プライベート VLAN
プライベート VLAN について
VLAN は、指定されたユーザーへのブロードキャストを制限します。プライベートVLAN(PVLAN)は、VLAN内の通信を制限することで、この概念をさらに一歩進めます。PVLAN は、メンバーのスイッチ ポート(プライベート ポートと呼ばれる)を通過するトラフィック フローを制限して、これらのポートが、指定されたアップリンク トランク ポートまたは同じ VLAN 内の指定されたポートとのみ通信するようにすることで、これを実現します。アップリンク トランク ポートまたはリンク アグリゲーション グループ(LAG)は、通常、ルーター、ファイアウォール、サーバー、またはプロバイダー ネットワークに接続されます。通常、各 PVLAN には、1 つのアップリンク ポートとのみ通信するプライベート ポートが多数含まれているため、ポート間の通信ができません。
PVLAN は、VLAN 内のポート間のレイヤー 2 分離を提供し、プライマリ VLAN 内にセカンダリ VLAN(コミュニティ VLAN と 分離 VLAN)を作成することで、ブロードキャスト ドメインを複数の個別のブロードキャスト サブドメインに分割します。同じコミュニティVLAN内のポートは相互に通信できます。分離 VLAN 内のポートは、1 つのアップリンク ポート とのみ 通信できます。
PVLAN は、正規の VLAN と同様、レイヤー 2 で隔離されており、セカンダリ VLAN 間でレイヤー 3 トラフィックをルーティングするには、次のいずれかのオプションが必要です。
ルーターとの無差別ポート接続
RVI(Routed VLAN Interface)
セカンダリ VLAN 間でレイヤー 3 トラフィックをルーティングする場合、PVLAN は上記のオプションのいずれか 1 つだけを必要とします。RVI を使用する場合でも、PVLAN に出入りするトラフィックのみを処理するように無差別ポートを設定したまま、ルーターへの無差別ポート接続を実装できます。
PVLAN は、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限するのに役立ちます。サービス プロバイダは PVLAN を使用して、顧客を相互に分離します。PVLAN のもう 1 つの一般的な用途は、ホテルで部屋ごとのインターネット アクセスを提供することです。
PVLAN をサポートするスイッチにまたがるように PVLAN を設定できます。
このトピックでは、EX シリーズ スイッチの PVLAN に関する次の概念について説明します。
- PVLAN のメリット
- PVLAN の典型的な構造と主な用途
- MX シリーズ ルーターにおける PVLAN の代表的な構造と主な用途
- EX シリーズ スイッチにおける PVLAN の典型的な構造と主な用途
- 分離VLANとコミュニティVLAN間のルーティング
- PVLAN は 802.1Q タグを使用してパケットを識別します
- PVLAN は IP アドレスを効率的に使用します。
- PVLAN ポート タイプと転送ルール
- PVLAN の作成
- プライベート VLAN の制限
PVLAN のメリット
単一の VLAN を分離する必要があるのは、次の導入シナリオで特に役立ちます。
サーバー ファーム - 一般的なインターネット サービス プロバイダは、サーバー ファームを使用して多数の顧客に Web ホスティングを提供します。1 つのサーバー ファーム内でさまざまなサーバーを配置すると、管理が容易になります。レイヤー2ブロードキャストがVLAN内のすべてのサーバーに送られるため、すべてのサーバーが同じVLAN内にあるとセキュリティ上の問題が発生します。
メトロポリタンイーサネットネットワーク—あるメトロサービスプロバイダーが、さまざまな家庭、賃貸コミュニティ、企業にレイヤー2イーサネットアクセスを提供しています。顧客ごとに1つのVLANを展開する従来のソリューションは、拡張性がなく、管理が困難であるため、IPアドレスが無駄になる可能性があります。PVLAN は、よりセキュアで効率的なソリューションを提供します。
PVLAN の典型的な構造と主な用途
PVLAN は、1 台のスイッチ上で設定することも、複数のスイッチにまたがるように設定することもできます。ドメインとポートのタイプは次のとおりです。
プライマリ VLAN - PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)で定義されます。プライマリ PVLAN には、複数のセカンダリ VLAN(1 つの独立 VLAN と複数のコミュニティ VLAN)を含めることができます。
分離 VLAN/分離ポート - プライマリ VLAN には、分離された VLAN を 1 つだけ含めることができます。分離されたVLAN内のインターフェイスは、無差別ポートまたはスイッチ間リンク(ISL)ポートにのみパケットを転送できます。分離されたインターフェイスは、別の分離されたインターフェイスにパケットを転送することはできません。分離されたインターフェイスは、別の分離されたインターフェイスからパケットを受信できません。カスタマー デバイスがゲートウェイ ルーター にのみ アクセスする必要がある場合、デバイスは隔離されたトランク ポートに接続する必要があります。
コミュニティ VLAN/コミュニティ ポート - 1 つの PVLAN 内で複数のコミュニティ VLAN を設定できます。特定のコミュニティ VLAN 内のインターフェイスは、同じコミュニティ VLAN に属する他のインターフェイスとのレイヤー 2 通信を確立できます。コミュニティVLAN内のインターフェイスは、プロミスキャスポートまたはISLポートと通信することもできます。 たとえば、他の顧客デバイスから分離する必要があるが、相互に通信できる必要がある2つの顧客デバイスがある場合、コミュニティポートを使用します。
無差別ポート:無差別ポートは、インターフェイスが独立 VLAN またはコミュニティ VLAN に属しているかどうかに関係なく、PVLAN 内のすべてのインターフェイスとレイヤー 2 通信を行います。無差別ポートは、プライマリ VLAN のメンバーですが、セカンダリ サブドメインには含まれていません。レイヤー3ゲートウェイ、DHCPサーバー、およびエンドポイントデバイスと通信する必要があるその他の信頼できるデバイスは、通常、無差別ポートに接続されます。
スイッチ間リンク(ISL):ISLは、PVLAN内の複数のスイッチを接続するトランクポートで、2つ以上のVLANを含みます。PVLAN が複数のスイッチにまたがる場合にのみ必要です。
設定された PVLAN は、プライマリ ドメイン( プライマリ VLAN)です。PVLAN 内では、プライマリ ドメイン内でネストされたサブドメインとなる セカンダリ VLAN を設定します。PVLAN は、1 台のスイッチ上で設定することも、複数のスイッチにまたがるように設定することもできます。に示す PVLAN には、プライマリ PVLAN ドメインとさまざまなサブドメインを持つ 2 つのスイッチが含まれています。図 1
に示すように 、PVLAN には 1 つのプライマリ ドメインと複数のセカンダリ ドメインしかありません。図 3ドメインの種類は次のとおりです。
プライマリ VLAN - 分離 VLAN およびコミュニティ VLAN にフレーム ダウンストリームを転送するために使用される VLAN。PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)を使用して定義されます。プライマリ PVLAN には、複数のセカンダリ VLAN(1 つの独立 VLAN と複数のコミュニティ VLAN)を含めることができます。
セカンダリ分離 VLAN - プライマリ VLAN からのみパケットを受信し、アップストリームのフレームをプライマリ VLAN に転送する VLAN。分離 VLAN は、プライマリ VLAN 内にネストされたセカンダリ VLAN です。プライマリVLANには、分離VLANを1つだけ含めることができます。分離された VLAN 内のインターフェイス(分離されたインターフェイス)は、無差別ポートまたは PVLAN トランク ポートにのみパケットを転送できます。分離されたインターフェイスは、別の分離されたインターフェイスにパケットを転送することはできません。また、分離されたインターフェイスは、別の分離されたインターフェイスからパケットを受信することもできません。カスタマー デバイスがルーター にのみ アクセスする必要がある場合、デバイスは隔離されたトランク ポートに接続する必要があります。
セカンダリ インタースイッチ分離 VLAN - PVLAN トランク ポートを介して、分離された VLAN トラフィックを 1 つのスイッチから別のスイッチに転送するために使用される VLAN。IEEE 802.1Q では、トランキング デバイスが 4 バイトの VLAN フレーム識別タブをパケット ヘッダーに挿入する内部タグ付けメカニズムを使用するため、インタースイッチ分離 VLAN には 802.1Q タグが必要です。スイッチ間分離VLANは、プライマリVLAN内にネストされたセカンダリVLANです。
セカンダリコミュニティVLAN - コミュニティのメンバー(VLAN内のユーザーのサブセット)間でフレームを転送し、プライマリVLANにアップストリームのフレームを転送するために使用されるVLAN。コミュニティVLANは、プライマリVLAN内にネストされたセカンダリVLANです。1 つの PVLAN 内に複数のコミュニティ VLAN を設定できます。特定のコミュニティ VLAN 内のインターフェイスは、同じコミュニティ VLAN に属する他のインターフェイスとのレイヤー 2 通信を確立できます。コミュニティ VLAN 内のインターフェイスは、プロミスキャス ポートまたは PVLAN トランク ポートとも通信できます。
は、複数のスイッチにまたがる PVLAN を示しています。プライマリ VLAN()には、2 つのコミュニティ ドメイン と )、および 1 つのスイッチ間分離ドメインが含まれています。図 2100(300400
プライマリおよびセカンダリVLANは、QFXシリーズでサポートされている4089VLANの制限に対してカウントされます。たとえば、の各 VLAN はこの 制限に対してカウントされます。図 2
MX シリーズ ルーターにおける PVLAN の代表的な構造と主な用途
設定された PVLAN はプライマリ ドメインになり、セカンダリ VLAN はプライマリ ドメイン内にネストされたサブドメインになります。PVLAN は 1 台のルーターで作成できます。に示す PVLAN には、1 つのプライマリ PVLAN ドメインと複数のセカンダリ サブドメインを持つ 1 台のルーターが含まれています。図 3
ドメインの種類は次のとおりです。
プライマリ VLAN - 分離 VLAN およびコミュニティ VLAN にフレーム ダウンストリームを転送するために使用される VLAN。
セカンダリ分離 VLAN - プライマリ VLAN からのみパケットを受信し、アップストリームのフレームをプライマリ VLAN に転送する VLAN。
セカンダリ インタースイッチ分離 VLAN - PVLAN トランク ポートを介して、分離された VLAN トラフィックを 1 つのルーターから別のルーターに転送するために使用される VLAN。
セカンダリコミュニティVLAN - VLAN内のユーザーのサブセットであるコミュニティのメンバー間でフレームを転送し、プライマリVLANにアップストリームのフレームを転送するために使用されるVLAN。
PVLANは、MX80ルーター、拡張LANモードのDPCを搭載したMX240、MX480、MX960ルーター、MPC1、MPC2、アダプティブサービスPICを搭載したMXシリーズルーターでサポートされています。
EX シリーズ スイッチにおける PVLAN の典型的な構造と主な用途
PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)を使用して定義されます。EX9200スイッチでは、各セカンダリVLANも独自のVLAN IDで定義する必要があります。
は、1 つのスイッチ上の PVLAN を示しており、プライマリ VLAN(VLAN)には 2 つのコミュニティ VLAN(VLAN および VLAN)と 1 つの独立 VLAN(VLAN)が含まれています。図 410030040050
は複数のスイッチにまたがる PVLAN を示しており、プライマリ VLAN(VLAN)には 2 つのコミュニティ VLAN(VLAN および VLAN)と 1 つの独立 VLAN(VLAN 200)が含まれています。図 5100300400 また、スイッチ 1 と 2 がスイッチ間リンク(PVLAN トランク リンク)を介して接続されていることも示しています。
また、 に示す PVLAN は、コミュニティ VLAN と分離された VLAN 間でレイヤー 3 トラフィックをルーティングする手段として、ルーターに接続された無差別ポートを使用しています。図 4図 5ルーターに接続されたプロミスキャスポートを使用する代わりに、 のスイッチまたは に示すスイッチの 1 つ(一部の EX スイッチ )で RVI を設定できます。図 4図 5
分離VLANとコミュニティVLAN間でレイヤー3トラフィックをルーティングするには、 と に示すようにルーターを無差別ポートに接続するか、RVIを設定する必要があります。図 4図 5
RVI オプションを選択する場合、PVLAN ドメインのプライマリ VLAN に 1 つの RVI を設定する必要があります。この RVI は、ドメインに 1 つ以上のスイッチが含まれているかどうかに関係なく、PVLAN ドメイン全体にサービスを提供します。RVI を設定すると、セカンダリ VLAN インターフェイスが受信したレイヤー 3 パケットが RVI にマッピングされ、RVI によってルーティングされます。
RVI を設定する際、セカンダリ VLAN インターフェイスが受信した ARP 要求を RVI が処理できるように、プロキシのアドレス解決プロトコル(ARP)も有効にする必要があります。
単一スイッチおよび複数のスイッチで PVLAN を設定する方法については、「 1 つの EX シリーズ スイッチ上でのプライベート VLAN の作成(CLI 手順)」を参照してください。シングルEXシリーズスイッチでのプライベートVLANの作成(CLIの手順) RVIの設定については、 EXシリーズスイッチ上のプライベートVLANでのルーティングVLANインターフェイスの設定を参照してください。EX シリーズスイッチ上のプライベート VLAN でのルーテッド VLAN インターフェイスの設定
分離VLANとコミュニティVLAN間のルーティング
分離VLANとコミュニティVLAN間でレイヤー3トラフィックをルーティングするには、外部ルーターまたはスイッチをプライマリVLANのトランクポートに接続する必要があります。プライマリVLANのトランクポートは 無差別 ポートです。したがって、PVLAN 内のすべての ポートと通信できます 。
PVLAN は 802.1Q タグを使用してパケットを識別します
パケットに顧客固有の802.1Qタグが付けられている場合、そのタグはネットワーク内の任意のスイッチまたはルーターのパケットの所有権を識別します。場合によっては、異なるサブドメインからのパケットを追跡するために、PVLAN 内で 802.1Q タグが必要となります。 プライマリVLANまたはセカンダリVLANでVLAN 802.1Qタグが必要な場合を示します。表 1
| 単一スイッチ上 | 複数のスイッチ上 | |
|---|---|---|
| プライマリ VLAN | VLAN ID を設定して 802.1Q タグを指定します。 |
VLAN ID を設定して 802.1Q タグを指定します。 |
| セカンダリ VLAN | VLANにタグは必要ありません。 |
VLANには802.1Qタグが必要です。
|
PVLAN は IP アドレスを効率的に使用します。
PVLAN は、IP アドレスを節約し、IP アドレスを効率的に割り当てます。一般的なネットワークでは、VLAN は通常、1 つの IP サブネットに対応します。PVLAN では、サブネットがプライマリ VLAN に割り当てられるため、すべてのセカンダリ VLAN のホストは同じ IP サブネットに属します。セカンダリVLAN内のホストには、プライマリVLANに関連付けられたIPサブネットに基づいてIPアドレスが割り当てられ、そのIPサブネットマスキング情報にはプライマリVLANサブネットのそれが反映されます。ただし、各セカンダリ VLAN は個別のブロードキャスト ドメインです。
PVLAN ポート タイプと転送ルール
PVLAN では、最大 6 種類のポート タイプを使用できます。この図 に示すネットワークでは、ルーターに情報を伝送するための無差別ポート、財務および人事コミュニティをそれぞれのスイッチに接続するコミュニティ ポート、サーバーを接続するための隔離ポート、2 つのスイッチを接続するための PVLAN トランク ポートを使用しています。図 2PVLAN ポートにはさまざまな制限があります。
無差別トランク ポート:無差別ポートは、インターフェイスが独立 VLAN またはコミュニティ VLAN に属しているかどうかに関係なく、PVLAN 内のすべてのインターフェイスとレイヤー 2 通信を行います。無差別ポートは、プライマリ VLAN のメンバーですが、セカンダリ サブドメインの 1 つには含まれていません。レイヤー3ゲートウェイ、DHCPサーバー、およびエンドポイントデバイスと通信する必要があるその他の信頼できるデバイスは、通常、無差別ポートに接続されます。
PVLAN トランク リンク - PVLAN トランク リンクはスイッチ間リンクとも呼ばれ、PVLAN が複数のスイッチにまたがるよう設定されている場合にのみ必要です。PVLAN トランク リンクは、PVLAN を構成する複数のスイッチを接続します。
PVLAN トランク ポート:マルチスイッチ PVLAN 設定では、スイッチにまたがるには PVLAN トランク ポートが必要です。PVLAN トランク ポートは、PVLAN 内のすべての VLAN(つまり、プライマリ VLAN、コミュニティ VLAN、およびインタースイッチ分離 VLAN)のメンバーであり、プライマリ VLAN とすべてのセカンダリ VLAN からのトラフィックを伝送します。分離ポート以外のすべてのポートと通信できます。
PVLAN トランク ポートと独立ポート間の通信は、通常、単方向です。スイッチ間分離 VLAN における PVLAN トランク ポートのメンバーシップはエグレスのみであり、分離ポートは PVLAN トランク ポートにパケットを転送できますが、PVLAN トランク ポートは分離ポートにパケットを転送しません(ただし、パケットが無差別アクセス ポートで受信されるため、無差別ポートと同じプライマリ VLAN 内のすべてのセカンダリ VLAN に転送される場合を除く)。
セカンダリ VLAN トランク ポート(図示せず)- セカンダリ トランク ポートはセカンダリ VLAN トラフィックを伝送します。特定のプライベートVLANにおいて、セカンダリVLANトランクポートは1つのセカンダリVLANのトラフィックのみを伝送できます。ただし、セカンダリVLANトランクポートは、各セカンダリVLANが異なるプライマリVLANのメンバーである限り、複数のセカンダリVLANのトラフィックを伝送できます。たとえば、セカンダリVLANトランクポートは、プライマリVLAN pvlan100の一部であるコミュニティVLANのトラフィックを伝送し、プライマリVLAN pvlan400の一部である分離VLANのトラフィックも伝送できます。
コミュニティ ポート - コミュニティ ポート間および無差別ポートと通信します。コミュニティポートは、選択されたユーザーグループのみにサービスを提供します。これらのインターフェイスは、レイヤー 2 で、他のコミュニティ内の他のすべてのインターフェイスや、PVLAN 内の隔離ポートから分離されています。
分離アクセス ポート:分離ポートは、無差別ポートおよび PVLAN トランク ポートとのみレイヤー 2 接続を持ちます。分離ポートは、同じ分離 VLAN(またはインタースイッチ分離 VLAN)ドメインのメンバーであっても、別の分離ポートと通信できません。通常、メール サーバーやバックアップ サーバーなどのサーバーは、分離されたポートで接続されます。ホテルでは、各部屋は通常、隔離されたポートで接続されるため、部屋間の通信は不可能ですが、各部屋は無差別ポートでインターネットにアクセスできます。
無差別アクセス ポート(図示せず)- これらのポートは、タグなしのトラフィックを伝送します。無差別アクセス ポートで受信したトラフィックは、デバイス上のすべてのセカンダリ VLAN ポートに転送されます。トラフィックがVLAN対応ポートでデバイスに入力され、無差別アクセスポートで出力される場合、トラフィックはエグレスでタグなしになります。タグ付きトラフィックが無差別アクセス ポートで受信した場合、そのトラフィックは破棄されます。
インタースイッチ リンク ポート—インタースイッチ リンク(ISL)ポートは、PVLAN がルーターにまたがるときに 2 台のルーターを接続するトランク ポートです。ISL ポートは、PVLAN 内のすべての VLAN(つまり、プライマリ VLAN、コミュニティ VLAN、および分離 VLAN)のメンバーです。
ISLポートと絶縁ポート間の通信は単方向です。インタースイッチ分離VLANにおけるISLポートのメンバーシップはエグレスのみであり、ISLポートの着信トラフィックが分離VLANに割り当てられることはありません。独立ポートは PVLAN トランク ポートにパケットを転送できますが、PVLAN トランク ポートは分離ポートにパケットを転送できません。 は、異なるタイプのポート間にレイヤー2接続が存在するかどうかを要約します。表 3
表 2 は、ELS をサポートする EX シリーズ スイッチ上の PVLAN 内の異なるタイプのポート間のレイヤー 2 接続をまとめたものです。
送信元ポートの種類 |
孤立したポートへ? |
無差別ポートに? |
コミュニティポートへ? |
スイッチ間リンクポートへ? |
|---|---|---|---|---|
分離 |
Deny |
Permit |
Deny |
Permit |
無差別 |
Permit |
Permit |
Permit |
Permit |
コミュニティ1 |
Deny |
Permit |
Permit |
Permit |
ポートタイプ |
無差別トランク |
PVLAN トランク |
セカンダリ トランク |
コミュニティ |
分離アクセス |
無差別アクセス |
|---|---|---|---|---|---|---|
無差別トランク |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
PVLAN トランク |
◯ |
◯ |
◯ |
○。同一コミュニティーのみ |
◯ |
◯ |
セカンダリ トランク |
◯ |
◯ |
なし |
◯ |
なし |
◯ |
コミュニティ |
◯ |
◯ |
◯ |
○。同一コミュニティーのみ |
なし |
◯ |
分離アクセス |
◯ |
あり。単方向のみ |
なし |
なし |
× |
◯ |
無差別アクセス |
◯ |
◯ |
◯ |
◯ |
◯ |
なし |
表 4 は、PVLAN 内の異なるタイプのポート間にレイヤー 2 接続が存在するかどうかを要約します。
ポートタイプ 変更後:→ 差出人:↓ |
無差別 |
コミュニティ |
分離 |
PVLAN トランク |
Rvi |
|---|---|---|---|---|---|
無差別 |
◯ |
◯ |
◯ |
◯ |
◯ |
コミュニティ |
◯ |
○。同一コミュニティーのみ |
なし |
◯ |
◯ |
分離 |
◯ |
なし |
× |
◯ 注:
この通信は単方向です。 |
◯ |
PVLAN トランク |
◯ |
○。同一コミュニティーのみ |
◯ 注:
この通信は単方向です。 |
◯ |
◯ |
Rvi |
◯ |
◯ |
◯ |
◯ |
◯ |
で 説明したように、 独立ポートと PVLAN トランク ポート間のレイヤー 2 通信は単方向です。表 4つまり、独立ポートは PVLAN トランク ポートにのみパケットを送信でき、PVLAN トランク ポートは分離ポートからのパケットしか受信できません。逆に、PVLAN トランク ポートは分離ポートにパケットを送信できず、分離ポートは PVLAN トランク ポートからパケットを受信できません。
プライマリVLANで有効にする と、PVLAN内のすべての分離VLAN(またはスイッチ間の分離VLAN)がその設定を継承します。no-mac-learning ただし、任意のコミュニティVLANでMACアドレス学習を無効にする場合は、各VLANで を設定する必要があります 。no-mac-learning
PVLAN の作成
に示す フローチャートは、PVLAN 作成プロセスの概要を示しています。図 6示されている順序で設定手順を完了すると、これらの PVLAN ルールに違反することはありません。(PVLAN ルールでは、PVLAN トランク ポートの設定は、複数のルーターにまたがる PVLAN にのみ適用されます)。
プライマリVLANはタグ付きVLANである必要があります。
コミュニティVLAN IDを設定する場合は、まずプライマリVLANを設定する必要があります。
分離 VLAN ID を構成する場合は、最初にプライマリ VLAN を構成する必要があります。
PVLAN インターフェイスでのボイス オーバー IP(VoIP)VLAN の設定はサポートされていません。
に示すように、単一ルーター上でのVLANの設定は比較的 簡単です。図 6
プライマリ VLAN の設定は、次の手順で構成されます。
プライマリVLAN名と802.1Qタグを設定します。
プライマリVLANで設定します 。no-local-switching
無差別トランク ポートとアクセス ポートを設定します。
無差別トランクおよびアクセス ポートをプライマリ VLAN のメンバーにします。
プライマリ VLAN 内では、セカンダリ コミュニティ VLAN、セカンダリ分離 VLAN、あるいはその両方を設定できます。セカンダリコミュニティVLANの設定は、次の手順に従います。
通常のプロセスを使用して VLAN を構成します。
VLAN のアクセス インターフェイスを設定します。
プライマリVLANをコミュニティVLANに割り当てます。
分離VLANは、分離VLANがメンバーとしてアクセスインターフェイスを持ち、プライマリVLANでオプション が有効になっている場合に内部的に作成されます。no-local-switching
IEEE 802.1Q では、トランキング デバイスが 4 バイトの VLAN フレーム識別タブをパケット ヘッダーに挿入する内部タグ付けメカニズムを使用するため、インタースイッチ分離 VLAN には 802.1Q タグが必要です。
トランク ポートは、マルチルーター PVLAN 構成でのみ必要で、トランク ポートはプライマリ VLAN とすべてのセカンダリ VLAN からのトラフィックを伝送します。
プライベート VLAN の制限
プライベート VLAN 構成には、次の制約が適用されます。
アクセス インターフェイスは 1 つの PVLAN ドメインにしか所属できません。つまり、2 つの異なるプライマリ VLAN に参加することはできません。
トランク インターフェイスは、セカンダリ VLAN が 2 つの異なる プライマリ VLAN 内にある限り、2 つのセカンダリ VLAN のメンバーになることができます。トランク インターフェイスは、 同じ プライマリ VLAN 内にある 2 つのセカンダリ VLAN のメンバーになることはできません。
マルチプルスパニングツリープロトコル(MSTP)の単一リージョンは、PVLAN に含まれるすべての VLAN で設定する必要があります。
VLANスパニングツリープロトコル(VSTP)はサポートされていません。
IGMPスヌーピングは、プライベートVLANではサポートされていません。
ルーテッドVLANインターフェイスはプライベートVLANではサポートされていません
同じプライマリVLAN内のセカンダリVLAN間のルーティングはサポートされていません。
一部の構成ステートメントは、セカンダリVLANでは指定できません。プライマリPVLANでのみ、階層レベルで以下のステートメントを設定できます。
[edit vlans vlan-name switch-options]プライマリVLANをセカンダリVLANに変更する場合は、まず通常のVLANに変更し、変更をコミットする必要があります。たとえば、次の手順に従います。
プライマリVLANを通常のVLANに変更します。
設定をコミットします。
通常の VLAN をセカンダリ VLAN に変更します。
設定をコミットします。
セカンダリVLANをプライマリVLANに変更する場合は、同じコミット順序に従ってください。つまり、セカンダリVLANを通常のVLANにしてその変更をコミットしてから、通常のVLANをプライマリVLANに変更します。
ELS 設定スタイルをサポートする Junos スイッチ上の PVLAN では、以下の 機能はサポートされていません。
エグレスVLANファイアウォールフィルター
イーサネットリング保護(ERP)
柔軟なVLANタギング
IRB(統合型ルーティングおよびブリッジング)インターフェイス
マルチシャーシ リンク アグリゲーション グループ(MC-LAG)
ポート ミラーリング
Q-in-Qトンネリング
VSTP(VLAN Spanning Tree Protocol)
ボイスオーバーIP(VoIP)
プライマリPVLANでのみ、 階層レベルで以下のステートメントを設定できます。[edit vlans vlan-name switch-options]
複数のスイッチにまたがる PVLAN トラフィック フローの理解
このトピックでは、プライベート VLAN(PVLAN)で設定されたサンプルのマルチスイッチ ネットワークにおける 3 つの異なるトラフィック フローを説明し、説明します。PVLAN は、メンバー スイッチ ポート(「プライベート ポート」と呼ばれる)を通過するトラフィック フローを制限し、特定のアップリンク トランク ポートまたは同じ VLAN 内の指定されたポートとのみ通信するようにします。
このトピックでは、以下について説明します。
タグなしトラフィックを送信するコミュニティVLAN
この例では、スイッチ1のコミュニティ1のメンバーが、インターフェイスge-0/0/12でタグなしのトラフィックを送信します。の 矢印は、結果のトラフィックフローを表しています。図 7
この例では、コミュニティ 1 のメンバーには、P-VLAN ID 10 にマッピングされた C-VLAN ID 100 が割り当てられています。
このシナリオでは、スイッチ 1 で次のアクティビティが発生します。
-
インターフェイス ge-0/0/0 および ge-0/0/12 上のコミュニティ 1 VLAN: 内容
-
インターフェイスge-0/0/0およびge-0/0/12のPVLAN100: レプリケーション
-
インターフェイス ge-0/0/12 上のコミュニティ 1 VLAN: タグなしトラフィックを受信
-
コミュニティ-1 VLAN インターフェイス ge-0/0/0: タグなしのトラフィック出口
-
PVLAN トランク ポート: ge-1/0/2 および ae0 からタグ 10 のトラフィックが出る
-
コミュニティ-2: インターフェイスはトラフィックを受信しません
-
分離 VLAN: インターフェイスはトラフィックを受信しません
このシナリオでは、このアクティビティはスイッチ 3 で実行されます。
-
インターフェイス ge-0/0/23(PVLAN トランク)のコミュニティ 1 VLAN: 内容
-
インターフェイス ge-0/0/23 の PVLAN100: レプリケーション
-
インターフェイス ge-0/0/9 および ge-0/0/16 のコミュニティ 1 VLAN: タグなしトラフィックの受信
-
無差別トランク ポート: トラフィックがタグ 10 の ge-0/0/0 から出る
-
コミュニティ-2: インターフェイスはトラフィックを受信しません
-
分離 VLAN: インターフェイスはトラフィックを受信しません
タグなしトラフィックを送信する分離されたVLAN
このシナリオでは、インターフェイス ge-1/0/0 のスイッチ 1 の分離された VLAN1 がタグなしのトラフィックを送信します。の 矢印は、このトラフィックフローを表しています。図 8
このシナリオでは、スイッチ 1 で次のアクティビティが発生します。
インターフェイス ge-1/0/0 の分離型 VLAN1: 内容
インターフェイスge-1/0/0のPVLAN100: レプリケーション
pvlan-trunk ge-1/0/2 および ae0 から出るトラフィック(タグ 50)
コミュニティ-1とコミュニティ-2: インターフェイスはトラフィックを受信しません
分離 VLAN: インターフェイスはトラフィックを受信しません
このシナリオでは、このアクティビティはスイッチ 3 で実行されます。
インターフェイス ge-0/0/23(PVLAN トランク ポート)の VLAN: 内容
インターフェイス ge0/0/23 の PVLAN100: レプリケーション
無差別トランク ポート: トラフィックがタグ 100 の ge-0/0/0 から出る
コミュニティ-1とコミュニティ-2: インターフェイスはトラフィックを受信しません
分離 VLAN: トラフィックを受信しない
無差別ポートで送信されたPVLANタグ付きトラフィック
このシナリオでは、PVLAN タグ付きトラフィックは無差別ポートで送信されます。の 矢印は、このトラフィックフローを表しています。図 9
このシナリオでは、スイッチ 1 で次のアクティビティが発生します。
インターフェイスae0(PVLANトランク)上のpvlan100 VLAN: 内容
コミュニティ-1、コミュニティ-2、およびインターフェイスae0上のすべての分離VLAN: レプリケーション
インターフェイスae0上のVLAN: レプリケーション
タグ 100 の pvlan-trunk ge-1/0/2 から出るトラフィック
コミュニティ-1とコミュニティ-2: トラフィックを受信するインターフェイス
分離 VLAN: トラフィックの受信
このシナリオでは、このアクティビティはスイッチ 3 で実行されます。
インターフェイスge-0/0/0のPVLAN100: 内容
コミュニティ-1、コミュニティ-2、およびインターフェイス ge-0/0/0 上のすべての分離された VLAN: レプリケーション
インターフェイス ge-0/0/0 上の VLAN: レプリケーション
コミュニティ-1とコミュニティ-2: トラフィックを受信するインターフェイス
分離 VLAN: トラフィックの受信
PVLAN のセカンダリ VLAN トランク ポートとプロミスキャス アクセス ポートについて
VLAN は、指定されたユーザーへのブロードキャストを制限します。PVLAN(プライベートVLAN)は、VLANを複数のブロードキャストサブドメインに分割し、基本的にセカンダリVLANをプライマリVLAN内に配置することで、この概念をさらに進化させます。PVLAN は、メンバー ポートを通過するトラフィック フローを制限して、これらのポートが、指定されたアップリンク トランク ポートまたは同じ VLAN 内の指定されたポートとのみ通信するようにします。アップリンク トランク ポートは、通常、ルーター、ファイアウォール、サーバー、またはプロバイダー ネットワークに接続されます。通常、PVLAN には 1 つのアップリンクとのみ通信するプライベート ポートが多数含まれているため、ポート間の相互通信ができません。
セカンダリ トランク ポートとプロミスキャス アクセス ポートは、PVLAN の機能を拡張し、次のような複雑な導入で使用できます。
エンタープライズVMWareインフラストラクチャ環境
VM管理によるマルチテナントクラウドサービス
複数の顧客向けのWebホスティングサービス
たとえば、セカンダリ VLAN トランク ポートを使用して、プライベート VLAN で構成された VMware サーバーに QFX デバイスを接続できます。プロミスキャス アクセス ポートを使用して、トランク ポートをサポートしないがプライベート VLAN に参加する必要があるシステムに QFX デバイスを接続できます。
このトピックでは、QFX シリーズの PVLAN に関する次の概念について説明します。
PVLAN ポート タイプ
PVLAN では、以下の異なるポート タイプを使用できます。
無差別トランク ポート:無差別ポートは、ルーター、ファイアウォール、サーバー、またはプロバイダー ネットワークに接続されたアップストリーム トランク ポートです。無差別トランク ポートは、PVLAN 内の独立ポートおよびコミュニティ ポートを含むすべてのインターフェイスと通信できます。
PVLAN トランク ポート:マルチスイッチ PVLAN 設定では、スイッチにまたがるには PVLAN トランク ポートが必要です。PVLAN トランク ポートは、PVLAN 内のすべての VLAN(つまり、プライマリ VLAN、コミュニティ VLAN、およびインタースイッチ分離 VLAN)のメンバーであり、プライマリ VLAN とすべてのセカンダリ VLAN からのトラフィックを伝送します。すべてのポートと通信できます。
PVLAN トランク ポートと独立ポート間の通信は、通常、単方向です。スイッチ間分離 VLAN における PVLAN トランク ポートのメンバーシップはエグレスのみであり、分離ポートは PVLAN トランク ポートにパケットを転送できますが、PVLAN トランク ポートは分離ポートにパケットを転送しません(ただし、パケットが無差別アクセス ポートで受信されるため、無差別ポートと同じプライマリ VLAN 内のすべてのセカンダリ VLAN に転送される場合を除く)。
セカンダリ VLAN トランク ポート:セカンダリ VLAN トランク ポートはセカンダリ VLAN トラフィックを伝送します。特定のプライベート(プライマリ)VLAN では、セカンダリ VLAN トランク ポートは 1 つのセカンダリ VLAN のトラフィックのみを伝送できます。ただし、セカンダリVLANトランクポートは、各セカンダリVLANが異なるプライマリVLANのメンバーである限り、複数のセカンダリVLANのトラフィックを伝送できます。たとえば、セカンダリVLANトランクポートは、プライマリVLAN pvlan100の一部であるコミュニティVLANのトラフィックを伝送し、プライマリVLAN pvlan400の一部である分離VLANのトラフィックも伝送できます。
注:トラフィックがセカンダリVLANトランクポートから出るとき、通常、セカンダリポートがメンバーであるプライマリVLANのタグを伝送します。セカンダリVLANトランクポートから出るトラフィックにセカンダリVLANタグを保持する場合は、 ステートメントを使用します 。extend-secondary-vlan-id
コミュニティ ポート - コミュニティ ポート間および無差別ポートと通信します。コミュニティポートは、選択されたユーザーグループのみにサービスを提供します。これらのインターフェイスは、レイヤー 2 で、他のコミュニティ内の他のすべてのインターフェイスや、PVLAN 内の隔離ポートから分離されています。
分離されたアクセス ポート:分離されたポートは、無差別ポートおよび PVLAN トランク ポートとのみレイヤー 2 接続を行います。分離アクセス ポートは、同じ分離された VLAN のメンバーであっても、別の分離ポートと通信することはできません。
無差別アクセス ポート - これらのポートはタグなしのトラフィックを伝送し、1 つのプライマリ VLAN のメンバーにしかなれません。無作為検出アクセス ポートで受信したトラフィックは、無作為検出アクセス ポートが属するプライマリ VLAN のメンバーであるセカンダリ VLAN のポートに転送されます。この場合、セカンダリVLANポートがトランクポートであれば、トラフィックはセカンダリVLANポートから出るときに適切なセカンダリVLANタグを伝送します。トラフィックがセカンダリVLANポートで受信し、無差別アクセスポートで送信する場合、トラフィックはエグレスでタグなしになります。タグ付きトラフィックが無差別アクセス ポートで受信した場合、そのトラフィックは破棄されます。
セカンダリVLANトランクポートの詳細
セカンダリ VLAN トランク ポートを使用する場合は、次の点に注意してください。
セカンダリ VLAN トランク ポートが参加するプライマリ VLAN ごとに、分離 VLAN ID を設定する必要があります。これは、セカンダリVLANトランクポートが伝送するセカンダリVLANが単一のデバイスに限定されている場合にも当てはまります。
ポートを特定のプライマリVLANのセカンダリVLANトランクポートとして設定する場合、同じ物理ポートを次のいずれかに設定することもできます。
別のプライマリVLANのセカンダリVLANトランクポート
別のプライマリVLANのPVLANトランク
無差別トランク ポート
非プライベートVLANのアクセスポート
セカンダリVLANトランクポート(セカンダリVLANタグ付き)で入力され、PVLANトランクポートで出力されるトラフィックは、出力でセカンダリVLANタグを保持します。
セカンダリVLANトランクポートで入力され、無差別トランクポートで出力されるトラフィックには、エグレスで適切なプライマリVLANタグがあります。
セカンダリVLANトランクポートで入力され、無差別アクセスポートで出力されるトラフィックは、出力でタグなしになります。
プライマリVLANタグを使用して無差別トランクポートで受信し、セカンダリVLANトランクポートでエグレスを送信するトラフィックは、エグレスで適切なセカンダリVLANタグを伝送します。例えば、スイッチ上で次のように設定したとします。
プライマリ VLAN 100
プライマリVLANの一部としてのコミュニティVLAN 200
無差別トランク ポート
コミュニティ VLAN 200 を伝送するセカンダリ トランク ポート
パケットがプライマリVLANタグ100の無差別トランクポートで受信し、セカンダリVLANトランクポートで送信する場合、パケットはエグレスでタグ200を伝送します。
使用事例
同じ物理インターフェイス上に、複数のセカンダリVLANトランクポート(異なるプライマリVLAN内)を設定したり、セカンダリVLANトランクポートを他のタイプのVLANポートと組み合わせたりすることができます。次のユースケースでは、これを行う例を示し、それぞれのケースでトラフィックがどのように流れるかを示しています。
- 2つのプライマリVLANのセカンダリVLANトランク
- セカンダリVLANトランクとプロミスキャストランク
- セカンダリ VLAN トランクと PVLAN トランク
- セカンダリVLANトランクおよび非プライベートVLANインターフェイス
- プロミスキャス アクセス ポートでのトラフィック入力
2つのプライマリVLANのセカンダリVLANトランク
このユースケースでは、以下の構成のスイッチが2つあるとします。
タグ 100 のプライマリ VLAN pvlan100。
タグ 200 を持つ分離型 VLAN isolated200 は、pvlan100 のメンバーです。
タグ 300 のコミュニティ VLAN comm300 は、pvlan100 のメンバーです。
タグ 400 のプライマリ VLAN pvlan400。
タグ 500 の分離された VLAN isolated500 は、pvlan400 のメンバーです。
タグ 600 のコミュニティ VLAN comm600 は、pvlan400 のメンバーです。
スイッチ1のインターフェイスxe-0/0/0は、この例で使用されているプライベートVLANで構成されたVMwareサーバー(図示せず)に接続します。このインターフェイスは、セカンダリ VLAN comm600 および pvlan100 のメンバーである分離 VLAN(タグ 200)のトラフィックを伝送するために、セカンダリ VLAN トランク ポートで構成されています。
スイッチ2のインターフェイスxe-0/0/0は、無作為トランクポートまたは無作為アクセスポートとして設定されていることが示されています。後者の場合、トランクポートをサポートしないが、この例で使用したプライベートVLANで構成されたシステム(図示せず)に接続すると考えることができます。
スイッチ 1 では、xe-0/0/6 は comm600 のメンバーであり、トランク ポートとして設定されています。
スイッチ 2 では、xe-0/0/6 は comm600 のメンバーであり、アクセス ポートとして設定されています。
図 10 は、このトポロジーと、スイッチ 1 の xe-0/0/0 で受信した後に isolated200 と comm600 のトラフィックがどのように流れるかを示しています。トラフィックは矢印が示す場所にのみ流れることに注意してください。例えば、スイッチ1のインターフェイスxe-0/0/2、xe-0/0/3、xe-0/0/5は、パケットがエグレスされないため、矢印がありません。
VLAN isolated200 のトラフィックフローを次に示します。
VLAN isolated200 のトラフィックは、スイッチ 1 の分離アクセス ポート xe-0/0/2 やスイッチ 2 のセカンダリ VLAN トランク ポート xe-0/0/2 では、同じ分離された VLAN のメンバーであっても送信されません。
VLAN comm600 のトラフィックフローを次に示します。
PVLAN トランク ポートはすべての VLAN のメンバーであるため、スイッチ 1 のセカンダリ VLAN トランク ポートで comm600 入力トラフィックが発生した後、PVLAN トランク ポートで送信されます。パケットは、エグレス時にセカンダリVLANタグ(600)を保持します。
comm600のトラフィックは、スイッチ1のコミュニティポートxe-0/0/6でも出力されます。ポートがトランクとして設定されているため、トラフィックにタグが付けられます。
このインターフェイスが無差別トランク ポートとして設定されている場合、スイッチ 2 の PVLAN トランク ポートで comm600 入力のトラフィックが発生した後、xe-0/0/0 で出力されます。
注:スイッチ 2 の xe-0/0/0 が無差別アクセス ポートとして設定されている場合、そのポートは 1 つのプライマリ VLAN にのみ参加できます。この場合、無差別アクセス ポートは pvlan100 の一部であるため、comm600 のトラフィックはそこから出ません
comm600のトラフィックは、スイッチ2のコミュニティポートxe-0/0/6でも出力されます。この場合、ポート モードは access であるため、トラフィックはタグなしになります。
セカンダリVLANトランクとプロミスキャストランク
このユースケースでは、前のユースケースと同じポートとVLANで設定された2つのスイッチがあるとします。ただし、1つの例外があります。この場合、スイッチ 1 の xe-0/0/0 は、VLAN pvlan100 のセカンダリ VLAN トランク ポートとして設定され、pvlan400 の無差別トランク ポートとしても設定されます。
図 11 は、このトポロジーと、isolated200(pvlan100 のメンバー)と comm600(pvlan400 のメンバー)のトラフィックがスイッチ 1 で受信された後どのように流れるかを示しています。
VLAN isolated200 のトラフィック フローは前のユース ケースと同じですが、comm600 のフローは異なります。VLAN comm600 のトラフィックフローを次に示します。
セカンダリ VLAN トランクと PVLAN トランク
このユースケースでは、スイッチ1のxe-0/0/0がVLAN pvlan100のセカンダリVLANトランクポートとして設定され、pvlan400のPVLANトランクポートとしても設定されている場合を除き、前のユースケースと同じポートとVLANで設定された2台のスイッチがあると仮定します。
図 12 は、このトポロジーと、スイッチ 1 で受信した後に COM300(PVLAN100 のメンバー)と COM600(PVLAN400 のメンバー)のトラフィックがどのように流れるかを示しています。
VLAN comm300 のトラフィックフローを次に示します。
VLAN comm600 のトラフィックフローを次に示します。
スイッチ 1 の PVLAN ポート xe-0/0/0 で comm600 入力のトラフィックが発生した後、スイッチ 1 のコミュニティ ポート xe-0/0/6 でトラフィックが生成されます。xe-0/0/6 はトランク ポートであるため、パケットはエグレス時にセカンダリ VLAN タグ(600)を維持します。
また、comm600 のトラフィックは、PVLAN トランク ポート xe-0/0/1 で出力されます。これは、その PVLAN トランク ポートがすべての VLAN のメンバーであるためです。パケットは、エグレス時にセカンダリVLANタグ(600)を保持します。
このインターフェイスが無差別トランク ポートとして設定されている場合、スイッチ 2 の PVLAN トランク ポートで comm600 入力のトラフィックが発生した後、xe-0/0/0 で出力されます。
このインターフェイスが無差別アクセス ポートとして設定されている場合、ポートは pvlan100 にのみ参加できるため、xe-0/0/0 ではエグレスされません。
comm600のトラフィックは、スイッチ2のコミュニティポートxe-0/0/6でも出力されます。xe-0/0/6 はアクセス ポートであるため、このトラフィックはエグレスでタグなしになります。
セカンダリVLANトランクおよび非プライベートVLANインターフェイス
このユースケースでは、以下の違いを除いて、前のユースケースと同じポートとVLANで設定された2つのスイッチがあると仮定します。
スイッチ 1 の xe-0/0/0 の設定:
VLAN pvlan100 のセカンダリ VLAN トランク ポート
vlan700 のアクセス ポート
両方のスイッチのポートxe-0/0/6は、vlan700のアクセスポートです。
図 13 は、このトポロジーと、スイッチ 1 で受信した後に isolated200(pvlan100 のメンバー)と vlan700 のトラフィックがどのように流れるかを示しています。
VLAN isolated200 のトラフィックフローを次に示します。
VLAN isolated200 のトラフィックは、スイッチ 1 の分離アクセス ポート xe-0/0/2 やスイッチ 2 のセカンダリ VLAN トランク ポート xe-0/0/2 では、同じ分離された VLAN のメンバーであっても送信されません。
スイッチ 1 の xe-0/0/0 に設定されたアクセス ポート上の vlan700 入力のトラフィックの後、アクセス ポート xe-0/0/6 上のトラフィックは同じ VLAN のメンバーであるため、そのポートはアクセス ポート xe-0/0/6 で出力されます。xe-0/0/1 の PVLAN トランクはこの VLAN を伝送しないため、(スイッチ 2 の xe-0/0/6 が vlan700 のメンバーであっても)vlan700 のトラフィックはスイッチ 2 に転送されません。
プロミスキャス アクセス ポートでのトラフィック入力
このユースケースでは、スイッチ1のxe-0/0/0が無差別アクセスポートとして設定され、pvlan100のメンバーであることを除いて、前のユースケースと同じポートとVLANで設定された2つのスイッチがあると仮定します。 は、このトポロジーと、スイッチ1でこのインターフェイスを通過した後のタグなしトラフィックの流れを示しています。図 14
図に示すように、無差別アクセス ポートで受信したタグなしトラフィックは、その無差別アクセス ポートがメンバーである同じプライマリ VLAN のメンバーであるすべてのセカンダリ VLAN ポートに転送されます。トラフィックがアクセス ポートから出力されるときはタグなし、トランク ポートからのエグレスではタグが付けられます(スイッチ 2 の xe-0/0/2)。
同じインターフェイス上で802.1X認証とプライベートVLANを同時に使用する
- 同じインターフェイス上で 802.1X 認証と PVLAN を一緒に使用する方法について
- 802.1X 認証と PVLAN を組み合わせるための設定ガイドライン
- 例:1 つの構成でプライベート VLAN を使用した 802.1X 認証を構成する
同じインターフェイス上で 802.1X 認証と PVLAN を一緒に使用する方法について
同じインターフェイスで 802.1X 認証と PVLAN(プライベート VLAN)の両方を設定できるようになりました。
IEEE 802.1X認証は、ネットワークエッジセキュリティを提供し、authentication server(RADIUSサーバー)でサプリカント(クライアント)の認証情報が提示および一致されるまで、サプリカント宛てのトラフィックとサプリカントからのトラフィックのすべてをインターフェイスでブロックすることで、認証されていないユーザーアクセスからイーサネットLANを保護します。
PVLAN(プライベートVLAN)は、VLAN内のポート間のレイヤー2分離を提供し、セカンダリVLANを作成することでブロードキャストドメインを複数の個別のブロードキャストサブドメインに分割します。PVLAN は、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限するのに役立ちます。
802.1X 認証と PVLAN の両方が設定されているスイッチでは、新しいデバイスが PVLAN ネットワークに接続されると、デバイスは認証され、PVLAN 設定または RADIUS プロファイルに基づいてセカンダリ VLAN に割り当てられます。その後、デバイスはIPアドレスを取得し、PVLANネットワークへのアクセスを許可されます。
このドキュメントでは、802.1X 認証やプライベート VLAN の詳細については説明しません。これらの詳細については、個々の機能に固有の機能のドキュメントを参照してください。802.1Xについては、 ユーザー アクセスおよび認証ユーザーガイドを参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/system-basics/user-access.htmlPVLANについては、 イーサネットスイッチングユーザーガイドを参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/layer-2/layer2-multicast.html
802.1X 認証と PVLAN を組み合わせるための設定ガイドライン
同じインターフェイスでこれら 2 つの機能を設定する場合は、次のガイドラインと制限事項に留意してください。
802.1X 対応インターフェイスを、プロミスキャス インターフェイス(設定によりプライマリ VLAN のメンバーになっているインターフェイス)またはインタースイッチ リンク(ISL)インターフェイスとして設定することはできません。
論理インターフェイス上の同じ PVLAN ドメインに属する異なる VLAN で複数のユーザーを認証することはできません。例えば、インターフェイス ge-0/0/0 が とクライアント C1 および C2 が 認証され、動的 VLAN V1 および V2 にそれぞれ追加される場合、V1 と V2 は異なる PVLAN ドメインに属している必要があります。
supplicant multipleVoIP VLAN とデータ VLAN が異なる場合、これら 2 つの VLAN は異なる PVLAN ドメインに存在する必要があります。
PVLAN メンバーシップが変更された場合(つまり、インターフェイスが別の PVLAN で再設定された場合)、クライアントを再認証する必要があります。
例:1 つの構成でプライベート VLAN を使用した 802.1X 認証を構成する
要件
Junos OS リリース 18.2R1 以降
EX2300、EX3400、または EX4300 スイッチ
開始する前に、RADIUSサーバーまたは認証サーバーとして使用するサーバーを指定します。「Specifying RADIUS Server Connections on Switches (CLI Procedure)」を参照してください。
概要
次の構成セクションでは、アクセス プロファイルの構成、802.1X 認証の構成、最後に VLAN(PVLAN を含む)の構成を示します。
1 つの構成でプライベート VLAN を使用した 802.1X 認証を構成する
手順
CLIクイック構成
[edit] set access radius-server 10.20.9.199 port 1812 set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set access profile dot1x-auth authentication-order radius set access profile authp authentication-order radius set access profile authp radius authentication-server 10.204.96.165 set switch-options voip interface ge-0/0/8.0 vlan voip set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data set protocols dot1x authenticator authentication-profile-name authp set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set vlans community vlan-id 20 set vlans community private-vlan community set vlans community-one vlan-id 30 set vlans community-one private-vlan community set vlans isolated vlan-id 200 set vlans isolated private-vlan isolated set vlans pvlan vlan-id 2000 set vlans pvlan isolated-vlan isolated set vlans pvlan community-vlans [community community-one] set vlans data vlan-id 43 set vlans voip vlan-id 33
ステップバイステップでの手順
1 つの構成で 802.1X 認証と PVLAN を構成するには:
アクセスプロファイルを設定します。
[edit access] set radius-server 10.20.9.199 port 1812 set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set profile dot1x-auth authentication-order radius set profile authp authentication-order radius set profile authp radius authentication-server 10.204.96.165 [edit switch-options] set voip interface ge-0/0/8.0 vlan voip
注:構成する VoIP VLAN を PVLAN(プライマリ、コミュニティ、または分離)にすることはできません。
802.1X 設定を構成します。
[edit interfaces] set ge-0/0/8 unit 0 family ethernet-switching interface-mode access set ge-0/0/8 unit 0 family ethernet-switching vlan members data [edit protocols] set dot1x authenticator authentication-profile-name authp set dot1x authenticator interface ge-0/0/8.0 supplicant multiple set dot1x authenticator interface ge-0/0/8.0 mac-radius
注:設定可能なデータVLANは、コミュニティVLANまたは分離VLANにすることもできます。
VLAN(PVLAN を含む)を設定します。
[edit vlans] set community vlan-id 20 set community private-vlan community set community-one vlan-id 30 set community-one private-vlan community set isolated vlan-id 200 set isolated private-vlan isolated set pvlan vlan-id 2000 set pvlan isolated-vlan isolated set pvlan community-vlans [community community-one] set data vlan-id 43 set voip vlan-id 33
結果
設定モードから、スイッチで次のコマンド を入力して設定を確認します。show 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@switch# show access
radius-server {
10.20.9.199 {
port 1812;
secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"; ## SECRET-DATA
}
}
profile dot1x-auth {
authentication-order radius;
}
profile authp {
authentication-order radius;
radius {
authentication-server 10.204.96.165;
}
}
user@switch# show interfaces
ge-0/0/8 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data;
}
}
}
}
user@switch# show protocols
dot1x {
authenticator {
authentication-profile-name authp;
interface {
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@switch# show switch-options
voip {
interface ge-0/0/8.0 {
vlan voip;
}
}
user@switch# show vlans
community {
vlan-id 20;
private-vlan community;
}
community-one {
vlan-id 30;
private-vlan community;
}
data {
vlan-id 43;
}
isolated {
vlan-id 200;
private-vlan isolated;
}
pvlan {
vlan-id 2000;
isolated-vlan isolated;
community-vlans [community community-one];
}
voip {
vlan-id 33;
}
検証
クライアントMACアドレスがプライマリVLANで学習されたことを確認する
目的
クライアントMACアドレスがプライマリVLANで学習されたことを示します。
アクション
user@switch> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC, SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
pvlan 00:30:48:8C:66:BD D - ge-0/0/8.0 0 0 プライマリVLANが認証済みVLANであることを確認する
目的
プライマリVLANが認証済みVLANとして表示されていることを示します。
アクション
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: pvlan
Reauthentication due in 17 secondsプライベートVLANでのアクセスポートセキュリティの設定
PVLAN のアクセス ポート セキュリティについて
プライベート VLAN(PVLAN)で、DHCP スヌーピングなどのアクセス ポート セキュリティ機能を有効にできるようになりました。
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。PVLAN 機能を使用すると、ブロードキャスト ドメインを複数の独立したブロードキャスト サブドメインに分割し、基本的に VLAN 内に VLAN を配置できます。
イーサネットLANは、ネットワークデバイス上のアドレススプーフィング(偽造)やレイヤー2サービス拒否(DoS)などの攻撃に対して脆弱です。次のアクセス ポート セキュリティ機能は、このような攻撃が引き起こす可能性のある情報の損失や生産性の損失からデバイスを保護するのに役立ちます。PVLAN でこれらのセキュリティ機能を設定できるようになりました。
DHCPスヌーピング:信頼できないポートで入力DHCPサーバメッセージをフィルタリングしてブロックします。DHCP スヌーピングは、DHCP スヌーピング データベースと呼ばれる DHCP リース情報のデータベースを構築し、維持します。
DHCPv6スヌーピング—IPv6のDHCPスヌーピング。
DHCP オプション 82:DHCP リレー エージェント情報オプションとも呼ばれます。IP アドレスや MAC アドレスのスプーフィング、DHCP IP アドレスの枯渇などの攻撃からスイッチを保護します。オプション 82 は、DHCP クライアントのネットワーク ロケーションに関する情報を提供します。DHCP サーバーは、この情報を使用して、クライアントの IP アドレスまたはその他のパラメーターを実装します。
DHCPv6 オプション:
オプション 37:DHCPv6 のリモート ID オプション。は、リモート ホストのネットワーク上の位置情報を DHCPv6 パケットに挿入します。
オプション18—DHCPv6の回線IDオプション。クライアント ポートに関する情報を DHCPv6 パケットに挿入します。
オプション 16:DHCPv6 のベンダー ID オプション。クライアント ハードウェアのベンダーに関する情報を DHCPv6 パケットに挿入します。
動的ARPインスペクション(DAI)—アドレス解決プロトコル(ARP)スプーフィング攻撃を防止します。ARP 要求と応答は DHCP スヌーピング データベースのエントリと比較され、フィルタリングの決定はそれらの比較の結果に基づいて行われます。
IPソースガード:イーサネットLANに対するIPアドレススプーフィング攻撃の影響を軽減します。信頼できないアクセス インターフェイスから送信されたパケットの送信元 IP アドレスを、DHCP スヌーピング データベースと照合します。パケットを検証できない場合、パケットは破棄されます。
IPv6 ソース ガード—IPv6 の IP ソース ガード。
IPv6 ネイバー探索インスペクション:IPv6 アドレス スプーフィング攻撃を防止します。ネイバー探索要求と応答を DHCPv6 スヌーピング データベースのエントリと比較し、それらの比較結果に基づいてフィルタリングを決定します。
このドキュメントでは、アクセス ポートのセキュリティ機能または PVLAN の詳細については説明しません。これらの詳細については、個々の機能に固有の機能のドキュメントを参照してください。アクセスポートのセキュリティについては、 セキュリティサービス管理ガイドを参照してください。PVLANについては、 イーサネットスイッチングユーザーガイドを参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/layer-2/layer2-multicast.html
PVLAN にアクセス ポート セキュリティ機能を導入するための設定ガイドライン
PVLAN でアクセス ポート セキュリティ機能を設定する場合は、次のガイドラインと制限事項に留意してください。
プライマリVLANとそのすべてのセカンダリVLANの両方に 、同じ アクセスポートのセキュリティ機能を適用する必要があります。
PVLAN は IRB(統合型ルーティングおよびブリッジング)インターフェイスを 1 つだけ持つことができ、IRB インターフェイスはプライマリ VLAN 上にある必要があります。
PVLAN のアクセス ポート セキュリティ設定の制限は、PVLAN にないアクセス ポート セキュリティ機能設定の制限と同じです。セキュリティサービス管理ガイドのアクセスポートのセキュリティドキュメントを参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/system-basics/security-services.html
例:PVLAN でのアクセス ポート セキュリティの設定
要件
Junos OS リリース 18.2R1 以降
EX4300スイッチ
概要
次の構成セクションには、次の情報が表示されます。
プライマリVLAN()とその3つのセカンダリVLAN(コミュニティVLAN(および)と分離VLAN()を含むプライベートVLANの設定。
vlan-privlan-hrvlan-financevlan-isoこれらの VLAN 上のインターフェイス間の通信を送信するために使用されるインターフェイスの設定。
PVLAN を構成するプライマリおよびセカンダリ VLAN のアクセス セキュリティ機能の設定。
表 5 にトポロジー例の設定を示します。
| インターフェイス | 説明 |
|---|---|
ge-0/0/0.0 |
プライマリ VLAN(vlan1-pri)トランク インターフェイス |
ge-0/0/11.0 |
ユーザー 1、HR コミュニティ(vlan-hr) |
ge-0/0/12.0 |
ユーザー 2、HR コミュニティ(vlan-hr) |
ge-0/0/13.0 |
ユーザー 3、ファイナンス コミュニティ(vlan-finance) |
ge-0/0/14.0 |
ユーザー 4、ファイナンス コミュニティ(vlan-finance) |
ge-0/0/15.0 |
メールサーバー、分離(vlan-iso) |
ge-0/0/16.0 |
バックアップ サーバ、分離(vlan-iso) |
ge-1/0/0.0 |
プライマリ VLAN(vlan-pri)トランク インターフェイス |
PVLAN でのアクセス ポート セキュリティの設定
手順
CLIクイック構成
set vlans vlan-pri vlan-id 100 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-pri community-vlan vlan-hr set vlans vlan-pri community-vlan vlan-finance set vlans vlan-pri isolated-vlan vlan-iso set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interfaces ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interfaces ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set vlans vlan-pri forwarding-options dhcp-security arp-inspection set vlans vlan-pri forwarding-options dhcp-security ip-source-guard set vlans vlan-pri forwarding-options dhcp-security ipv6-source-guard set vlans vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-pri forwarding-options dhcp-security option-82 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-hr forwarding-options dhcp-security arp-inspection set vlans vlan-hr forwarding-options dhcp-security ip-source-guard set vlans vlan-hr forwarding-options dhcp-security ipv6-source-guard set vlans vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-hr forwarding-options dhcp-security option-82 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-finance forwarding-options dhcp-security arp-inspection set vlans vlan-finance forwarding-options dhcp-security ip-source-guard set vlans vlan-finance forwarding-options dhcp-security ipv6-source-guard set vlans vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-finance forwarding-options dhcp-security option-82 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-iso forwarding-options dhcp-security arp-inspection set vlans vlan-iso forwarding-options dhcp-security ip-source-guard set vlans vlan-iso forwarding-options dhcp-security ipv6-source-guard set vlans vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-iso forwarding-options dhcp-security option-82 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
ステップバイステップでの手順
プライベート VLAN(PVLAN)を設定し、その PVLAN でアクセス ポートのセキュリティ機能を設定するには、次の手順に従います。
PVLAN の設定 - プライマリ VLAN とそのセカンダリ VLAN を作成し、VLAN ID を割り当てます。インターフェイスをVLANに関連付けます。(VLANの設定の詳細については、 ELSをサポートしたEXシリーズスイッチのVLANの設定(CLI手順)を参照してください)。https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/bridging-vlans-ex-series-cli-els.html
[edit vlans] user@switch# set vlan-pri vlan-id 100 user@switch# set vlan-hr private-vlan community vlan-id 200 user@switch# set vlan-finance private-vlan community vlan-id 300 user@switch# set vlan-iso private-vlan isolated vlan-id 400 user@switch# set vlan-pri community-vlan vlan-hr user@switch# set vlan-pri community-vlan vlan-finance user@switch# set vlan-pri isolated-vlan vlan-iso
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
プライマリVLANとそのすべてのセカンダリVLANでアクセスポートのセキュリティ機能を設定します。
注:ARP インスペクション、IP ソース ガード、IPv6 ソース ガード、ネイバー探索インスペクション、DHCP オプション 82、または DHCPv6 オプションを設定すると、DHCP スヌーピングと DHCPv6 スヌーピングが自動的に設定されます。
[edit vlans] user@switch# set vlan-pri forwarding-options dhcp-security arp-inspection user@switch# set vlan-pri forwarding-options dhcp-security ip-source-guard user@switch# set vlan-pri forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-pri forwarding-options dhcp-security option-82 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-hr forwarding-options dhcp-security arp-inspection user@switch# set vlan-hr forwarding-options dhcp-security ip-source-guard user@switch# set vlan-hr forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-hr forwarding-options dhcp-security option-82 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-finance forwarding-options dhcp-security arp-inspection user@switch# set vlan-finance forwarding-options dhcp-security ip-source-guard user@switch# set vlan-finance forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-finance forwarding-options dhcp-security option-82 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-iso forwarding-options dhcp-security arp-inspection user@switch# set vlan-iso forwarding-options dhcp-security ip-source-guard user@switch# set vlan-iso forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-iso forwarding-options dhcp-security option-82 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
結果
設定モードから、スイッチで次のコマンド を入力して設定を確認します。show 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@switch# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/15 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
ge-0/0/16 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
user@switch# show vlans
vlan-finance {
vlan-id 300;
private-vlan community;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-hr {
vlan-id 200;
private-vlan community;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-iso {
vlan-id 400;
private-vlan isolated;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-pri {
vlan-id 100;
community-vlan vlan-finance;
community-vlan vlan-hr;
isolated-vlan vlan-iso;
interface {
ge-0/0/0.0;
ge-1/0/0.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
検証
アクセス セキュリティ機能が想定どおりに動作していることを確認します。
目的
PVLAN で設定したアクセス ポートのセキュリティ機能が想定どおりに動作していることを確認します。
アクション
および CLI コマンドを使用して、機能が想定どおりに動作していることを確認します。show dhcp-securityclear dhcp-security これらのコマンドの詳細については、 『セキュリティー・サービス管理ガイド』を参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/system-basics/security-services.html
ELS をサポートする単一スイッチでのプライベート VLAN の作成(CLI 手順)
このタスクでは、拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートするスイッチで Junos OS を使用します。EX シリーズ スイッチが ELS をサポートしていないソフトウェアを実行する場合は、「 シングル EX シリーズ スイッチ上でのプライベート VLAN の作成(CLI 手順)」を参照してください。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
プライベートVLANは、Junos OSリリース15.1X53を実行するQFX5100スイッチおよびQFX10002スイッチではサポートされていません。
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限したり、既知のホスト間の通信を制限したりすることが有用な場合がよくあります。PVLAN(プライベート VLAN)を使用すると、ブロードキャスト ドメイン(プライマリ VLAN)を複数の独立したブロードキャスト サブドメイン(セカンダリ VLAN)に分割でき、基本的には VLAN 内に VLAN を配置できます。この手順では、単一スイッチで PVLAN を作成する方法について説明します。
PVLAN が 1 つのスイッチで設定されている場合でも、セカンダリ VLAN ごとに VLAN ID を指定する必要があります。
プライマリVLANを事前に設定する必要はありません。このトピックでは、この PVLAN 設定手順の一部として設定されるプライマリ VLAN について説明します。
PVLANの設定に関するガイドラインのリストについては、 プライベートVLANについてを参照してください。プライベート VLAN について
単一スイッチ上でプライベート VLAN を設定するには:
1 つの QFX スイッチでのプライベート VLAN の作成
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。プライベート VLAN(PVLAN)機能を使用すると、ブロードキャスト ドメインを複数の独立したブロードキャスト サブドメインに分割し、基本的にセカンダリ VLAN をプライマリ VLAN 内に配置できます。このトピックでは、単一スイッチで PVLAN を設定する方法について説明します。
開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ VLAN の名前を設定します。(プライマリVLANは事前に設定する必要はありません。この手順の一部として設定されます)。セカンダリVLAN用のVLAN ID(タグ)を作成する必要はありません。セカンダリVLANにタグを付けても機能が損なわれることはありませんが、セカンダリVLANが単一のスイッチに設定されている場合、タグは使用されません。
PVLAN を設定する際は、以下のルールに留意してください。
プライマリVLANはタグ付きVLANである必要があります。
コミュニティ VLAN を設定する場合は、最初にプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。また、 pvlan ステートメントを使用して、プライマリVLANをプライベートに設定する必要があります。
分離 VLAN を設定する場合は、最初にプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
示されている順序で設定手順を完了すると、これらの PVLAN ルールに違反することはありません。単一スイッチ上でプライベート VLAN を設定するには:
シングルEXシリーズスイッチでのプライベートVLANの作成(CLIの手順)
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。EX シリーズ スイッチのプライベート VLAN(PVLAN)機能を使用すると、プライマリ VLAN とも呼ばれるブロードキャスト ドメインを、セカンダリ VLAN とも呼ばれる複数の独立したブロードキャスト サブドメインに分割できます。プライマリVLANをセカンダリVLANに分割すると、基本的にVLANが別のVLAN内にネストされます。このトピックでは、単一スイッチで PVLAN を設定する方法について説明します。
開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ VLAN の名前を設定します。(セカンダリVLANとは異なり、プライマリVLANを事前に設定する必要はありません。この手順により、プライマリVLANの完全な設定が得られます)。セカンダリVLANが単一のスイッチに設定されている場合、タグは必要ありませんが、セカンダリVLANをタグ付きとして設定しても、その機能に悪影響はありません。セカンダリ VLAN の設定手順については、「 EX シリーズ スイッチの VLAN の設定」を参照してください。
単一スイッチで PVLAN を設定する場合は、以下のルールに注意してください。
プライマリVLANはタグ付きVLANである必要があります。
PVLAN インターフェイス上での VoIP VLAN の設定はサポートされていません。
単一スイッチ上でプライベート VLAN を設定するには:
分離 VLAN は、このプロセスの一部としては構成されません。代わりに、プライマリVLANで が有効になっており 、分離VLANにメンバーとしてアクセスインターフェイスがある場合、内部で作成されます。no-local-switching
ルーターに接続された無作為検出ポートではなく、RVI(ルーテッドVLANインターフェイス)を使用して、オプションで分離VLANとコミュニティVLAN間のルーティングを有効にするには、 EXシリーズスイッチ上のプライベートVLANでのルーテッドVLANインターフェイスの設定を参照してください。EX シリーズスイッチ上のプライベート VLAN でのルーテッド VLAN インターフェイスの設定
EX8200スイッチまたはEX8200バーチャルシャーシのみが、RVIを使用してPVLANドメイン内の分離VLANとコミュニティVLAN間でレイヤー3トラフィックをルーティングすることをサポートしています。
複数のQFXシリーズスイッチにまたがるプライベートVLANの作成
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。プライベート VLAN(PVLAN)機能を使用すると、ブロードキャスト ドメインを複数の独立したブロードキャスト サブドメインに分割し、基本的にセカンダリ VLAN をプライマリ VLAN 内に配置できます。このトピックでは、複数のスイッチにまたがるように PVLAN を設定する方法について説明します。
開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ VLAN の名前を設定します。(プライマリVLANは事前に設定する必要はありません。この手順の一部として設定されます)。セカンダリVLAN用のVLAN ID(タグ)を作成する必要はありません。セカンダリVLANにタグを付けても機能が損なわれることはありませんが、セカンダリVLANが単一のスイッチに設定されている場合、タグは使用されません。
PVLAN の作成には、以下のルールが適用されます。
プライマリVLANはタグ付きVLANである必要があります。
コミュニティ VLAN を設定する場合は、最初にプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。また、 pvlan ステートメントを使用して、プライマリVLANをプライベートに設定する必要があります。
分離 VLAN を設定する場合は、最初にプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
示されている順序で設定手順を完了すると、これらの PVLAN ルールに違反することはありません。複数のスイッチにまたがるようにプライベートVLANを設定するには:
ELS をサポートする複数の EX シリーズ スイッチにまたがるプライベート VLAN の作成(CLI 手順)
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイル をサポートする EX シリーズ スイッチで Junos OS を使用します。スイッチが ELS をサポートしていないソフトウェアを実行している場合は、「 複数の EX シリーズ スイッチにまたがるプライベート VLAN の作成(CLI 手順)」を参照してください。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
プライベートVLANは、Junos OSリリース15.1X53を実行するQFX5100スイッチおよびQFX10002スイッチではサポートされていません。
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限したり、既知のホスト間の通信を制限したりすることが有用な場合がよくあります。PVLAN(プライベート VLAN)を使用すると、ブロードキャスト ドメイン(プライマリ VLAN)を複数の独立したブロードキャスト サブドメイン(セカンダリ VLAN)に分割でき、基本的には VLAN 内に VLAN を配置できます。この手順では、複数のスイッチにまたがるように PVLAN を設定する方法について説明します。
PVLANの設定に関するガイドラインのリストについては、 プライベートVLANについてを参照してください。プライベート VLAN について
複数のスイッチにまたがるように PVLAN を設定するには、PVLAN に参加するすべてのスイッチで次の手順を実行します。
複数のEXシリーズスイッチにまたがるプライベートVLANの作成(CLI手順)
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。EXシリーズスイッチのPVLAN(プライベートVLAN)機能を使用すると、管理者はプライマリVLANとも呼ばれるブロードキャストドメインを、セカンダリVLANとも呼ばれる複数の独立したブロードキャストサブドメインに分割できます。プライマリVLANをセカンダリVLANに分割すると、基本的にVLANが別のVLAN内にネストされます。このトピックでは、複数のスイッチにまたがるように PVLAN を設定する方法について説明します。
開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ VLAN の名前を設定します。(セカンダリVLANとは異なり、プライマリVLANを事前に設定する必要はありません。この手順により、プライマリVLANの完全な設定が得られます)。セカンダリ VLAN の設定手順については、「 EX シリーズ スイッチの VLAN の設定」を参照してください。
PVLAN の作成には、以下のルールが適用されます。
プライマリVLANはタグ付きVLANである必要があります。
セカンダリ VLAN を設定する前に、プライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
PVLAN インターフェイス上での VoIP VLAN の設定はサポートされていません。
PVLAN トランク ポートで MVRP(マルチプル VLAN 登録プロトコル)が設定されている場合、セカンダリ VLAN と PVLAN トランク ポートの設定を同じコミット操作でコミットする必要があります。
複数のスイッチにまたがるようにプライベートVLANを設定するには:
ルーターに接続された無作為検出ポートではなく、RVI(ルーテッドVLANインターフェイス)を使用して、オプションで分離VLANとコミュニティVLAN間のルーティングを有効にするには、 EXシリーズスイッチ上のプライベートVLANでのルーテッドVLANインターフェイスの設定を参照してください。EX シリーズスイッチ上のプライベート VLAN でのルーテッド VLAN インターフェイスの設定
EX8200スイッチまたはEX8200バーチャルシャーシのみが、RVIを使用してPVLANドメイン内の分離VLANとコミュニティVLAN間でレイヤー3トラフィックをルーティングすることをサポートしています。
例:ELSをサポートする単一スイッチ上でのプライベートVLANの設定
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするスイッチで Junos OS を使用します。EXスイッチがELSをサポートしていないソフトウェアを実行している場合は、 例: 1つのEXシリーズスイッチ上でのプライベートVLANの設定を参照してください。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
プライベートVLANは、Junos OSリリース15.1X53を実行するQFX5100スイッチおよびQFX10002スイッチではサポートされていません。
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限したり、既知のホスト間の通信を制限したりすることが有用な場合がよくあります。PVLAN(プライベート VLAN)を使用すると、ブロードキャスト ドメイン(プライマリ VLAN)を複数の独立したブロードキャスト サブドメイン(セカンダリ VLAN)に分割でき、基本的には VLAN 内に VLAN を配置できます。
この例では、1 つのスイッチ上で PVLAN を作成する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの Junos OS スイッチ
EX シリーズスイッチの Junos OS リリース 14.1X53-D10 以降
QFX シリーズスイッチの Junos OS リリース 14.1X53-D15 以降
概要とトポロジー
加入者のグループを分離して、セキュリティと効率を向上させることができます。この設定例では、シンプルなトポロジーを使用して、1 つのプライマリ VLAN と 3 つのセカンダリ VLAN(1 つの独立 VLAN と 2 つのコミュニティ VLAN)を持つ PVLAN を作成する方法を示します。
表 6 は、この例で使用されているトポロジーのインターフェイスの一覧です。
| インターフェイス | 説明 |
|---|---|
|
無差別メンバー ポート |
|
HRコミュニティVLANメンバーポート |
|
金融コミュニティ VLAN メンバー ポート |
|
分離メンバー ポート |
表 7 に、この例で使用されているトポロジーのVLAN IDを一覧表示します。
| VLAN ID | 説明 |
|---|---|
|
プライマリ VLAN |
|
HR コミュニティ VLAN |
|
財務コミュニティ VLAN |
|
分離 VLAN |
図 16 にこの例のトポロジーを示します。
設定
既存の VLAN をプライベート PVLAN のベースとして使用し、その中にサブドメインを作成できます。この例では、手順の一部として、VLAN 名 を使用してプライマリ VLAN を作成します。vlan-pri
PVLAN を設定するには、次のタスクを実行します。
CLIクイック構成
PVLANをすばやく作成および設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans vlan-pri vlan-id 100 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
手順
ステップバイステップでの手順
PVLAN を設定するには、次の手順を実行します。
プライベートVLANのプライマリVLAN(この例では、名前は )を作成します。vlan-pri
[edit vlans] user@switch# set vlan-pri vlan-id 100
分離 VLAN を作成し、VLAN ID を割り当てます。
[edit vlans] user@switch# set vlan-iso private-vlan isolated vlan-id 400
HR コミュニティ VLAN を作成し、VLAN ID を割り当てます。
[edit vlans] user@switch# set vlan-hr private-vlan community vlan-id 200
財務コミュニティ VLAN を作成し、VLAN ID を割り当てます。
[edit vlans] user@switch# set vlan-finance private-vlan community vlan-id 300
セカンダリVLANをプライマリVLANに関連付けます。
[edit vlans] user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
インターフェイスを適切なインターフェイス モードに設定します。
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
プライマリVLANの無作為トランクインターフェイスを設定します。このインターフェイスは、プライマリVLANがセカンダリVLANと通信するために使用します。
user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
PVLANをルーターに接続し、プライマリVLANの別のトランクインターフェイス(プロミスキャスインターフェイスでもあります)を設定します。
user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
例:1 つの QFX シリーズ スイッチでのプライベート VLAN の構成
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することが有用な場合がよくあります。プライベート VLAN(PVLAN)機能を使用すると、管理者はブロードキャスト ドメインを複数の独立したブロードキャスト サブドメインに分割し、基本的には VLAN 内に VLAN を配置できます。
この例では、1 つのスイッチ上で PVLAN を作成する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つのQFX3500デバイス
QFXシリーズのJunos OSリリース12.1以降
PVLAN の設定を開始する前に、必要な VLAN の作成と設定が完了していることを確認してください。「スイッチ上のVLANの設定」を参照してください。
概要とトポロジー
複数の建物とVLANがある大規模なオフィスでは、セキュリティ上の理由から、またはブロードキャストドメインを分割するために、一部のワークグループまたは他のエンドポイントを分離する必要がある場合があります。この設定例は、1 つのプライマリ VLAN と 2 つのコミュニティ VLAN(1 つは人事用、もう 1 つは財務用)、および 2 つの分離ポート(1 つはメール サーバ用、もう 1 つはバックアップ サーバ用)を持つ PVLAN を作成する方法を説明するシンプルなトポロジーを示しています。
表 8 に、サンプル トポロジー設定のリストを示します。
| インターフェイス | 説明 |
|---|---|
|
プライマリ VLAN()トランク インターフェイス |
|
ユーザー 1、HR コミュニティ () |
|
ユーザー 2、HR コミュニティ () |
|
ユーザー 3、財務コミュニティ () |
|
ユーザー 4、財務コミュニティ () |
|
メールサーバー、分離 () |
|
バックアップ サーバー、分離 () |
|
プライマリ VLAN()トランク インターフェイス |
設定
CLIクイック構成
PVLANをすばやく作成および設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans pvlan100 vlan-id 100 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans pvlan100 pvlan set vlans pvlan100 interface ge-0/0/0.0 set vlans pvlan100 interface ge-1/0/0.0 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans finance-comm primary-vlan pvlan100 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
手順
ステップバイステップでの手順
PVLAN を設定するには、次の手順を実行します。
プライマリVLANのVLAN IDを設定します。
[edit vlans] user@switch# set pvlan vlan-id 100
インターフェイスとポート モードを設定します。
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
プライマリVLANにローカルスイッチングを設定しないようにします。
注:プライマリVLANはタグ付きVLANである必要があります。
[edit vlans] user@switch# set pvlan100 pvlan
トランク インターフェイスをプライマリ VLAN に追加します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 user@switch# set pvlan100 interface ge-1/0/0.0
セカンダリVLANごとに、アクセスインターフェイスを設定します。
注:セカンダリVLANはタグなしVLANにすることをお勧めします。セカンダリVLANSにタグを付けても機能を損なうことはありません。ただし、1 つのスイッチでセカンダリ VLAN が設定されている場合、タグは使用されません。
[edit vlans] user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
コミュニティVLANごとに、プライマリVLANを設定します。
[edit vlans] user@switch# set hr-comm primary-vlan pvlan100 user@switch# set finance-comm primary-vlan pvlan100
プライマリVLANで分離されたインターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
結果
構成の結果を確認します。
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
hr-comm {
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
pvlan;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
プライベート VLAN とセカンダリ VLAN が作成されたことの確認
目的
スイッチでプライマリVLANとセカンダリVLANが正しく作成されたことを確認します。
アクション
show vlans コマンドを使用します。
user@switch> show vlans pvlan100 extensive
VLAN: pvlan100, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 100, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__pvlan_pvlan_ge-0/0/15.0__
__pvlan_pvlan_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk意味
出力には、プライマリVLANが作成され、それに関連するインターフェイスとセカンダリVLANが識別されていることが示されます。
例:シングルEXシリーズスイッチ上でのプライベートVLANの設定
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。EXシリーズスイッチのPVLAN(プライベートVLAN)機能を使用すると、管理者はブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的にVLAN内にVLANを配置できます。
この例では、単一の EX シリーズ スイッチで PVLAN を作成する方法について説明します。
PVLAN インターフェイスでのボイス オーバー IP(VoIP)VLAN の設定はサポートされていません。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX シリーズ スイッチ
EXシリーズスイッチのJunos OSリリース9.3以降
PVLAN の設定を開始する前に、必要な VLAN の作成と設定が完了していることを確認してください。EX シリーズスイッチの VLAN の設定を参照してください。
概要とトポロジー
複数の建物とVLANがある大規模なオフィスでは、セキュリティ上の理由から、またはブロードキャストドメインを分割するために、一部のワークグループまたは他のエンドポイントを分離する必要がある場合があります。この設定例は、1 つのプライマリ VLAN と 2 つのコミュニティ VLAN(1 つは人事用、もう 1 つは財務用)、および 2 つの分離ポート(1 つはメール サーバ用、もう 1 つはバックアップ サーバ用)を持つ PVLAN を作成する方法を説明するシンプルなトポロジーを示しています。
表 9 にトポロジー例の設定を示します。
| インターフェイス | 説明 |
|---|---|
ge-0/0/0.0 |
プライマリ VLAN()トランク インターフェイスvlan1 |
ge-0/0/11.0 |
ユーザー 1、HR コミュニティ ()hr-comm |
ge-0/0/12.0 |
ユーザー 2、HR コミュニティ ()hr-comm |
ge-0/0/13.0 |
ユーザー 3、財務コミュニティ ()finance-comm |
ge-0/0/14.0 |
ユーザー 4、財務コミュニティ ()finance-comm |
ge-0/0/15.0 |
メールサーバー、分離 ()isolated |
ge-0/0/16.0 |
バックアップ サーバー、分離 ()isolated |
ge-1/0/0.0 |
プライマリ VLAN()トランク インターフェイス pvlan |
図 17 にこの例のトポロジーを示します。
設定
PVLAN を設定するには、次のタスクを実行します。
CLIクイック構成
PVLANをすばやく作成および設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans vlan1 vlan-id 1000 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans vlan1 no-local-switching set vlans vlan1 interface ge-0/0/0.0 set vlans vlan1 interface ge-1/0/0.0 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan vlan1 set vlans finance-comm primary-vlan vlan1 set vlans vlan1 interface ge-0/0/15.0 set vlans vlan1 interface ge-0/0/16.0
手順
ステップバイステップでの手順
PVLAN を設定するには、次の手順を実行します。
プライマリVLANのVLAN IDを設定します。
[edit vlans] user@switch# set vlan1 vlan-id 1000
インターフェイスとポート モードを設定します。
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
プライマリVLANにローカルスイッチングを設定しないようにします。
注:プライマリVLANはタグ付きVLANである必要があります。
[edit vlans] user@switch# set vlan1 no-local-switching
トランク インターフェイスをプライマリ VLAN に追加します。
[edit vlans] user@switch# set vlan1 interface ge-0/0/0.0 user@switch# set vlan1 interface ge-1/0/0.0
セカンダリVLANごとに、VLAN IDとアクセスインターフェイスを設定します。
注:セカンダリVLANはタグなしVLANにすることをお勧めします。セカンダリVLANSにタグを付けても機能を損なうことはありません。ただし、1 つのスイッチでセカンダリ VLAN が設定されている場合、タグは使用されません。
[edit vlans] user@switch# set hr-comm vlan-id 400 user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm vlan-id 300 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
コミュニティVLANごとに、プライマリVLANを設定します。
[edit vlans] user@switch# set hr-comm primary-vlan vlan1 user@switch# set finance-comm primary-vlan vlan1
分離された各インターフェイスをプライマリ VLAN に追加します。
[edit vlans] user@switch# set vlan1 interface ge-0/0/15.0 user@switch# set vlan1 interface ge-0/0/16.0
結果
構成の結果を確認します。
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan vlan1;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan vlan1;
}
vlan1 {
vlan-id 1000;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
no-local-switching;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
プライベート VLAN とセカンダリ VLAN が作成されたことの確認
目的
スイッチでプライマリVLANとセカンダリVLANが正しく作成されたことを確認します。
アクション
show vlans コマンドを使用します。
user@switch> show vlans vlan1 extensive
VLAN: vlan1, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__vlan1_vlan1_ge-0/0/15.0__
__vlan1_vlan1_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 400,Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 300,Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk意味
出力には、プライマリVLANが作成され、それに関連するインターフェイスとセカンダリVLANが識別されていることが示されます。
例:複数のQFXスイッチにまたがるプライベートVLANの設定
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することが有用な場合がよくあります。プライベート VLAN(PVLAN)機能を使用すると、管理者はブロードキャスト ドメインを複数の独立したブロードキャスト サブドメインに分割し、基本的には VLAN 内に VLAN を配置できます。PVLAN は複数のスイッチにまたがることができます。
この例では、複数のスイッチにまたがる PVLAN を作成する方法を説明します。この例では、複数のセカンダリ VLAN を含む 1 つのプライマリ PVLAN を作成します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
3 つのQFX3500デバイス
QFXシリーズのJunos OSリリース12.1以降
PVLAN の設定を開始する前に、必要な VLAN の作成と設定が完了していることを確認してください。「スイッチ上のVLANの設定」を参照してください。
概要とトポロジー
複数の建物とVLANがある大規模なオフィスでは、セキュリティ上の理由から、またはブロードキャストドメインを分割するために、一部のワークグループまたは他のエンドポイントを分離する必要がある場合があります。この設定例では、2 つのコミュニティ VLAN(HR 用と経理用)を含むプライマリ VLAN と、スイッチ間分離 VLAN(メール サーバ、バックアップ サーバ、および CVS サーバ)を含む 1 つのプライマリ VLAN を使用して、複数の QFX デバイスにまたがる PVLAN を作成する方法を示します。PVLAN は、3 台のスイッチ、2 台のアクセス スイッチ、1 台の分散型スイッチで構成されています。PVLAN は、分散型スイッチで設定された無差別ポートを介してルーターに接続されます。
スイッチ 1 とスイッチ 2 の独立ポートは、同じドメイン内に含まれていても、相互にレイヤー 2 接続がありません。「プライベート VLAN について」を参照してください。
図 18 この例のトポロジーを示しています。2台のアクセススイッチが分散型スイッチに接続しており、分散型スイッチはルーターに(無差別ポートを介して)接続しています。
、 、および にトポロジー例の設定をリストします。表 10表 11表 12
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlan、タグ100 isolation-vlan-id、タグ50finance-comm、タグ300hr-comm、タグ400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0は、スイッチ 1 をスイッチ 3 に接続します ge-0/0/5.0は、スイッチ1をスイッチ2に接続します |
プライマリVLANの分離インターフェイス |
ge-0/0/15.0、メールサーバ ge-0/0/16.0、バックアップ・サーバ |
VLAN のインターフェイス finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
VLAN のインターフェイス hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlan、タグ100 isolation-vlan-id、タグ50finance-comm、タグ300hr-comm、タグ400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0は、スイッチ 2 をスイッチ 3 に接続します ge-0/0/5.0は、スイッチ2をスイッチ1に接続します |
プライマリVLANの分離インターフェイス |
ge-0/0/17.0、CVSサーバ |
VLAN のインターフェイス finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
VLAN のインターフェイス hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlan、タグ100 isolation-vlan-id、タグ50finance-comm、タグ300hr-comm、タグ400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0は、スイッチ 3 をスイッチ 1 に接続します ge-0/0/1.0は、スイッチ 3 をスイッチ 2 に接続します |
無差別ポート |
ge-0/0/2は、PVLANをルーターに接続します 注:
PVLAN を PVLAN 外の別のスイッチまたはルーターに接続するトランク ポートは、PVLAN のメンバーとして設定する必要があり、その場合、無差別ポートとして暗黙的に設定されます。 |
トポロジー
スイッチ 1 での PVLAN の設定
複数のスイッチで PVLAN を設定する場合は、次のルールが適用されます。
プライマリVLANはタグ付きVLANである必要があります。プライマリVLANを最初に設定することを推奨します。
コミュニティ VLAN ID を設定する場合は、最初にプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。また、 pvlan ステートメントを使用して、プライマリVLANをプライベートに設定する必要があります。pvlan
分離 VLAN ID を設定する場合は、最初にプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
CLIクイック構成
複数のスイッチにまたがる PVLAN をすばやく作成して設定するには、以下のコマンドをコピーして、スイッチ 1 のターミナル ウィンドウに貼り付けます。
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
手順
ステップバイステップでの手順
プライマリVLANのVLAN IDを設定します。
[edit vlans] user@switch# set pvlan100 vlan-id 100
隣接するスイッチ間でこの VLAN を接続するように PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
プライマリVLANをプライベートに設定し、ローカルスイッチングはありません。
[edit vlans] user@switch# set pvlan100 pvlan
スイッチにまたがるコミュニティVLANの VLAN IDを設定します。finance-comm
[edit vlans] user@switch# set finance-comm vlan-id 300
VLAN の アクセス インターフェイスを設定します。finance-comm
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
このセカンダリコミュニティVLANのプライマリVLANを設定します。 finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチにまたがるHRコミュニティVLANのVLAN IDを設定します。
[edit vlans] user@switch# set hr-comm vlan-id 400
VLAN の アクセス インターフェイスを設定します。hr-comm
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
このセカンダリコミュニティVLANのプライマリVLANを設定します。 hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
スイッチ間分離 ID を設定して、スイッチにまたがるスイッチ間独立ドメインを作成します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
プライマリVLANで分離されたインターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
注:独立ポートを設定する場合、プライマリ VLAN のメンバーとして含めますが、コミュニティ VLAN のメンバーとしては設定しないでください。
結果
構成の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
pvlan;
isolation-vlan-id 50;
}
}
スイッチ 2 での PVLAN の設定
CLIクイック構成
複数のスイッチにまたがるプライベートVLANをすばやく作成および設定するには、以下のコマンドをコピーして、スイッチ2のターミナルウィンドウにペーストします。
スイッチ 2 の設定は、スイッチ間分離ドメインのインターフェイスを除き、スイッチ 1 の設定と同じです。スイッチ 2 の場合、インターフェイスは です。ge-0/0/17.0
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/17.0 isolated
手順
ステップバイステップでの手順
複数のスイッチにまたがるスイッチ 2 の PVLAN を設定するには、次の手順に従います。
スイッチにまたがるコミュニティVLANの VLAN IDを設定します。finance-comm
[edit vlans] user@switch# set finance-comm vlan-id 300
VLAN の アクセス インターフェイスを設定します。finance-comm
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
このセカンダリコミュニティVLANのプライマリVLANを設定します。 finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチにまたがるHRコミュニティVLANのVLAN IDを設定します。
[edit vlans] user@switch# set hr-comm vlan-id 400
VLAN の アクセス インターフェイスを設定します。hr-comm
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
このセカンダリコミュニティVLANのプライマリVLANを設定します。 hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
プライマリVLANのVLAN IDを設定します。
[edit vlans] user@switch# set pvlan100 vlan-id 100
隣接するスイッチ間でこの VLAN を接続する PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
プライマリVLANをプライベートに設定し、ローカルスイッチングはありません。
[edit vlans] user@switch# set pvlan100 pvlan
スイッチ間分離 ID を設定して、スイッチにまたがるスイッチ間独立ドメインを作成します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
注:分離ポートを設定するには、プライマリVLANのメンバーの1つとして含めますが、コミュニティVLANの1つに属するものとしては設定しないでください。
プライマリVLANで分離インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/17.0 isolated
結果
構成の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
pvlan;
isolation-vlan-id 50;
}
}
スイッチ 3 での PVLAN の設定
CLIクイック構成
スイッチ 3 がこの PVLAN の分散型スイッチとして機能するようすばやく設定するには、以下のコマンドをコピーして、スイッチ 3 のターミナル ウィンドウに貼り付けます。
インターフェイス ge-0/0/2.0 は、PVLAN をルーターに接続するトランク ポートです。
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50
手順
ステップバイステップでの手順
スイッチ 3 がこの PVLAN の分散型スイッチとして機能するよう設定するには、次の手順を実行します。
スイッチにまたがるコミュニティVLANの VLAN IDを設定します。finance-comm
[edit vlans] user@switch# finance-comm vlan-id 300
このセカンダリコミュニティVLANのプライマリVLANを設定します。 finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチにまたがるHRコミュニティVLANのVLAN IDを設定します。
[edit vlans] user@switch# set hr-comm vlan-id 400
このセカンダリコミュニティVLANのプライマリVLANを設定します。 hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
プライマリVLANのVLAN IDを設定します。
[edit vlans] user@switch# set pvlan100 vlan-id 100
隣接するスイッチ間でこの VLAN を接続する PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
プライマリVLANをプライベートに設定し、ローカルスイッチングはありません。
[edit vlans] user@switch# set pvlan100 pvlan
スイッチ間分離 ID を設定して、スイッチにまたがるスイッチ間独立ドメインを作成します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
注:分離ポートを設定するには、プライマリVLANのメンバーの1つとして含めますが、コミュニティVLANの1つに属するものとしては設定しないでください。
結果
構成の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
pvlan;
isolation-vlan-id 50;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- プライマリVLANとセカンダリVLANがスイッチ1で作成されたことを確認する
- プライマリVLANとセカンダリVLANがスイッチ2で作成されたことを確認する
- プライマリVLANとセカンダリVLANがスイッチ3で作成されたことの確認
プライマリVLANとセカンダリVLANがスイッチ1で作成されたことを確認する
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 1 で正しく機能していることを確認します。
アクション
コマンドを使用します。show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力は、スイッチ 1 で PVLAN が作成され、2 つの独立 VLAN、2 つのコミュニティ VLAN、およびスイッチ間分離 VLAN が含まれていることを示しています。pvlan-trunk フィールドとスイッチ間分離フィールドの存在は、この PVLAN が複数のスイッチにまたがっていることを示しています。
プライマリVLANとセカンダリVLANがスイッチ2で作成されたことを確認する
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 2 で正常に動作していることを確認します。
アクション
コマンドを使用します。show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力は、スイッチ 2 で PVLAN が作成され、1 つの独立 VLAN、2 つのコミュニティ VLAN、およびスイッチ間分離 VLAN が含まれていることを示しています。pvlan-trunk フィールドとスイッチ間分離フィールドの存在は、この PVLAN が複数のスイッチにまたがっていることを示しています。この出力をスイッチ 1 の出力と比較すると、両方のスイッチが同じ PVLAN()に属していることがわかります。pvlan100
プライマリVLANとセカンダリVLANがスイッチ3で作成されたことの確認
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 3 で正しく機能していることを確認します。
アクション
コマンドを使用します。show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、スイッチ 3 で PVLAN()が設定されており、分離 VLAN、2 つのコミュニティ VLAN、スイッチ間分離 VLAN が含まれていないことが示されています。pvlan100 しかし、スイッチ 3 は分散型スイッチとして機能するため、出力には PVLAN 内のアクセス インターフェイスは含まれません。同じ PVLAN 内のスイッチ 3 から他のスイッチ(スイッチ 1 とスイッチ 2)に接続するインターフェイスのみが表示されます。pvlan-trunkpvlan100
例:IRB インターフェイスを持つ複数のスイッチにまたがるプライベート VLAN の設定
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することが有用な場合がよくあります。プライベート VLAN(PVLAN)機能を使用すると、管理者はブロードキャスト ドメインを複数の独立したブロードキャスト サブドメインに分割し、基本的には VLAN 内に VLAN を配置できます。PVLAN は複数のスイッチにまたがることができます。この例では、複数のスイッチにまたがる PVLAN を作成する方法を説明します。この例では、複数のセカンダリ VLAN を含む 1 つのプライマリ PVLAN を作成します。
PVLAN は、正規の VLAN と同様、レイヤー 2 で隔離されており、トラフィックをルーティングするには、通常はレイヤー 3 のデバイスを使用する必要があります。Junos OS 14.1X53-D30 以降では、統合型ルーティングおよびブリッジング(IRB)インターフェイスを使用して、PVLAN に接続されたデバイス間のレイヤー 3 トラフィックをルーティングできます。この方法で IRB インターフェイスを使用することで、PVLAN 内のデバイスが、他のコミュニティや分離された VLAN 内のデバイス、あるいは PVLAN 外部のデバイスとレイヤー 3 で通信することも可能です。この例では、PVLAN 設定に IRB インターフェイスを含める方法も示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
3 台の QFX シリーズまたは EX4600 スイッチ
Junos OS リリース(PVLAN を使用した QFX シリーズまたは EX4600 向け)
概要とトポロジー
複数の建物とVLANがある大規模なオフィスでは、セキュリティ上の理由から、またはブロードキャストドメインを分割するために、一部のワークグループまたは他のエンドポイントを分離する必要がある場合があります。この設定例では、2 つのコミュニティ VLAN(HR 用と経理用)を含む 1 つのプライマリ VLAN と、スイッチ間分離 VLAN(メール サーバ、バックアップ サーバ、および CVS サーバ)を使用して、複数のスイッチにまたがる PVLAN を作成する方法を示します。PVLAN は、2 台のアクセス スイッチと 1 台の分散型スイッチの 3 台のスイッチで構成されています。PVLAN 内のデバイスは、分散型スイッチで設定された IRB インターフェイスを介して、レイヤー 3 で相互に接続され、PVLAN 外部のデバイスに接続されます。
スイッチ 1 とスイッチ 2 の独立ポートは、同じドメイン内に含まれていても、相互にレイヤー 2 接続がありません。「プライベート VLAN について」を参照してください。
図 19 にこの例のトポロジーを示します。
、 、および にトポロジー例の設定をリストします。表 13表 14表 15
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
|
スイッチ間リンク インターフェイス |
|
プライマリVLANの分離インターフェイス |
|
VLAN のインターフェイス |
|
VLAN のインターフェイス |
|
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
|
スイッチ間リンク インターフェイス |
|
プライマリVLANの分離インターフェイス |
|
VLAN のインターフェイス |
|
VLAN のインターフェイス |
|
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
|
スイッチ間リンク インターフェイス |
|
無差別ポート |
注:
PVLAN を PVLAN 外の別のスイッチまたはルーターに接続するトランク ポートは、PVLAN のメンバーとして設定する必要があり、その場合、無差別ポートとして暗黙的に設定されます。 |
IRB インターフェイス |
IRB インターフェイスで無制限のプロキシ ARP を設定して ARP 解決を可能にし、IPv4 を使用するデバイスがレイヤー 3 で通信できるようにします。IPv6 トラフィックの場合、ARP 解決を可能にするには、IRB アドレスを宛先アドレスに明示的にマッピングする必要があります。 |
トポロジー
構成の概要
複数のスイッチで PVLAN を設定する場合は、次のルールが適用されます。
プライマリVLANはタグ付きVLANである必要があります。
プライマリVLANは、スイッチ間リンクインターフェイスのメンバーになり得る唯一のVLANです。
PVLAN で IRB インターフェイスを設定する場合は、次のルールが適用されます。
PVLAN に参加するスイッチの数に関係なく、PVLAN には 1 つの IRB インターフェイスのみを作成できます。
IRB インターフェイスは、PVLAN のプライマリ VLAN のメンバーである必要があります。
レイヤー 3 で接続する各ホスト デバイスは、デフォルト ゲートウェイ アドレスとして IRB の IP アドレスを使用する必要があります。
スイッチ 1 での PVLAN の設定
CLIクイック構成
複数のスイッチにまたがる PVLAN をすばやく作成して設定するには、以下のコマンドをコピーして、スイッチ 1 のターミナル ウィンドウに貼り付けます。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50 set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50
手順
ステップバイステップでの手順
インターフェイス xe-0/0/0 をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイス xe-0/0/0 を、すべての VLAN を伝送するスイッチ間リンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
pvlan100(プライマリVLAN)をインターフェイスxe-0/0/0のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
インターフェイス xe-0/0/5 をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイス xe-0/0/5 を、すべての VLAN を伝送するスイッチ間リンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
pvlan100 をインターフェイス xe-0/0/5 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
財務組織のコミュニティ VLAN を作成します。
[edit vlans] set finance-comm vlan-id 300 private-vlan community
HR 組織のコミュニティ VLAN を作成します。
[edit vlans] set hr-comm vlan-id 400 private-vlan community
メールおよびバックアップ サーバー用の分離 VLAN を作成します。
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
プライマリVLANを作成し、コミュニティおよび分離VLANをそのメンバーにします。
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
VLAN 300(コミュニティ VLAN)をインターフェイス xe-0/0/11 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
VLAN 300(コミュニティ VLAN)をインターフェイス xe-0/0/12 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
VLAN 400(コミュニティ VLAN)をインターフェイス xe-0/0/13 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
VLAN 400(コミュニティVLAN)をインターフェイス xe-0/0/14 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
VLAN 50(分離 VLAN)をインターフェイス xe-0/0/15 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
VLAN 50(分離 VLAN)をインターフェイス xe-0/0/16 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
結果
構成の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
スイッチ 2 での PVLAN の設定
CLIクイック構成
複数のスイッチにまたがるプライベートVLANをすばやく作成および設定するには、以下のコマンドをコピーして、スイッチ2のターミナルウィンドウにペーストします。
スイッチ 2 の設定は、分離 VLAN を除いてスイッチ 1 の設定と同じです。スイッチ 2 では、分離 VLAN インターフェイスは です。xe-0/0/17.0
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50
手順
ステップバイステップでの手順
インターフェイス xe-0/0/0 をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイス xe-0/0/0 を、すべての VLAN を伝送するスイッチ間リンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
pvlan100(プライマリVLAN)をインターフェイスxe-0/0/0のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
インターフェイス xe-0/0/5 をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイス xe-0/0/5 を、すべての VLAN を伝送するスイッチ間リンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
pvlan100 をインターフェイス xe-0/0/5 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
財務組織のコミュニティ VLAN を作成します。
[edit vlans] set finance-comm vlan-id 300 private-vlan community
HR 組織のコミュニティ VLAN を作成します。
[edit vlans] set hr-comm vlan-id 400 private-vlan community
メールおよびバックアップ サーバー用の分離 VLAN を作成します。
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
プライマリVLANを作成し、コミュニティおよび分離VLANをそのメンバーにします。
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
VLAN 300(コミュニティ VLAN)をインターフェイス xe-0/0/11 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
VLAN 300(コミュニティ VLAN)をインターフェイス xe-0/0/12 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
VLAN 400(コミュニティ VLAN)をインターフェイス xe-0/0/13 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
VLAN 400(コミュニティVLAN)をインターフェイス xe-0/0/14 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
VLAN 50(分離 VLAN)をインターフェイス xe-0/0/17 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
結果
構成の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
スイッチ 3 での PVLAN の設定
CLIクイック構成
スイッチ 3 がこの PVLAN の分散型スイッチとして機能するようすばやく設定するには、以下のコマンドをコピーして、スイッチ 3 のターミナル ウィンドウに貼り付けます。
インターフェイス xe-0/0/2.0 は、PVLAN を別のネットワークに接続するトランク ポートです。
[edit] [edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100 set vlans pvlan100 vlan-id 100 set interfaces irb unit 100 family inet address 192.168.1.1/24 set vlans pvlan100 l3-interface irb.100 set interfaces irb unit 100 proxy-arp unrestricted
手順
ステップバイステップでの手順
スイッチ 3 がこの PVLAN の分散型スイッチとして機能するよう設定するには、次の手順を実行します。
インターフェイス xe-0/0/0 をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイス xe-0/0/0 を、すべての VLAN を伝送するスイッチ間リンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
pvlan100(プライマリVLAN)をインターフェイスxe-0/0/0のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
インターフェイス xe-0/0/5 をトランクとして設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
インターフェイス xe-0/0/5 を、すべての VLAN を伝送するスイッチ間リンクとして設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
pvlan100 をインターフェイス xe-0/0/5 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
インターフェイス xe-0/0/2(プロミスキャス インターフェイス)をトランクになるように設定します。
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
pvlan100 をインターフェイス xe-0/0/2 のメンバーになるように設定します。
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
プライマリ VLAN を作成します。
[edit vlans] set vlans pvlan100 vlan-id 100
IRB インターフェイス を作成し、スイッチ 1 および 2 に接続されたデバイスが使用するサブネット内のアドレスを割り当てます。
irb[edit interfaces] set irb unit 100 family inet address 192.168.1.1/24
注:レイヤー 3 で接続する各ホスト デバイスは、IRB インターフェイスと同じサブネット内にあり、デフォルト ゲートウェイ アドレスとして IRB インターフェイスの IP アドレスを使用している必要があります。
インターフェイスをプライマリ VLAN にバインドして、IRB インターフェイスの設定を完了します。
pvlan100[edit vlans] set pvlan100 l3-interface irb.100
IRB インターフェイスの各ユニットに制限のないプロキシ ARP を設定して、ARP 解決が IPv4 トラフィックに対して機能するようにします。
[edit interfaces] set irb unit 100 proxy-arp unrestricted
注:コミュニティ内のデバイスと分離されたVLANはレイヤー2で分離されているため、IPv4を使用するデバイスがレイヤー3で通信できるように、VLAN間でARP解決が行われるようにするには、この手順が必要です。(IPv6 トラフィックの場合、ARP 解決を可能にするには、IRB アドレスを宛先アドレスに明示的にマッピングする必要があります)。
結果
構成の結果を確認します。
[edit]
user@switch# show
vlans {
pvlan100{
vlan-id 100;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- プライマリVLANとセカンダリVLANがスイッチ1で作成されたことを確認する
- プライマリVLANとセカンダリVLANがスイッチ2で作成されたことを確認する
- プライマリVLANとセカンダリVLANがスイッチ3で作成されたことの確認
プライマリVLANとセカンダリVLANがスイッチ1で作成されたことを確認する
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 1 で正しく機能していることを確認します。
アクション
コマンドを使用します。show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/15.0*, untagged, access
xe-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/15.0__
__pvlan_pvlan100_xe-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力は、スイッチ 1 で PVLAN が作成され、2 つの独立 VLAN、2 つのコミュニティ VLAN、およびスイッチ間分離 VLAN が含まれていることを示しています。トランク フィールドとスイッチ間分離フィールドの存在は、この PVLAN が複数のスイッチにまたがっていることを示しています。
プライマリVLANとセカンダリVLANがスイッチ2で作成されたことを確認する
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 2 で正常に動作していることを確認します。
アクション
コマンドを使用します。show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力は、スイッチ 2 で PVLAN が作成され、1 つの独立 VLAN、2 つのコミュニティ VLAN、およびスイッチ間分離 VLAN が含まれていることを示しています。トランク フィールドとスイッチ間分離フィールドの存在は、この PVLAN が複数のスイッチにまたがっていることを示しています。この出力をスイッチ 1 の出力と比較すると、両方のスイッチが同じ PVLAN()に属していることがわかります。pvlan100
プライマリVLANとセカンダリVLANがスイッチ3で作成されたことの確認
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 3 で正しく機能していることを確認します。
アクション
コマンドを使用します。show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力では、スイッチ 3 で PVLAN()が設定されており、分離 VLAN、2 つのコミュニティ VLAN、スイッチ間分離 VLAN が含まれていないことが示されています。pvlan100 しかし、スイッチ 3 は分散型スイッチとして機能するため、出力には PVLAN 内のアクセス インターフェイスは含まれません。同じ PVLAN 内でスイッチ 3 から他のスイッチ(スイッチ 1 とスイッチ 2)に接続する トランク インターフェイスのみが表示されます。pvlan100
例:複数のEXシリーズスイッチにまたがるプライベートVLANの設定
セキュリティ上の理由から、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限することもしばしば有用です。EXシリーズスイッチのPVLAN(プライベートVLAN)機能を使用すると、管理者はブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的にVLAN内にVLANを配置できます。PVLAN は複数のスイッチにまたがることができます。
この例では、複数のEXシリーズスイッチにまたがるPVLANを作成する方法を説明します。この例では、複数のセカンダリ VLAN を含む 1 つのプライマリ PVLAN を作成します。
PVLAN インターフェイスでのボイス オーバー IP(VoIP)VLAN の設定はサポートされていません。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
3 つの EX シリーズ スイッチ
EXシリーズスイッチ向けJunos OSリリース10.4以降
PVLAN の設定を開始する前に、必要な VLAN の作成と設定が完了していることを確認してください。EX シリーズスイッチの VLAN の設定を参照してください。
概要とトポロジー
複数の建物とVLANがある大規模なオフィスでは、セキュリティ上の理由から、またはブロードキャストドメインを分割するために、一部のワークグループまたは他のエンドポイントを分離する必要がある場合があります。この設定例では、複数の EX シリーズ スイッチにまたがる PVLAN を作成し、1 つのプライマリ VLAN に 2 つのコミュニティ VLAN(1 つは人事用、もう 1 つは経理用)と、スイッチ間分離 VLAN(メールサーバー、バックアップサーバー、および CVS サーバー用)を含む方法を示します。PVLAN は、3 台のスイッチ、2 台のアクセス スイッチ、1 台の分散型スイッチで構成されています。PVLAN は、分散型スイッチで設定された無差別ポートを介してルーターに接続されます。
スイッチ 1 とスイッチ 2 の独立ポートは、同じドメイン内に含まれていても、相互にレイヤー 2 接続がありません。プライベートVLANについてを参照してください。プライベート VLAN について
図 20 この例のトポロジーを示しています。2台のアクセススイッチが分散型スイッチに接続しており、分散型スイッチはルーターに(無差別ポートを介して)接続しています。
表 16、 表 17、および にトポロジー例の設定をリストします。表 18
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlan、タグ100 isolation-id、タグ50finance-comm、タグ300hr-comm、タグ400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0、スイッチ 1 をスイッチ 3 に接続します ge-0/0/5.0、スイッチ 1 をスイッチ 2 に接続します |
VLAN のインターフェイス isolation |
ge-0/0/15.0、メールサーバ ge-0/0/16.0、バックアップ サーバー |
VLAN のインターフェイス finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
VLAN のインターフェイス hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlan、タグ100 isolation-id、タグ50finance-comm、タグ300hr-comm、タグ400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0、スイッチ 2 をスイッチ 3 に接続します ge-0/0/5.0、スイッチ 2 をスイッチ 1 に接続します |
VLAN のインターフェイス isolation |
ge-0/0/17.0,CVS サーバ |
VLAN のインターフェイス finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
VLAN のインターフェイス hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| プロパティ | 設定 |
|---|---|
VLAN 名とタグ ID |
primary-vlan、タグ100 isolation-id、タグ50finance-comm、タグ300hr-comm、タグ400 |
PVLAN トランク インターフェイス |
ge-0/0/0.0、スイッチ 3 をスイッチ 1 に接続します ge-0/0/1.0、スイッチ 3 をスイッチ 2 に接続します |
無差別ポート |
ge-0/0/2、PVLANをルーターに接続します 注:
PVLAN を PVLAN 外の別のスイッチまたはルーターに接続するトランク ポートは、PVLAN のメンバーとして設定する必要があり、その場合、無差別ポートとして暗黙的に設定されます。 |
トポロジー
スイッチ 1 での PVLAN の設定
CLIクイック構成
複数のスイッチで PVLAN を設定する場合は、次のルールが適用されます。
プライマリVLANはタグ付きVLANである必要があります。プライマリVLANを最初に設定することを推奨します。
PVLAN インターフェイスでのボイス オーバー IP(VoIP)VLAN の設定はサポートされていません。
コミュニティ VLAN ID を設定する場合は、最初にプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
分離 VLAN ID を設定する場合は、最初にプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
PVLAN トランク ポートで MVRP が設定されている場合、セカンダリ VLAN と PVLAN トランク ポートは 1 回のコミットでコミットする必要があります。
複数のスイッチにまたがる PVLAN をすばやく作成して設定するには、以下のコマンドをコピーして、スイッチ 1 のターミナル ウィンドウに貼り付けます。
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
手順
ステップバイステップでの手順
以下の設定手順を示されている順序で完了します。また、1 回のコミットで設定をコミットする前に、すべての手順を完了してください。これは、次の3つのルールのいずれかに違反してトリガーされるエラーメッセージを回避する最も簡単な方法です。
コミュニティ VLAN ID を設定する場合は、最初にプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
分離 VLAN ID を設定する場合は、最初にプライマリ VLAN と PVLAN トランク ポートを設定する必要があります。
セカンダリVLANとPVLANトランクは、1回のコミットでコミットする必要があります。
スイッチ 1 で複数のスイッチにまたがる PVLAN を設定するには、次の手順に従います。
プライマリVLANのVLAN IDを設定します。
[edit vlans] user@switch# set pvlan100 vlan–id 100
隣接するスイッチ間でこの VLAN を接続する PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
プライマリVLANにローカルスイッチングを設定しないようにします。
[edit vlans] user@switch# set pvlan100 no-local-switching
スイッチにまたがるコミュニティVLANの VLAN IDを設定します。finance-comm
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
VLAN の アクセス インターフェイスを設定します。finance-comm
[edit vlans] user@switch# set finance-comm interface interfacege-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
このセカンダリコミュニティVLANのプライマリVLANを設定します。 finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチにまたがるHRコミュニティVLANのVLAN IDを設定します。
[edit vlans] user@switch# hr-comm vlan-id 400
VLAN の アクセス インターフェイスを設定します。hr-comm
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
このセカンダリコミュニティVLANのプライマリVLANを設定します。 hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
スイッチ間分離 ID を設定して、スイッチにまたがるスイッチ間分離ドメインを作成します。
[edit vlans] user@switch# set pvlan100 isolation-id 50
注:分離ポートを設定するには、プライマリ VLAN のメンバーの 1 つとして含めますが、コミュニティ VLAN の 1 つに属するポートとしては設定しないでください。
結果
構成の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 50;
}
}
スイッチ 2 での PVLAN の設定
CLIクイック構成
複数のスイッチにまたがるプライベートVLANをすばやく作成および設定するには、以下のコマンドをコピーして、スイッチ2のターミナルウィンドウにペーストします。
スイッチ 2 の設定は、スイッチ間分離ドメインのインターフェイスを除き、スイッチ 1 の設定と同じです。スイッチ 2 の場合、インターフェイスは です。ge-0/0/17.0
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
手順
ステップバイステップでの手順
複数のスイッチにまたがるスイッチ 2 の PVLAN を設定するには、次の手順に従います。
スイッチにまたがるコミュニティVLANの VLAN IDを設定します。finance-comm
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
VLAN の アクセス インターフェイスを設定します。finance-comm
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
このセカンダリコミュニティVLANのプライマリVLANを設定します。 finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチにまたがるHRコミュニティVLANのVLAN IDを設定します。
[edit vlans] user@switch# hr-comm vlan-id 400
VLAN の アクセス インターフェイスを設定します。hr-comm
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
このセカンダリコミュニティVLANのプライマリVLANを設定します。 hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
プライマリVLANのVLAN IDを設定します。
[edit vlans] user@switch# set pvlan100 vlan–id 100
隣接するスイッチ間でこの VLAN を接続する PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
プライマリVLANにローカルスイッチングを設定しないようにします。
[edit vlans] user@switch# set pvlan100 no-local-switching
スイッチ間分離 ID を設定して、スイッチにまたがるスイッチ間分離ドメインを作成します。
[edit vlans] user@switch# set pvlan100 isolation-id 50
注:分離ポートを設定するには、プライマリ VLAN のメンバーの 1 つとして含めますが、コミュニティ VLAN の 1 つに属するポートとしては設定しないでください。
結果
構成の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
no-local-switching;
isolation-id 50;
}
}
スイッチ 3 での PVLAN の設定
CLIクイック構成
スイッチ 3 がこの PVLAN の分散型スイッチとして機能するようすばやく設定するには、以下のコマンドをコピーして、スイッチ 3 のターミナル ウィンドウに貼り付けます。
インターフェイス ge-0/0/2.0 は、PVLAN をルーターに接続するトランク ポートです。
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
手順
ステップバイステップでの手順
スイッチ 3 がこの PVLAN の分散型スイッチとして機能するよう設定するには、次の手順を実行します。
スイッチにまたがるコミュニティVLANの VLAN IDを設定します。finance-comm
[edit vlans] user@switch# finance-comm vlan-id 300
[edit vlans] user@switch# set pvlan100 vlan–id 100
このセカンダリコミュニティVLANのプライマリVLANを設定します。 finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
スイッチにまたがるHRコミュニティVLANのVLAN IDを設定します。
[edit vlans] user@switch# hr-comm vlan-id 400
このセカンダリコミュニティVLANのプライマリVLANを設定します。 hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
プライマリVLANのVLAN IDを設定します。
[edit vlans] user@switch# set pvlan100 vlan–id 100
隣接するスイッチ間でこの VLAN を接続する PVLAN トランク インターフェイスを設定します。
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
プライマリVLANにローカルスイッチングを設定しないようにします。
[edit vlans] user@switch# set pvlan100 no-local-switching
スイッチ間分離 ID を設定して、スイッチにまたがるスイッチ間分離ドメインを作成します。
[edit vlans] user@switch# set pvlan100 isolation-id 50
注:分離ポートを設定するには、プライマリ VLAN のメンバーの 1 つとして含めますが、コミュニティ VLAN の 1 つに属するポートとしては設定しないでください。
結果
構成の結果を確認します。
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
no-local-switching;
isolation-id 50;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- プライマリVLANとセカンダリVLANがスイッチ1で作成されたことを確認する
- プライマリVLANとセカンダリVLANがスイッチ2で作成されたことを確認する
- プライマリVLANとセカンダリVLANがスイッチ3で作成されたことの確認
プライマリVLANとセカンダリVLANがスイッチ1で作成されたことを確認する
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 1 で正しく機能していることを確認します。
アクション
コマンドを使用します。show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力は、スイッチ 1 で PVLAN が作成され、2 つの独立 VLAN、2 つのコミュニティ VLAN、およびスイッチ間分離 VLAN が含まれていることを示しています。および フィールドの存在は、この PVLAN が複数のスイッチにまたがっていることを示しています。pvlan-trunkInter-switch-isolated
プライマリVLANとセカンダリVLANがスイッチ2で作成されたことを確認する
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 2 で正常に動作していることを確認します。
アクション
コマンドを使用します。show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力は、スイッチ 1 で PVLAN が作成され、2 つの独立 VLAN、2 つのコミュニティ VLAN、およびスイッチ間分離 VLAN が含まれていることを示しています。および フィールドの存在は、これが複数のスイッチにまたがる PVLAN であることを示しています。pvlan-trunkInter-switch-isolated この出力をスイッチ 1 の出力と比較すると、両方のスイッチが同じ PVLAN()に属していることがわかります。pvlan100
プライマリVLANとセカンダリVLANがスイッチ3で作成されたことの確認
目的
複数のスイッチにまたがる PVLAN 設定がスイッチ 3 で正しく機能していることを確認します。
アクション
コマンドを使用します。show vlansextensive
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__意味
出力は、PVLAN()がスイッチ3で設定されており、2つの独立VLAN、2つのコミュニティVLAN、および1つのスイッチ間分離VLANが含まれていることを示しています。pvlan100 しかし、スイッチ 3 は分散型スイッチとして機能するため、出力には PVLAN 内のアクセス インターフェイスは含まれません。同じ PVLAN 内のスイッチ 3 から他のスイッチ(スイッチ 1 とスイッチ 2)に接続するインターフェイスのみが表示されます。pvlan-trunkpvlan100
例:QFX シリーズ スイッチでセカンダリ VLAN トランク ポートと無差別アクセス ポートを使用した PVLAN の設定
この例では、セカンダリ VLAN トランク ポートと無差別アクセス ポートをプライベート VLAN 設定の一部として設定する方法を示します。セカンダリ VLAN トランク ポートは、セカンダリ VLAN トラフィックを伝送します。
この例では、拡張レイヤー2ソフトウェア(ELS)構成スタイルをサポートしないスイッチにJunos OSを使用しています。ELSの詳細については、 拡張レイヤー2ソフトウェアのCLIを使用するを参照してください。
特定のプライベートVLANにおいて、セカンダリVLANトランクポートは1つのセカンダリVLANのトラフィックのみを伝送できます。ただし、セカンダリ VLAN トランク ポートは、各セカンダリ VLAN が異なるプライベート(プライマリ)VLAN のメンバーである限り、複数のセカンダリ VLAN のトラフィックを伝送できます。たとえば、セカンダリVLANトランクポートは、プライマリVLAN pvlan100の一部であるコミュニティVLANのトラフィックを伝送し、プライマリVLAN pvlan400の一部である分離VLANのトラフィックも伝送できます。
セカンダリVLANトラフィックを伝送するようにトランクポートを設定するには、スイッチ1の設定例の手順と12に示されているinterfaceように、分離されたandステートメントを使用します。isolated13
トラフィックがセカンダリVLANトランクポートから出るとき、通常、セカンダリポートがメンバーであるプライマリVLANのタグを伝送します。セカンダリVLANトランクポートから出るトラフィックにセカンダリVLANタグを保持させるには、 extend-secondary-vlan-id ステートメントを使用します。extend-secondary-vlan-id
無差別アクセス ポートはタグなしトラフィックを伝送し、1 つのプライマリ VLAN のメンバーにしかなれません。無作為検出アクセス ポートで受信したトラフィックは、無作為検出アクセス ポートが属するプライマリ VLAN のメンバーであるセカンダリ VLAN のポートに転送されます。セカンダリVLANポートがトランクポートの場合、このトラフィックはセカンダリVLANポートから出るときに適切なセカンダリVLANタグを伝送します。
アクセス ポートを無作為に設定するには、スイッチ 2 の設定例の手順で示したように、promiscuous ステートメントを使用します。promiscuous12
トラフィックがセカンダリVLANポートで受信し、無差別アクセスポートで送信する場合、トラフィックはエグレスでタグなしになります。タグ付きトラフィックが無差別アクセス ポートで受信した場合、そのトラフィックは破棄されます。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
2 つの QFX デバイス
QFXシリーズのJunos OSリリース12.2以降
概要とトポロジー
図 21 この例で使用されているトポロジーを示しています。スイッチ 1 には、複数のプライマリおよびセカンダリプライベート VLAN が含まれており、プライマリ VLAN pvlan100 および pvlan400 のメンバーであるセカンダリ VLAN を伝送するように設定された 2 つのセカンダリ VLAN トランク ポートも含まれています。
スイッチ 2 には、同じプライベート VLAN が含まれています。この図は、スイッチ2のxe-0/0/0を、無差別アクセスポートまたは無差別トランクポートで構成したものです。ここに含まれる設定例では、このポートをプロミスキャス アクセス ポートとして設定しています。
この図は、スイッチ 1 のセカンダリ VLAN トランク ポートで受信したトラフィックの流れも示しています。
と に、両方のスイッチのトポロジー例の設定を示します。表 19表 20
| コンポーネント | 説明 |
|---|---|
pvlan100、ID 100 |
プライマリ VLAN |
pvlan400、ID 400 |
プライマリ VLAN |
comm300、ID 300 |
コミュニティVLAN、pvlan100のメンバー |
comm600、ID 600 |
コミュニティVLAN、pvlan400のメンバー |
分離-VLAN-ID 200 |
pvlan100 のメンバーである分離 VLAN の VLAN ID |
分離–VLAN ID 500 |
pvlan400 のメンバーである、分離された VLAN の VLAN ID |
xe-0/0/0.0 |
プライマリ VLAN pvlan100 および pvlan400 用のセカンダリ VLAN トランク ポート |
xe-0/0/1.0 |
プライマリ VLAN pvlan100 および pvlan400 用の PVLAN トランク ポート |
xe-0/0/2.0 |
pvlan100 用分離アクセスポート |
xe-0/0/3.0 |
comm300 用コミュニティ アクセス ポート |
xe-0/0/5.0 |
pvlan400用分離アクセスポート |
xe-0/0/6.0 |
comm600 のコミュニティ トランク ポート |
| コンポーネント | 説明 |
|---|---|
pvlan100、ID 100 |
プライマリ VLAN |
pvlan400、ID 400 |
プライマリ VLAN |
comm300、ID 300 |
コミュニティVLAN、pvlan100のメンバー |
comm600、ID 600 |
コミュニティVLAN、pvlan400のメンバー |
分離-VLAN-ID 200 |
pvlan100 のメンバーである分離 VLAN の VLAN ID |
分離–VLAN ID 500 |
pvlan400 のメンバーである、分離された VLAN の VLAN ID |
xe-0/0/0.0 |
プライマリVLAN用のプロミスキャスアクセスポートpvlan100 |
xe-0/0/1.0 |
プライマリ VLAN pvlan100 および pvlan400 用の PVLAN トランク ポート |
xe-0/0/2.0 |
独立 VLAN のセカンダリ トランク ポート、pvlan100 のメンバー |
xe-0/0/3.0 |
comm300 用コミュニティ アクセス ポート |
xe-0/0/5.0 |
pvlan400用分離アクセスポート |
xe-0/0/6.0 |
comm600 用コミュニティ アクセス ポート |
スイッチ 1 の PVLAN の設定
CLIクイック構成
スイッチ 1 で PVLAN をすばやく作成および設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
手順
ステップバイステップでの手順
プライベート VLAN とセカンダリ VLAN トランク ポートを設定するには、次の手順を実行します。
インターフェイスとポート モードを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
プライマリ VLAN を作成します。
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
注:プライマリVLANは、1つのデバイス上にのみ存在する場合でも、常にVLANにタグを付ける必要があります。
プライマリVLANをプライベートに設定します。
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
スイッチ間でプライベート VLAN トラフィックを伝送するように PVLAN トランク ポートを構成します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
VLAN ID 300 のセカンダリ VLAN comm300 を作成します。
[edit vlans] user@switch# set comm300 vlan-id 300
comm300 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
comm300 のインターフェイスを設定します。
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
VLAN ID 600 のセカンダリ VLAN comm600 を作成します。
[edit vlans] user@switch# set comm600 vlan-id 600
comm600 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
comm600 のインターフェイスを設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
インタースイッチ分離VLANを設定します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
注:セカンダリVLANトランクポートに分離VLANを伝送するように設定する場合は、 isoation-vlan-idも設定する必要があります。isolation-vlan-idこれは、分離されたVLANが1つのスイッチにのみ存在する場合にも当てはまります。
トランク ポート xe-0/0/0 がプライマリ VLAN のセカンダリ VLAN を伝送できるようにします。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
トランクポートxe-0/0/0をcomm600(pvlan400のメンバー)を伝送するように設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
注:と の設定時に作成された分離VLANには、pvlan100およびpvlan400のすべての分離ポート(xe-0/0/0.0を含む)が自動的に含まれるため、分離VLANトラフィック(タグ200および500)を伝送するためにxe-0/0/0を明示的に設定する必要はありません。
isolation-vlan-id 200isolation-vlan-id 500xe-0/0/2 と xe-0/0/6 を分離するように設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
結果
スイッチ 1 の設定の結果を確認します。
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
スイッチ 2 の PVLAN の設定
スイッチ 2 の設定は、スイッチ 1 の設定とほぼ同じです。最も大きな違いは、図に示すように、 スイッチ2のxe-0/0/0が無差別トランクポートまたは無差別アクセスポートとして設定されていることです。図 21次の設定では、xe-0/0/0 がプライマリ VLAN pvlan100 のプロミスキャス アクセス ポートとして設定されています。
トラフィックがVLAN対応ポートで受信し、無差別アクセスポートで送信された場合、VLANタグは出力で破棄され、その時点でトラフィックのタグは解除されます。たとえば、スイッチ1のxe-0/0/0.0に設定されたセカンダリVLANトランクポート上のcomm600イングレスのトラフィックは、セカンダリVLANを介して転送されるときにタグ600を伝送します。スイッチ2でxe-0/0/0.0からエグレスする場合、この例のようにxe-0/0/0.0を無差別アクセスポートとして設定するとタグが解除されます。代わりに xe-0/0/0.0 を無差別トランク ポート(ポートモード トランク)として設定すると、comm600 のトラフィックは出力時にプライマリ VLAN タグ(400)を伝送します。
CLIクイック構成
スイッチ 2 で PVLAN をすばやく作成および設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
手順
ステップバイステップでの手順
プライベート VLAN とセカンダリ VLAN トランク ポートを設定するには、次の手順を実行します。
インターフェイスとポート モードを設定します。
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
プライマリ VLAN を作成します。
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
プライマリVLANをプライベートに設定します。
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
スイッチ間でプライベート VLAN トラフィックを伝送するように PVLAN トランク ポートを構成します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
VLAN ID 300 のセカンダリ VLAN comm300 を作成します。
[edit vlans] user@switch# set comm300 vlan-id 300
comm300 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
comm300 のインターフェイスを設定します。
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
VLAN ID 600 のセカンダリ VLAN comm600 を作成します。
[edit vlans] user@switch# set comm600 vlan-id 600
comm600 のプライマリ VLAN を設定します。
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
comm600 のインターフェイスを設定します。
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- スイッチ 1 の PVLAN の設定
インタースイッチ分離VLANを設定します。
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
アクセスポートxe-0/0/0をpvlan100に対してプロミスキャスになるように設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
注:無差別アクセス ポートは、1 つのプライマリ VLAN のみのメンバーになることができます。
xe-0/0/2 と xe-0/0/6 を分離するように設定します。
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
結果
スイッチ 2 の設定の結果を確認します。
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
プライベート VLAN とセカンダリ VLAN が作成されたことの確認
目的
プライマリVLANとセカンダリVLANがスイッチ1で正しく作成されたことを確認します。
アクション
show vlans コマンドを使用します。
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
意味
出力には、プライベートVLANが作成されたことが表示され、それらに関連付けられたインターフェイスとセカンダリVLANが識別されます。
イーサネット スイッチング テーブルのエントリーの検証
目的
プライマリ VLAN pvlan100 のイーサネット スイッチング テーブルのエントリーが作成されていることを確認します。
アクション
pvlan100 のイーサネット スイッチング テーブルのエントリーを表示します。
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0
スイッチでプライベート VLAN が動作していることの検証
目的
PVLAN(プライベート VLAN)を作成および設定した後、正しく設定されていることを検証します。
アクション
プライマリおよびセカンダリVLAN構成が正常に作成されたかどうかを確認するには:
単一スイッチ上の PVLAN の場合は、 コマンドを使用します 。
show configuration vlansuser@switch> show configuration vlans community1 { interface { interface a; interface b; } primary-vlan pvlan; } community2 { interface { interface d; interface e; } primary-vlan pvlan; } pvlan { vlan-id 1000; interface { isolated1; isolated2; trunk1; trunk2; } no-local-switching; }複数のスイッチにまたがる PVLAN の場合は、 コマンドを使用します。show vlans
extensiveuser@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
1 台のスイッチ上の PVLAN または複数のスイッチにまたがる PVLAN の VLAN 情報とリンク ステータスを表示するには、 コマンドを使用します。
show vlansextensive単一スイッチ上の PVLAN の場合:
user@switch> show vlans pvlan extensive VLAN: pvlan, Created at: time 802.1Q Tag: vlan-id, Internal index: index-number, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) trunk1, tagged, trunk interface a, untagged, access interface b, untagged, access interface c, untagged, access interface d, untagged, access interface e, untagged, access interface f, untagged, access trunk2, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_isolated1__ __pvlan_pvlan_isolated2__ Community VLANs : community1 community2複数のスイッチにまたがる PVLAN の場合:
user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
VLANでのMAC学習のログを表示するには、 コマンドを使用します。
show ethernet-switching tableuser@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 1 learned VLAN MAC address Type Age Interfaces default * Flood - All-members pvlan * Flood - All-members pvlan MAC1 Replicated - interface a pvlan MAC2 Replicated - interface c pvlan MAC3 Replicated - isolated2 pvlan MAC4 Learn 0 trunk1 __pvlan_pvlan_isolated1__ * Flood - All-members __pvlan_pvlan_isolated1__ MAC4 Replicated - trunk1 __pvlan_pvlan_isolated2__ * Flood - All-members __pvlan_pvlan_isolated2__ MAC3 Learn 0 isolated2 __pvlan_pvlan_isolated2__ MAC4 Replicated - trunk1 community1 * Flood - All-members community1 MAC1 Learn 0 interface a community1 MAC4 Replicated - trunk1 community2 * Flood - All-members community2 MAC2 Learn 0 interface c community2 MAC4 Replicated - trunk1
複数のスイッチにまたがるPVLANを設定した場合、すべてのスイッチで同じコマンドを使用して、それらのスイッチのMAC学習ログを確認できます。
意味
単一スイッチ上のPVLANの出力表示で、プライマリVLANに2つのコミュニティドメイン( および)、2つの分離ポート、および 2つのトランクポートが含まれていることがわかります。community1community2 1 つのスイッチ上の PVLAN には、プライマリ VLAN 用のタグ()が 1 つだけあります。1000
複数のスイッチにまたがる PVLAN には、複数のタグが含まれます。
コミュニティドメイン はタグ で識別されます。COM1100
コミュニティドメイン はタグ で識別されます。community220
スイッチ間分離ドメインは、タグ で識別されます。50
プライマリVLAN はタグ で識別されます。primary10
また、複数のスイッチにまたがる PVLAN の場合、トランク インターフェイスは として識別 されます。pvlan-trunk
QFXスイッチでのプライベートVLANのトラブルシューティング
プライベート VLAN 設定のトラブルシューティングを行うには、以下の情報を使用します。
プライベート VLAN の制限
プライベート VLAN 構成には、次の制約が適用されます。
IGMPスヌーピングは、プライベートVLANではサポートされていません。
ルーテッドVLANインターフェイスはプライベートVLANではサポートされていません
同じプライマリVLAN内のセカンダリVLAN間のルーティングはサポートされていません。
プライマリVLANをセカンダリVLANに変更する場合は、まず通常のVLANに変更し、変更をコミットする必要があります。たとえば、次の手順に従います。
プライマリVLANを通常のVLANに変更します。
設定をコミットします。
通常の VLAN をセカンダリ VLAN に変更します。
設定をコミットします。
セカンダリVLANをプライマリVLANに変更する場合は、同じコミット順序に従ってください。つまり、セカンダリVLANを通常のVLANにしてその変更をコミットしてから、通常のVLANをプライマリVLANに変更します。
プライベートVLANによる転送
問題点
説明
分離VLANまたはコミュニティVLANタグ付きトラフィックがPVLANトランクポートで受信されると、MACアドレスがプライマリVLANから学習されます。つまり、 show ethernet-switching table コマンドの出力には、MAC アドレスがプライマリ VLAN から学習され、セカンダリ VLAN に複製されたことが示されています。この動作は、転送の決定には影響しません。
セカンダリVLANタグを持つパケットが無差別ポートで受信された場合、受け入れられて転送されます。
PVLAN トランク ポートで受信され、次に示す両方の条件を満たしているパケットは破棄されます。
パケットにはコミュニティVLANタグがあります。
パケットの宛先は、分離VLANで学習されたユニキャストMACアドレスまたはマルチキャストグループMACアドレスです。
PVLAN トランク ポートで受信され、次に示す両方の条件を満たしているパケットは破棄されます。
パケットには分離されたVLANタグがあります。
パケットの宛先は、コミュニティVLANで学習されたユニキャストMACアドレスまたはマルチキャストグループMACアドレスです。
プライマリVLANタグを持つパケットがセカンダリ(分離またはコミュニティ)VLANポートによって受信された場合、セカンダリポートはパケットを転送します。
1台のデバイスでコミュニティVLANを設定し、2台目のデバイスで別のコミュニティVLANを設定し、両方のコミュニティVLANが同じVLAN IDを使用する場合、一方のVLANのトラフィックをもう一方のVLANに転送できます。例えば、次の構成を想定します。
スイッチ 1 のコミュニティ VLAN comm1 は VLAN ID 50 を持ち、プライマリ VLAN pvlan100 のメンバーです。
スイッチ 2 のコミュニティ VLAN comm2 も VLAN ID 50 を持ち、プライマリ VLAN pvlan200 のメンバーです。
プライマリVLAN pvlan100は両方のスイッチに存在します。
comm1 のトラフィックがスイッチ 1 からスイッチ 2 に送信される場合、comm2 に参加しているポートに送信されます。(トラフィックは、ご想像のとおり、comm1 のポートにも転送されます。
ソリューション
これらは予期される動作です。
プライベートVLANを使用したエグレスファイアウォールフィルター
問題点
説明
プライマリVLANに出力方向のファイアウォールフィルターを適用した場合、トラフィックがプライマリVLANタグまたは分離VLANタグで出力されるときに、プライマリVLANのメンバーであるセカンダリVLANにもフィルターが適用されます。
セカンダリVLANトランクポートから無差別ポート(トランクまたはアクセス)に転送されたトラフィック
分離された VLAN を伝送するセカンダリ VLAN トランク ポートから PVLAN トランク ポートに転送されるトラフィック。
無差別ポート(トランクまたはアクセス)からセカンダリVLANトランクポートに転送されたトラフィック
PVLAN トランク ポートから転送されるトラフィック。セカンダリVLANトランクポートへ
コミュニティポートから無差別ポート(トランクまたはアクセス)に転送されたトラフィック
プライマリVLANに出力方向のファイアウォールフィルターを適用した場合、その フィルターは、 以下に示すように、コミュニティVLANタグでエグレスするトラフィックには適用されません。
コミュニティ トランク ポートから PVLAN トランク ポートに転送されたトラフィック
コミュニティ VLAN を伝送するセカンダリ VLAN トランク ポートから PVLAN トランク ポートに転送されるトラフィック
無差別ポート(トランクまたはアクセス)からコミュニティ トランク ポートに転送されたトラフィック
PVLAN トランク ポートから転送されるトラフィック。コミュニティトランクポートへ
コミュニティVLANに出力方向のファイアウォールフィルターを適用すると、次の動作が適用されます。
このフィルターは、無差別ポート(トランクまたはアクセス)からコミュニティ トランク ポートに転送されるトラフィックに適用されます(トラフィックがコミュニティ VLAN タグで出力されるため)。
このフィルターは、コミュニティ ポートから PVLAN トランク ポートに転送されるトラフィックに適用されます(トラフィックがコミュニティ VLAN タグで出力されるため)。
この フィルターは、 コミュニティポートから無差別ポートに転送されるトラフィックには適用されません(トラフィックがプライマリVLANタグまたはタグなしで出力されるため)。
ソリューション
これらは予期される動作です。これらは、出力方向のプライベートVLANにファイアウォールフィルターを適用した場合にのみ発生し、入力方向のプライベートVLANにファイアウォールフィルターを適用した場合は発生しません。
プライベートVLANを使用したエグレスポートミラーリング
問題点
説明
エグレスでプライベート VLAN(PVLAN)トラフィックをミラーリングするポートミラーリング設定を作成した場合、ミラーリングされたトラフィック(アナライザ システムに送信されるトラフィック)には、エグレス VLAN ではなくイングレス VLAN の VLAN タグが付きます。たとえば、次の PVLAN 設定があるとします。
プライマリ VLAN pvlan100 および pvlan400 を伝送する無差別トランク ポート。
セカンダリVLAN分離200を伝送する分離アクセスポート。この VLAN は、プライマリ VLAN pvlan100 のメンバーです。
セカンダリ VLAN comm300 を伝送するコミュニティ ポート。この VLAN は、プライマリ VLAN pvlan100 のメンバーでもあります。
アナライザシステムに接続する出力インターフェイス(監視インターフェイス)。このインターフェイスは、ミラーリングされたトラフィックをアナライザに転送します。
pvlan100 のパケットが無差別トランク ポートで入力され、分離アクセス ポートで出力される場合、元のパケットはアクセス ポートで出力されるため、エグレスではタグなしになります。ただし、ミラーコピーは、アナライザに送信されるときにpvlan100のタグを保持します。
別の例を次に示します。comm300 のパケットがコミュニティ ポートで受信し、無差別トランク ポートで出力される場合、元のパケットは予想通り、出力で pvlan100 のタグを伝送します。ただし、ミラーリングされたコピーは、アナライザーに送信されるときに comm300 のタグを保持します。
ソリューション
これは正常な動作です。