プライベート VLAN
プライベート VLAN について
VLAN は、指定されたユーザーへのブロードキャストを制限します。PVLAN(プライベート VLAN)は、VLAN 内の通信を制限することで、この概念をさらに一歩進めます。PVLAN は、メンバー スイッチ ポート( プライベート ポートと呼ばれる)を通過するトラフィック フローを制限することで、これを実現します。これらのポートは、指定されたアップリンク トランク ポートまたは同じ VLAN 内の指定されたポートとのみ通信します。アップリンクトランクポートまたはリンクアグリゲーショングループ(LAG)は、通常、ルーター、ファイアウォール、サーバー、またはプロバイダーネットワークに接続されます。各 PVLAN には通常、1 つのアップリンク ポートとのみ通信する多数のプライベート ポートが含まれるため、ポートが相互に通信できなくなります。
PVLAN は、VLAN 内のポート間でレイヤー 2 の分離を提供し、プライマリ VLAN 内でセカンダリ VLAN(コミュニティ VLAN と分離 VLAN)を作成して、ブロードキャスト ドメインを複数の個別のブロードキャスト サブドメイン に 分割します。同じコミュニティVLAN内のポートは、相互に通信できます。分離された VLAN 内のポートは、単一のアップリンク ポート とのみ 通信できます。
PVLAN は、通常の VLAN と同様にレイヤー 2 で分離されており、セカンダリ VLAN 間でレイヤー 3 トラフィックをルーティングするには、以下のいずれかのオプションが必要です。
ルーターとの無差別ポート接続
RVI(Routed VLAN Interface)
PVLAN は、セカンダリ VLAN 間でレイヤー 3 トラフィックをルーティングするために、上記のオプションの 1 つだけ必要です。RVI を使用する場合は、PVLAN を出入りするトラフィックのみを処理するように無差別ポートが設定されたルーターへの無差別ポート接続を実装することもできます。
PVLAN は、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限したり、既知のホスト間の通信を制限したりするのに便利です。サービス プロバイダは PVLAN を使用して顧客を相互に分離しています。PVLAN のもう 1 つの一般的な用途は、ホテル内で部屋ごとのインターネット アクセスを提供することです。
PVLAN を設定して、PVLAN をサポートするスイッチを広めることができます。
このトピックでは、EX シリーズ スイッチ上の PVLAN に関する以下の概念について説明します。
- PVLAN のメリット
- PVLAN の典型的な構造とプライマリー アプリケーション
- MX シリーズ ルーター上の PVLAN の典型的な構造とプライマリー アプリケーション
- EXシリーズスイッチにおけるPVLANの典型的な構造とプライマリーアプリケーション
- 分離 VLAN とコミュニティ VLAN 間のルーティング
- PVLAN は、802.1Q タグを使用してパケットを識別します。
- PVLAN は IP アドレスを効率的に使用
- PVLAN ポート タイプと転送ルール
- PVLAN の作成
- プライベート VLAN の制限事項
PVLAN のメリット
1 つの VLAN を分離する必要性は、以下の導入シナリオで特に役立ちます。
サーバー ファーム — 一般的なインターネット サービス プロバイダは、サーバー ファームを使用して多数の顧客に Web ホスティングを提供します。1 つのサーバー ファーム内でさまざまなサーバーを検索すると、管理が容易になります。レイヤー 2 ブロードキャストが VLAN 内のすべてのサーバーに移動するため、すべてのサーバーが同じ VLAN 内にある場合、セキュリティ上の懸念が生じます。
メトロポリタンイーサネットネットワーク:メトロサービスプロバイダが、さまざまな家庭、レンタルコミュニティ、企業にレイヤー2イーサネットアクセスを提供しています。顧客ごとに1つのVLANを導入する従来のソリューションは、拡張性に優れず、管理が難しく、IPアドレスの無駄が発生する可能性があります。PVLAN は、よりセキュアで効率的なソリューションを提供します。
PVLAN の典型的な構造とプライマリー アプリケーション
PVLAN は、単一のスイッチ上で構成することも、複数のスイッチにまたがるよう構成することもできます。ドメインとポートのタイプは次のとおりです。
プライマリ VLAN — PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)で定義されます。プライマリ PVLAN には、複数のセカンダリ VLAN(1 つの独立した VLAN と複数のコミュニティ VLAN)を含めることができます。
分離された VLAN/分離ポート - プライマリ VLAN には、1 つの分離 VLAN のみを含めることができます。分離された VLAN 内のインターフェイスは、無差別ポートまたは ISL(スイッチ間リンク)ポートにのみパケットを転送できます。分離されたインターフェイスは、別の隔離されたインターフェイスにパケットを転送できません。分離されたインターフェイスは別の隔離されたインターフェイスからパケットを受信できません。顧客デバイスがゲートウェイ ルーター のみに アクセスする必要がある場合は、分離トランク ポートにデバイスを接続する必要があります。
コミュニティVLAN/コミュニティポート-1つのPVLAN内で複数のコミュニティVLANを設定できます。特定のコミュニティVLAN内のインターフェイスは、同じコミュニティVLANに属する他のインターフェイスとレイヤー2通信を確立できます。コミュニティVLAN内のインターフェイスは、プロミスキャスポートまたはISLポートと通信することもできます。 たとえば、他の顧客デバイスから分離する必要があるが、互いに通信できる必要がある 2 台の顧客デバイスがある場合は、コミュニティポートを使用します。
プロミスキャス ポート — 無差別ポートは、インターフェイスが分離された VLAN またはコミュニティ VLAN に属しているかどうかに関係なく、PVLAN のすべてのインターフェイスとのレイヤー 2 通信を行います。プロミスキャス ポートはプライマリ VLAN のメンバーですが、サブドメイン内には含まれていません。通常、エンドポイント デバイスと通信する必要があるレイヤー 3 ゲートウェイ、DHCP サーバー、その他の信頼できるデバイスは、プロミスキャス ポートに接続されます。
スイッチ間リンク(ISL):ISL は、PVLAN 内の複数のスイッチを接続し、2 つ以上の VLAN を含むトランク ポートです。これは、PVLAN が複数のスイッチにまたがる場合にのみ必要です。
設定された PVLAN は プライマリ ドメイン(プライマリ VLAN)です。PVLAN 内では、サブドメインがプライマリ ドメイン内でネストされたサブドメインとなる セカンダリ VLAN を設定します。PVLAN は、単一のスイッチ上で構成することも、複数のスイッチにまたがるよう構成することもできます。で 図 1 示される PVLAN には、プライマリ PVLAN ドメインとさまざまなサブドメインを持つ 2 つのスイッチが含まれます。
に 図 3示すように、PVLAN には 1 つのプライマリ ドメインと複数のセカンダリ ドメインしかありません。ドメインのタイプは次のとおりです。
プライマリ VLAN — フレームを分離された VLAN とコミュニティ VLAN にダウンストリームに転送するために使用される VLAN。PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)で定義されます。プライマリ PVLAN には、複数のセカンダリ VLAN(1 つの独立した VLAN と複数のコミュニティ VLAN)を含めることができます。
セカンダリ 隔離 VLAN — プライマリ VLAN からパケットのみを受信し、フレームアップストリームをプライマリ VLAN に転送する VLAN。分離された VLAN は、プライマリ VLAN 内にネストされたセカンダリ VLAN です。プライマリ VLAN には、分離された VLAN を 1 つだけ含めることができます。分離された VLAN(分離されたインターフェイス)内のインターフェイスは、無差別ポートまたは PVLAN トランク ポートにのみパケットを転送できます。分離されたインターフェイスは、別の隔離されたインターフェイスにパケットを転送できません。また、分離されたインターフェイスは、別の隔離されたインターフェイスからパケットを受信することもできません。顧客デバイスがルーター のみに アクセスする必要がある場合は、デバイスを隔離されたトランク ポートに接続する必要があります。
二次インタースイッチ分離 VLAN — PVLAN トランク ポートを介して、分離された VLAN トラフィックを 1 つのスイッチから別のスイッチに転送するために使用される VLAN。IEEE 802.1Q は、IEEE 802.1Q が内部タグメカニズムを使用し、トランキング デバイスが 4 バイトの VLAN フレーム識別タブをパケット ヘッダーに挿入するため、インタースイッチで分離された VLAN には 802.1Q タグが必要です。インタースイッチ分離 VLAN は、プライマリ VLAN 内にネストされたセカンダリ VLAN です。
セカンダリ コミュニティ VLAN — コミュニティのメンバー間でフレームを転送し(VLAN 内のユーザーのサブセット)、フレームをプライマリ VLAN にアップストリームで転送するために使用される VLAN。コミュニティVLANは、プライマリVLAN内にネストされたセカンダリVLANです。1つのPVLAN内に複数のコミュニティVLANを設定できます。特定のコミュニティVLAN内のインターフェイスは、同じコミュニティVLANに属する他のインターフェイスとレイヤー2通信を確立できます。コミュニティVLAN内のインターフェイスは、プロミスキャスポートまたはPVLANトランクポートと通信することもできます。
図 2 は、PVLAN が複数のスイッチにまたがることを示しています。ここでは、プライマリ VLAN(100)に 2 つのコミュニティ ドメイン (300 と)と 4001 つのインタースイッチ分離ドメインが含まれています。
プライマリおよびセカンダリ VLAN は、QFX シリーズでサポートされる 4,089 個の VLAN の制限に対してカウントされます。例えば、内の各VLAN 図 2 は、この制限に対してカウントされます。
MX シリーズ ルーター上の PVLAN の典型的な構造とプライマリー アプリケーション
設定された PVLAN がプライマリ ドメインになり、セカンダリ VLAN がプライマリ ドメイン内にネストされたサブドメインになります。PVLAN は、単一ルーター上で作成できます。に 図 3 示す PVLAN には、1 つのルーターが含まれており、1 つのプライマリ PVLAN ドメインと複数の二次サブドメインがあります。
ドメインのタイプは次のとおりです。
プライマリ VLAN — フレームを分離された VLAN とコミュニティ VLAN にダウンストリームに転送するために使用される VLAN。
セカンダリ 隔離 VLAN — プライマリ VLAN からパケットのみを受信し、フレームアップストリームをプライマリ VLAN に転送する VLAN。
二次インタースイッチ分離 VLAN — PVLAN トランク ポートを介して、分離された VLAN トラフィックを 1 台のルーターから別のルーターに転送するために使用される VLAN。
セカンダリ コミュニティ VLAN — VLAN 内のユーザーのサブセットであるコミュニティのメンバー間でフレームを転送し、フレームをプライマリ VLAN にアップストリームで転送するために使用される VLAN。
PVLAN は、拡張 LAN モードの MX240、MX480、MX960 ルーター上の MX80 ルーター、MPC1、MPC2、適応サービス PIC を搭載した MX シリーズ ルーターでサポートされています。
EXシリーズスイッチにおけるPVLANの典型的な構造とプライマリーアプリケーション
PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)で定義されます。EX9200スイッチでは、各セカンダリVLANも独自のVLAN IDで定義する必要があります。
図 4 は、単一スイッチ上の PVLAN を示しています。ここでは、プライマリ VLAN(VLAN 100)に 2 つのコミュニティ VLAN(VLAN 300 と VLAN 400)と 1 つの分離 VLAN(VLAN 50)が含まれています。
図 5 は、複数のスイッチにまたがる PVLAN を示しています。ここでは、プライマリ VLAN(VLAN 100)に 2 つのコミュニティ VLAN(VLAN 300 と VLAN 400)と 1 つの分離 VLAN(VLAN 200)が含まれています。また、スイッチ1と2がインタースイッチリンク(PVLANトランクリンク)を介して接続されていることも示しています。
また、に示す PVLAN は、コミュニティと図 5分離された VLAN 間で図 4レイヤー 3 トラフィックをルーティングする手段として、ルーターに接続されたプロミスキャス ポートを使用します。ルーターに接続されたプロミスキャスポートを使用する代わりに、 または に示すスイッチ 図 4 の1つ(一部のEXスイッチ)で 図 5 RVIを設定できます。
分離 VLAN とコミュニティ VLAN の間でレイヤー 3 トラフィックをルーティングするには、 および 図 5に示すように、ルーターを無差別ポートに図 4接続するか、RVI を設定する必要があります。
RVI オプションを選択した場合、PVLAN ドメインのプライマリ VLAN に対して 1 つの RVI を設定する必要があります。この RVI は、ドメインに 1 つ以上のスイッチが含まれているかどうかにかかわらず、PVLAN ドメイン全体に対応します。RVI を設定した後、セカンダリ VLAN インターフェイスで受信したレイヤー 3 パケットは RVI にマッピングされ、RVI によってルーティングされます。
RVIを設定する場合、RVIがセカンダリVLANインターフェイスで受信したARP要求を処理できるように、プロキシアドレス解決プロトコル(ARP)も有効にする必要があります。
単一のスイッチと複数のスイッチ上で PVLAN を設定する方法については、 単一 EX シリーズ スイッチ上のプライベート VLAN の作成(CLI 手順)を参照してください。 RVIの設定については、 EXシリーズスイッチ上のプライベートVLANにおけるルーテッドVLANインターフェイスの設定を参照してください。
分離 VLAN とコミュニティ VLAN 間のルーティング
分離 VLAN とコミュニティ VLAN の間でレイヤー 3 トラフィックをルーティングするには、外部ルーターまたはスイッチをプライマリ VLAN のトランク ポートに接続する必要があります。プライマリ VLAN のトランク ポートは プロミスキャス ポートです。そのため、PVLAN 内のすべての ポートと通信できます。
PVLAN は、802.1Q タグを使用してパケットを識別します。
パケットに顧客固有の802.1Qタグが付けられると、そのタグはネットワーク内のスイッチまたはルーターのパケットの所有権を識別します。異なるサブドメインからのパケットを追跡するために、PVLAN 内で 802.1Q タグが必要な場合があります。 表 1 は、プライマリ VLAN またはセカンダリ VLAN で VLAN 802.1Q タグが必要な場合を示します。
| 単一スイッチ上 | 複数のスイッチで | |
|---|---|---|
| プライマリ VLAN | VLAN IDを設定して、802.1Qタグを指定します。 |
VLAN IDを設定して、802.1Qタグを指定します。 |
| セカンダリ VLAN | VLANにタグは必要ありません。 |
VLAN には 802.1Q タグが必要です。
|
PVLAN は IP アドレスを効率的に使用
PVLAN は、IP アドレスの節約と IP アドレスの効率的な割り当てを提供します。一般的なネットワークでは、VLAN は通常、単一の IP サブネットに対応します。PVLAN では、サブネットがプライマリ VLAN に割り当てられるため、すべてのセカンダリ VLAN のホストは同じ IP サブネットに属します。セカンダリVLAN内のホストには、プライマリVLANに関連付けられたIPサブネットに基づいてIPアドレスが割り当てられ、そのIPサブネットのマスク情報にはプライマリVLANサブネットのIPサブネットが反映されています。ただし、各セカンダリ VLAN は個別のブロードキャスト ドメインです。
PVLAN ポート タイプと転送ルール
PVLAN では、最大 6 種類の異なるポート タイプを使用できます。に図 2 示すネットワークは、プロミスキャス ポートを使用して情報をルーターに転送し、コミュニティ ポートを財務および HR コミュニティーをそれぞれのスイッチに接続し、分離されたポートを使用してサーバーを接続し、PVLAN トランク ポートを使用して 2 台のスイッチを接続します。PVLAN ポートにはさまざまな制限があります。
プロミスキャストランクポート-プロミスキャスポートは、インターフェイスが分離されたVLANまたはコミュニティVLANに属しているかどうかに関係なく、PVLAN内のすべてのインターフェイスとのレイヤー2通信を持っています。プロミスキャス ポートはプライマリ VLAN のメンバーですが、セカンダリ サブドメインの 1 つに含まれていません。通常、エンドポイント デバイスと通信する必要があるレイヤー 3 ゲートウェイ、DHCP サーバー、その他の信頼できるデバイスは、プロミスキャス ポートに接続されます。
PVLAN トランク リンク -インタースイッチ リンクとも呼ばれる PVLAN トランク リンクは、PVLAN が複数のスイッチにまたがるように設定されている場合にのみ必要です。PVLAN トランク リンクは、PVLAN を構成する複数のスイッチを接続します。
PVLAN トランク ポート — マルチスイッチの PVLAN 構成では、スイッチをまたがる PVLAN トランク ポートが必要です。PVLAN トランク ポートは、PVLAN 内のすべての VLAN(つまり、プライマリ VLAN、コミュニティ VLAN、およびインタースイッチ分離 VLAN)のメンバーであり、プライマリ VLAN とすべてのセカンダリ VLAN からのトラフィックを伝送します。分離されたポート以外のすべてのポートと通信できます。
PVLAN トランク ポートと分離ポート間の通信は通常、単方向です。インタースイッチ分離 VLAN の PVLAN トランク ポートのメンバーシップはエグレスのみであり、分離されたポートは PVLAN トランク ポートにパケットを転送できますが、PVLAN トランク ポートはパケットを分離ポートに転送しません(無差別アクセス ポートで受信したパケットが、プロミスキャス ポートと同じプライマリ VLAN 内のすべてのセカンダリ VLAN に転送されている場合を除く)。
セカンダリ VLAN トランク ポート(図示せず)—セカンダリ トランク ポートはセカンダリ VLAN トラフィックを伝送します。特定のプライベート VLAN の場合、セカンダリ VLAN トランク ポートは、1 つのセカンダリ VLAN に対してのみトラフィックを伝送できます。ただし、セカンダリ VLAN トランク ポートは、各セカンダリ VLAN が異なるプライマリ VLAN のメンバーである限り、複数のセカンダリ VLAN のトラフィックを伝送できます。例えば、セカンダリ VLAN トランク ポートは、プライマリ VLAN pvlan100 の一部であるコミュニティ VLAN のトラフィックを伝送し、プライマリ VLAN pvlan400 の一部である分離 VLAN のトラフィックも伝送できます。
コミュニティポート—コミュニティポートは、それ自体とプロミスキャスポートと通信します。コミュニティポートは、選択したユーザーグループにのみサービスを提供します。これらのインターフェイスは、レイヤー 2 で、他のコミュニティ内の他のすべてのインターフェイス、または PVLAN 内の孤立したポートから分離されています。
隔離されたアクセス ポート:分離されたポートは、無差別ポートと PVLAN トランク ポートとの唯一のレイヤー 2 接続を備えています。これらの 2 つのポートが同じ分離 VLAN(またはインタースイッチ分離 VLAN)ドメインのメンバーである場合でも、分離されたポートは別の隔離されたポートと通信できません。通常、メール サーバーやバックアップ サーバーなどのサーバーは、分離されたポートで接続されます。ホテルでは、通常、各部屋は隔離されたポートで接続されます。つまり、部屋間の通信は不可能ですが、各部屋はプロミスキャス ポートでインターネットにアクセスできます。
無差別アクセス ポート(図示せず)—これらのポートはタグなしトラフィックを伝送します。無差別アクセス ポートでイングレスするトラフィックは、デバイス上のすべてのセカンダリ VLAN ポートに転送されます。トラフィックがVLAN対応ポート上のデバイスにイングレスし、無差別アクセスポートでエグレスした場合、トラフィックはエグレスでタグなしになります。無差別アクセス ポートでタグ付きトラフィックイングレスが行った場合、トラフィックは破棄されます。
インタースイッチ リンク ポート — インタースイッチ リンク(ISL)ポートは、PVLAN がこれらのルーターにまたがるときに 2 台のルーターを接続するトランク ポートです。ISL ポートは、PVLAN 内のすべての VLAN(つまり、プライマリ VLAN、コミュニティ VLAN、分離 VLAN)のメンバーです。
ISL ポートと孤立したポート間の通信は単方向です。インタースイッチ分離 VLAN の ISL ポートのメンバーシップはエグレスのみであり、ISL ポートの受信トラフィックが分離 VLAN に割り当てられることはありません。分離されたポートは、PVLAN トランク ポートにパケットを転送できますが、PVLAN トランク ポートは分離されたポートにパケットを転送できません。 表 3 は、異なるタイプのポート間にレイヤー2接続が存在するかどうかを要約しています。
表 2 は、ELS をサポートする EX シリーズ スイッチ上の PVLAN 内のさまざまなタイプのポート間のレイヤー 2 接続をまとめたものです。
ポート タイプから |
ポートを分離したい |
ポートをプロミスキャスするには? |
コミュニティポートへ? |
スイッチ間リンク ポートとは |
|---|---|---|---|---|
分離 |
Deny |
Permit |
Deny |
Permit |
無差別 |
Permit |
Permit |
Permit |
Permit |
コミュニティ 1 |
Deny |
Permit |
Permit |
Permit |
ポート タイプ |
プロミスキャス トランク |
PVLAN トランク |
セカンダリ トランク |
コミュニティ |
隔離されたアクセス |
無差別アクセス |
|---|---|---|---|---|---|---|
プロミスキャス トランク |
はい |
はい |
はい |
はい |
はい |
はい |
PVLAN トランク |
はい |
はい |
はい |
はい-同じコミュニティのみ |
はい |
はい |
セカンダリ トランク |
はい |
はい |
いいえ |
はい |
いいえ |
はい |
コミュニティ |
はい |
はい |
はい |
はい-同じコミュニティのみ |
いいえ |
はい |
隔離されたアクセス |
はい |
○-単方向のみ |
いいえ |
× |
× |
はい |
無差別アクセス |
はい |
はい |
はい |
はい |
はい |
いいえ |
表 4 は、PVLAN 内のさまざまなタイプのポート間にレイヤー 2 接続が存在するかどうかを要約しています。
ポート タイプ 変更後:→ から:↓ |
無差別 |
コミュニティ |
分離 |
PVLAN トランク |
Rvi |
|---|---|---|---|---|---|
無差別 |
はい |
はい |
はい |
はい |
はい |
コミュニティ |
はい |
はい-同じコミュニティのみ |
いいえ |
はい |
はい |
分離 |
はい |
いいえ |
× |
はい 注:
この通信は単方向です。 |
はい |
PVLAN トランク |
はい |
はい-同じコミュニティのみ |
はい 注:
この通信は単方向です。 |
はい |
はい |
Rvi |
はい |
はい |
はい |
はい |
はい |
に 表 4示すように、隔離されたポートと PVLAN トランク ポート間のレイヤー 2 通信は単方向です。つまり、分離されたポートは PVLAN トランク ポートにのみパケットを送信でき、PVLAN トランク ポートは分離されたポートからのみパケットを受信できます。反対に、PVLAN トランク ポートは分離ポートにパケットを送信できず、分離ポートは PVLAN トランク ポートからパケットを受信できません。
プライマリ VLAN で有効にすると no-mac-learning 、PVLAN のすべての分離 VLAN(またはインタースイッチ分離 VLAN)がその設定を継承します。ただし、任意のコミュニティVLANでMACアドレス学習を無効にする場合は、各VLANでを設定 no-mac-learning する必要があります。
PVLAN の作成
に 図 6 示すフローチャートは、PVLAN を作成するプロセスの一般的な概念を示しています。表示された順序で設定手順を完了しても、これらの PVLAN ルールに違反することはありません。(PVLAN ルールでは、PVLAN トランク ポートの設定は、複数のルーターにまたがる PVLAN にのみ適用されます)。
プライマリ VLAN はタグ付き VLAN である必要があります。
コミュニティVLAN IDを設定する場合は、まずプライマリVLANを設定する必要があります。
分離 VLAN ID を設定する場合は、まずプライマリ VLAN を設定する必要があります。
PVLAN インターフェイスでのボイスオーバー IP(VoIP)VLAN の設定はサポートされていません。
に示 図 6すように、単一ルーターでの VLAN の設定は比較的簡単です。
プライマリ VLAN の設定は、次の手順で行います。
プライマリ VLAN 名と 802.1Q タグを設定します。
プライマリ VLAN で設定 no-local-switching します。
無差別トランク ポートとアクセス ポートを設定します。
プライマリ VLAN の無差別トランクおよびアクセス ポートメンバーを作成します。
プライマリ VLAN 内では、セカンダリ コミュニティ VLAN またはセカンダリ 隔離 VLAN、またはその両方を設定できます。セカンダリコミュニティVLANの設定は、次のステップで構成します。
通常のプロセスを使用してVLANを設定します。
VLAN のアクセス インターフェイスを設定します。
プライマリVLANをコミュニティVLANに割り当てます。
分離 VLAN が内部で作成されるのは、分離された VLAN にメンバーとしてアクセス インターフェイスがあり、プライマリ VLAN で オプション no-local-switching が有効になっている場合です。
IEEE 802.1Q は、IEEE 802.1Q が内部タグメカニズムを使用し、トランキング デバイスが 4 バイトの VLAN フレーム識別タブをパケット ヘッダーに挿入するため、インタースイッチで分離された VLAN には 802.1Q タグが必要です。
トランク ポートはマルチルート PVLAN 設定にのみ必要です。トランク ポートはプライマリ VLAN とすべてのセカンダリ VLAN からのトラフィックを伝送します。
プライベート VLAN の制限事項
以下の制約は、プライベートVLAN設定に適用されます。
アクセス インターフェイスは、1 つの PVLAN ドメインにのみ属することができ、つまり、2 つの異なるプライマリ VLAN に参加できません。
トランク インターフェイスは、セカンダリ VLAN が 2 つの 異なる プライマリ VLAN にある限り、2 つのセカンダリ VLAN のメンバーにすることができます。トランク インターフェイスを 、同じ プライマリ VLAN 内にある 2 つのセカンダリ VLAN のメンバーにすることはできません。
マルチプルスパニングツリープロトコル(MSTP)の単一領域は、PVLANに含まれるすべてのVLANで設定する必要があります。
VLANスパニングツリープロトコル(VSTP)はサポートされていません。
IGMP スヌーピングは、プライベート VLAN ではサポートされていません。
ルーテッドVLANインターフェイスはプライベートVLANではサポートされていません
同じプライマリ VLAN 内のセカンダリ VLAN 間のルーティングはサポートされていません。
セカンダリ VLAN では、一部の設定ステートメントを指定できません。階層レベルでは
[edit vlans vlan-name switch-options]、プライマリ PVLAN でのみ 以下のステートメントを設定できます。プライマリ VLAN をセカンダリ VLAN に変更する場合は、まずプライマリ VLAN に変更し、変更をコミットする必要があります。たとえば、次の手順に従います。
プライマリ VLAN を通常の VLAN に変更します。
設定をコミットします。
通常の VLAN をセカンダリ VLAN に変更します。
設定をコミットします。
セカンダリ VLAN をプライマリ VLAN に変更する場合は、同じコミット シーケンスに従います。つまり、セカンダリ VLAN を通常の VLAN にして、その変更をコミットし、通常の VLAN をプライマリ VLAN に変更します。
ELS設定スタイルをサポートするJunosスイッチのPVLANでは、以下の機能はサポート されていません 。
エグレスVLANファイアウォールフィルター
イーサネットリングプロテクション(ERP)
柔軟な VLAN タギング
IRB(Integrated Routing and Bridging)インターフェイス
マルチシャーシ リンク アグリゲーション グループ(MC-LAG)
ポート ミラーリング
Q-in-Q トンネリング
VLANスパニングツリープロトコル(VSTP)
ボイスオーバーIP(VoIP)
階層レベルでは [edit vlans vlan-name switch-options] 、プライマリ PVLAN でのみ以下のステートメントを設定できます。
複数のスイッチにおける PVLAN トラフィック フローの理解
このトピックでは、PVLAN(プライベート VLAN)で設定されたサンプル マルチスイッチ ネットワーク上の 3 つの異なるトラフィック フローについて説明します。PVLAN は、メンバーのスイッチ ポート(「プライベート ポート」と呼ばれる)を通過するトラフィック フローを制限し、特定のアップリンク トランク ポートまたは同じ VLAN 内の指定されたポートとのみ通信するようにします。
このトピックでは、以下について説明します。
コミュニティVLANがタグなしトラフィックを送信
この例では、スイッチ1のコミュニティ1のメンバーが、インターフェイスge-0/0/12でタグなしトラフィックを送信しています。の 図 7 矢印は、結果として生じるトラフィック フローを表しています。
この例では、コミュニティ-1 メンバーには、P-VLAN ID 10 にマッピングされた C-VLAN ID 100 が割り当てられます。
このシナリオでは、スイッチ 1 で次のアクティビティが行われます。
-
インターフェイス ge-0/0/0 および ge-0/0/12 上のコミュニティ 1 VLAN: 内容
-
インターフェイスge-0/0/0およびge-0/0/12上のpvlan100: レプリケーション
-
インターフェイス ge-0/0/12 上のコミュニティ 1 VLAN: タグなしトラフィックを受信
-
コミュニティ-1 VLAN インターフェイス ge-0/0/0: タグなしトラフィックが出る
-
PVLAN トランク ポート: トラフィックは ge-1/0/2 から、タグ 10 を持つ ae0 から出ます。
-
コミュニティ-2: インターフェイスはトラフィックを受信しない
-
分離された VLAN: インターフェイスはトラフィックを受信しない
このシナリオでは、このアクティビティはスイッチ 3 で行われます。
-
インターフェイス ge-0/0/23(PVLAN トランク)上のコミュニティ-1 VLAN: 内容
-
インターフェイスge-0/0/23上のpvlan100: レプリケーション
-
インターフェイス ge-0/0/9 および ge-0/0/16 上のコミュニティ-1 VLAN: タグなしトラフィックの受信
-
無差別トランク ポート: トラフィックは、タグ 10 で ge-0/0/0 から出ます。
-
コミュニティ-2: インターフェイスはトラフィックを受信しない
-
分離された VLAN: インターフェイスはトラフィックを受信しない
分離された VLAN がタグなしトラフィックを送信
このシナリオでは、インターフェイス ge-1/0/0 のスイッチ 1 の分離された VLAN1 がタグなしトラフィックを送信します。の 図 8 矢印は、このトラフィック フローを表しています。
このシナリオでは、スイッチ 1 で次のアクティビティが行われます。
インターフェイス ge-1/0/0 上の分離 VLAN1: 内容
インターフェイスge-1/0/0上のpvlan100: レプリケーション
トラフィックは、タグ 50 を持つ pvlan-trunk ge-1/0/2 および ae0 から出ます。
コミュニティ-1およびコミュニティ-2: インターフェイスはトラフィックを受信しない
分離された VLAN: インターフェイスはトラフィックを受信しない
このシナリオでは、このアクティビティはスイッチ 3 で行われます。
インターフェイス ge-0/0/23(PVLAN トランク ポート)上の VLAN: 内容
インターフェイス ge0/0/23 上の pvlan100: レプリケーション
無差別トランク ポート: トラフィックは、タグ 100 で ge-0/0/0 から出ます。
コミュニティ-1およびコミュニティ-2: インターフェイスはトラフィックを受信しない
分離された VLAN: トラフィックを受信しない
プロミスキャス ポートで送信された PVLAN タグ付きトラフィック
このシナリオでは、PVLAN タグ付きトラフィックが無差別ポートで送信されます。の 図 9 矢印は、このトラフィック フローを表しています。
このシナリオでは、スイッチ 1 で次のアクティビティが行われます。
インターフェイス ae0 上の pvlan100 VLAN(PVLAN トランク): 内容
インターフェイス ae0 上のコミュニティ-1、コミュニティ-2、およびすべての分離 VLAN: レプリケーション
インターフェイス ae0 上の VLAN: レプリケーション
トラフィックは、タグ 100 を持つ pvlan-trunk ge-1/0/2 から出ます。
コミュニティ-1およびコミュニティ-2: インターフェイスがトラフィックを受信
分離された VLAN: トラフィックの受信
このシナリオでは、このアクティビティはスイッチ 3 で行われます。
インターフェイスge-0/0/0上のpvlan100: 内容
Community-1、Community-2、およびインターフェイス ge-0/0/0 上のすべての分離された VLAN: レプリケーション
インターフェイス ge-0/0/0 上の VLAN: レプリケーション
コミュニティ-1およびコミュニティ-2: インターフェイスがトラフィックを受信
分離された VLAN: トラフィックの受信
PVLAN のセカンダリ VLAN トランク ポートとプロミスキャス アクセス ポートについて
VLAN は、指定されたユーザーへのブロードキャストを制限します。PVLAN(プライベート VLAN)は、VLAN を複数のブロードキャスト サブドメインに分割し、基本的にプライマリ VLAN 内にセカンダリ VLAN を配置することで、この概念をさらに一歩進めます。PVLAN は、メンバー ポートを介したトラフィック フローを制限し、これらのポートが指定されたアップリンク トランク ポートまたは同じ VLAN 内の指定されたポートとのみ通信するようにします。アップリンクトランクポートは、通常、ルーター、ファイアウォール、サーバー、またはプロバイダーネットワークに接続されます。PVLAN には通常、1 つのアップリンクとのみ通信する多数のプライベート ポートが含まれるため、ポートが相互に通信できなくなります。
セカンダリ トランク ポートとプロミスキャス アクセス ポートは、以下のような複雑な導入で使用するために PVLAN の機能を拡張します。
エンタープライズ VMware インフラストラクチャ環境
VM 管理によるマルチテナント クラウド サービス
複数のお客様向けWebホスティングサービス
たとえば、セカンダリ VLAN トランク ポートを使用して、プライベート VLAN で構成された VMware サーバーに QFX デバイスを接続できます。無差別アクセス ポートを使用して、QFX デバイスをトランク ポートをサポートしていないが、プライベート VLAN に参加する必要があるシステムに接続できます。
このトピックでは、QFX シリーズの PVLAN に関する以下の概念について説明します。
PVLAN ポート タイプ
PVLAN では、以下の異なるポート タイプを使用できます。
無差別トランク ポート— 無差別ポートは、ルーター、ファイアウォール、サーバー、またはプロバイダ ネットワークに接続されたアップストリームのトランク ポートです。無差別トランク ポートは、PVLAN 内の分離ポートとコミュニティ ポートを含むすべてのインターフェイスと通信できます。
PVLAN トランク ポート — マルチスイッチの PVLAN 構成では、スイッチをまたがる PVLAN トランク ポートが必要です。PVLAN トランク ポートは、PVLAN 内のすべての VLAN(つまり、プライマリ VLAN、コミュニティ VLAN、およびインタースイッチ分離 VLAN)のメンバーであり、プライマリ VLAN とすべてのセカンダリ VLAN からのトラフィックを伝送します。すべてのポートと通信できます。
PVLAN トランク ポートと分離ポート間の通信は通常、単方向です。インタースイッチ分離 VLAN の PVLAN トランク ポートのメンバーシップはエグレスのみであり、分離されたポートは PVLAN トランク ポートにパケットを転送できますが、PVLAN トランク ポートはパケットを分離ポートに転送しません(無差別アクセス ポートで受信したパケットが、プロミスキャス ポートと同じプライマリ VLAN 内のすべてのセカンダリ VLAN に転送されている場合を除く)。
セカンダリ VLAN トランク ポート - セカンダリ VLAN トランク ポートはセカンダリ VLAN トラフィックを伝送します。特定のプライベート(プライマリ)VLAN の場合、セカンダリ VLAN トランク ポートは 1 つのセカンダリ VLAN に対してのみトラフィックを伝送できます。ただし、セカンダリ VLAN トランク ポートは、各セカンダリ VLAN が異なるプライマリ VLAN のメンバーである限り、複数のセカンダリ VLAN のトラフィックを伝送できます。例えば、セカンダリ VLAN トランク ポートは、プライマリ VLAN pvlan100 の一部であるコミュニティ VLAN のトラフィックを伝送し、プライマリ VLAN pvlan400 の一部である分離 VLAN のトラフィックも伝送できます。
注:トラフィックがセカンダリ VLAN トランク ポートから出る場合、通常はセカンダリ ポートが メンバーであるプライマリ VLAN のタグを伝送します。セカンダリ VLAN トランク ポートから出るトラフィックに、セカンダリ VLAN タグを保持させる場合は、 ステートメントを extend-secondary-vlan-id 使用します。
コミュニティポート—コミュニティポートは、それ自体とプロミスキャスポートと通信します。コミュニティポートは、選択したユーザーグループにのみサービスを提供します。これらのインターフェイスは、レイヤー 2 で、他のコミュニティ内の他のすべてのインターフェイス、または PVLAN 内の孤立したポートから分離されています。
隔離されたアクセス ポート—隔離されたポートは無差別ポートおよび PVLAN トランク ポートとのレイヤ 2 接続を唯一有します。分離されたアクセス ポートは、これらの 2 つのポートが同じ分離された VLAN のメンバーである場合でも、別の分離されたポートと通信できません。
無差別アクセス ポート-これらのポートはタグなしトラフィックを伝送し、1 つのプライマリ VLAN のメンバーになることが可能です。無差別アクセス ポート上のイングレスのトラフィックは、無差別アクセス ポートが のメンバーであるプライマリ VLAN のメンバーであるセカンダリ VLAN のポートに転送されます。この場合、セカンダリ VLAN ポートがトランク ポートの場合、トラフィックはセカンダリ VLAN ポートから出るときに、適切なセカンダリ VLAN タグを伝送します。トラフィックがセカンダリ VLAN ポートでイングレスし、無差別アクセス ポートでエグレスした場合、トラフィックはエグレスでタグなしになります。無差別アクセス ポートでタグ付きトラフィックイングレスが行った場合、トラフィックは破棄されます。
セカンダリ VLAN トランク ポートの詳細
セカンダリ VLAN トランク ポートを使用する場合は、次の点に注意してください。
セカンダリ VLAN トランク ポートが参加する各プライマリ VLAN に分離 VLAN ID を設定する必要があります。これは、セカンダリ VLAN トランク ポートが伝送するセカンダリ VLAN が 1 台のデバイスに限定されている場合でも当てはまります。
特定のプライマリ VLAN のセカンダリ VLAN トランク ポートとしてポートを設定する場合、同じ物理ポートを以下のいずれかに設定することもできます。
別のプライマリ VLAN のセカンダリ VLAN トランク ポート
別のプライマリ VLAN の PVLAN トランク
無差別トランク ポート
非プライベート VLAN のアクセス ポート
セカンダリ VLAN トランク ポートで(セカンダリ VLAN タグを使用して)イングレスし、PVLAN トランク ポートでエグレスするトラフィックは、エグレスでセカンダリ VLAN タグを保持します。
セカンダリ VLAN トランク ポートでイングレスし、無差別トランク ポートでエグレスするトラフィックには、エグレスに適切なプライマリ VLAN タグがあります。
セカンダリ VLAN トランク ポートでイングレスし、無差別アクセス ポートでエグレスするトラフィックは、エグレスでタグ付けされません。
プライマリ VLAN タグを持つ無差別トランク ポートでイングレスし、セカンダリ VLAN トランク ポートでエグレスするトラフィックは、エグレスで適切なセカンダリ VLAN タグを伝送します。例えば、スイッチで以下を設定しているとします。
プライマリ VLAN 100
プライマリ VLAN の一部としてのコミュニティ VLAN 200
無差別トランク ポート
コミュニティ VLAN 200 を伝送するセカンダリ トランク ポート
パケットがプライマリ VLAN タグ 100 を持つプロミスキャストランク ポートでイングレスし、セカンダリ VLAN トランク ポートでエグレスした場合、エグレスでタグ 200 を伝送します。
導入事例
同じ物理インターフェイスで、複数のセカンダリVLANトランクポート(異なるプライマリVLAN内)を設定したり、セカンダリVLANトランクポートを他のタイプのVLANポートと組み合わせることもできます。以下のユースケースは、その例を示し、それぞれのケースでトラフィックがどのように流れるかを示しています。
- 2 つのプライマリ VLAN のセカンダリ VLAN トランク
- セカンダリ VLAN トランクとプロミスキャストランク
- セカンダリ VLAN トランクと PVLAN トランク
- セカンダリ VLAN トランクおよび非プライベート VLAN インターフェイス
- プロミスキャス アクセス ポートでのトラフィック イングレス
2 つのプライマリ VLAN のセカンダリ VLAN トランク
このユースケースでは、以下の設定を持つ2つのスイッチがあると仮定します。
タグ 100 を持つプライマリ VLAN pvlan100。
タグ 200 がある分離された VLAN 分離 200 は、pvlan100 のメンバーです。
タグ 300 を持つコミュニティ VLAN comm300 は pvlan100 のメンバーです。
タグ 400 を持つプライマリ VLAN pvlan400。
タグ 500 を持つ分離された VLAN 分離 500 は、pvlan400 のメンバーです。
タグ 600 を持つコミュニティ VLAN comm600 は、pvlan400 のメンバーです。
スイッチ 1 のインターフェイス xe-0/0/0 は、この例で使用するプライベート VLAN で設定された VMware サーバー(図示せず)に接続します。このインターフェイスは、pvlan100 のメンバーであるセカンダリ VLAN comm600 および分離 VLAN(タグ 200)のトラフィックを伝送するためのセカンダリ VLAN トランク ポートで構成されています。
スイッチ 2 のインターフェイス xe-0/0/0 は、無差別トランク ポートまたは無差別アクセス ポートとして設定されているのが示されています。後者の場合、トランク ポートをサポートしていないが、この例で使用するプライベート VLAN で設定されているシステム(図示せず)に接続していることを想定できます。
スイッチ 1 では、xe-0/0/6 は comm600 のメンバーであり、トランク ポートとして設定されています。
スイッチ2では、xe-0/0/6はcomm600のメンバーであり、アクセスポートとして設定されています。
図 10 は、このトポロジーと、スイッチ 1 の xe-0/0/0 にイングレスした後に、分離された 200 と comm600 のトラフィックがどのように流れるかを示しています。トラフィックは、矢印が示す場所にのみ流れるのに注意してください。例えば、スイッチ1ではパケットがエグレスしないため、インターフェイスxe-0/0/2、xe-0/0/3、およびxe-0/0/5には矢印はありません。
VLAN 分離 200 のトラフィック フローを次に示します。
VLAN分離された200のトラフィックは、スイッチ1の隔離されたアクセスポートxe-0/0/2、またはスイッチ2のセカンダリVLANトランクポートxe-0/0/2に送信されません。ただし、これらの2つのポートは同じ隔離VLANのメンバーです。
VLAN comm600 のトラフィック フローは次のとおりです。
スイッチ 1 のセカンダリ VLAN トランク ポートで comm600 イングレスのトラフィックが発生した後、PVLAN トランク ポートはすべての VLAN のメンバーであるため、PVLAN トランク ポートでエグレスします。エグレス時、パケットはセカンダリVLANタグ(600)を保持します。
comm600 のトラフィックは、スイッチ 1 のコミュニティ ポート xe-0/0/6 でもエグレスします。ポートがトランクとして設定されているため、トラフィックがタグ付けされます。
スイッチ 2 の PVLAN トランク ポート上の comm600 イングレスのトラフィックの後、このインターフェイスが無差別トランク ポートとして設定されている場合、xe-0/0/0 にエグレスします。
注:スイッチ 2 の xe-0/0/0 が無差別アクセス ポートとして設定されている場合、ポートは 1 つのプライマリ VLAN にのみ参加できます。この場合、プロミスキャスアクセスポートはpvlan100の一部であるため、comm600のトラフィックは出力されません。
comm600 のトラフィックは、スイッチ 2 のコミュニティ ポート xe-0/0/6 でもエグレスします。この場合、ポート モードはアクセスであるため、トラフィックはタグなしです。
セカンダリ VLAN トランクとプロミスキャストランク
このユースケースでは、前のユースケースと同様に、2つのスイッチに同じポートとVLANが設定されていると仮定します。1つの例外を除きます。この場合、スイッチ 1 の xe-0/0/0 は、VLAN pvlan100 のセカンダリ VLAN トランク ポートとして設定され、pvlan400 のプロミスキャス トランク ポートとしても設定されます。
図 11 このトポロジーと、スイッチ1にイングレスした後の、隔離された200(pvlan100のメンバー)とcomm600(pvlan400のメンバー)のトラフィックがどのように流れるかを示しています。
VLAN 分離された 200 のトラフィック フローは、以前の使用事例と同じですが、comm600 のフローは異なります。VLAN comm600 のトラフィック フローは次のとおりです。
セカンダリ VLAN トランクと PVLAN トランク
このユースケースでは、スイッチ1のxe-0/0/0がVLAN pvlan100のセカンダリVLANトランクポートとして設定され、pvlan400のPVLANトランクポートとしても設定されている場合を除き、以前のユースケースと同じポートとVLANで2つのスイッチを設定していると仮定します。
図 12 このトポロジーと、スイッチ 1 にイングレスした後の comm300(pvlan100 のメンバー)および comm600(pvlan400 のメンバー)のトラフィックがどのように流れるかを示しています。
VLAN comm300 のトラフィック フローは次のとおりです。
VLAN comm600 のトラフィック フローは次のとおりです。
スイッチ1のPVLANポートxe-0/0/0でcomm600イングレスのトラフィックが送信されると、スイッチ1のコミュニティポートxe-0/0/6にエグレスします。xe-0/0/6 はトランク ポートであるため、エグレス時にパケットはセカンダリ VLAN タグ(600)を保持します。
また、PVLAN トランク ポートがすべての VLAN のメンバーであるため、comm600 のトラフィックは PVLAN トランク ポート xe-0/0/1 で送信されます。エグレス時、パケットはセカンダリVLANタグ(600)を保持します。
スイッチ 2 の PVLAN トランク ポート上の comm600 イングレスのトラフィックの後、このインターフェイスが無差別トランク ポートとして設定されている場合、xe-0/0/0 にエグレスします。
ポートが pvlan100 にのみ参加できるため、このインターフェイスがプロミスキャス アクセス ポートとして設定されている場合、xe-0/0/0 にエグレスしません。
comm600 のトラフィックは、スイッチ 2 のコミュニティ ポート xe-0/0/6 でもエグレスします。xe-0/0/6はアクセスポートであるため、このトラフィックはエグレスでタグなしとなります。
セカンダリ VLAN トランクおよび非プライベート VLAN インターフェイス
このユースケースでは、これらの違いを除き、前のユースケースと同様に、2つのスイッチに同じポートとVLANを設定したと仮定します。
スイッチ 1 での xe-0/0/0 の設定:
VLAN pvlan100 のセカンダリ VLAN トランク ポート
vlan700 のアクセス ポート
両方のスイッチのポートxe-0/0/6は、vlan700のアクセスポートです。
図 13 は、このトポロジーと、スイッチ 1 にイングレスした後に分離された 200(pvlan100 のメンバー)と vlan700 のトラフィックがどのように流れるかを示しています。
VLAN 分離 200 のトラフィック フローを次に示します。
VLAN分離された200のトラフィックは、スイッチ1の隔離されたアクセスポートxe-0/0/2、またはスイッチ2のセカンダリVLANトランクポートxe-0/0/2に送信されません。ただし、これらの2つのポートは同じ隔離VLANのメンバーです。
スイッチ 1 の xe-0/0/0 で設定されたアクセス ポート上の vlan700 イングレスのトラフィックの後、そのポートが同じ VLAN のメンバーであるため、アクセス ポート xe-0/0/6 にエグレスします。xe-0/0/1 の PVLAN トランクがこの VLAN を伝送しないため、vlan700 のトラフィックはスイッチ 2 に転送されません(スイッチ 2 の xe-0/0/6 は vlan700 のメンバーです)。
プロミスキャス アクセス ポートでのトラフィック イングレス
この使用例では、スイッチ1のxe-0/0/0がプロミスキャスアクセスポートとして設定され、pvlan100のメンバーである場合を除き、前のユースケースと同様に、2つのスイッチに同じポートとVLANが設定されていると仮定します。 図 14 は、このトポロジーと、スイッチ 1 でこのインターフェイスをイングレスした後のタグなしトラフィックの流れを示しています。
図に示すように、無差別アクセス ポートでイングレスするタグなしトラフィックは、無差別アクセス ポートが メンバーである同じプライマリ VLAN のメンバーであるすべてのセカンダリ VLAN ポートに転送されます。アクセス ポートからエグレスし、トランク ポート(スイッチ 2 の xe-0/0/2)からエグレスでタグ付けされた場合、トラフィックはタグ付けされません。
同じインターフェイスでの 802.1X 認証とプライベート VLAN の併用
- 同じインターフェイスでの 802.1X 認証と PVLAN の併用について
- 802.1X 認証と PVLAN を組み合わせる場合の設定ガイドライン
- 例:1つの設定でプライベートVLANを使用した802.1X認証の設定
同じインターフェイスでの 802.1X 認証と PVLAN の併用について
同じインターフェイスで、802.1X 認証と PVLAN(プライベート VLAN)の両方を設定できるようになりました。
IEEE 802.1X認証は、ネットワークエッジセキュリティを提供し、(RADIUSサーバー)でサプリカントの認証情報が提示および一致 authentication server されるまで、サプリカント(クライアント)との間のすべてのトラフィックをインターフェイスでブロックすることで、不正なユーザーアクセスからイーサネットLANを保護します。
PVLAN(プライベート VLAN)は、VLAN 内のポート間でレイヤー 2 の分離を提供し、セカンダリ VLAN を作成することでブロードキャスト ドメインを複数の個別のブロードキャスト サブドメインに分割します。PVLAN は、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限したり、既知のホスト間の通信を制限したりするのに便利です。
802.1X認証とPVLANの両方で設定されたスイッチでは、新しいデバイスがPVLANネットワークに接続されると、デバイスが認証され、PVLAN設定またはRADIUSプロファイルに基づいてセカンダリVLANに割り当てられます。その後、デバイスは IP アドレスを取得し、PVLAN ネットワークへのアクセスを許可されます。
このドキュメントでは、802.1X 認証またはプライベート VLAN の詳細については説明しません。これらの詳細については、個々の機能に固有の機能ドキュメントを参照してください。802.1Xについては、 ユーザーアクセスおよび認証ユーザーガイドを参照してください。PVLAN については、 イーサネット スイッチング ユーザー ガイドを参照してください。
802.1X 認証と PVLAN を組み合わせる場合の設定ガイドライン
これらの 2 つの機能を同じインターフェイスで設定する場合、次のガイドラインと制限事項に留意してください。
802.1X対応インターフェイスをプロミスキャスインターフェイス(設定によってプライマリVLANのメンバーであるインターフェイス)またはインタースイッチリンク(ISL)インターフェイスとして設定することはできません。
論理インターフェイス上の同じPVLANドメインに属する異なるVLANで複数のユーザーを認証することはできません。例えば、インターフェイスge-0/0/0が として
supplicant multiple設定され、クライアントC1とC2が認証され、それぞれ動的VLAN V1とV2に追加される場合、V1とV2は異なるPVLANドメインに属する必要があります。VoIP VLAN とデータ VLAN が異なる場合、これらの 2 つの VLAN は異なる PVLAN ドメインにある必要があります。
PVLAN メンバーシップを変更する(つまり、インターフェイスが異なる PVLAN で再構成される)場合、クライアントは再認証する必要があります。
例:1つの設定でプライベートVLANを使用した802.1X認証の設定
要件
Junos OS リリース 18.2R1 以降
EX2300、EX3400、またはEX4300スイッチ
開始する前に、認証サーバーとして使用する RADIUS サーバーを指定します。スイッチ上のRADIUSサーバー接続の指定(CLI手順)を参照してください。
概要
以下の設定セクションでは、アクセスプロファイルの設定、802.1X認証設定、最後にVLAN(PVLANを含む)の設定を示します。
1つの設定でプライベートVLANを使用した802.1X認証の設定
手順
CLI クイックコンフィギュレーション
[edit] set access radius-server 10.20.9.199 port 1812 set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set access profile dot1x-auth authentication-order radius set access profile authp authentication-order radius set access profile authp radius authentication-server 10.204.96.165 set switch-options voip interface ge-0/0/8.0 vlan voip set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data set protocols dot1x authenticator authentication-profile-name authp set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set vlans community vlan-id 20 set vlans community private-vlan community set vlans community-one vlan-id 30 set vlans community-one private-vlan community set vlans isolated vlan-id 200 set vlans isolated private-vlan isolated set vlans pvlan vlan-id 2000 set vlans pvlan isolated-vlan isolated set vlans pvlan community-vlans [community community-one] set vlans data vlan-id 43 set vlans voip vlan-id 33
手順
1つの設定で802.1X認証とPVLANを設定するには:
アクセスプロファイルを設定します。
[edit access] set radius-server 10.20.9.199 port 1812 set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set profile dot1x-auth authentication-order radius set profile authp authentication-order radius set profile authp radius authentication-server 10.204.96.165 [edit switch-options] set voip interface ge-0/0/8.0 vlan voip
注:設定された VoIP VLAN を PVLAN(プライマリ、コミュニティ、または分離)にすることはできません。
802.1X 設定を構成します。
[edit interfaces] set ge-0/0/8 unit 0 family ethernet-switching interface-mode access set ge-0/0/8 unit 0 family ethernet-switching vlan members data [edit protocols] set dot1x authenticator authentication-profile-name authp set dot1x authenticator interface ge-0/0/8.0 supplicant multiple set dot1x authenticator interface ge-0/0/8.0 mac-radius
注:設定されたデータ VLAN は、コミュニティ VLAN または分離 VLAN でも可能です。
VLAN(PVLAN を含む)を設定します。
[edit vlans] set community vlan-id 20 set community private-vlan community set community-one vlan-id 30 set community-one private-vlan community set isolated vlan-id 200 set isolated private-vlan isolated set pvlan vlan-id 2000 set pvlan isolated-vlan isolated set pvlan community-vlans [community community-one] set data vlan-id 43 set voip vlan-id 33
結果
設定モードから、スイッチで次 show のコマンドを入力して設定を確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@switch# show access
radius-server {
10.20.9.199 {
port 1812;
secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"; ## SECRET-DATA
}
}
profile dot1x-auth {
authentication-order radius;
}
profile authp {
authentication-order radius;
radius {
authentication-server 10.204.96.165;
}
}
user@switch# show interfaces
ge-0/0/8 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data;
}
}
}
}
user@switch# show protocols
dot1x {
authenticator {
authentication-profile-name authp;
interface {
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@switch# show switch-options
voip {
interface ge-0/0/8.0 {
vlan voip;
}
}
user@switch# show vlans
community {
vlan-id 20;
private-vlan community;
}
community-one {
vlan-id 30;
private-vlan community;
}
data {
vlan-id 43;
}
isolated {
vlan-id 200;
private-vlan isolated;
}
pvlan {
vlan-id 2000;
isolated-vlan isolated;
community-vlans [community community-one];
}
voip {
vlan-id 33;
}
検証
クライアントMACアドレスがプライマリVLANで学習されていることを確認する
目的
クライアントの MAC アドレスがプライマリ VLAN で学習されたことを示します。
対処
user@switch> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC, SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
pvlan 00:30:48:8C:66:BD D - ge-0/0/8.0 0 0 プライマリ VLAN が認証済み VLAN であることを確認します。
目的
プライマリ VLAN が認証済み VLAN として表示されていることを示します。
対処
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: pvlan
Reauthentication due in 17 secondsプライベート VLAN へのアクセス ポート セキュリティの設定
PVLAN のアクセス ポート セキュリティについて
プライベート VLAN(PVLAN)で、DHCP スヌーピングなどのアクセス ポート セキュリティ機能を有効にできるようになりました。
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。PVLAN 機能により、ブロードキャスト ドメインを複数の分離されたブロードキャスト サブドメインに分割し、基本的に VLAN 内に VLAN を配置できます。
イーサネットLANは、ネットワークデバイス上のアドレススプーフィング(偽造)やレイヤー2サービス拒否(DoS)などの攻撃に対して脆弱です。以下のアクセス ポート セキュリティ機能は、このような攻撃が引き起こす可能性のある情報の損失や生産性からデバイスを保護するのに役立ち、PVLAN でこれらのセキュリティ機能を設定できるようになりました。
DHCP スヌーピング — 信頼できないポート上のイングレス DHCP サーバー メッセージをフィルターおよびブロックします。DHCPスヌーピングは、DHCPスヌーピングデータベースと呼ばれるDHCPリース情報のデータベースを構築および維持します。
DHCPv6 スヌーピング—IPv6 用 DHCP スヌーピング。
DHCP オプション 82—DHCP リレー エージェント情報オプションとも呼ばれます。IPアドレスやMACアドレスのスプーフィング、DHCP IPアドレスの不足などの攻撃からスイッチを保護します。オプション 82 は、DHCP クライアントのネットワークの場所に関する情報を提供します。DHCP サーバーは、この情報を使用して、クライアントの IP アドレスやその他のパラメーターを実装します。
DHCPv6 オプション:
オプション37-DHCPv6のリモートIDオプション。は、リモート ホストのネットワーク位置に関する情報を DHCPv6 パケットに挿入します。
オプション18-DHCPv6の回線IDオプション。は、クライアント ポートに関する情報を DHCPv6 パケットに挿入します。
オプション16-DHCPv6のベンダーIDオプション。は、クライアント ハードウェアのベンダーに関する情報を DHCPv6 パケットに挿入します。
DAI(Dynamic ARP Inspection)—ARP(アドレス解決プロトコル)スプーフィング攻撃を防止します。ARPリクエストと返信は、DHCPスヌーピングデータベースのエントリーと比較され、それらの比較の結果に基づいてフィルタリングの決定が行われます。
IPソースガード-イーサネットLAN上のIPアドレススプーフィング攻撃の影響を軽減します。は、信頼できないアクセス インターフェイスから送信されたパケットの送信元 IP アドレスを DHCP スヌーピング データベースに対して検証します。パケットが検証できない場合、破棄されます。
IPv6 ソース ガード — IPv6 用 IP ソース ガード。
IPv6ネイバー検出検出-IPv6アドレススプーフィング攻撃を防止します。は、隣接するディスカバリー要求を比較し、DHCPv6スヌーピングデータベース内のエントリーに対して返信し、それらの比較の結果に基づいてフィルタリングの決定を行います。
このドキュメントでは、アクセス ポート セキュリティ機能または PVLAN の詳細については説明しません。これらの詳細については、個々の機能に固有の機能ドキュメントを参照してください。アクセス ポートのセキュリティについては、 セキュリティ サービス管理ガイドを参照してください。PVLAN については、 イーサネット スイッチング ユーザー ガイドを参照してください。
PVLAN にアクセス ポート セキュリティ機能を設定するための設定ガイドライン
PVLAN でアクセス ポート セキュリティ機能を設定する場合は、以下のガイドラインと制限事項に留意してください。
プライマリ VLAN とそのすべてのセカンダリ VLAN に 同じ アクセス ポート セキュリティ機能を適用する必要があります。
PVLAN の統合型ルーティングおよびブリッジング(IRB)インターフェイスは 1 つだけであり、IRB インターフェイスはプライマリ VLAN 上にある必要があります。
PVLAN のアクセス ポート セキュリティ設定の制限は、PVLAN にないアクセス ポート セキュリティ機能設定の場合と同じです。セキュリティー・サービス管理ガイドのアクセス・ポート・セキュリティーの資料を参照してください。
例:PVLAN でのアクセス ポート セキュリティの設定
要件
Junos OS リリース 18.2R1 以降
EX4300スイッチ
概要
以下の設定セクションは、以下の通りです。
プライマリ VLAN()とその 3 つのセカンダリ VLAN(コミュニティ VLAN(
vlan-hrおよびvlan-finance)と分離 VLAN(vlan-privlan-iso)を使用したプライベート VLAN の設定。これらの VLAN 上のインターフェイス間の通信を送信するために使用されるインターフェイスの設定。
PVLAN を構成するプライマリおよびセカンダリ VLAN 上のアクセス セキュリティ機能の設定。
表 5 は、トポロジー例の設定を示しています。
| インターフェイス | 説明 |
|---|---|
ge-0/0/0.0 |
プライマリ VLAN(vlan1-pri)トランク インターフェイス |
ge-0/0/11.0 |
ユーザー 1、HR コミュニティ(vlan-hr) |
ge-0/0/12.0 |
ユーザー 2、HR コミュニティ(vlan-hr) |
ge-0/0/13.0 |
ユーザー 3、ファイナンス コミュニティ(vlan-finance) |
ge-0/0/14.0 |
ユーザー 4、ファイナンス コミュニティ(vlan-finance) |
ge-0/0/15.0 |
メール サーバー、分離(vlan-iso) |
ge-0/0/16.0 |
バックアップ サーバー、分離(vlan-iso) |
ge-1/0/0.0 |
プライマリ VLAN(vlan-pri)トランク インターフェイス |
PVLAN でのアクセス ポート セキュリティの設定
手順
CLI クイックコンフィギュレーション
set vlans vlan-pri vlan-id 100 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-pri community-vlan vlan-hr set vlans vlan-pri community-vlan vlan-finance set vlans vlan-pri isolated-vlan vlan-iso set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interfaces ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interfaces ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set vlans vlan-pri forwarding-options dhcp-security arp-inspection set vlans vlan-pri forwarding-options dhcp-security ip-source-guard set vlans vlan-pri forwarding-options dhcp-security ipv6-source-guard set vlans vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-pri forwarding-options dhcp-security option-82 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-hr forwarding-options dhcp-security arp-inspection set vlans vlan-hr forwarding-options dhcp-security ip-source-guard set vlans vlan-hr forwarding-options dhcp-security ipv6-source-guard set vlans vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-hr forwarding-options dhcp-security option-82 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-finance forwarding-options dhcp-security arp-inspection set vlans vlan-finance forwarding-options dhcp-security ip-source-guard set vlans vlan-finance forwarding-options dhcp-security ipv6-source-guard set vlans vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-finance forwarding-options dhcp-security option-82 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-iso forwarding-options dhcp-security arp-inspection set vlans vlan-iso forwarding-options dhcp-security ip-source-guard set vlans vlan-iso forwarding-options dhcp-security ipv6-source-guard set vlans vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-iso forwarding-options dhcp-security option-82 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
手順
PVLAN(プライベート VLAN)を設定し、その PVLAN でアクセス ポート セキュリティ機能を設定するには、
PVLAN の設定 - プライマリ VLAN とそのセカンダリ VLAN を作成し、それらに VLAN ID を割り当てます。インターフェイスを VLAN に関連付けます。(VLANの設定の詳細については、 ELSサポートを使用したEXシリーズスイッチのVLANの設定(CLI手順)を参照してください)。
[edit vlans] user@switch# set vlan-pri vlan-id 100 user@switch# set vlan-hr private-vlan community vlan-id 200 user@switch# set vlan-finance private-vlan community vlan-id 300 user@switch# set vlan-iso private-vlan isolated vlan-id 400 user@switch# set vlan-pri community-vlan vlan-hr user@switch# set vlan-pri community-vlan vlan-finance user@switch# set vlan-pri isolated-vlan vlan-iso
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
プライマリ VLAN とそのすべてのセカンダリ VLAN でアクセス ポート セキュリティ機能を設定します。
注:ARPインスペクション、IPソースガード、IPv6ソースガード、ネイバーディスカバリーインスペクション、DHCPオプション82、またはDHCPv6オプションを設定すると、DHCPスヌーピングとDHCPv6スヌーピングが自動的に設定されます。
[edit vlans] user@switch# set vlan-pri forwarding-options dhcp-security arp-inspection user@switch# set vlan-pri forwarding-options dhcp-security ip-source-guard user@switch# set vlan-pri forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-pri forwarding-options dhcp-security option-82 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-hr forwarding-options dhcp-security arp-inspection user@switch# set vlan-hr forwarding-options dhcp-security ip-source-guard user@switch# set vlan-hr forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-hr forwarding-options dhcp-security option-82 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-finance forwarding-options dhcp-security arp-inspection user@switch# set vlan-finance forwarding-options dhcp-security ip-source-guard user@switch# set vlan-finance forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-finance forwarding-options dhcp-security option-82 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-iso forwarding-options dhcp-security arp-inspection user@switch# set vlan-iso forwarding-options dhcp-security ip-source-guard user@switch# set vlan-iso forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-iso forwarding-options dhcp-security option-82 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
結果
設定モードから、スイッチで次 show のコマンドを入力して設定を確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@switch# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/15 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
ge-0/0/16 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
user@switch# show vlans
vlan-finance {
vlan-id 300;
private-vlan community;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-hr {
vlan-id 200;
private-vlan community;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-iso {
vlan-id 400;
private-vlan isolated;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-pri {
vlan-id 100;
community-vlan vlan-finance;
community-vlan vlan-hr;
isolated-vlan vlan-iso;
interface {
ge-0/0/0.0;
ge-1/0/0.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
検証
アクセス セキュリティ機能が想定通りに機能していることを確認する
目的
PVLAN に設定したアクセス ポート セキュリティ機能が期待どおりに機能していることを確認します。
対処
show dhcp-securityおよび CLI コマンドをclear dhcp-security使用して、機能が期待どおりに機能していることを確認します。セキュリティ サービス管理ガイドで、これらのコマンドの詳細を参照してください。
ELSサポートによる単一スイッチでのプライベートVLANの作成(CLI手順)
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするスイッチで Junos OS を使用します。EX シリーズ スイッチが ELS をサポートしていないソフトウェアを実行している場合は、 単一 EX シリーズ スイッチ上のプライベート VLAN の作成(CLI 手順)を参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
プライベートVLANは、Junos OSリリース15.1X53を実行するQFX5100スイッチおよびQFX10002スイッチではサポートされていません。
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限したり、既知のホスト間の通信を制限することがしばしば有用です。PVLAN(プライベート VLAN)では、ブロードキャスト ドメイン(プライマリ VLAN)を複数の分離されたブロードキャスト サブドメイン(セカンダリ VLAN)に分割し、基本的に VLAN 内に VLAN を配置できます。この手順では、単一のスイッチ上で PVLAN を作成する方法について説明します。
PVLAN が単一のスイッチで設定されている場合でも、各セカンダリ VLAN に VLAN ID を指定する必要があります。
プライマリ VLAN を事前に設定する必要はありません。このトピックでは、この PVLAN 設定手順の一部として設定されているプライマリ VLAN を示します。
PVLAN の設定に関するガイドラインの一覧については、「 プライベート VLAN について」を参照してください。
1つのスイッチ上でプライベートVLANを設定するには:
単一の QFX スイッチ上のプライベート VLAN の作成
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。PVLAN(プライベート VLAN)機能により、ブロードキャスト ドメインを複数の分離されたブロードキャスト サブドメインに分割し、基本的にプライマリ VLAN 内にセカンダリ VLAN を配置できます。このトピックでは、単一のスイッチ上で PVLAN を設定する方法について説明します。
開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ VLAN の名前を設定します。(プライマリ VLAN を事前に設定する必要はありません。この手順の一部として設定されています)。セカンダリ VLAN の VLAN ID(タグ)を作成する必要はありません。セカンダリ VLANS をタグ付けしても機能が損なわれることはありませんが、1 つのスイッチでセカンダリ VLAN が設定されている場合、タグは使用されません。
PVLAN を設定する際は、以下のルールに注意してください。
プライマリ VLAN はタグ付き VLAN である必要があります。
コミュニティVLANを設定する場合は、まずプライマリVLANとPVLANトランクポートを設定する必要があります。pvlan ステートメントを使用して、プライマリ VLAN をプライベートにpvlan設定する必要もあります。
分離された VLAN を設定する場合は、まずプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
表示された順序で設定手順を完了しても、これらの PVLAN ルールに違反することはありません。1つのスイッチ上でプライベートVLANを設定するには:
単一EXシリーズスイッチでのプライベートVLANの作成(CLI手順)
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。EX シリーズ スイッチのプライベート VLAN(PVLAN)機能により、プライマリ VLAN とも呼ばれるブロードキャスト ドメインを、二次 VLAN とも呼ばれる複数の分離されたブロードキャスト サブドメインに分割できます。プライマリ VLAN をセカンダリ VLAN に分割すると、基本的に別の VLAN 内に VLAN がネストされます。このトピックでは、単一のスイッチ上で PVLAN を設定する方法について説明します。
開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ VLAN の名前を設定します。(セカンダリ VLAN とは異なり、プライマリ VLAN を事前に設定する必要はありません。この手順では、プライマリ VLAN の完全な設定を行います)。単一のスイッチ上でセカンダリ VLAN が設定されている場合、タグは必要ありませんが、タグ付きとしてセカンダリ VLAN を設定しても、その機能に悪影響を与えることはありません。セカンダリ VLAN の設定手順については、「 EX シリーズ スイッチの VLAN の設定」を参照してください。
単一のスイッチで PVLAN を設定する場合は、以下のルールに注意してください。
プライマリ VLAN はタグ付き VLAN である必要があります。
PVLAN インターフェイスでの VoIP VLAN の設定はサポートされていません。
1つのスイッチ上でプライベートVLANを設定するには:
分離された VLAN は、このプロセスの一部として構成されていません。代わりに、プライマリ VLAN で有効になっており、分離された VLAN にメンバーとしてアクセス インターフェイスがある場合 no-local-switching 、内部で作成されます。
オプションで、ルーターに接続された無差別ポートではなく、RVI(ルーテッドVLANインターフェイス)を使用して、分離VLANとコミュニティVLAN間のルーティングを有効にするには、 EXシリーズスイッチ上のプライベートVLANでのルーティングVLANインターフェイスの設定を参照してください。
EX8200スイッチまたはEX8200バーチャルシャーシのみが、RVIの使用をサポートし、PVLANドメイン内の分離されたVLANとコミュニティVLAN間のレイヤー3トラフィックをルーティングします。
複数の QFX シリーズ スイッチにまたがるプライベート VLAN の作成
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。PVLAN(プライベート VLAN)機能により、ブロードキャスト ドメインを複数の分離されたブロードキャスト サブドメインに分割し、基本的にプライマリ VLAN 内にセカンダリ VLAN を配置できます。このトピックでは、複数のスイッチにまたがる PVLAN を設定する方法について説明します。
開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ VLAN の名前を設定します。(プライマリ VLAN を事前に設定する必要はありません。この手順の一部として設定されています)。セカンダリ VLAN の VLAN ID(タグ)を作成する必要はありません。セカンダリ VLANS をタグ付けしても機能が損なわれることはありませんが、1 つのスイッチでセカンダリ VLAN が設定されている場合、タグは使用されません。
PVLAN の作成には、以下のルールが適用されます。
プライマリ VLAN はタグ付き VLAN である必要があります。
コミュニティVLANを設定する場合は、まずプライマリVLANとPVLANトランクポートを設定する必要があります。pvlan ステートメントを使用して、プライマリ VLAN をプライベートにpvlan設定する必要もあります。
分離された VLAN を設定する場合は、まずプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
表示された順序で設定手順を完了しても、これらの PVLAN ルールに違反することはありません。複数のスイッチにまたがるプライベート VLAN を設定するには:
ELS をサポートする複数の EX シリーズ スイッチにまたがるプライベート VLAN の作成(CLI 手順)
このタスクでは、ELS(拡張レイヤー2ソフトウェア)設定スタイル をサポートするEXシリーズスイッチでJunos OSを使用します。ELSをサポートしていないソフトウェアをスイッチが実行している場合は、 CLI手順(複数のEXシリーズスイッチにまたがるプライベートVLANの作成)を参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
プライベートVLANは、Junos OSリリース15.1X53を実行するQFX5100スイッチおよびQFX10002スイッチではサポートされていません。
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限したり、既知のホスト間の通信を制限することがしばしば有用です。PVLAN(プライベート VLAN)では、ブロードキャスト ドメイン(プライマリ VLAN)を複数の分離されたブロードキャスト サブドメイン(セカンダリ VLAN)に分割し、基本的に VLAN 内に VLAN を配置できます。この手順では、複数のスイッチにまたがる PVLAN を設定する方法を説明します。
PVLAN の設定に関するガイドラインの一覧については、「 プライベート VLAN について」を参照してください。
複数のスイッチにまたがるPVLANを設定するには、PVLANに参加するすべてのスイッチで以下の手順を実行します。
複数のEXシリーズスイッチにまたがるプライベートVLANの作成(CLI手順)
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。EX シリーズ スイッチの PVLAN(プライベート VLAN)機能により、管理者はプライマリ VLAN とも呼ばれるブロードキャスト ドメインを、二次 VLAN とも呼ばれる複数の分離されたブロードキャスト サブドメインに分割できます。プライマリ VLAN をセカンダリ VLAN に分割すると、基本的に別の VLAN 内に VLAN がネストされます。このトピックでは、複数のスイッチにまたがる PVLAN を設定する方法について説明します。
開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ VLAN の名前を設定します。(セカンダリ VLAN とは異なり、プライマリ VLAN を事前に設定する必要はありません。この手順では、プライマリ VLAN の完全な設定を行います)。セカンダリ VLAN の設定手順については、「 EX シリーズ スイッチの VLAN の設定」を参照してください。
PVLAN の作成には、以下のルールが適用されます。
プライマリ VLAN はタグ付き VLAN である必要があります。
セカンダリ VLAN を設定する前に、プライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
PVLAN インターフェイスでの VoIP VLAN の設定はサポートされていません。
PVLAN トランク ポートでマルチプル VLAN 登録プロトコル(MVRP)が設定されている場合、同じコミット操作でセカンダリ VLAN と PVLAN トランク ポートの設定をコミットする必要があります。
複数のスイッチにまたがるプライベート VLAN を設定するには:
オプションで、ルーターに接続された無差別ポートではなく、RVI(ルーテッドVLANインターフェイス)を使用して、分離VLANとコミュニティVLAN間のルーティングを有効にするには、 EXシリーズスイッチ上のプライベートVLANでのルーティングVLANインターフェイスの設定を参照してください。
EX8200スイッチまたはEX8200バーチャルシャーシのみが、RVIの使用をサポートし、PVLANドメイン内の分離されたVLANとコミュニティVLAN間のレイヤー3トラフィックをルーティングします。
例:ELSをサポートする単一スイッチ上のプライベートVLANの設定
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするスイッチに Junos OS を使用します。EX スイッチが ELS をサポートしていないソフトウェアを実行している場合は 、 例: 単一 EX シリーズ スイッチ上のプライベート VLAN の設定。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
プライベートVLANは、Junos OSリリース15.1X53を実行するQFX5100スイッチおよびQFX10002スイッチではサポートされていません。
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限したり、既知のホスト間の通信を制限することがしばしば有用です。PVLAN(プライベート VLAN)では、ブロードキャスト ドメイン(プライマリ VLAN)を複数の分離されたブロードキャスト サブドメイン(セカンダリ VLAN)に分割し、基本的に VLAN 内に VLAN を配置できます。
この例では、単一のスイッチ上で PVLAN を作成する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1つのJunos OSスイッチ
EX シリーズ スイッチの Junos OS リリース 14.1X53-D10 以降
QFX シリーズ スイッチの Junos OS リリース 14.1X53-D15 以降
概要とトポロジー
加入者のグループを分離して、セキュリティと効率性を向上させることができます。この設定例では、シンプルなトポロジーを使用して、1 つのプライマリ VLAN と 3 つのセカンダリ VLAN(1 つの独立した VLAN と 2 つのコミュニティ VLAN)を持つ PVLAN を作成する方法を説明します。
表 6 は、例で使用するトポロジーのインターフェイスを示しています。
| インターフェイス | 説明 |
|---|---|
|
無差別メンバーポート |
|
HR コミュニティ VLAN メンバー ポート |
|
ファイナンス コミュニティ VLAN メンバー ポート |
|
絶縁メンバーポート |
表 7 は、この例で使用したトポロジーの VLAN ID の一覧です。
| VLAN ID | 説明 |
|---|---|
|
プライマリ VLAN |
|
HR コミュニティ VLAN |
|
ファイナンス コミュニティ VLAN |
|
分離された VLAN |
図 15 は、この例のトポロジーを示しています。
設定
既存のVLANをプライベートPVLANのベースとして使用し、サブドメインを作成できます。この例では、プロシージャの一部として、VLAN 名 vlan-priを使用してプライマリ VLAN を作成します。
PVLAN を設定するには、以下のタスクを実行します。
CLI クイックコンフィギュレーション
PVLAN を迅速に作成して設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans vlan-pri vlan-id 100 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
手順
手順
PVLAN を設定するには::
プライベートVLANのプライマリVLAN(この例では、名前は vlan-pri)を作成します。
[edit vlans] user@switch# set vlan-pri vlan-id 100
分離された VLAN を作成し、VLAN ID を割り当てます。
[edit vlans] user@switch# set vlan-iso private-vlan isolated vlan-id 400
HR コミュニティ VLAN を作成し、VLAN ID を割り当てます。
[edit vlans] user@switch# set vlan-hr private-vlan community vlan-id 200
財務コミュニティ VLAN を作成し、VLAN ID を割り当てます。
[edit vlans] user@switch# set vlan-finance private-vlan community vlan-id 300
セカンダリ VLAN をプライマリ VLAN に関連付けます。
[edit vlans] user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
インターフェイスを適切なインターフェイス モードに設定します。
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
プライマリ VLAN の無差別トランク インターフェイスを設定します。このインターフェイスは、プライマリ VLAN がセカンダリ VLAN と通信するために使用します。
user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
PVLANをルーターに接続して、プライマリVLANの別のトランクインターフェイス(プロミスキャスインターフェイスでもあります)を設定します。
user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
例:単一の QFX シリーズ スイッチ上のプライベート VLAN の設定
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、さらには既知のホスト間の通信を制限することもしばしば有用です。PVLAN(プライベート VLAN)機能により、管理者はブロードキャスト ドメインを複数の分離されたブロードキャスト サブドメインに分割し、基本的に VLAN 内に VLAN を配置できます。
この例では、単一のスイッチ上で PVLAN を作成する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1台のQFX3500デバイス
QFX シリーズの Junos OS リリース 12.1 以降
PVLAN の設定を開始する前に、必要な VLAN の作成と設定が完了していることを確認してください。を参照してください スイッチ上のVLANの設定。
概要とトポロジー
複数の建物と VLAN を持つ大規模なオフィスでは、セキュリティ上の理由でワークグループまたはその他のエンドポイントを分離するか、ブロードキャスト ドメインをパーティション化する必要がある場合があります。この構成例では、シンプルなトポロジーを示して、1 つのプライマリ VLAN と 2 つのコミュニティ VLAN を持つ PVLAN を作成します。1 つは HR 用、もう 1 つは財務用、もう 1 つはメール サーバー用、もう 1 つはバックアップ サーバー用の 2 つの分離ポートを使用します。
表 8 は、サンプル トポロジーの設定の一覧です。
| インターフェイス | 説明 |
|---|---|
|
プライマリ VLAN( |
|
ユーザー 1、HR コミュニティ( |
|
ユーザー 2、HR コミュニティ( |
|
ユーザー 3、ファイナンス コミュニティ( |
|
ユーザー 4、財務コミュニティー( |
|
メールサーバー、隔離( |
|
バックアップ サーバー、隔離( |
|
プライマリ VLAN( |
設定
CLI クイックコンフィギュレーション
PVLAN を迅速に作成して設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans pvlan100 vlan-id 100 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans pvlan100 pvlan set vlans pvlan100 interface ge-0/0/0.0 set vlans pvlan100 interface ge-1/0/0.0 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans finance-comm primary-vlan pvlan100 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
手順
手順
PVLAN を設定するには::
プライマリ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set pvlan vlan-id 100
インターフェイスとポートモードを設定します。
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
ローカル スイッチングを持たないプライマリ VLAN を設定します。
注:プライマリ VLAN はタグ付き VLAN である必要があります。
[edit vlans] user@switch# set pvlan100 pvlan
プライマリ VLAN にトランク インターフェイスを追加します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 user@switch# set pvlan100 interface ge-1/0/0.0
セカンダリ VLAN ごとに、アクセス インターフェイスを設定します。
注:セカンダリVLANにタグなしVLANを使用することをお勧めします。セカンダリ VLANS にタグを付けた場合、機能が損なわれることはありません。ただし、1 つのスイッチでセカンダリ VLAN が設定されている場合、タグは使用されません。
[edit vlans] user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
コミュニティ VLAN ごとに、プライマリ VLAN を設定します。
[edit vlans] user@switch# set hr-comm primary-vlan pvlan100 user@switch# set finance-comm primary-vlan pvlan100
プライマリ VLAN で分離されたインターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
結果
設定の結果を確認します。
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
hr-comm {
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
pvlan;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
プライベート VLAN とセカンダリ VLAN が作成されたことを検証します。
目的
プライマリ VLAN とセカンダリ VLAN がスイッチ上で正しく作成されたことを確認します。
対処
コマンドを show vlans 使用します。
user@switch> show vlans pvlan100 extensive
VLAN: pvlan100, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 100, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__pvlan_pvlan_ge-0/0/15.0__
__pvlan_pvlan_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk意味
この出力は、プライマリ VLAN が作成されたことを示し、それに関連するインターフェイスとセカンダリ VLAN を識別します。
例:単一 EX シリーズ スイッチ上のプライベート VLAN の設定
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。EXシリーズスイッチのプライベートVLAN(PVLAN)機能により、管理者はブロードキャストドメインを複数の分離されたブロードキャストサブドメインに分割し、基本的にVLAN内にVLANを配置できます。
この例では、単一の EX シリーズ スイッチ上で PVLAN を作成する方法を説明します。
PVLAN インターフェイスでのボイスオーバー IP(VoIP)VLAN の設定はサポートされていません。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX シリーズ スイッチ
EX シリーズ スイッチの Junos OS リリース 9.3 以降
PVLAN の設定を開始する前に、必要な VLAN の作成と設定が完了していることを確認してください。EX シリーズ スイッチの VLAN の設定を参照してください。
概要とトポロジー
複数の建物と VLAN を持つ大規模なオフィスでは、セキュリティ上の理由でワークグループまたはその他のエンドポイントを分離するか、ブロードキャスト ドメインをパーティション化する必要がある場合があります。この構成例では、シンプルなトポロジーを示して、1 つのプライマリ VLAN と 2 つのコミュニティ VLAN を持つ PVLAN を作成します。1 つは HR 用、もう 1 つは財務用、もう 1 つはメール サーバー用、もう 1 つはバックアップ サーバー用の 2 つの分離ポートを使用します。
表 9 は、トポロジー例の設定を示しています。
| インターフェイス | 説明 |
|---|---|
ge-0/0/0.0 |
プライマリ VLAN(vlan1)トランク インターフェイス |
ge-0/0/11.0 |
ユーザー 1、HR コミュニティ(hr-comm) |
ge-0/0/12.0 |
ユーザー 2、HR コミュニティ(hr-comm) |
ge-0/0/13.0 |
ユーザー 3、ファイナンス コミュニティ(finance-comm) |
ge-0/0/14.0 |
ユーザー 4、財務コミュニティー(finance-comm) |
ge-0/0/15.0 |
メールサーバー、隔離(isolated) |
ge-0/0/16.0 |
バックアップ サーバー、隔離(isolated) |
ge-1/0/0.0 |
プライマリ VLAN( pvlan)トランク インターフェイス |
図 16 は、この例のトポロジーを示しています。
設定
PVLAN を設定するには、以下のタスクを実行します。
CLI クイックコンフィギュレーション
PVLAN を迅速に作成して設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans vlan1 vlan-id 1000 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans vlan1 no-local-switching set vlans vlan1 interface ge-0/0/0.0 set vlans vlan1 interface ge-1/0/0.0 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan vlan1 set vlans finance-comm primary-vlan vlan1 set vlans vlan1 interface ge-0/0/15.0 set vlans vlan1 interface ge-0/0/16.0
手順
手順
PVLAN を設定するには::
プライマリ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set vlan1 vlan-id 1000
インターフェイスとポートモードを設定します。
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
ローカル スイッチングを持たないプライマリ VLAN を設定します。
注:プライマリ VLAN はタグ付き VLAN である必要があります。
[edit vlans] user@switch# set vlan1 no-local-switching
プライマリ VLAN にトランク インターフェイスを追加します。
[edit vlans] user@switch# set vlan1 interface ge-0/0/0.0 user@switch# set vlan1 interface ge-1/0/0.0
セカンダリ VLAN ごとに、VLAN ID とアクセス インターフェイスを設定します。
注:セカンダリVLANにタグなしVLANを使用することをお勧めします。セカンダリ VLANS にタグを付けた場合、機能が損なわれることはありません。ただし、1 つのスイッチでセカンダリ VLAN が設定されている場合、タグは使用されません。
[edit vlans] user@switch# set hr-comm vlan-id 400 user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm vlan-id 300 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
コミュニティ VLAN ごとに、プライマリ VLAN を設定します。
[edit vlans] user@switch# set hr-comm primary-vlan vlan1 user@switch# set finance-comm primary-vlan vlan1
各分離されたインターフェイスをプライマリ VLAN に追加します。
[edit vlans] user@switch# set vlan1 interface ge-0/0/15.0 user@switch# set vlan1 interface ge-0/0/16.0
結果
設定の結果を確認します。
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan vlan1;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan vlan1;
}
vlan1 {
vlan-id 1000;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
no-local-switching;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
プライベート VLAN とセカンダリ VLAN が作成されたことを検証します。
目的
プライマリ VLAN とセカンダリ VLAN がスイッチ上で正しく作成されたことを確認します。
対処
コマンドを show vlans 使用します。
user@switch> show vlans vlan1 extensive
VLAN: vlan1, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__vlan1_vlan1_ge-0/0/15.0__
__vlan1_vlan1_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 400,Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 300,Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk意味
この出力は、プライマリ VLAN が作成されたことを示し、それに関連するインターフェイスとセカンダリ VLAN を識別します。
例:複数のQFXスイッチにまたがるプライベートVLANの設定
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、さらには既知のホスト間の通信を制限することもしばしば有用です。PVLAN(プライベート VLAN)機能により、管理者はブロードキャスト ドメインを複数の分離されたブロードキャスト サブドメインに分割し、基本的に VLAN 内に VLAN を配置できます。PVLAN は複数のスイッチにまたがることができます。
この例では、複数のスイッチにまたがる PVLAN を作成する方法を説明します。この例では、複数のセカンダリ VLAN を含む 1 つのプライマリ PVLAN を作成します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
QFX3500 デバイス 3 台
QFX シリーズの Junos OS リリース 12.1 以降
PVLAN の設定を開始する前に、必要な VLAN の作成と設定が完了していることを確認してください。を参照してください スイッチ上のVLANの設定。
概要とトポロジー
複数の建物と VLAN を持つ大規模なオフィスでは、セキュリティ上の理由でワークグループまたはその他のエンドポイントを分離するか、ブロードキャスト ドメインをパーティション化する必要がある場合があります。この構成例では、複数の QFX デバイスにまたがる PVLAN を作成し、1 つのプライマリ VLAN に 2 つのコミュニティ VLAN(HR 用と財務用に 1 つ)と、インタースイッチ分離 VLAN(メール サーバー、バックアップ サーバー、CVS サーバー用)を作成する方法を示します。PVLAN は、3 台のスイッチ、2 台のアクセス スイッチ、1 台の分散型スイッチで構成されています。PVLAN は、分散型スイッチ上で設定されたプロミスキャス ポートを介してルーターに接続されます。
スイッチ 1 とスイッチ 2 の分離ポートは、同じドメイン内に含まれているにもかかわらず、レイヤー 2 が互いに接続することはありません。を参照してください プライベート VLAN について。
図 17 は、この例のトポロジーを示しています。分散型スイッチに接続する2つのアクセススイッチで、ルーターに(プロミスキャスポートを介して)接続されています。
表 10、 表 11、および 表 12 は、トポロジー例の設定を一覧表示します。
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlanタグ 100 isolation-vlan-idタグ 50finance-commタグ 300hr-commタグ 400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0は、スイッチ 1 をスイッチ 3 に接続します。 ge-0/0/5.0は、スイッチ 1 をスイッチ 2 に接続します。 |
プライマリ VLAN 内の分離されたインターフェイス |
ge-0/0/15.0、メール サーバー ge-0/0/16.0、バックアップ サーバー |
VLAN 内のインターフェイス finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
VLAN 内のインターフェイス hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlanタグ 100 isolation-vlan-idタグ 50finance-commタグ 300hr-commタグ 400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0は、スイッチ 2 とスイッチ 3 を接続します。 ge-0/0/5.0は、スイッチ 2 をスイッチ 1 に接続します。 |
プライマリ VLAN の隔離されたインターフェイス |
ge-0/0/17.0、CVS サーバー |
VLAN 内のインターフェイス finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
VLAN 内のインターフェイス hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlanタグ 100 isolation-vlan-idタグ 50finance-commタグ 300hr-commタグ 400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0は、スイッチ 3 をスイッチ 1 に接続します。 ge-0/0/1.0は、スイッチ 3 をスイッチ 2 に接続します。 |
プロミスキャス ポート |
ge-0/0/2は PVLAN をルーターに接続します。 注:
PVLAN を PVLAN 外部の別のスイッチまたはルーターに PVLAN のメンバーとして接続するトランク ポートを設定する必要があります。このトランク ポートは、無差別ポートとして暗黙的に設定します。 |
トポロジ
スイッチ 1 での PVLAN の設定
複数のスイッチで PVLAN を設定する場合、以下のルールが適用されます。
プライマリ VLAN はタグ付き VLAN である必要があります。プライマリ VLAN を最初に設定することをお勧めします。
コミュニティVLAN IDを設定する場合は、まずプライマリVLANとPVLANトランクポートを設定する必要があります。pvlan ステートメントを使用して、プライマリ VLAN をプライベートにpvlan設定する必要もあります。
分離 VLAN ID を設定する場合は、まずプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
CLI クイックコンフィギュレーション
複数のスイッチにまたがる PVLAN を迅速に作成して設定するには、以下のコマンドをコピーして、スイッチ 1 のターミナル ウィンドウに貼り付けます。
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
手順
手順
プライマリ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set pvlan100 vlan-id 100
PVLAN トランク インターフェイスを設定して、隣接するスイッチ間でこの VLAN を接続します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
プライマリVLANをプライベートに設定し、ローカルスイッチングを持たない:
[edit vlans] user@switch# set pvlan100 pvlan
スイッチをまたがるコミュニティ VLAN の finance-comm VLAN ID を設定します。
[edit vlans] user@switch# set finance-comm vlan-id 300
VLAN のアクセス インターフェイスを finance-comm 設定します。
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
このセカンダリコミュニティVLANのプライマリVLANを設定します finance-comm 。
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチをまたがる HR コミュニティ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set hr-comm vlan-id 400
VLAN のアクセス インターフェイスを hr-comm 設定します。
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
このセカンダリコミュニティVLANのプライマリVLANを設定します hr-comm。
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
インタースイッチの分離 ID を設定して、スイッチにまたがるインタースイッチ 分離ドメインを作成します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
プライマリ VLAN で分離されたインターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
注:分離ポートを設定する場合は、プライマリVLANのメンバーとして含めますが、どのコミュニティVLANのメンバーとしても設定しないでください。
結果
設定の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
pvlan;
isolation-vlan-id 50;
}
}
スイッチ 2 での PVLAN の設定
CLI クイックコンフィギュレーション
複数のスイッチにまたがるプライベート VLAN を迅速に作成して設定するには、以下のコマンドをコピーして、スイッチ 2 の端末ウィンドウに貼り付けます。
スイッチ2の設定は、インタースイッチ分離ドメイン内のインターフェイスを除き、スイッチ1の設定と同じです。スイッチ 2 の場合、インターフェイスは .ge-0/0/17.0
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/17.0 isolated
手順
手順
複数のスイッチにまたがるスイッチ 2 の PVLAN を設定するには:
スイッチをまたがるコミュニティ VLAN の finance-comm VLAN ID を設定します。
[edit vlans] user@switch# set finance-comm vlan-id 300
VLAN のアクセス インターフェイスを finance-comm 設定します。
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
このセカンダリコミュニティVLANのプライマリVLANを設定します finance-comm。
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチをまたがる HR コミュニティ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set hr-comm vlan-id 400
VLAN のアクセス インターフェイスを hr-comm 設定します。
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
このセカンダリコミュニティVLANのプライマリVLANを設定します hr-comm。
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
プライマリ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set pvlan100 vlan-id 100
隣接するスイッチ間でこの VLAN を接続する PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
プライマリVLANをプライベートに設定し、ローカルスイッチングを持たない:
[edit vlans] user@switch# set pvlan100 pvlan
インタースイッチの分離 ID を設定して、スイッチにまたがるインタースイッチ 分離ドメインを作成します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
注:隔離されたポートを設定するには、プライマリVLANのメンバーの1つとして含めますが、コミュニティVLANの1つに属するように設定しないでください。
プライマリ VLAN で分離されたインターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/17.0 isolated
結果
設定の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
pvlan;
isolation-vlan-id 50;
}
}
スイッチ 3 での PVLAN の設定
CLI クイックコンフィギュレーション
スイッチ3をこのPVLANの分散型スイッチとして機能するよう迅速に設定するには、以下のコマンドをコピーしてスイッチ3のターミナルウィンドウに貼り付けます。
インターフェイス ge-0/0/2.0 は、PVLAN をルーターに接続するトランク ポートです。
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50
手順
手順
この PVLAN の分散型スイッチとしてスイッチ 3 が機能するように設定するには、次の手順を使用します。
スイッチをまたがるコミュニティ VLAN の finance-comm VLAN ID を設定します。
[edit vlans] user@switch# finance-comm vlan-id 300
このセカンダリコミュニティVLANのプライマリVLANを設定します finance-comm。
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチにまたがる HR コミュニティ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set hr-comm vlan-id 400
このセカンダリコミュニティVLANのプライマリVLANを設定します hr-comm。
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
プライマリ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set pvlan100 vlan-id 100
隣接するスイッチ間でこの VLAN を接続する PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
プライマリVLANをプライベートに設定し、ローカルスイッチングを持たない:
[edit vlans] user@switch# set pvlan100 pvlan
インタースイッチの分離 ID を設定して、スイッチにまたがるインタースイッチ 分離ドメインを作成します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
注:隔離されたポートを設定するには、プライマリVLANのメンバーの1つとして含めますが、コミュニティVLANの1つに属するように設定しないでください。
結果
設定の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
pvlan;
isolation-vlan-id 50;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- スイッチ 1 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
- スイッチ 2 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
- スイッチ 3 でプライマリ VLAN とセカンダリ VLAN が作成されたことを確認します。
スイッチ 1 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 1 で正しく機能していることを確認します。
対処
コマンドを show vlans extensive 使用します。
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、PVLAN がスイッチ 1 で作成され、それが 2 つの分離された VLAN、2 つのコミュニティ VLAN、およびインタースイッチ分離 VLAN を含むということを示しています。pvlan トランクとスイッチ間で分離されたフィールドが存在する場合、この PVLAN が複数のスイッチにまたがっていることを示しています。
スイッチ 2 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
目的
複数のスイッチにまたがるPVLAN設定がスイッチ2で正しく機能していることを確認します。
対処
コマンドを show vlans extensive 使用します。
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、PVLAN がスイッチ 2 で作成され、それが 1 つの分離された VLAN、2 つのコミュニティ VLAN、インタースイッチで分離された VLAN を含むということを示しています。pvlan トランクとスイッチ間で分離されたフィールドが存在する場合、この PVLAN が複数のスイッチにまたがっていることを示しています。この出力をスイッチ 1 の出力と比較すると、両方のスイッチが同じ PVLAN(pvlan100)に属していることがわかります。
スイッチ 3 でプライマリ VLAN とセカンダリ VLAN が作成されたことを確認します。
目的
複数のスイッチにまたがるPVLAN設定がスイッチ3で正しく機能していることを確認します。
対処
コマンドを show vlans extensive 使用します。
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、PVLAN(pvlan100)がスイッチ 3 で設定されており、分離された VLAN、2 つのコミュニティ VLAN、インタースイッチ分離 VLAN が含されていないことを示しています。しかし、スイッチ3は分散型スイッチとして機能しているため、出力にはPVLAN内のアクセスインターフェイスは含まれません。同じ PVLAN 内の pvlan-trunk スイッチ 3 から他のスイッチ(スイッチ 1 およびスイッチ 2)に接続 pvlan100 するインターフェイスのみを示しています。
例:IRB インターフェイスを使用した複数のスイッチにまたがるプライベート VLAN の設定
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、さらには既知のホスト間の通信を制限することもしばしば有用です。PVLAN(プライベート VLAN)機能により、管理者はブロードキャスト ドメインを複数の分離されたブロードキャスト サブドメインに分割し、基本的に VLAN 内に VLAN を配置できます。PVLAN は複数のスイッチにまたがることができます。この例では、複数のスイッチにまたがる PVLAN を作成する方法を説明します。この例では、複数のセカンダリ VLAN を含む 1 つのプライマリ PVLAN を作成します。
PVLAN は、通常の VLAN と同様にレイヤー 2 で分離されており、トラフィックをルーティングする場合は通常、レイヤー 3 デバイスを使用する必要があります。Junos OS 14.1X53-D30 以降では、IRB(統合型ルーティングおよびブリッジング)インターフェイスを使用して、PVLAN に接続されたデバイス間でレイヤー 3 トラフィックをルーティングできます。この方法で IRB インターフェイスを使用すると、PVLAN 内のデバイスがレイヤー 3 で、他のコミュニティまたは分離された VLAN のデバイス、または PVLAN 外のデバイスと通信することもできます。この例では、PVLAN 設定に IRB インターフェイスを含める方法も示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
QFX シリーズまたは EX4600 スイッチ 3 台
QFX シリーズまたは EX4600 向け PVLAN を使用した Junos OS リリース
概要とトポロジー
複数の建物と VLAN を持つ大規模なオフィスでは、セキュリティ上の理由でワークグループまたはその他のエンドポイントを分離するか、ブロードキャスト ドメインをパーティション化する必要がある場合があります。この構成例では、複数のスイッチにまたがる PVLAN を作成し、1 つのプライマリ VLAN に 2 つのコミュニティ VLAN(HR 用と財務用に 1 つ)と、インタースイッチ分離 VLAN(メール サーバー、バックアップ サーバー、CVS サーバー用)を含む方法を示します。PVLAN は、2 台のアクセス スイッチと 1 台の分散型スイッチという 3 つのスイッチで構成されています。PVLAN のデバイスは、レイヤー 3 で相互に接続され、分散型スイッチ上で設定された IRB インターフェイスを介して PVLAN 外部のデバイスに接続されます。
スイッチ 1 とスイッチ 2 の分離ポートは、同じドメイン内に含まれているにもかかわらず、レイヤー 2 が互いに接続することはありません。を参照してください プライベート VLAN について。
図 18 は、この例のトポロジーを示しています。
表 13、 表 14、および 表 15 は、トポロジー例の設定を一覧表示します。
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
|
インタースイッチ リンク インターフェイス |
|
プライマリ VLAN 内の分離されたインターフェイス |
|
VLAN 内のインターフェイス |
|
VLAN 内のインターフェイス |
|
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
|
インタースイッチ リンク インターフェイス |
|
プライマリ VLAN の隔離されたインターフェイス |
|
VLAN 内のインターフェイス |
|
VLAN 内のインターフェイス |
|
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
|
インタースイッチ リンク インターフェイス |
|
プロミスキャス ポート |
注:
PVLAN を PVLAN 外部の別のスイッチまたはルーターに PVLAN のメンバーとして接続するトランク ポートを設定する必要があります。このトランク ポートは、無差別ポートとして暗黙的に設定します。 |
IRB インターフェイス |
IRB インターフェイスで無制限のプロキシー ARP を設定し、IPv4 を使用するデバイスがレイヤー 3 で通信できるように ARP 解決を可能にします。IPv6 トラフィックでは、ARP 解決を可能にするために、IRB アドレスを宛先アドレスに明示的にマッピングする必要があります。 |
トポロジ
構成の概要
複数のスイッチで PVLAN を設定する場合、以下のルールが適用されます。
プライマリ VLAN はタグ付き VLAN である必要があります。
プライマリ VLAN は、インタースイッチ リンク インターフェイスのメンバーとなる唯一の VLAN です。
PVLAN で IRB インターフェイスを設定する場合、以下のルールが適用されます。
PVLAN に参加するスイッチの数に関係なく、PVLAN に作成できる IRB インターフェイスは 1 つだけです。
IRB インターフェイスは、PVLAN のプライマリ VLAN のメンバーである必要があります。
レイヤー 3 で接続する各ホスト デバイスは、デフォルト ゲートウェイ アドレスとして IRB の IP アドレスを使用する必要があります。
スイッチ 1 での PVLAN の設定
CLI クイックコンフィギュレーション
複数のスイッチにまたがる PVLAN を迅速に作成して設定するには、以下のコマンドをコピーして、スイッチ 1 のターミナル ウィンドウに貼り付けます。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50 set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50
手順
手順
インターフェイスxe-0/0/0をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイスxe-0/0/0を、すべてのVLANを伝送するインタースイッチリンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
pvlan100(プライマリ VLAN)をインターフェイス xe-0/0/0 のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
インターフェイスxe-0/0/5をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイスxe-0/0/5を、すべてのVLANを伝送するインタースイッチリンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
pvlan100 をインターフェイス xe-0/0/5 のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
財務組織のコミュニティ VLAN を作成します。
[edit vlans] set finance-comm vlan-id 300 private-vlan community
HR 組織のコミュニティ VLAN を作成します。
[edit vlans] set hr-comm vlan-id 400 private-vlan community
メールサーバーとバックアップサーバーの分離VLANを作成します。
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
プライマリ VLAN を作成し、そのコミュニティおよび分離された VLAN メンバーを作成します。
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
VLAN 300(コミュニティVLAN)をインターフェイスxe-0/0/11のメンバーに設定します。
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
VLAN 300(コミュニティVLAN)をインターフェイスxe-0/0/12のメンバーに設定します。
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
VLAN 400(コミュニティVLAN)をインターフェイスxe-0/0/13のメンバーに設定します。
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
VLAN 400(コミュニティVLAN)をインターフェイスxe-0/0/14のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
VLAN 50(分離された VLAN)をインターフェイス xe-0/0/15 のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
VLAN 50(分離された VLAN)をインターフェイス xe-0/0/16 のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
結果
設定の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
スイッチ 2 での PVLAN の設定
CLI クイックコンフィギュレーション
複数のスイッチにまたがるプライベート VLAN を迅速に作成して設定するには、以下のコマンドをコピーして、スイッチ 2 の端末ウィンドウに貼り付けます。
スイッチ2の設定は、分離されたVLANを除き、スイッチ1の設定と同じです。スイッチ 2 の場合、分離された VLAN インターフェイスは です xe-0/0/17.0 。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50
手順
手順
インターフェイスxe-0/0/0をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイスxe-0/0/0を、すべてのVLANを伝送するインタースイッチリンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
pvlan100(プライマリ VLAN)をインターフェイス xe-0/0/0 のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
インターフェイスxe-0/0/5をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイスxe-0/0/5を、すべてのVLANを伝送するインタースイッチリンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
pvlan100 をインターフェイス xe-0/0/5 のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
財務組織のコミュニティ VLAN を作成します。
[edit vlans] set finance-comm vlan-id 300 private-vlan community
HR 組織のコミュニティ VLAN を作成します。
[edit vlans] set hr-comm vlan-id 400 private-vlan community
メールサーバーとバックアップサーバーの分離VLANを作成します。
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
プライマリ VLAN を作成し、そのコミュニティおよび分離された VLAN メンバーを作成します。
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
VLAN 300(コミュニティVLAN)をインターフェイスxe-0/0/11のメンバーに設定します。
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
VLAN 300(コミュニティVLAN)をインターフェイスxe-0/0/12のメンバーに設定します。
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
VLAN 400(コミュニティVLAN)をインターフェイスxe-0/0/13のメンバーに設定します。
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
VLAN 400(コミュニティVLAN)をインターフェイスxe-0/0/14のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
VLAN 50(分離された VLAN)をインターフェイス xe-0/0/17 のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
結果
設定の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
スイッチ 3 での PVLAN の設定
CLI クイックコンフィギュレーション
スイッチ3をこのPVLANの分散型スイッチとして機能するよう迅速に設定するには、以下のコマンドをコピーしてスイッチ3のターミナルウィンドウに貼り付けます。
インターフェイス xe-0/0/2.0 は、PVLAN を別のネットワークに接続するトランク ポートです。
[edit] [edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100 set vlans pvlan100 vlan-id 100 set interfaces irb unit 100 family inet address 192.168.1.1/24 set vlans pvlan100 l3-interface irb.100 set interfaces irb unit 100 proxy-arp unrestricted
手順
手順
この PVLAN の分散型スイッチとしてスイッチ 3 が機能するように設定するには、次の手順を使用します。
インターフェイスxe-0/0/0をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイスxe-0/0/0を、すべてのVLANを伝送するインタースイッチリンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
pvlan100(プライマリ VLAN)をインターフェイス xe-0/0/0 のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
インターフェイスxe-0/0/5をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイスxe-0/0/5を、すべてのVLANを伝送するインタースイッチリンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
pvlan100 をインターフェイス xe-0/0/5 のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
インターフェイスxe-0/0/2(無差別インターフェイス)をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
pvlan100 をインターフェイス xe-0/0/2 のメンバーとして設定します。
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
プライマリ VLAN を作成します。
[edit vlans] set vlans pvlan100 vlan-id 100
IRB インターフェイス
irbを作成し、スイッチ 1 および 2 に接続されたデバイスが使用するサブネット内のアドレスを割り当てます。[edit interfaces] set irb unit 100 family inet address 192.168.1.1/24
注:レイヤー 3 で接続する各ホスト デバイスは、IRB インターフェイスと同じサブネット内にある必要があり、IRB インターフェイスの IP アドレスをデフォルト ゲートウェイ アドレスとして使用します。
インターフェイスをプライマリ VLAN
pvlan100にバインドして、IRB インターフェイス設定を完了します。[edit vlans] set pvlan100 l3-interface irb.100
IRB インターフェイスの各ユニットに無制限のプロキシー ARP を設定し、IPv4 トラフィックで ARP 解決が機能するようにします。
[edit interfaces] set irb unit 100 proxy-arp unrestricted
注:コミュニティ内のデバイスと分離された VLAN はレイヤー 2 で分離されているため、IPv4 を使用するデバイスがレイヤー 3 で通信できるように、VLAN 間で ARP 解決を行えるようにするには、この手順が必要です。(IPv6 トラフィックの場合、ARP 解決を可能にするために、IRB アドレスを宛先アドレスに明示的にマッピングする必要があります。
結果
設定の結果を確認します。
[edit]
user@switch# show
vlans {
pvlan100{
vlan-id 100;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- スイッチ 1 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
- スイッチ 2 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
- スイッチ 3 でプライマリ VLAN とセカンダリ VLAN が作成されたことを確認します。
スイッチ 1 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 1 で正しく機能していることを確認します。
対処
コマンドを show vlans extensive 使用します。
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/15.0*, untagged, access
xe-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/15.0__
__pvlan_pvlan100_xe-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、PVLAN がスイッチ 1 で作成され、それが 2 つの分離された VLAN、2 つのコミュニティ VLAN、およびインタースイッチ分離 VLAN を含むということを示しています。トランクとスイッチ間で分離されたフィールドが存在することは、この PVLAN が複数のスイッチにまたがっていることを示しています。
スイッチ 2 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
目的
複数のスイッチにまたがるPVLAN設定がスイッチ2で正しく機能していることを確認します。
対処
コマンドを show vlans extensive 使用します。
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、PVLAN がスイッチ 2 で作成され、それが 1 つの分離された VLAN、2 つのコミュニティ VLAN、インタースイッチで分離された VLAN を含むということを示しています。トランクとスイッチ間で分離されたフィールドが存在することは、この PVLAN が複数のスイッチにまたがっていることを示しています。この出力をスイッチ 1 の出力と比較すると、両方のスイッチが同じ PVLAN(pvlan100)に属していることがわかります。
スイッチ 3 でプライマリ VLAN とセカンダリ VLAN が作成されたことを確認します。
目的
複数のスイッチにまたがるPVLAN設定がスイッチ3で正しく機能していることを確認します。
対処
コマンドを show vlans extensive 使用します。
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、PVLAN(pvlan100)がスイッチ 3 で設定されており、分離された VLAN、2 つのコミュニティ VLAN、インタースイッチ分離 VLAN が含されていないことを示しています。しかし、スイッチ3は分散型スイッチとして機能しているため、出力にはPVLAN内のアクセスインターフェイスは含まれません。同じ PVLAN 内のスイッチ 3 から他のスイッチ(スイッチ 1 およびスイッチ 2)に接続 pvlan100 するトランク インターフェイスのみを示しています。
例:複数のEXシリーズスイッチにまたがるプライベートVLANの設定
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。EXシリーズスイッチのプライベートVLAN(PVLAN)機能により、管理者はブロードキャストドメインを複数の分離されたブロードキャストサブドメインに分割し、基本的にVLAN内にVLANを配置できます。PVLAN は複数のスイッチにまたがることができます。
この例では、複数の EX シリーズ スイッチにまたがる PVLAN を作成する方法を説明します。この例では、複数のセカンダリ VLAN を含む 1 つのプライマリ PVLAN を作成します。
PVLAN インターフェイスでのボイスオーバー IP(VoIP)VLAN の設定はサポートされていません。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
3 つの EX シリーズ スイッチ
EX シリーズ スイッチの Junos OS リリース 10.4 以降
PVLAN の設定を開始する前に、必要な VLAN の作成と設定が完了していることを確認してください。EX シリーズ スイッチの VLAN の設定を参照してください。
概要とトポロジー
複数の建物と VLAN を持つ大規模なオフィスでは、セキュリティ上の理由でワークグループまたはその他のエンドポイントを分離するか、ブロードキャスト ドメインをパーティション化する必要がある場合があります。この構成例では、複数の EX シリーズ スイッチにまたがる PVLAN を作成し、1 つのプライマリ VLAN に 2 つのコミュニティ VLAN(HR 用と財務用に 1 つ)とインタースイッチ分離 VLAN(メール サーバー、バックアップ サーバー、CVS サーバー用)を作成する方法を示します。PVLAN は、3 台のスイッチ、2 台のアクセス スイッチ、1 台の分散型スイッチで構成されています。PVLAN は、分散型スイッチ上で設定されたプロミスキャス ポートを介してルーターに接続されます。
スイッチ 1 とスイッチ 2 の分離ポートは、同じドメイン内に含まれているにもかかわらず、レイヤー 2 接続ではありません。「プライベート VLAN について」を参照してください。
図 19 は、この例のトポロジーを示しています。分散型スイッチに接続する2つのアクセススイッチで、ルーターに(プロミスキャスポートを介して)接続されています。
表 16、 表 17、および 表 18 は、トポロジー例の設定を一覧表示します。
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlanタグ 100 isolation-idタグ 50finance-commタグ 300hr-commタグ 400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0、スイッチ 1 をスイッチ 3 に接続します。 ge-0/0/5.0、スイッチ 1 をスイッチ 2 に接続します。 |
VLAN 内のインターフェイス isolation |
ge-0/0/15.0、メール サーバー ge-0/0/16.0、バックアップ サーバー |
VLAN 内のインターフェイス finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
VLAN 内のインターフェイス hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlanタグ 100 isolation-idタグ 50finance-commタグ 300hr-commタグ 400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0、スイッチ 2 をスイッチ 3 に接続します。 ge-0/0/5.0、スイッチ 2 をスイッチ 1 に接続します。 |
VLAN 内のインターフェイス isolation |
ge-0/0/17.0、CVS サーバー |
VLAN 内のインターフェイス finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
VLAN 内のインターフェイス hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlanタグ 100 isolation-idタグ 50finance-commタグ 300hr-commタグ 400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0、スイッチ 3 をスイッチ 1 に接続します。 ge-0/0/1.0、スイッチ 3 をスイッチ 2 に接続します。 |
プロミスキャス ポート |
ge-0/0/2は、PVLAN をルーターに接続します。 注:
PVLAN を PVLAN 外部の別のスイッチまたはルーターに PVLAN のメンバーとして接続するトランク ポートを設定する必要があります。このトランク ポートは、無差別ポートとして暗黙的に設定します。 |
トポロジ
スイッチ 1 での PVLAN の設定
CLI クイックコンフィギュレーション
複数のスイッチで PVLAN を設定する場合、以下のルールが適用されます。
プライマリ VLAN はタグ付き VLAN である必要があります。プライマリ VLAN を最初に設定することをお勧めします。
PVLAN インターフェイスでのボイスオーバー IP(VoIP)VLAN の設定はサポートされていません。
コミュニティVLAN IDを設定する場合は、まずプライマリVLANとPVLANトランクポートを設定する必要があります。
分離 VLAN ID を設定する場合は、まずプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
MVRP が PVLAN トランク ポートで設定されている場合は、1 回のコミットでセカンダリ VLAN と PVLAN トランク ポートをコミットする必要があります。
複数のスイッチにまたがる PVLAN を迅速に作成して設定するには、以下のコマンドをコピーして、スイッチ 1 のターミナル ウィンドウに貼り付けます。
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
手順
手順
以下の設定手順は、次の順に実行します。また、すべての手順を実行してから、設定を 1 回のコミットでコミットします。これは、次の 3 つのルールのいずれかに違反してトリガーされるエラー メッセージを回避する最も簡単な方法です。
コミュニティVLAN IDを設定する場合は、まずプライマリVLANとPVLANトランクポートを設定する必要があります。
分離 VLAN ID を設定する場合は、まずプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
セカンダリ vlan と PVLAN トランクは、1 つのコミットでコミットする必要があります。
複数のスイッチにまたがるスイッチ 1 の PVLAN を設定するには:
プライマリ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set pvlan100 vlan–id 100
隣接するスイッチ間でこの VLAN を接続する PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
ローカル スイッチングを持たないプライマリ VLAN を設定します。
[edit vlans] user@switch# set pvlan100 no-local-switching
スイッチをまたがるコミュニティ VLAN の finance-comm VLAN ID を設定します。
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
VLAN のアクセス インターフェイスを finance-comm 設定します。
[edit vlans] user@switch# set finance-comm interface interfacege-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
このセカンダリコミュニティVLANのプライマリVLANを設定します finance-comm 。
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチをまたがる HR コミュニティ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# hr-comm vlan-id 400
VLAN のアクセス インターフェイスを hr-comm 設定します。
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
このセカンダリコミュニティVLANのプライマリVLANを設定します hr-comm 。
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
スイッチ間の分離 ID を設定し、スイッチ間で分離されたドメインを作成します。
[edit vlans] user@switch# set pvlan100 isolation-id 50
注:隔離されたポートを設定するには、プライマリVLANのメンバーの1つとして含めますが、コミュニティVLANの1つに属するように設定しないでください。
結果
設定の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 50;
}
}
スイッチ 2 での PVLAN の設定
CLI クイックコンフィギュレーション
複数のスイッチにまたがるプライベート VLAN を迅速に作成して設定するには、以下のコマンドをコピーして、スイッチ 2 の端末ウィンドウに貼り付けます。
スイッチ2の設定は、スイッチ間で分離されたドメイン内のインターフェイスを除き、スイッチ1の設定と同じです。スイッチ 2 の場合、インターフェイスは .ge-0/0/17.0
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
手順
手順
複数のスイッチにまたがるスイッチ 2 の PVLAN を設定するには:
スイッチをまたがるコミュニティ VLAN の finance-comm VLAN ID を設定します。
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
VLAN のアクセス インターフェイスを finance-comm 設定します。
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
このセカンダリコミュニティVLANのプライマリVLANを設定します finance-comm 。
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチをまたがる HR コミュニティ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# hr-comm vlan-id 400
VLAN のアクセス インターフェイスを hr-comm 設定します。
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
このセカンダリコミュニティVLANのプライマリVLANを設定します hr-comm 。
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
プライマリ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set pvlan100 vlan–id 100
隣接するスイッチ間でこの VLAN を接続する PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
ローカル スイッチングを持たないプライマリ VLAN を設定します。
[edit vlans] user@switch# set pvlan100 no-local-switching
スイッチ間の分離 ID を設定し、スイッチ間で分離されたドメインを作成します。
[edit vlans] user@switch# set pvlan100 isolation-id 50
注:隔離されたポートを設定するには、プライマリVLANのメンバーの1つとして含めますが、コミュニティVLANの1つに属するように設定しないでください。
結果
設定の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
no-local-switching;
isolation-id 50;
}
}
スイッチ 3 での PVLAN の設定
CLI クイックコンフィギュレーション
スイッチ3をこのPVLANの分散型スイッチとして機能するよう迅速に設定するには、以下のコマンドをコピーしてスイッチ3のターミナルウィンドウに貼り付けます。
インターフェイス ge-0/0/2.0 は、PVLAN をルーターに接続するトランク ポートです。
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
手順
手順
この PVLAN の分散型スイッチとしてスイッチ 3 が機能するように設定するには、次の手順を使用します。
スイッチをまたがるコミュニティ VLAN の finance-comm VLAN ID を設定します。
[edit vlans] user@switch# finance-comm vlan-id 300
[edit vlans] user@switch# set pvlan100 vlan–id 100
このセカンダリコミュニティVLANのプライマリVLANを設定します finance-comm。
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチにまたがる HR コミュニティ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# hr-comm vlan-id 400
このセカンダリコミュニティVLANのプライマリVLANを設定します hr-comm。
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
プライマリ VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set pvlan100 vlan–id 100
隣接するスイッチ間でこの VLAN を接続する PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
ローカル スイッチングを持たないプライマリ VLAN を設定します。
[edit vlans] user@switch# set pvlan100 no-local-switching
スイッチ間の分離 ID を設定し、スイッチ間で分離されたドメインを作成します。
[edit vlans] user@switch# set pvlan100 isolation-id 50
注:隔離されたポートを設定するには、プライマリVLANのメンバーの1つとして含めますが、コミュニティVLANの1つに属するように設定しないでください。
結果
設定の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
no-local-switching;
isolation-id 50;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- スイッチ 1 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
- スイッチ 2 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
- スイッチ 3 でプライマリ VLAN とセカンダリ VLAN が作成されたことを確認します。
スイッチ 1 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 1 で正しく機能していることを確認します。
対処
コマンドを show vlans extensive 使用します。
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、PVLAN がスイッチ 1 で作成され、それが 2 つの分離された VLAN、2 つのコミュニティ VLAN、およびインタースイッチ分離 VLAN を含むということを示しています。と Inter-switch-isolated フィールドがpvlan-trunk存在することは、この PVLAN が複数のスイッチにまたがっていることを示しています。
スイッチ 2 でプライマリ VLAN とセカンダリ VLAN が作成されたことを検証します。
目的
複数のスイッチにまたがるPVLAN設定がスイッチ2で正しく機能していることを確認します。
対処
コマンドを show vlans extensive 使用します。
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、PVLAN がスイッチ 1 で作成され、それが 2 つの分離された VLAN、2 つのコミュニティ VLAN、およびインタースイッチ分離 VLAN を含むということを示しています。と Inter-switch-isolated フィールドがpvlan-trunk存在することは、これが複数のスイッチにまたがる PVLAN であることを示しています。この出力をスイッチ 1 の出力と比較すると、両方のスイッチが同じ PVLAN(pvlan100)に属していることがわかります。
スイッチ 3 でプライマリ VLAN とセカンダリ VLAN が作成されたことを確認します。
目的
複数のスイッチにまたがるPVLAN設定がスイッチ3で正しく機能していることを確認します。
対処
コマンドを show vlans extensive 使用します。
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、PVLAN(pvlan100)がスイッチ 3 で設定されており、これには 2 つの分離 VLAN、2 つのコミュニティ VLAN、インタースイッチ分離 VLAN が含まれています。しかし、スイッチ3は分散型スイッチとして機能しているため、出力にはPVLAN内のアクセスインターフェイスは含まれません。同じ PVLAN 内の pvlan-trunk スイッチ 3 から他のスイッチ(スイッチ 1 およびスイッチ 2)に接続 pvlan100 するインターフェイスのみを示しています。
例:QFX シリーズ スイッチ上のセカンダリ VLAN トランク ポートとプロミスキャス アクセス ポートを使用した PVLAN の設定
この例では、プライベート VLAN 設定の一部としてセカンダリ VLAN トランク ポートと無差別アクセス ポートを設定する方法を示します。セカンダリ VLAN トランク ポートは、セカンダリ VLAN トラフィックを伝送します。
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートしないスイッチに Junos OS を使用します。ELS の詳細については、「 拡張レイヤー 2 ソフトウェア CLI の使用」を参照してください。
特定のプライベート VLAN の場合、セカンダリ VLAN トランク ポートは、1 つのセカンダリ VLAN に対してのみトラフィックを伝送できます。ただし、セカンダリ VLAN トランク ポートは、各セカンダリ VLAN が異なるプライベート(プライマリ)VLAN のメンバーである限り、複数のセカンダリ VLAN のトラフィックを伝送できます。例えば、セカンダリ VLAN トランク ポートは、プライマリ VLAN pvlan100 の一部であるコミュニティ VLAN のトラフィックを伝送し、プライマリ VLAN pvlan400 の一部である分離 VLAN のトラフィックも伝送できます。
セカンダリ VLAN トラフィックを伝送するトランク ポートを設定するには、ステップ12とinterfaceスイッチ 1 の設定例に示すように、分離されたステートメントと 13 ステートメントを使用します。
トラフィックがセカンダリ VLAN トランク ポートから出る場合、通常はセカンダリ ポートが メンバーであるプライマリ VLAN のタグを伝送します。セカンダリ VLAN トランク ポートから出るトラフィックにセカンダリ VLAN タグを保持する場合は、 extend-secondary-vlan-id ステートメントを使用します。
無差別アクセス ポートはタグなしトラフィックを伝送し、1 つのプライマリ VLAN のメンバーになることが可能です。無差別アクセス ポート上のイングレスのトラフィックは、無差別アクセス ポートが のメンバーであるプライマリ VLAN のメンバーであるセカンダリ VLAN のポートに転送されます。セカンダリ VLAN ポートがトランク ポートの場合、このトラフィックはセカンダリ VLAN ポートから出るときに、適切なセカンダリ VLAN タグを伝送します。
アクセス ポートをプロミスキャスとして設定するには、スイッチ 2 の設定例の手順12に示すように、無差別ステートメントを使用します。
トラフィックがセカンダリ VLAN ポートでイングレスし、無差別アクセス ポートでエグレスした場合、トラフィックはエグレスでタグなしになります。無差別アクセス ポートでタグ付きトラフィックイングレスが行った場合、トラフィックは破棄されます。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
2 台の QFX デバイス
QFX シリーズの Junos OS リリース 12.2 以降
概要とトポロジー
図 20 は、この例で使用されているトポロジーを示しています。スイッチ 1 には、複数のプライマリおよびセカンダリ プライベート VLAN が含まれており、プライマリ VLAN pvlan100 および pvlan400 のメンバーであるセカンダリ VLAN を伝送するように設定された 2 つのセカンダリ VLAN トランク ポートも含まれています。
スイッチ 2 には、同じプライベート VLAN が含まれています。図は、無差別アクセス ポートまたは無差別トランク ポートで設定されたスイッチ 2 の xe-0/0/0 を示しています。ここに含まれる設定例では、このポートをプロミスキャス アクセス ポートとして設定しています。
この図は、スイッチ 1 のセカンダリ VLAN トランク ポートにイングレスした後のトラフィックフローも示しています。
表 19 と は、 表 20 両方のスイッチのトポロジー例の設定を示しています。
| コンポーネント | 説明 |
|---|---|
pvlan100、ID 100 |
プライマリ VLAN |
pvlan400、ID 400 |
プライマリ VLAN |
comm300、ID 300 |
コミュニティVLAN、pvlan100メンバー |
comm600、ID 600 |
コミュニティVLAN、pvlan400メンバー |
isolation-vlan-id 200 |
分離 VLAN の VLAN ID、pvlan100 メンバー |
分離 - vlan-id 500 |
分離 VLAN の VLAN ID、pvlan400 メンバー |
xe-0/0/0.0 |
プライマリ VLAN pvlan100 および pvlan400 のセカンダリ VLAN トランク ポート |
xe-0/0/1.0 |
プライマリ VLAN の PVLAN トランク ポート pvlan100 および pvlan400 |
xe-0/0/2.0 |
pvlan100 用隔離されたアクセス ポート |
xe-0/0/3.0 |
comm300 用コミュニティ アクセス ポート |
xe-0/0/5.0 |
pvlan400 用隔離されたアクセス ポート |
xe-0/0/6.0 |
comm600 用コミュニティ トランク ポート |
| コンポーネント | 説明 |
|---|---|
pvlan100、ID 100 |
プライマリ VLAN |
pvlan400、ID 400 |
プライマリ VLAN |
comm300、ID 300 |
コミュニティVLAN、pvlan100メンバー |
comm600、ID 600 |
コミュニティVLAN、pvlan400メンバー |
isolation-vlan-id 200 |
分離 VLAN の VLAN ID、pvlan100 メンバー |
分離 - vlan-id 500 |
分離 VLAN の VLAN ID、pvlan400 メンバー |
xe-0/0/0.0 |
プライマリ VLAN のプロミスキャス アクセス ポート pvlan100 |
xe-0/0/1.0 |
プライマリ VLAN の PVLAN トランク ポート pvlan100 および pvlan400 |
xe-0/0/2.0 |
分離 VLAN 用のセカンダリ トランク ポート(pvlan100 のメンバー) |
xe-0/0/3.0 |
comm300 用コミュニティ アクセス ポート |
xe-0/0/5.0 |
pvlan400 用隔離されたアクセス ポート |
xe-0/0/6.0 |
comm600 用コミュニティ アクセス ポート |
スイッチ 1 での PVLAN の設定
CLI クイックコンフィギュレーション
スイッチ 1 で PVLAN を迅速に作成および設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
手順
手順
プライベート VLAN とセカンダリ VLAN トランク ポートを設定するには:
インターフェイスとポートモードを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
プライマリ VLAN を作成します。
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
注:プライマリ VLAN は、1 台のデバイスにのみ存在する場合でも、常に VLAN にタグ付けする必要があります。
プライマリ VLAN をプライベートに設定します。
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
スイッチ間でプライベート VLAN トラフィックを伝送するように PVLAN トランク ポートを設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
VLAN ID 300 でセカンダリ VLAN comm300 を作成します。
[edit vlans] user@switch# set comm300 vlan-id 300
comm300 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
comm300のインターフェイスを設定します。
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
VLAN ID 600 でセカンダリ VLAN comm600 を作成します。
[edit vlans] user@switch# set comm600 vlan-id 600
comm600 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
comm600 のインターフェイスを設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
インタースイッチの分離された VLAN を設定します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
注:分離された VLAN を伝送するようにセカンダリ VLAN トランク ポートを設定する場合は、 isolation-vlan-id も設定する必要があります。これは、分離された VLAN が 1 つのスイッチにのみ存在する場合でも当てはまります。
トランク ポート xe-0/0/0 がプライマリ VLAN のセカンダリ VLAN を伝送できるようにします。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
comm600(pvlan400 のメンバー)を伝送するようにトランク ポート xe-0/0/0 を設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
注:pvlan100 および pvlan400 のすべての分離ポート(xe-0/0/0.0 を含む)は、構成時に作成された隔離 VLAN に自動的に含まれるため、隔離された VLAN トラフィック(タグ 200 と
isolation-vlan-id 500500)を伝送するように xe-0/0/0 を明示的に設定isolation-vlan-id 200する必要はありません。xe-0/0/2 と xe-0/0/6 を分離するように設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
結果
スイッチ1の設定の結果を確認します。
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
スイッチ 2 での PVLAN の設定
スイッチ2の設定は、スイッチ1の設定とほぼ同じです。最も大きな違いは、示すように 図 20 、スイッチ 2 の xe-0/0/0 が無差別トランク ポートまたは無差別アクセス ポートとして設定されていることです。以下の設定では、xe-0/0/0 がプライマリ VLAN pvlan100 のプロミスキャス アクセス ポートとして設定されています。
VLAN 対応ポートのトラフィックイングレスが無差別アクセス ポートでエグレスである場合、VLAN タグはエグレスでドロップされ、その時点でトラフィックはタグ付けされません。例えば、スイッチ1のxe-0/0/0.0に設定されたセカンダリVLANトランクポートのcomm600イングレスのトラフィックは、セカンダリVLANを介して転送されるタグ600を伝送します。スイッチ 2 で xe-0/0/0.0 からエグレスする場合、この例に示すように xe-0/0/0.0 を無差別アクセス ポートとして設定すると、タグなしになります。代わりにxe-0/0/0.0を無差別トランクポート(ポートモードトランク)として設定した場合、comm600のトラフィックは、エグレス時にプライマリVLANタグ(400)を伝送します。
CLI クイックコンフィギュレーション
スイッチ 2 で PVLAN を迅速に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
手順
手順
プライベート VLAN とセカンダリ VLAN トランク ポートを設定するには:
インターフェイスとポートモードを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
プライマリ VLAN を作成します。
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
プライマリ VLAN をプライベートに設定します。
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
スイッチ間でプライベート VLAN トラフィックを伝送するように PVLAN トランク ポートを設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
VLAN ID 300 でセカンダリ VLAN comm300 を作成します。
[edit vlans] user@switch# set comm300 vlan-id 300
comm300 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
comm300のインターフェイスを設定します。
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
VLAN ID 600 でセカンダリ VLAN comm600 を作成します。
[edit vlans] user@switch# set comm600 vlan-id 600
comm600 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
comm600 のインターフェイスを設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
-
インタースイッチの分離された VLAN を設定します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
pvlan100 でアクセス ポート xe-0/0/0 がプロミスキャスされるように設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
注:プロミスキャス アクセス ポートは、1 つのプライマリ VLAN のメンバーにできます。
xe-0/0/2 と xe-0/0/6 を分離するように設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
結果
スイッチ2の設定の結果を確認します。
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
プライベート VLAN とセカンダリ VLAN が作成されたことを検証します。
目的
スイッチ 1 でプライマリ VLAN とセカンダリ VLAN が正しく作成されたことを確認します。
対処
コマンドを show vlans 使用します。
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
意味
出力では、プライベート VLAN が作成され、それらに関連するインターフェイスとセカンダリ VLAN を識別していることを示しています。
イーサネット スイッチング テーブルのエントリーの検証
目的
イーサネット スイッチング テーブルのエントリーが、プライマリ VLAN pvlan100 用に作成されたことを確認します。
対処
pvlan100 のイーサネット スイッチング テーブル エントリーを表示します。
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0
スイッチでプライベート VLAN が動作していることを確認する
目的
PVLAN(プライベート VLAN)の作成と設定後、それらが正しく設定されていることを確認します。
対処
プライマリおよびセカンダリ VLAN 設定を正常に作成したかどうかを確認するには、以下を行います。
単一スイッチ上の PVLAN の場合は、 コマンドを
show configuration vlans使用します。user@switch> show configuration vlans community1 { interface { interface a; interface b; } primary-vlan pvlan; } community2 { interface { interface d; interface e; } primary-vlan pvlan; } pvlan { vlan-id 1000; interface { isolated1; isolated2; trunk1; trunk2; } no-local-switching; }複数のスイッチにまたがる PVLAN の場合は、 コマンドを show vlans
extensive使用します。user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
コマンドを
show vlansextensive使用して、単一スイッチ上の PVLAN の VLAN 情報とリンク ステータス、または複数のスイッチにまたがる PVLAN の VLAN 情報とリンク ステータスを表示します。単一スイッチ上の PVLAN の場合:
user@switch> show vlans pvlan extensive VLAN: pvlan, Created at: time 802.1Q Tag: vlan-id, Internal index: index-number, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) trunk1, tagged, trunk interface a, untagged, access interface b, untagged, access interface c, untagged, access interface d, untagged, access interface e, untagged, access interface f, untagged, access trunk2, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_isolated1__ __pvlan_pvlan_isolated2__ Community VLANs : community1 community2複数のスイッチにまたがる PVLAN の場合:
user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
コマンドを
show ethernet-switching table使用して、VLAN 上の MAC 学習のログを表示します。user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 1 learned VLAN MAC address Type Age Interfaces default * Flood - All-members pvlan * Flood - All-members pvlan MAC1 Replicated - interface a pvlan MAC2 Replicated - interface c pvlan MAC3 Replicated - isolated2 pvlan MAC4 Learn 0 trunk1 __pvlan_pvlan_isolated1__ * Flood - All-members __pvlan_pvlan_isolated1__ MAC4 Replicated - trunk1 __pvlan_pvlan_isolated2__ * Flood - All-members __pvlan_pvlan_isolated2__ MAC3 Learn 0 isolated2 __pvlan_pvlan_isolated2__ MAC4 Replicated - trunk1 community1 * Flood - All-members community1 MAC1 Learn 0 interface a community1 MAC4 Replicated - trunk1 community2 * Flood - All-members community2 MAC2 Learn 0 interface c community2 MAC4 Replicated - trunk1
複数のスイッチにまたがる PVLAN を設定している場合は、すべてのスイッチで同じコマンドを使用して、これらのスイッチの MAC 学習のログを確認できます。
意味
1 つのスイッチ上の PVLAN の出力表示では、プライマリ VLAN に 2 つのコミュニティ ドメイン(community1 および community2)、2 つの独立したポート、および 2 つのトランク ポートが含まれていることを確認できます。単一スイッチ上の PVLAN には、プライマリ VLAN 用のタグ(1000)が 1 つだけあります。
複数のスイッチにまたがる PVLAN には、複数のタグが含まれています。
コミュニティドメイン COM1 はタグ 100で識別されます。
コミュニティドメイン community2 はタグ 20で識別されます。
インタースイッチの分離されたドメインは、タグ 50で識別されます。
プライマリ VLAN primary はタグ 10で識別されます。
また、複数のスイッチにまたがる PVLAN では、トランク インターフェイスは.pvlan-trunk
QFX スイッチ上のプライベート VLAN のトラブルシューティング
以下の情報を使用して、プライベートVLAN設定をトラブルシューティングします。
- プライベート VLAN の制限事項
- プライベート VLAN による転送
- プライベート VLAN を持つエグレス ファイアウォール フィルター
- プライベート VLAN を使用したエグレス ポート ミラーリング
プライベート VLAN の制限事項
以下の制約は、プライベートVLAN設定に適用されます。
IGMP スヌーピングは、プライベート VLAN ではサポートされていません。
ルーテッドVLANインターフェイスはプライベートVLANではサポートされていません
同じプライマリ VLAN 内のセカンダリ VLAN 間のルーティングはサポートされていません。
プライマリ VLAN をセカンダリ VLAN に変更する場合は、まずプライマリ VLAN に変更し、変更をコミットする必要があります。たとえば、次の手順に従います。
プライマリ VLAN を通常の VLAN に変更します。
設定をコミットします。
通常の VLAN をセカンダリ VLAN に変更します。
設定をコミットします。
セカンダリ VLAN をプライマリ VLAN に変更する場合は、同じコミット シーケンスに従います。つまり、セカンダリ VLAN を通常の VLAN にして、その変更をコミットし、通常の VLAN をプライマリ VLAN に変更します。
プライベート VLAN による転送
問題
説明
PVLAN トランク ポートで分離 VLAN またはコミュニティ VLAN タグ付きトラフィックを受信すると、プライマリ VLAN から MAC アドレスが学習されます。つまり、 show ethernet-switching table コマンドからの出力は、MAC アドレスがプライマリ VLAN から学習され、セカンダリ VLAN に複製されていることを示しています。この動作は、転送の決定には影響しません。
セカンダリ VLAN タグを持つパケットが無差別ポートで受信された場合、そのパケットは受け入れられ、転送されます。
PVLAN トランク ポートでパケットを受信し、以下に示す両方の条件を満たす場合、破棄されます。
パケットにはコミュニティVLANタグがあります。
パケットの宛先は、分離された VLAN で学習されたユニキャスト MAC アドレスまたはマルチキャスト グループ MAC アドレスです。
PVLAN トランク ポートでパケットを受信し、以下に示す両方の条件を満たす場合、破棄されます。
パケットには、分離された VLAN タグがあります。
パケットの宛先は、コミュニティVLANで学習されたユニキャストMACアドレスまたはマルチキャストグループMACアドレスです。
プライマリ VLAN タグを持つパケットがセカンダリ(分離またはコミュニティ)VLAN ポートによって受信された場合、セカンダリ ポートはパケットを転送します。
あるデバイスでコミュニティVLANを設定し、2台目のデバイスで別のコミュニティVLANを設定し、両方のコミュニティVLANが同じVLAN IDを使用する場合、一方のVLANのトラフィックを別のVLANに転送できます。例えば、以下の設定を想定します。
スイッチ 1 のコミュニティ VLAN comm1 は VLAN ID 50 を持ち、プライマリ VLAN pvlan100 のメンバーです。
スイッチ 2 のコミュニティ VLAN comm2 は、VLAN ID 50 も備え、プライマリ VLAN pvlan200 のメンバーです。
プライマリ VLAN pvlan100 は、両方のスイッチに存在します。
comm1のトラフィックがスイッチ1からスイッチ2に送信された場合、comm2に参加するポートに送信されます。(予想通り、トラフィックは comm1 のポートにも転送されます。
ソリューション
これらは期待される動作です。
プライベート VLAN を持つエグレス ファイアウォール フィルター
問題
説明
出力方向のファイアウォールフィルターをプライマリVLANに適用する場合、以下に示すように、トラフィックがプライマリVLANタグまたは分離VLANタグでエグレスすると、プライマリVLANのメンバーであるセカンダリVLANにも適用されます。
セカンダリ VLAN トランク ポートからプロミスキャス ポート(トランクまたはアクセス)に転送されるトラフィック
分離された VLAN を PVLAN トランク ポートに伝送するセカンダリ VLAN トランク ポートから転送されるトラフィック。
無差別ポート(トランクまたはアクセス)からセカンダリ VLAN トランク ポートに転送されるトラフィック
PVLAN トランク ポートから転送されたトラフィック。セカンダリ VLAN トランク ポートに
コミュニティ ポートからプロミスキャス ポート(トランクまたはアクセス)に転送されるトラフィック
出力方向のファイアウォールフィルターをプライマリVLANに適用する場合、以下に示すように、フィルターはコミュニティVLANタグでエグレスするトラフィックには適用 されません 。
コミュニティトランクポートからPVLANトランクポートに転送されたトラフィック
コミュニティVLANをPVLANトランクポートに伝送するセカンダリVLANトランクポートから転送されるトラフィック
無差別ポート(トランクまたはアクセス)からコミュニティトランクポートに転送されるトラフィック
PVLAN トランク ポートから転送されたトラフィック。コミュニティトランクポートに
出力方向にファイアウォールフィルターをコミュニティVLANに適用すると、以下の動作が適用されます。
フィルターは、無差別ポート(トランクまたはアクセス)からコミュニティトランクポートに転送されるトラフィックに適用されます(トラフィックがコミュニティVLANタグでエグレスするため)。
フィルターは、コミュニティポートからPVLANトランクポートに転送されるトラフィックに適用されます(トラフィックがコミュニティVLANタグで送信されるため)。
フィルターは、コミュニティポートから無差別ポートに転送されるトラフィックには適用 されません (トラフィックがプライマリVLANタグまたはタグなしでエグレスするため)。
ソリューション
これらは期待される動作です。ファイアウォールフィルターは、出力方向のプライベートVLANにファイアウォールフィルターを適用する場合にのみ発生し、入力方向のプライベートVLANにファイアウォールフィルターを適用した場合は発生しません。
プライベート VLAN を使用したエグレス ポート ミラーリング
問題
説明
エグレスでプライベートVLAN(PVLAN)トラフィックをミラーリングするポートミラーリング設定を作成した場合、ミラーリングされたトラフィック(アナライザシステムに送信されるトラフィック)には、エグレスVLANではなくイングレスVLANのVLANタグがあります。例えば、以下の PVLAN 設定を想定します。
プライマリ VLAN pvlan100 および pvlan400 を伝送するプロミスキャス トランク ポート。
セカンダリ VLAN 分離 200 を伝送する分離アクセス ポート。この VLAN は、プライマリ VLAN pvlan100 のメンバーです。
セカンダリ VLAN comm300 を伝送するコミュニティ ポート。この VLAN は、プライマリ VLAN pvlan100 のメンバーでもあります。
アナライザ システムに接続する出力インターフェイス(監視インターフェイス)。このインターフェイスは、ミラーリングされたトラフィックをアナライザに転送します。
pvlan100 のパケットが無差別トランク ポートに入り、分離されたアクセス ポートで出る場合、元のパケットはアクセス ポートから出るのでエグレスでタグ付けされません。ただし、ミラーリングコピーは、アナライザに送信される際にpvlan100のタグを保持します。
次に別の例を示します。コミュニティポートでcomm300イングレスのパケットが無差別トランクポートでエグレスした場合、元のパケットは、予想通りにエグレスでpvlan100のタグを伝送します。ただし、ミラーリングされたコピーは、アナライザに送信される際に comm300 のタグを保持します。
ソリューション
これは予想される動作です。