のスイッチにまたがるように設定することもできます。ドメインとポートのタイプは次のとおりです。

• プライマリVLAN—PVLANのプライマリVLANは、完全なPVLANの802.1Qタグ(VLAN ID)で定義されます。プライマリPVLANには、複数のセカンダリVLAN(1つの分離VLANと複数のコミュニティVLAN)を含めることができます。

• 分離VLAN/分離ポート—プライマリVLANには1つの分離VLANのみを含めることができます。分離されたVLAN内のインターフェイスは、プロミスキャスポートまたはスイッチ間リンク(ISL)ポートにのみパケットを転送できます。分離されたインターフェイスは、別の分離されたインターフェイスにパケットを転送できません。また、分離されたインターフェイスは、別の分離されたインターフェイスからパケットを受信できません。顧客デバイスがゲートウェイ ルーター へのアクセスのみ を必要とする場合、デバイスは分離されたトランク ポートに接続する必要があります。

• コミュニティ VLAN/コミュニティ ポート—1 つの PVLAN 内で複数のコミュニティ VLAN を設定できます。特定のコミュニティ VLAN 内のインターフェイスは、同じコミュニティ VLAN に属する他のインターフェイスとのレイヤー 2 通信を確立できます。コミュニティVLAN内のインターフェイスは、プロミスキャスポートまたはISLポートとも通信できます。例えば、他の顧客デバイスから分離する必要があるが、相互に通信できる必要がある2台の顧客デバイスがある場合は、コミュニティポートを使用します。

• プロミスキャスポート—プロミスキャスポートは、インターフェイスが分離されたVLANに属しているかコミュニティVLANに属しているかに関係なく、PVLAN内のすべてのインターフェイスとレイヤー2通信を行います。プロミスキャスポートはプライマリVLANのメンバーですが、セカンダリサブドメインには含まれません。レイヤー3ゲートウェイ、DHCPサーバー、およびエンドポイントデバイスと通信する必要があるその他の信頼できるデバイスは、通常、プロミスキャスポートに接続されます。

• スイッチ間リンク(ISL)—ISLは、PVLAN内の複数のスイッチを接続し、2つ以上のVLANを含むトランクポートです。PVLANが複数のスイッチにまたがる場合にのみ必要です。

設定されたPVLANが プライマリ ドメイン(プライマリVLAN)です。PVLAN 内ではセカンダリ VLAN を設定し、セ カンダリ VLAN はプライマリ ドメイン内にネストされたサブドメインになります。PVLAN は、1 つのスイッチで設定することも、複数のスイッチにまたがるように設定することもできます。 図1 に示すPVLANには、プライマリPVLANドメインとさまざまなサブドメインを持つ2台のスイッチが含まれています。

図3に示すように、PVLANには1つのプライマリドメインと複数のセカンダリドメインしかありません。ドメインのタイプは次のとおりです。

• プライマリVLAN - フレームダウンストリームを分離されたコミュニティVLANに転送するために使用されます。PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)で定義されます。プライマリPVLANには、複数のセカンダリVLAN(1つの分離VLANと複数のコミュニティVLAN)を含めることができます。

• セカンダリ分離VLAN - プライマリVLANからのみパケットを受信し、プライマリVLANにアップストリームのフレームを転送するVLAN。分離VLANは、プライマリVLAN内にネストされたセカンダリVLANです。プライマリVLANには、分離されたVLANを1つだけ含めることができます。分離VLAN(分離インターフェイス)内のインターフェイスは、プロミスキャスポートまたはPVLANトランクポートにのみパケットを転送できます。分離されたインターフェイスは、別の分離されたインターフェイスにパケットを転送できません。また、分離されたインターフェイスが別の分離されたインターフェイスからパケットを受信することもできません。顧客デバイスがルーター へのアクセスのみ を必要とする場合、デバイスは分離されたトランク ポートに接続する必要があります。

• セカンダリインタースイッチ分離VLAN - PVLANトランクポートを介して1つのスイッチから別のスイッチに分離されたVLANトラフィックを転送するために使用されます。IEEE 802.1Qは、トランキングデバイスが4バイトVLANフレーム識別タブをパケットヘッダーに挿入する内部タグ付けメカニズムを使用しているため、IEEE 802.1Qタグはスイッチ間の分離VLANに必要です。スイッチ間分離VLANは、プライマリVLAN内にネストされたセカンダリVLANです。

• セカンダリコミュニティVLAN - コミュニティのメンバー(VLAN 内のユーザーのサブセット)間でフレームを転送し、フレームをプライマリ VLAN にアップストリームで転送するために使用されます。コミュニティVLANは、プライマリVLAN内にネストされたセカンダリVLANです。1つのPVLAN内で複数のコミュニティVLANを設定できます。特定のコミュニティ VLAN 内のインターフェイスは、同じコミュニティ VLAN に属する他のインターフェイスとのレイヤー 2 通信を確立できます。コミュニティVLAN内のインターフェイスは、プロミスキャスポートまたはPVLANトランクポートとも通信できます。

図2 は、複数のスイッチにまたがるPVLANを示しています。プライマリVLAN(100)には2つのコミュニティドメイン (300 および 400)と1つのスイッチ間分離ドメインが含まれています。

注:

プライマリおよびセカンダリVLANは、QFXシリーズでサポートされる4,089 VLANの上限に対してカウントされます。たとえば、 図2 の各VLANは、この制限に対してカウントされます。

設定されたPVLANがプライマリドメインになり、セカンダリVLANはプライマリドメイン内にネストされたサブドメインになります。PVLAN は、単一のルーター上に作成できます。 図3 に示すPVLANには、1つのプライマリPVLANドメインと複数のセカンダリサブドメインを持つ1つのルーターが含まれています。

ドメインのタイプは次のとおりです。

• プライマリVLAN - フレームダウンストリームを分離されたコミュニティVLANに転送するために使用されます。

• セカンダリ分離VLAN - プライマリVLANからのみパケットを受信し、プライマリVLANにアップストリームのフレームを転送するVLAN。

• セカンダリインタースイッチ分離 VLAN - PVLAN トランク ポートを介して、あるルーターから別のに分離された VLAN トラフィックを転送するために使用する VLAN。

• セカンダリコミュニティVLAN - VLAN内のユーザーのサブセットであるコミュニティのメンバー間でフレームを転送し、フレームをプライマリVLANにアップストリームで転送するために使用されるVLAN。

注:

PVLAN は、MX80 ルーター、拡張 LAN モードの DPC を備えた MX240、MX480、MX960 ルーター、MPC1、MPC2、およびアダプティブ サービス PIC を備えた MXシリーズ ルーターでサポートされています。

注:

PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)で定義されます。EX9200スイッチでは、各セカンダリVLANも個別のVLAN IDで定義する必要があります。

図4 は、1台のスイッチ上のPVLANを示しています。プライマリVLAN(VLAN 100)には、2つのコミュニティVLAN(VLAN 300 およびVLAN 400)と1つの分離VLAN(VLAN 50)が含まれています。

図5 は、複数のスイッチにまたがるPVLANを示しています。プライマリVLAN(VLAN 100)には、2つのコミュニティVLAN(VLAN 300 およびVLAN 400)と1つの分離VLAN(VLAN 200)が含まれています。また、スイッチ 1 と 2 がスイッチ間リンク(PVLAN トランク リンク)を介して接続されていることも示しています。

また、 図4 と 図5 に示すPVLANは、コミュニティと分離されたVLAN間でレイヤー3トラフィックをルーティングする手段として、ルーターに接続されたプロミスキャスポートを使用しています。ルーターに接続されたプロミスキャスポートを使用する代わりに、 図4 のスイッチまたは 図5 に示すスイッチの1つ(一部のEXスイッチ)でRVIを設定できます。

分離されたVLANとコミュニティVLAN間でレイヤー3トラフィックをルーティングするには、 図4 および 図5に示すように、ルーターをプロミスキャスポートに接続するか、RVIを設定する必要があります。

RVIオプションを選択した場合、PVLANドメインのプライマリVLANにRVIを1つ設定する必要があります。このRVIは、ドメインに1つ以上のスイッチが含まれているかどうかに関係なく、PVLANドメイン全体に対応します。RVI を設定すると、セカンダリ VLAN インターフェイスが受信したレイヤー 3 パケットが RVI にマッピングされ、RVI によってルーティングされます。

RVI を設定する際、セカンダリ VLAN インターフェイスから受信した ARP 要求を RVI が処理できるように、プロキシの ARP(アドレス解決プロトコル)も有効にする必要があります。

単一スイッチおよび複数のスイッチでのPVLANの設定については、 単一EXシリーズスイッチでのプライベートVLANの作成(CLI手順)を参照してください。RVI の設定については、 EXシリーズスイッチ上のプライベート VLAN でのルーティングされた VLAN インターフェイスの設定を参照してください。

分離されたVLANとコミュニティVLAN間でレイヤー3トラフィックをルーティングするには、外部ルーターまたはスイッチをプライマリVLANのトランクポートに接続する必要があります。プライマリVLANのトランクポートは 無差別 ポートです。そのため、PVLAN内の すべての ポートと通信できます。

パケットに顧客固有の802.1Qタグが付けられると、そのタグがネットワーク内のスイッチまたはルーターのパケットの所有権を識別します。異なるサブドメインからのパケットを追跡するために、PVLAN内で802.1Qタグが必要になる場合があります。 表1は 、プライマリVLANまたはセカンダリVLANでVLAN 802.1Qタグが必要な場合を示しています。

表1:PVLAN内のVLANに802.1Qタグが必要な場合

	単一スイッチで	複数のスイッチで
プライマリVLAN	VLAN IDを設定して、802.1Qタグを指定します。	VLAN IDを設定して、802.1Qタグを指定します。
セカンダリVLAN	VLANにタグは必要ありません。	VLANには802.1Qタグが必要です。 VLAN IDを設定して、各コミュニティVLANに802.1Qタグを指定します。 分離IDを設定して、分離VLAN IDの802.1Qタグを指定します。

PVLANは、IPアドレスの保存とIPアドレスの効率的な割り当てを提供します。一般的なネットワークでは、VLAN は通常、単一の IP サブネットに対応します。PVLANでは、サブネットはプライマリVLANに割り当てられているため、すべてのセカンダリVLANのホストが同じIPサブネットに属します。セカンダリVLAN内のホストには、プライマリVLANに関連付けられたIPサブネットに基づいてIPアドレスが割り当てられ、そのIPサブネットマスキング情報はプライマリVLANサブネットのIPサブネットを反映します。ただし、各セカンダリVLANは個別のブロードキャストドメインです。

PVLAN は、最大 6 つの異なるポート タイプを使用できます。図2 に示すネットワークでは、無差別ポートを使用してルーターに情報を転送し、コミュニティポートを使用して財務コミュニティと人事コミュニティをそれぞれのスイッチに接続し、分離ポートを使用してサーバーを接続し、PVLANトランクポートを使用して2つのスイッチを接続しています。PVLANポートにはさまざまな制限があります。

• プロミスキャス トランク ポート—プロミスキャス ポートは、インターフェイスが分離された VLAN に属しているかコミュニティ VLAN に属しているかに関係なく、PVLAN 内のすべてのインターフェイスとレイヤー 2 通信を行います。プロミスキャスポートはプライマリVLANのメンバーですが、セカンダリサブドメインの1つには含まれません。レイヤー3ゲートウェイ、DHCPサーバー、およびエンドポイントデバイスと通信する必要があるその他の信頼できるデバイスは、通常、プロミスキャスポートに接続されます。

• PVLAN トランク リンク—PVLAN トランク リンクは、インタースイッチ リンクとも呼ばれ、PVLAN が複数のスイッチにまたがるように設定されている場合にのみ必要です。PVLAN トランク リンクは、PVLAN を構成する複数のスイッチを接続します。

• PVLAN トランク ポート—マルチスイッチ PVLAN 構成では、スイッチを広げるために PVLAN トランク ポートが必要です。PVLAN トランク ポートは、PVLAN 内のすべての VLAN(つまり、プライマリ VLAN、コミュニティ VLAN、およびスイッチ間分離 VLAN)のメンバーであり、プライマリ VLAN とすべてのセカンダリ VLAN からトラフィックを伝送します。絶縁ポート以外のすべてのポートと通信できます。

  PVLAN トランク ポートと絶縁ポート間の通信は、通常単方向です。スイッチ間分離VLANにおけるPVLANトランクポートのメンバーシップはegress-onlyです。つまり、分離ポートはPVLANトランクポートにパケットを転送できますが、PVLANトランクポートは分離ポートにパケットを転送しません(パケットがプロミスキャスアクセスポートで受信したため、プロミスキャスポートと同じプライマリVLAN内のすべてのセカンダリVLANに転送されている場合を除く)。

• セカンダリVLANトランクポート(図示せず)—セカンダリトランクポートはセカンダリVLANトラフィックを伝送します。特定のプライベートVLANでは、セカンダリVLANトランクポートは1つのセカンダリVLANのトラフィックのみを伝送できます。ただし、セカンダリVLANトランクポートは、各セカンダリVLANが異なるプライマリVLANのメンバーである限り、複数のセカンダリVLANのトラフィックを伝送できます。例えば、セカンダリVLANトランクポートは、プライマリVLAN pvlan100の一部であるコミュニティVLANのトラフィックを伝送でき、プライマリVLAN pvlan400の一部である分離VLANのトラフィックも伝送できます。

• コミュニティポート—コミュニティポートは、ポート同士、および無差別ポートと通信します。コミュニティポートは、選択したユーザーグループにのみサービスを提供します。これらのインターフェイスは、レイヤー 2 で、他のコミュニティ内の他のすべてのインターフェイス、または PVLAN 内の分離ポートから分離されています。

• 分離されたアクセス ポート—分離されたポートは、プロミスキャス ポートと PVLAN トランク ポートとのレイヤー 2 接続のみを持ちます。これらの 2 つのポートが同じ分離された VLAN(またはスイッチ間分離された VLAN)ドメインのメンバーであっても、分離されたポートは別の分離ポートと通信できません。通常、メール サーバーやバックアップ サーバーなどのサーバーは、分離されたポートで接続されます。ホテルでは、通常、各部屋は隔離されたポートで接続されます。これは、部屋間の通信は不可能であることを意味しますが、各部屋は無差別ポートを介してインターネットにアクセスできます。

• プロミスキャスアクセスポート(図示せず)—これらのポートはタグなしのトラフィックを伝送します。プロミスキャス アクセス ポートに侵入したトラフィックは、デバイス上のすべてのセカンダリVLANポートに転送されます。トラフィックがVLAN対応ポートでデバイスに入力され、プロミスキャスアクセスポートで出力される場合、トラフィックは出力時にタグなしになります。タグ付きトラフィックがプロミスキャスアクセスポートに侵入した場合、そのトラフィックは破棄されます。

• インタースイッチ リンク ポート—インタースイッチ リンク(ISL)ポートは、PVLAN が 2 つのルーターにまたがるときに 2 つのルーターを接続するトランク ポートです。ISLポートは、PVLAN内のすべてのVLAN(つまり、プライマリVLAN、コミュニティVLAN、および分離VLAN)のメンバーです。

  ISLポートと絶縁ポート間の通信は単方向です。スイッチ間分離VLAN内のISLポートのメンバーシップはegressのみであり、ISLポート上の受信トラフィックが分離VLANに割り当てられることはありません。分離ポートはパケットをPVLANトランクポートに転送できますが、PVLANトランクポートはパケットを分離ポートに転送できません。 表3は 、異なるタイプのポート間にレイヤー2接続が存在するかどうかをまとめたものです。

表2 は、ELSをサポートするEXシリーズスイッチ上のPVLAN内の異なるタイプのポート間のレイヤー2接続を要約しています。

表2:ELSをサポートするEXシリーズスイッチのPVLANポートとレイヤー2フォワーディング

ポートタイプから	分離されたポートに移行するのですか?	無差別なポートへ?	コミュニティポートへ?	スイッチ間リンクポートに切り替えるには?
分離	拒否	許可	拒否	許可
無差別	許可	許可	許可	許可
コミュニティ1	拒否	許可	許可	許可

表3:PVLANポートとレイヤー2接続

ポートタイプ	無差別トランク	PVLANトランク	セカンダリトランク	コミュニティ	分離されたアクセス	プロミスキャスアクセス
無差別トランク	はい	はい	はい	はい	はい	はい
PVLAN トランク	はい	はい	はい	はい—同じコミュニティのみ	はい	はい
セカンダリトランク	はい	はい	いいえ	はい	いいえ	はい
コミュニティ	はい	はい	はい	はい—同じコミュニティのみ	いいえ	はい
分離されたアクセス	はい	はい—単方向のみ	いいえ	いいえ	いいえ	はい
プロミスキャスアクセス	はい	はい	はい	はい	はい	いいえ

表4は、PVLAN内の異なるタイプのポート間にレイヤー2接続が存在するかどうかをまとめたものです。

表4:ELSをサポートしていないEXシリーズスイッチのPVLANポートとレイヤー2接続

ポートタイプ 宛先:→ From:↓	無差別	コミュニティ	分離	PVLANトランク	RVI
無差別	はい	はい	はい	はい	はい
コミュニティ	はい	はい—同じコミュニティのみ	いいえ	はい	はい
分離	はい	いいえ	いいえ	はい 注: この通信は一方向です。	はい
PVLAN トランク	はい	はい—同じコミュニティのみ	はい 注: この通信は一方向です。	はい	はい
RVI	はい	はい	はい	はい	はい

表4に示すように、絶縁ポートとPVLANトランクポート間のレイヤー2 通信は単方向です。つまり、分離ポートは PVLAN トランク ポートへのパケットのみ送信でき、PVLAN トランク ポートは分離ポートからのパケットのみ受信できます。逆に、PVLANトランクポートは分離ポートにパケットを送信できず、分離ポートはPVLANトランクポートからパケットを受信できません。

注:

プライマリVLANで no-mac-learning を有効にすると、PVLAN内のすべての分離VLAN(またはスイッチ間の分離VLAN)がその設定を継承します。ただし、コミュニティVLANでMACアドレス学習を無効にする場合は、それらの各VLANで no-mac-learning を設定する必要があります。

図6に示すフローチャートは、PVLANを作成するプロセスの概要を示しています。表示された順序で設定手順を完了すると、これらのPVLANルールに違反することはありません。(PVLANルールでは、PVLANトランクポートの設定は、複数のルーターにまたがるPVLANにのみ適用されます。)

• プライマリVLANはタグ付きVLANである必要があります。

• コミュニティVLAN IDを設定する場合は、まずプライマリVLANを設定する必要があります。

• 分離VLAN IDを設定する場合は、まずプライマリVLANを設定する必要があります。

注:

PVLAN インターフェイスでの VoIP(Voice over IP)VLAN の設定はサポートされていません。

1 つのルーターでの VLAN の設定は、 図 6 に示すように比較的簡単です。

プライマリVLANの設定は、以下の手順で構成されます。

1. プライマリVLAN名と802.1Qタグを設定します。

2. プライマリVLANで no-local-switching を設定します。

3. プロミスキャス トランク ポートとアクセス ポートを設定します。

4. プロミスキャス トランクとアクセス ポートをプライマリ VLAN のメンバーにします。

プライマリVLAN内では、セカンダリコミュニティVLANまたはセカンダリ分離VLAN、またはその両方を設定できます。セカンダリコミュニティVLANの設定は、以下の手順で構成されています。

1. 通常のプロセスを使用してVLANを設定します。

2. VLANのアクセスインターフェイスを設定します。

3. コミュニティVLANにプライマリVLANを割り当てます。

分離VLANは、分離VLANがメンバーとしてアクセスインターフェイスを持ち、プライマリVLANで no-local-switching オプションが有効になっている場合に、内部で作成されます。

IEEE 802.1Qは、トランキングデバイスが4バイトVLANフレーム識別タブをパケットヘッダーに挿入する内部タグ付けメカニズムを使用しているため、IEEE 802.1Qタグはスイッチ間の分離VLANに必要です。

トランクポートは、マルチルーターPVLAN構成でのみ必要です。トランクポートは、プライマリVLANとすべてのセカンダリVLANからのトラフィックを伝送します。

• アクセスインターフェイスは、1つのPVLANドメインにのみ属することができます。つまり、2つの異なるプライマリVLANに参加することはできません。

• トランクインターフェイスは、セカンダリVLANが2つの 異なる プライマリVLANにある限り、2つのセカンダリVLANのメンバーになることができます。トランクインターフェイスを 、同じ プライマリVLAN内にある2つのセカンダリVLANのメンバーにすることはできません。

• PVLANに含まれるすべてのVLANで、マルチプルスパニングツリープロトコル(MSTP)の単一のリージョンを設定する必要があります。

• VLANスパニングツリープロトコル(VSTP)はサポートされていません。

• IGMPスヌーピングは、プライベートVLANではサポートされていません。

• プライベートVLANでは、ルーテッドVLANインターフェイスはサポートされていません

• 同じプライマリVLAN内のセカンダリVLAN間のルーティングはサポートされていません。

• セカンダリVLANで指定できない設定ステートメントもあります。プライマリPVLAN上でのみ、[edit vlans vlan-name switch-options]階層レベルで以下のステートメント を設定できます。

• プライマリVLANをセカンダリVLANに変更する場合は、まず通常のVLANに変更し、変更をコミットする必要があります。たとえば、次の手順に従います。

  1. プライマリVLANを通常のVLANに変更します。

  2. 設定をコミットします。

  3. 通常のVLANをセカンダリVLANに変更します。

  4. 設定をコミットします。

  セカンダリVLANをプライマリVLANに変更する場合は、同じコミットシーケンスに従います。つまり、セカンダリVLANを通常のVLANにして変更をコミットしてから、通常のVLANをプライマリVLANに変更します。

ELS設定スタイルをサポートするJunos OSスイッチ上のPVLANでは、以下の 機能はサポート されていません。

• エグレスVLANファイアウォールフィルター

• イーサネットリング保護(ERP)

• 柔軟なVLANタギング

• グローバルMAC統計

• マルチシャーシリンクアグリゲーショングループ(MC-LAG)

• ポートミラーリング

• Q-in-Qトンネリング

• VLANスパニングツリープロトコル(VSTP)

• VoIP(Voice over IP)

プライマリPVLAN上でのみ、 [edit vlans vlan-name switch-options] 階層レベルで以下のステートメントを設定できます。

• mac-table-size

• MAC学習なし

• mac統計

• インターフェイス-mac-limit