Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

プライベート VLAN

プライベート Vlan について

Vlan は指定されたユーザーにブロードキャストを制限します。プライベート Vlan (PVLANs) は、VLAN 内の通信を制限することによって、この概念をさらに一歩進めます。これを実現するために、PVLANs はメンバースイッチポート (プライベートポートと呼ばれる) を通過するトラフィックフローを制限し、指定されたアップリンクトランクポートまたは同一 VLAN 内で指定されたポートとのみ通信するようにします。アップリンクトランクポートまたはリンクアグリゲーショングループ (LAG) は通常、ルーター、ファイアウォール、サーバー、またはプロバイダネットワークに接続されています。各 PVLAN には通常、1つのアップリンクポートとのみ通信する多数のプライベートポートが含まれているため、ポート間の相互通信ができません。

PVLANs は、VLAN 内のポート間でレイヤー2の分離を提供し、プライマリ VLAN 内にセカンダリ Vlan (コミュニティー vlan と分離された vlan) を作成して、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割します。同じコミュニティー VLAN 内のポートが相互に通信できます。独立した VLAN 内のポートは、1つのアップリンクポートとのみ通信できます。

通常の VLAN と同様に、PVLA はレイヤー 2 で分離され、セカンダリ VLAN 間でレイヤー 3 トラフィックをルーティングするために、以下のいずれかのオプションを必要とします。

  • プロミスカスポート接続 (ルーター使用時)

  • RVI (ルーティングされた VLAN インターフェイス)

注:

PVLAN では、セカンダリ Vlan 間でレイヤー3トラフィックをルーティングするために、前述のオプションの1つだけを必要としています。RVI を使用する場合でも、プロミスカスポートをルーターに接続して実装することで、PVLAN を出入りするトラフィックのみを処理するように設定することができます。

PVLANs は、ブロードキャストおよび不明なユニキャストトラフィックのフローを制限し、既知のホスト間の通信を制限するのに役立ちます。サービスプロバイダは PVLANs を使用して、お客様の相互の分離を維持しています。PVLAN のもう1つの一般的な用途は、ホテルで部屋単位のインターネットアクセスを提供することです。

注:

PVLAN を構成して、PVLANs をサポートするスイッチにまたがることができます。

このトピックでは、EX シリーズスイッチの PVLANs に関する以下の概念について説明します。

PVLANs のメリット

単一の VLAN を分離する必要があるのは、以下の導入シナリオにおいて特に便利です。

  • サーバー ファーム — 一般的なインターネット サービス プロバイダは、サーバー ファームを使用して多数の顧客に Web ホスティングを提供しています。1台のサーバーファーム内のさまざまなサーバーを特定することで、管理が容易になります。レイヤー2ブロードキャストが VLAN 内のすべてのサーバーに配信されるため、すべてのサーバーが同じ VLAN 内にある場合、セキュリティの問題が発生します。

  • メトロポリタンイーサネットネットワーク :メトロサービスプロバイダが、さまざまな家庭、レンタルコミュニティ、企業にレイヤー2イーサネットアクセスを提供しています。お客様に1つの VLAN を導入する従来のソリューションは、拡張性に優れていないため、管理が難しく、IP アドレスが無駄になる可能性があります。PVLANs は、安全性と効率性に優れたソリューションを提供します。

PVLANs の典型的な構造と主要アプリケーション

PVLAN は、単一のスイッチ上で設定することも、複数のスイッチにまたがるように構成することもできます。ドメインとポートのタイプは、以下のとおりです。

  • プライマリ VLAN — PVLAN のプライマリ VLAN は、PVLAN 完了用の 802.1Q タグ(VLAN ID)で定義されています。プライマリ PVLAN には、複数のセカンダリ Vlan (1 つの独立した VLAN と複数のコミュニティー Vlan) を含めることができます。

  • 隔離された VLAN/分離されたポート — プライマリ VLAN に分離された VLAN を 1 つのみ含めできます。分離された VLAN 内のインターフェイスは、パケットをプロミスカスポートまたは ISL (相互スイッチリンク) ポートにのみ転送できます。分離インターフェイスは、パケットを別の分離インターフェイスに転送することはできません。さらに、分離インターフェイスでは、別の分離インターフェイスからのパケットを受信することはできません。お客様のデバイスがゲートウェイルーターだけにアクセスする必要がある場合、デバイスは、独立したトランクポートに接続する必要があります。

  • コミュニティVLAN/コミュニティポート —1つのPVLAN内で複数のコミュニティVLANを設定できます。特定のコミュニティ VLAN 内のインターフェイスは、同じコミュニティ VLAN に属する他の任意のインターフェイスとのレイヤー2通信を確立できます。コミュニティ VLAN 内のインターフェイスは、プロミスカスポートまたは ISL ポートと通信することもできます。 たとえば、他の顧客デバイスから分離する必要があっても、互いに通信できるようにする必要がある2つの顧客デバイスがある場合は、コミュニティーポートを使用します。

  • プロミスック ポート:プロミスクロスポートは、インターフェイスが隔離されたVLANまたはコミュニティVLANに属しているかどうかに関係なく、PVLAN内のすべてのインターフェイスとレイヤー2通信をします。プロミスカスポートはプライマリ VLAN のメンバーですが、セカンダリサブドメイン内には含まれていません。通常、エンドポイントデバイスと通信する必要があるレイヤー3ゲートウェイ、DHCP サーバー、その他の信頼できるデバイスは、プロミスカスポートに接続されています。

  • ISL(スイッチ間リンク)—ISL は PVLAN 内の複数のスイッチを接続するトランク ポートで、2 つ以上の VLAN が含されています。PVLAN が複数のスイッチにまたがる場合にのみ必要となります。

PVLAN は、プライマリ・ドメイン (プライマリ VLAN) で構成されています。PVLAN では、セカンダリvlan を構成します。これは、プライマリドメイン内にサブドメインとしてネストされています。PVLAN は、単一のスイッチ上で設定することも、複数のスイッチにまたがるように構成することもできます。に図 1示されている PVLAN は、プライマリ PVLAN ドメインとさまざまなサブドメインを持つ2つのスイッチを備えています。

図 1: PVLAN のサブドメインPVLAN のサブドメイン

図 3示すように、PVLAN にはプライマリドメインと複数のセカンダリドメインが1つしかありません。ドメインのタイプは以下のとおりです。

  • プライマリ VLAN—フレームをダウンストリームで分離されたコミュニティ VLAN に転送するために使用される VLAN。PVLAN のプライマリ VLAN は、完全な PVLAN 用の 802.1 Q タグ (VLAN ID) を使用して定義されています。プライマリ PVLAN には、複数のセカンダリ Vlan (1 つの独立した VLAN と複数のコミュニティー Vlan) を含めることができます。

  • セカンダリ隔離された VLAN—プライマリ VLAN からのパケットのみを受信し、フレームアップストリームをプライマリ VLAN に転送する VLAN。孤立した VLAN は、プライマリ VLAN 内にネストされたセカンダリ VLAN です。プライマリ VLAN には、1つの独立した VLAN のみを含めることができます。分離された VLAN (分離インターフェイス) 内のインターフェイスは、パケットをプロミスカスポートまたは PVLAN トランクポートにのみ転送できます。分離インターフェイスは、パケットを別の分離インターフェイスに転送することはできません。また、分離インターフェイスで別の分離インターフェイスからパケットを受信することもできません。お客様のデバイスがルーターだけにアクセスする必要がある場合、デバイスは、分離されたトランクポートに接続する必要があります。

  • セカンダリ インタースイッチ独立 VLAN —PVLAN トランク ポートを介して、分離された VLAN トラフィックを 1 つのスイッチから別のスイッチに転送するために使用される VLAN。IEEE 802.1Q は、トランキング デバイスが 4 バイトの VLAN フレーム識別タブをパケット ヘッダーに挿入する内部タギング メカニズムを使用ため、スイッチ間分離 VLAN には 802.1Q タグが必要です。Interswitch 分離 VLAN は、プライマリ VLAN 内にネストされたセカンダリ VLAN です。

  • セカンダリ コミュニティ VLAN —コミュニティのメンバー間でフレームを転送し(VLAN 内のユーザーのサブセット)、プライマリ VLAN までフレームのアップストリームを転送するために使用される VLAN。コミュニティー VLAN は、プライマリ VLAN 内にネストされたセカンダリ VLAN です。1つの PVLAN 内で複数のコミュニティー Vlan を構成できます。特定のコミュニティ VLAN 内のインターフェイスは、同じコミュニティ VLAN に属する他の任意のインターフェイスとのレイヤー2通信を確立できます。コミュニティー内のインターフェイスは、プロミスカスポートまたは PVLAN トランクポートと通信することもできます。

図 2は、プライマリ VLAN (100) に2つのコミュニティードメイン(300400、1つの interswitch 分離ドメインを含む、複数のスイッチにまたがる PVLAN を示しています。

図 2: 複数のスイッチにまたがる PVLAN複数のスイッチにまたがる PVLAN
注:

プライマリおよびセカンダリ Vlan は、QFX シリーズでサポートされる 4089 Vlan 数の制限に対してカウントします。たとえば、各 VLAN はこの図 2制限をカウントします。

MX シリーズルーターの PVLANs の典型的な構造と主要アプリケーション

構成された PVLAN はプライマリドメインになり、セカンダリ Vlan はプライマリドメイン内にネストされたサブドメインになります。PVLAN は、単一のルーター上に作成できます。に図 3示されている PVLAN は、1つのルーターと、1つのプライマリ PVLAN ドメインと複数のセカンダリサブドメインを備えています。

図 3: 1つのルーターを備えた PVLAN のサブドメイン1つのルーターを備えた PVLAN のサブドメイン

ドメインのタイプは以下のとおりです。

  • プライマリ VLAN—フレームをダウンストリームで分離されたコミュニティ VLAN に転送するために使用される VLAN。

  • セカンダリ隔離された VLAN—プライマリ VLAN からのパケットのみを受信し、フレームアップストリームをプライマリ VLAN に転送する VLAN。

  • セカンダリ インタースイッチ独立 VLAN —PVLAN トランク ポートを介して、分離された VLAN トラフィックをあるルーターから別のルーターに転送するために使用される VLAN。

  • セカンダリ コミュニティ VLAN —VLAN 内のユーザーのサブセットであるコミュニティーのメンバー間でフレームを転送し、フレームアップストリームをプライマリ VLAN に転送するために使用される VLAN。

注:

PVLANs は、MPC1、MPC2、および適応型サービスを提供する MX シリーズルーター上で、MX240、MX480、MX960 のルーター、さらには拡張 LAN モードの Dpc によってサポートさ MX80 れています。

EX シリーズスイッチにおける PVLANs の一般的な構造と主要アプリケーション

注:

PVLAN のプライマリ VLAN は、完全な PVLAN 用の 802.1 Q タグ (VLAN ID) を使用して定義されています。EX9200 スイッチでは、各セカンダリ VLAN も個別の VLAN ID を使用して定義する必要があります。

図 4は、1つのスイッチ上の PVLAN を示しており、 100プライマリ vlan (vlan) には300 2 つ400のコミュニティー vlan (vlan および vlan 50) と1個の独立した vlan (vlan) が含まれています。

図 4: 単一の EX スイッチ上のプライベート VLAN単一の EX スイッチ上のプライベート VLAN

図 5では、プライマリ VLAN (VLAN 100) に2個のコミュニティー vlan (VLAN 300および vlan 400) と1個の分離された vlan (vlan 200) が含まれる、複数のスイッチをスパニングする PVLAN を示しています。また、スイッチ1と2が interswitch リンク (PVLAN トランクリンク) を介して接続されていることも示しています。

図 5: 複数の EX シリーズスイッチをまたがる PVLAN複数の EX シリーズスイッチをまたがる PVLAN

また、PVLANs に表示さ図 4図 5 、ルーターに接続するプロミスカスポートを使用して、コミュニティと孤立した vlan 間でレイヤー3トラフィックをルーティングすることもできます。ルーターに接続されたプロミスカスポートを使用する代わりに、 図 4図 5 (EX スイッチ上で) に示されているスイッチまたはスイッチのいずれかに、rvi を構成することができます。

分離およびコミュニティ Vlan 間でレイヤー3トラフィックをルーティングするには、ルーターをプロミスカスポートに接続するか、 図 4また図 5はに示すように、または、rvi を構成する必要があります。

RVI オプションを選択した場合、PVLAN ドメインのプライマリ VLAN 用に RVI を設定する必要があります。この RVI は、ドメインに1つ以上のスイッチが含まれているかどうかに関係なく、PVLAN ドメイン全体を提供します。RVI を設定した後、セカンダリ VLAN インターフェイスによって受信されたレイヤー 3 パケットは RVI にマッピングされ、RVI によってルーティングされます。

RVI を設定する場合は、プロキシアドレス解決プロトコル (ARP) も有効にして、RVI がセカンダリ VLAN インターフェイスによって受信した ARP 要求を処理できるようにする必要があります。

単一スイッチと複数のスイッチでの PVLANs の設定の詳細については、単一の EX シリーズスイッチ (CLI の手順) でのプライベート vlan の作成を参照してください。RVI の設定の詳細については、 EX シリーズスイッチのプライベート vlan でのルーティング VLAN インターフェイスの設定を参照してください。

孤立したコミュニティ Vlan 間のルーティング

分離およびコミュニティ Vlan 間でレイヤー3トラフィックをルーティングするには、外部ルーターまたはスイッチをプライマリ VLAN のトランクポートに接続する必要があります。プライマリ VLAN のトランクポートは、プロミスカスポートです。そのため、PVLAN のすべてのポートと通信できます。

PVLANs は、802.1 の Q タグを使用してパケットを識別します。

パケットが顧客固有の 802.1 Q タグでマークされている場合、そのタグは、ネットワーク内のスイッチまたはルーターのパケットの所有権を特定します。PVLAN 内では、異なるサブドメインからのパケットを追跡するために 802.1Q タグが必要な場合があります。 表 1 は、プライマリ VLAN またはセカンダリ VLAN で VLAN 802.1Q タグが必要な場合を示します。

表 1: PVLAN の Vlan に 802.1 Q タグが必要な場合

1台のスイッチ上で 複数のスイッチで

プライマリ VLAN

802.1 Q タグを指定するには、VLAN ID を設定します。

802.1 Q タグを指定するには、VLAN ID を設定します。

セカンダリ VLAN

Vlan でタグは必要ありません。

Vlan には802.1 の Q タグが必要です。

  • VLAN ID を設定して、コミュニティ VLAN ごとに 802.1 Q タグを指定します。

  • 分離 ID を設定して、分離 VLAN ID の 802.1 Q タグを指定します。

IP アドレスを効率的に使用する PVLANs

PVLANs は ip アドレスの保護と IP アドレスの効率的な割り当てを提供します。一般的なネットワークでは、Vlan は通常、単一の IP サブネットに対応しています。PVLANs では、サブネットがプライマリ VLAN に割り当てられているため、すべてのセカンダリ Vlan 内のホストは同じ IP サブネットに属しています。セカンダリ VLAN 内のホストには、プライマリ VLAN に関連付けられた IP サブネットに基づいて IP アドレスが割り当てられ、その IP サブネットマスク情報はプライマリ VLAN サブネットの内容を反映しています。ただし、各セカンダリ VLAN は個別のブロードキャストドメインです。

PVLAN のポートタイプと転送ルール

PVLANs は最大6種類のポートタイプを使用できます。「」で図 2示されたネットワークは、プロミスカスポートを使用してルーターに情報を転送します。金融および人事コミュニティーと各スイッチへの接続用コミュニティーポート、サーバーとの接続用の孤立したポート、PVLAN トランクポートによる2つの接続スイッチ. PVLAN のポートにはさまざまな制約があります。

  • プロミスック トランク ポート:プロミスクロスポートは、インターフェイスが隔離されたVLANまたはコミュニティVLANに属しているかどうかに関係なく、PVLAN内のすべてのインターフェイスとレイヤー2通信をします。プロミスカスポートはプライマリ VLAN のメンバーですが、セカンダリサブドメイン内には含まれていません。通常、エンドポイントデバイスと通信する必要があるレイヤー3ゲートウェイ、DHCP サーバー、その他の信頼できるデバイスは、プロミスカスポートに接続されています。

  • PVLAN トランク リンク —インタースイッチ リンクとも呼ばれる PVLAN トランク リンクは、PVLAN が複数のスイッチをスパンするように設定されている場合にのみ必要です。PVLAN トランクリンクは、PVLAN を構成する複数のスイッチを接続します。

  • PVLAN トランク ポート:マルチスイッチ PVLAN 設定では、スイッチをまたがって PVLAN トランク ポートが必要です。PVLAN トランクポートは、PVLAN (プライマリ VLAN、コミュニティー Vlan、interswitch 分離 VLAN) 内のすべての Vlan のメンバーであり、プライマリ VLAN とすべてのセカンダリ vlan からのトラフィックを伝送します。分離されたポート以外のすべてのポートと通信できます。

    PVLAN トランクポートと分離ポートの間の通信は通常、片方向です。インタースイッチで分離された VLAN の PVLAN トランク ポートのメンバーシップはエグレスのみであるため、分離されたポートはパケットを PVLAN トランク ポートに転送できますが、PVLAN トランク ポートは(パケットがプロミスキュー アクセス ポートに受信されていない限り)独立したポートにパケットを転送しません。そのため、プロミスキューポートと同じプライマリ VLAN 内のすべてのセカンダリ VLAN に転送されます。

  • セカンダリ VLAN トランク ポート(特に表示されません)—セカンダリ トランク ポートは、セカンダリ VLAN トラフィックを送信します。特定のプライベート VLAN に対して、セカンダリ VLAN トランクポートは1つのセカンダリ VLAN にのみトラフィックを伝送できます。ただし、セカンダリ vlan トランクポートでは、各セカンダリ VLAN が異なるプライマリ VLAN のメンバーである限り、複数のセカンダリ vlan にトラフィックを伝送できます。たとえば、セカンダリ VLAN トランクポートは、プライマリ VLAN pvlan100 の一部であるコミュニティー VLAN へのトラフィックを伝送し、プライマリ VLAN pvlan400 の一部である分離された VLAN へのトラフィックを伝送することもできます。

  • コミュニティ ポート —コミュニティ ポートは、自らおよびプロミスコマスポートと通信します。コミュニティーポートは、特定のユーザーグループのみを対象としています。これらのインターフェイスは、レイヤー2で、他のコミュニティ内の他のすべてのインターフェイスまたは PVLAN 内の独立したポートから分離されています。

  • 隔離されたアクセス ポート:隔離されたポートは、レイヤー 2 接続がプロミスミスック ポートと PVLAN トランク ポートとののみ使用されます。これらの 2 つのポートが同じ独立 VLAN(またはインタースイッチ分離 VLAN)ドメインのメンバーである場合でも、分離されたポートは別の隔離されたポートと通信できません。通常、メールサーバーやバックアップサーバーなどのサーバーは、独立したポートに接続されています。ホテルでは、各部屋は通常、独立したポートに接続されているため、ルーム間の通信は不可能ですが、各ルームはプロミスカスポート上でインターネットにアクセスできます。

  • プロミスキャス アクセス ポート(特に表示されません)—これらのポートはタグ付けされていないトラフィックを送信します。プロミスカスアクセスポートで ingresses したトラフィックは、デバイス上のすべてのセカンダリ VLAN ポートに転送されます。VLAN 対応のポートおよび egresses のプロミスカスアクセスポート上でデバイスに ingresses トラフィックが送信された場合、トラフィックは送信時にタグなしの状態になります。Ingresses のトラフィックがプロミスカスアクセスポート上にある場合、トラフィックは破棄されます。

  • インタースイッチ リンク ポート:ISL(インタースイッチ リンク)ポートはトランク ポートで、PVLAN がルーターに広がっている場合に 2 台のルーターを接続します。ISL ポートは、PVLAN 内のすべての Vlan のメンバー (プライマリ VLAN、コミュニティー Vlan、分離された VLAN) です。

    ISL ポートと分離されたポートの間の通信は単一方向です。インタースイッチで分離された VLAN の ISL ポートのメンバーシップはエグレスのみ。つまり、ISL ポート上の受信トラフィックが分離された VLAN に割り当てはされません。分離ポートはパケットを PVLAN トランクポートに転送できますが、PVLAN トランクポートから分離ポートにパケットを転送することはできません。表 3さまざまなタイプのポート間にレイヤー2接続があるかどうかをまとめます。

表 2ELS をサポートする EX シリーズスイッチにおける PVLAN 内のさまざまなタイプのポート間のレイヤー2接続をまとめています。

表 2: ELS をサポートする EX シリーズスイッチでの PVLAN ポートとレイヤー2転送

From ポートタイプ

独立したポートですか?

ポートを無差別にするには

コミュニティーポートへ

スイッチ間リンクポートをお考えですか?

分離

拒否

許可

拒否

許可

検出

許可

許可

許可

許可

コミュニティー1

拒否

許可

許可

許可

表 3: PVLAN ポートとレイヤー2接続

ポートタイプ

プロミスカストランク

PVLAN トランク

セカンダリトランク

コミュニティー

分離アクセス

プロミスカスアクセス

プロミスカストランク

あり

あり

PVLAN トランク

あり

あり

はい — 同じコミュニティーのみ

あり

あり

セカンダリトランク

あり

あり

なし

あり

なし

あり

コミュニティー

あり

あり

はい — 同じコミュニティーのみ

なし

あり

分離アクセス

あり

○ (単一方向のみ)

なし

なし

なし

あり

プロミスカスアクセス

あり

あり

なし

表 4PVLAN 内のさまざまなタイプのポート間にレイヤー2接続があるかどうかをまとめます。

表 4: ELS サポートなし EX シリーズスイッチでの PVLAN ポートとレイヤー2接続

ポートタイプ

変更後:→

From:?

検出

コミュニティー

分離

PVLAN トランク

RVI

検出

あり

あり

コミュニティー

あり

はい — 同じコミュニティーのみ

なし

あり

分離

あり

なし

なし

あり

注:

この通信は単一方向です。

あり

PVLAN トランク

あり

はい — 同じコミュニティーのみ

あり

注:

この通信は単一方向です。

あり

あり

RVI

あり

あり

に示されている通り、分離されたポートと PVLAN トランク ポート間のレイヤー 2 通信は 表 4 単一方向です。つまり、分離されたポートは PVLAN トランクポートにパケットを送信するだけで、PVLAN トランクポートは、分離されたポートからのみパケットを受信できます。逆に、PVLAN トランクポートから分離ポートにパケットを送信することはできず、孤立したポートは PVLAN トランクポートからパケットを受信することはできません。

注:

プライマリ VLAN 上no-mac-learningで有効にした場合、PVLAN 内のすべての分離された vlan (または INTERSWITCH 分離 vlan) は、その設定を継承します。ただし、任意のコミュニティ Vlan で MAC アドレス学習を無効にする場合は、それらno-mac-learningの各 vlan 上で構成する必要があります。

PVLAN の作成

「」で図 6示されているフローチャートは、pvlans 作成プロセスの一般的な考え方を示しています。ここに記載されている順序で構成手順を完了した場合、これらの PVLAN ルールに違反することはありません。(PVLAN ルールでは、PVLAN トランクポートの設定は複数のルーターにまたがる PVLAN にのみ適用されます)。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • コミュニティーの VLAN ID を構成する場合は、まずプライマリ VLAN を構成する必要があります。

  • 分離 VLAN ID を構成する場合は、まずプライマリ VLAN を構成する必要があります。

注:

PVLAN インターフェイスでの voice over IP (VoIP) VLAN の設定はサポートされていません。

1台のルーター上での VLAN の設定は、に図 6示すように、比較的簡単に行うことができます。

図 6: 単一のスイッチ上での PVLAN の構成単一のスイッチ上での PVLAN の構成

プライマリ VLAN の設定は、以下のステップで構成されています。

  1. プライマリ VLAN 名と 802.1 Q タグを構成します。

  2. プライマリ no-local-switching VLAN で設定します。

  3. プロミスカストランクポートとアクセスポートを構成します。

  4. プライマリ VLAN のプロミスカストランクとアクセスポートのメンバーになります。

プライマリ VLAN 内では、セカンダリコミュニティ Vlan またはセカンダリ分離 Vlan、あるいはその両方を構成できます。セカンダリコミュニティー VLAN の設定は、以下のステップで構成されています。

  1. 通常のプロセスを使用して VLAN を構成します。

  2. VLAN のアクセスインターフェイスを構成します。

  3. コミュニティー VLAN へのプライマリ VLAN の割り当て

隔離された VLAN のメンバーとしてアクセス インターフェイスを持ち、プライマリ VLAN でオプションが有効になっている場合、分離された VLAN は内部 no-local-switching で作成されます。

802.1 q タグは、interswitch 分離された Vlan に必要です。 IEEE 802.1 Q は、トランクデバイスが4バイトの VLAN フレーム識別タブをパケットヘッダーに挿入する内部タグ機構を使用しているため、このようなことがあります。

トランク ポートはマルチルート PVLAN 設定でのみ必要です。トランク ポートは、プライマリ VLAN とすべてのセカンダリ VLAN からのトラフィックを転送します。

プライベート Vlan の限界

プライベート VLAN 構成には、以下の制約が適用されます。

  • アクセスインターフェイスは、1つの PVLAN ドメインにのみ所属することができます。つまり、2つの異なるプライマリ Vlan に参加することはできません。

  • トランクインターフェイスは、セカンダリ Vlan が2つの異なるプライマリ vlan にある限り、2つのセカンダリ vlan のメンバーになることができます。トランクインターフェイスは、同じプライマリ vlan 内にある2つのセカンダリ vlan のメンバーになることはできません。

  • PVLAN に含まれているすべての Vlan 上で、複数のスパニングツリープロトコル (MSTP) の単一の領域を構成する必要があります。

  • VLAN スパニングツリープロトコル (VSTP) はサポートされていません。

  • IGMP スヌーピングはプライベート Vlan ではサポートされていません。

  • プライベート Vlan ではルーティング VLAN インターフェイスはサポートされていません

  • 同じプライマリ VLAN でのセカンダリ Vlan 間のルーティングはサポートされていません。

  • 構成ステートメントの中には、セカンダリ VLAN では指定できないものがあります。以下のステートメントは、プライマリ [edit vlans vlan-name switch-options] PVLAN でのみ、階層レベルで設定できます。

  • プライマリ VLAN をセカンダリ VLAN に変更する場合は、まず、それを通常の vlan に変更し、変更をコミットする必要があります。たとえば、以下の手順に従います。

    1. プライマリ VLAN を通常の VLAN に変更します。

    2. 構成をコミットします。

    3. 通常の VLAN をセカンダリ VLAN に変更します。

    4. 構成をコミットします。

    セカンダリ VLAN がプライマリ VLAN に変更されるようにする場合は、同一のコミットシーケンスに従ってください。つまり、セカンダリ VLAN を通常の vlan として設定し、その変更をコミットしてから、通常の VLAN をプライマリ VLAN に変更します。

以下の機能は、ELS 構成スタイルをサポートする Junos スイッチの PVLANs ではサポートされていません

  • DHCP セキュリティ機能 (DHCP スヌーピング、動的 ARP インスペクション、IP ソースガード)

  • 送信 VLAN ファイアウォールフィルター

  • イーサネットリング保護 (ERP)

  • 柔軟な VLAN タグ付け

  • グローバル-mac 統計

  • 統合型ルーティングおよびブリッジング (IRB) インターフェイス

  • マルチキャストスヌーピングまたは IGMP スヌーピング

  • マルチシャーシのリンクアグリゲーショングループ (MC ラグ)

  • ポート ミラーリング

  • Q イン Q トンネリング

  • VLAN スパニングツリープロトコル (VSTP)

  • ボイスオーバー IP (VoIP)

以下のステートメントは、プライマリ PVLAN の[edit vlans vlan-name switch-options]階層レベルでのみ設定できます。

複数のスイッチ間で PVLAN トラフィックフローを理解する

このトピックでは、プライベート VLAN (PVLAN) を使用して構成されたマルチスイッチネットワーク上の3つの異なるトラフィックフローについて説明します。PVLAN は、メンバーのスイッチ ポート(「プライベート ポート」と呼ばれる)を通過するトラフィック フローを制限し、同じ VLAN 内の特定のアップリンク トランク ポートまたは指定されたポートとのみ通信します。

このトピックでは、以下を説明します。

コミュニティ VLAN がタグなしトラフィックを送信

このシナリオでは、スイッチ1のコミュニティー 1 (インターフェイス ge-0/0/0) の VLAN は、タグなしトラフィックを送信します。の図 7矢印は、このトラフィックフローを表しています。

図 7: コミュニティ VLAN からタグなしトラフィックを送信コミュニティ VLAN からタグなしトラフィックを送信

このシナリオでは、スイッチ1上で以下の活動が行われます。

  • コミュニティー 1 VLAN (インターフェイス x)-0/0/0: 内容

  • pvlan100 on interface ge-0/0/0: ・

  • コミュニティー 1 VLAN (インターフェイス x)-0/0/12: トラフィックを受信

  • PVLAN トランクポート: トラフィックは、ge-1/0/2 から、タグ10を使用して ae0 から出てきます。

  • Community-2: インターフェイスがトラフィックを受信しない

  • 分離された Vlan: インターフェイスがトラフィックを受信しない

このシナリオでは、このアクティビティはスイッチ3上で行われます。

  • Community-0/0/23 (PVLAN トランク) 上のコミュニティー 1 VLAN: 内容

  • pvlan100 on interface ge-0/0/23: ・

  • Community-0/0/9 および ge-0/0/16 のコミュニティー 1 VLAN (インターフェイス): トラフィックを受信

  • プロミスカストランクポート: トラフィックは、タグ100を使用して ge 0/0/0 から抜けます。

  • Community-2: インターフェイスがトラフィックを受信しない

  • 分離された Vlan: インターフェイスがトラフィックを受信しない

孤立した VLAN でタグ付けされていないトラフィックを送信

このシナリオでは、スイッチ1上のインターフェイス ge-1/0/0 はタグなしトラフィックを送信します。の図 8矢印は、このトラフィックフローを表しています。

図 8: 孤立した VLAN からタグ付けされていないトラフィックを送信孤立した VLAN からタグ付けされていないトラフィックを送信

このシナリオでは、スイッチ1上で以下の活動が行われます。

  • インターフェイス ge での分離 VLAN1-1/0/0: 内容

  • pvlan100 on interface ge-1/0/0: ・

  • Pvlan からのトラフィックは、タグ50を使用して、1/0/2 と ae0 の間で終了します。

  • コミュニティー1およびコミュニティー-2: インターフェイスがトラフィックを受信しない

  • 分離された Vlan: インターフェイスがトラフィックを受信しない

このシナリオでは、このアクティビティはスイッチ3上で行われます。

  • インターフェイス ge 上の VLAN-0/0/23 (PVLAN トランクポート): 内容

  • pvlan100 on interface ge0/0/23: ・

  • プロミスカストランクポート: トラフィックは、タグ100を使用して ge 0/0/0 から抜けます。

  • コミュニティー1およびコミュニティー-2: インターフェイスがトラフィックを受信しない

  • 分離された Vlan: トラフィックを受信しない

PVLAN のタグ付きトラフィックをプロミスカスポートで送信

このシナリオでは、PVLAN のタグ付きトラフィックは、プロミスカスポートで送信されます。の図 9矢印は、このトラフィックフローを表しています。

図 9: PVLAN のタグ付きトラフィックをプロミスカスポートで送信PVLAN のタグ付きトラフィックをプロミスカスポートで送信

このシナリオでは、スイッチ1上で以下の活動が行われます。

  • pvlan100 VLAN on interface ae0 (PVLAN トランク): 内容

  • コミュニティー-1、コミュニティー2、およびインターフェイス ae0 上のすべての分離された Vlan: ・

  • インターフェイス ae0 上の VLAN: ・

  • Pvlan からのトラフィックは、タグ100を使用して、1/0/2 から抜けます。

  • コミュニティー1およびコミュニティー-2: インターフェイスがトラフィックを受信する

  • 分離された Vlan: トラフィックの受信

このシナリオでは、このアクティビティはスイッチ3上で行われます。

  • pvlan100 on interface ge-0/0/0: 内容

  • コミュニティー-1、Community-2、およびインターフェイス x 上の分離 Vlan-0/0/0: ・

  • インターフェイス ge 上の VLAN-0/0/0: ・

  • コミュニティー1およびコミュニティー-2: インターフェイスがトラフィックを受信する

  • 分離された Vlan: トラフィックの受信

PVLANs 上のセカンダリ VLAN トランクポートおよびプロミスカスアクセスポートについて

Vlan は指定されたユーザーにブロードキャストを制限します。プライベート Vlan (PVLANs) は、VLAN を複数のブロードキャストサブドメインに分割し、実質的にプライマリ VLAN 内にセカンダリ Vlan を配置することで、さらに一歩前進しています。PVLANs は、メンバーポートを介してトラフィックフローを制限します。これらのポートは、指定されたアップリンクトランクポートまたは同一 VLAN 内で指定されたポートとのみ通信するようになっています。アップリンクトランクポートは通常、ルーター、ファイアウォール、サーバー、またはプロバイダネットワークに接続されています。通常、PVLAN には、1つのアップリンクだけで通信する多数のプライベートポートが含まれているため、ポート間の相互通信ができません。

セカンダリトランクポートとプロミスカスアクセスポートは、次のような複雑な導入環境で使用するために PVLANs の機能を拡張します。

  • エンタープライズ VMWare インフラストラクチャ環境

  • VM 管理を使用したマルチテナントクラウドサービス

  • 複数のお客様向けの Web ホスティングサービス

たとえば、セカンダリ VLAN トランクポートを使用して、QFX デバイスをプライベート Vlan を使用して構成された VMware サーバーに接続することができます。プロミスカスアクセスポートを使用して、QFX デバイスを、トランクポートをサポートしていないもののシステムに接続することができます。ただし、プライベート Vlan に参加する必要があります。

このトピックでは、QFX シリーズの PVLANs に関する以下の概念について説明します。

PVLAN ポートタイプ

PVLANs では、次のようなポートタイプを使用できます。

  • プロミスック トランク ポート:プロミスコロケーション ポートは、ルーター、ファイアウォール、サーバー、またはプロバイダ ネットワークに接続されたアップストリーム トランク ポートです。プロミスカストランクポートは、PVLAN 内の個別およびコミュニティーポートを含むすべてのインターフェイスと通信できます。

  • PVLAN トランク ポート:マルチスイッチ PVLAN 設定では、スイッチをまたがって PVLAN トランク ポートが必要です。PVLAN トランクポートは、PVLAN (プライマリ VLAN、コミュニティー Vlan、interswitch 分離 VLAN) 内のすべての Vlan のメンバーであり、プライマリ VLAN とすべてのセカンダリ vlan からのトラフィックを伝送します。すべてのポートと通信できます。

    PVLAN トランクポートと分離ポートの間の通信は通常、片方向です。インタースイッチで分離された VLAN の PVLAN トランク ポートのメンバーシップはエグレスのみであるため、分離されたポートはパケットを PVLAN トランク ポートに転送できますが、PVLAN トランク ポートは(パケットがプロミスキュー アクセス ポートに受信されていない限り)独立したポートにパケットを転送しません。そのため、プロミスキューポートと同じプライマリ VLAN 内のすべてのセカンダリ VLAN に転送されます。

  • セカンダリ VLAN トランク ポート—セカンダリ VLAN トランク ポートは、セカンダリ VLAN トラフィックを送信します。特定のプライベート (プライマリ) VLAN では、セカンダリ VLAN トランクポートは1つのセカンダリ VLAN にのみトラフィックを伝送できます。ただし、セカンダリ vlan トランクポートでは、各セカンダリ VLAN が異なるプライマリ VLAN のメンバーである限り、複数のセカンダリ vlan にトラフィックを伝送できます。たとえば、セカンダリ VLAN トランクポートは、プライマリ VLAN pvlan100 の一部であるコミュニティー VLAN へのトラフィックを伝送し、プライマリ VLAN pvlan400 の一部である分離された VLAN へのトラフィックを伝送することもできます。

    注:

    セカンダリ VLAN トランクポートからトラフィック egresses が送信されると、通常はセカンダリポートがメンバーになっているプライマリ VLAN のタグが付けられます。セカンダリ VLAN トランク ポートから送信するトラフィックにセカンダリ VLAN タグを保持する場合は、 ステートメントを使用 extend-secondary-vlan-id します。

  • コミュニティ ポート —コミュニティ ポートは、自らおよびプロミスプロミスック ポートと通信します。コミュニティーポートは、特定のユーザーグループのみを対象としています。これらのインターフェイスは、レイヤー2で、他のコミュニティ内の他のすべてのインターフェイスまたは PVLAN 内の独立したポートから分離されています。

  • 隔離されたアクセス ポート:隔離されたポートは、プロミスクロス ポートと PVLAN トランク ポートでのみレイヤー 2 接続を提供します。独立したアクセスポートは、これら2つのポートが同じ分離 VLAN のメンバーである場合でも、別の分離されたポートと通信できません。

  • プロミスキャス アクセス ポート —これらのポートはタグ付けされていないトラフィックを送信し、1 つのプライマリ VLAN のメンバーにできます。プロミスカスアクセスポート上で ingresses されたトラフィックは、プロミスカスアクセスポートがメンバーになっているプライマリ VLAN のメンバーであるセカンダリ Vlan のポートに転送します。この場合、セカンダリ vlan ポートがトランクポートである場合、セカンダリ vlan ポートから egresses されているときに、トラフィックは適切なセカンダリ VLAN タグを伝達します。2つ目の VLAN ポートでトラフィックが ingresses、プロミスカスアクセスポート上で egresses が検出された場合は、送信時にトラフィックがタグなしになります。Ingresses のトラフィックがプロミスカスアクセスポート上にある場合、トラフィックは破棄されます。

セカンダリ VLAN トランクポートの詳細

セカンダリ VLAN トランクポートを使用する場合は、以下の点に注意してください。

  • セカンダリ VLAN トランクポートに参加する各プライマリ VLAN に分離された VLAN ID を構成する必要があります。これは、セカンダリ VLAN トランクポートが伝送されるセカンダリ Vlan が単一のデバイスに限定される場合にも該当します。

  • ポートが特定のプライマリ VLAN のセカンダリ VLAN トランクポートに設定されている場合は、同じ物理ポートを次のいずれかに設定することもできます。

    • 別のプライマリ VLAN 用のセカンダリ VLAN トランクポート

    • 別のプライマリ VLAN の PVLAN トランク

    • プロミスカストランクポート

    • 非プライベート VLAN 用アクセスポート

  • セカンダリ vlan トランクポート (セカンダリ VLAN タグ付き) と egresses が PVLAN トランクポート上で ingresses しているトラフィックは、出口でセカンダリ VLAN タグを保持します。

  • プロミスカストランクポート上のセカンダリ VLAN トランクポートと egresses で ingresses したトラフィックは、送信時に適切なプライマリ VLAN タグを持ちます。

  • Ingresses のセカンダリ VLAN トランクポートと egresses で検出されたトラフィックは、出口によってタグなしのアクセスポートになっています。

  • Ingresses がプロミスカストランクポートでプライマリ VLAN タグと egresses を備えたトラフィックが、セカンダリ VLAN トランクポート上で使用されると、送信時に適切なセカンダリ VLAN タグが送信されます。たとえば、スイッチ上で次のように構成しているとします。

    • プライマリ VLAN 100

    • プライマリ VLAN の一部としてのコミュニティー VLAN 200

    • プロミスカストランクポート

    • コミュニティー VLAN 200 を伝送するセカンダリトランクポート

    パケット ingresses は、プロミスカストランクポートでプライマリ VLAN タグ100と egresses を使用して、セカンダリ VLAN トランクポートにある場合、出口でタグ200を実行します。

使用事例

同一の物理インターフェイス上で、複数のセカンダリ vlan トランクポートを (異なるプライマリ Vlan で) 構成するか、セカンダリ VLAN トランクポートを他のタイプの VLAN ポートと組み合わせることができます。以下の使用事例では、これを行う例を挙げています。各事例でトラフィックがどのように流れるかを示します。

2個のプライマリ VLAN でのセカンダリ VLAN トランク

この使用例では、次の構成を持つ2つのスイッチがあるとします。

  • タグ100を使用したプライマリ VLAN pvlan100。

    • タグ200を使用した孤立した VLAN isolated200 は、pvlan100 のメンバーです。

    • タグ300を使用したコミュニティー VLAN comm300 は、pvlan100 のメンバーです。

  • タグ400を使用したプライマリ VLAN pvlan400。

    • タグ500を使用した孤立した VLAN isolated500 は、pvlan400 のメンバーです。

    • タグ600を使用したコミュニティー VLAN comm600 は、pvlan400 のメンバーです。

  • インターフェイス xe-0/0/0/スイッチ1は、この例で使用されるプライベート Vlan で構成された VMware サーバーに接続します (図は示されていません)。このインターフェイスは、セカンダリ vlan comm600 および pvlan100 のメンバーである分離 VLAN (タグ 200) にトラフィックを伝送するためのセカンダリ VLAN トランクポートで構成されています。

  • スイッチ2のインターフェイス xe-0/0/0 は、プロミスカストランクポートまたはプロミスカスアクセスポートとして設定されています。後者の場合は、トランクポートをサポートしていないが、この例で使用されているプライベート Vlan を使用して構成されているシステムに接続することを前提にすることができます。

  • スイッチ1では、xe-0/0/6 は comm600 のメンバーになっており、トランクポートとして設定されています。

  • スイッチ2では、xe-0/0/6 は comm600 のメンバーであり、アクセスポートとして設定されています。

図 10は、このトポロジーと、isolated200 と comm600 のトラフィックが、スイッチ1上の xe-0/0/0 で ingressing 後にフローする仕組みを示しています。トラフィックは、矢印が示す位置にのみ流れることに注意してください。たとえば、インターフェイス xe-0/0/2、xe-0/0/3、および xe-0/0/5 では、これらのインターフェイスにパケットが送信されないため、スイッチ1には矢印が付いていません。

図 10: 1つのインターフェース上で2個のセカンダリ VLAN トランクポート1つのインターフェース上で2個のセカンダリ VLAN トランクポート

以下に、VLAN isolated200 のトラフィックフローを示します。

  1. PVLAN トランクポートがすべての Vlan のメンバーであるため、スイッチ1のセカンダリ VLAN トランクポートで isolated200 ingresses のトラフィックが PVLAN トランクポートに egresses ます。パケットは、egressing 時にセカンダリ VLAN タグ (200) を保持します。
  2. スイッチ2のセカンダリ VLAN トランクポートで isolated200 ingresses のトラフィックが通過すると、egresses/0/0 になります。これは、プロミスカストランクポートまたはプロミスカスアクセスポートとして構成されています。
    • スイッチ2の xe-0/0/0 がプロミスカストランクポートとして設定されている場合、パケットはこのポートでプライマリ VLAN タグ (100) とともに送信します。

    • スイッチ2の xe-0/0/0 がプロミスカスアクセスポートとして設定されている場合は、このポートで送信したパケットはタグなしになります。

VLAN isolated200 のトラフィックは、同じ分離 VLAN のメンバーであるにもかかわらず、スイッチ1またはセカンダリ VLAN トランクポート xe-0/0/2 上の分離アクセスポート xe-0/0/2 を送信していないことに注意してください。

以下に、VLAN comm600 のトラフィックフローを示します。

  1. PVLAN トランクポートがすべての Vlan のメンバーであるため、スイッチ1のセカンダリ VLAN トランクポートで comm600 ingresses のトラフィックが PVLAN トランクポートに egresses ます。パケットは、egressing 時にセカンダリ VLAN タグ (600) を保持します。

  2. Comm600 のトラフィックは、スイッチ1のコミュニティーポート xe-0/0/6 にも egresses しています。ポートがトランクとして設定されているため、トラフィックはタグ付けされます。

  3. スイッチ2の PVLAN トランクポート上の comm600 ingresses のトラフィックが終了すると、このインターフェイスがプロミスカストランクポートとして設定されている場合は、xe-0/0/0 を egresses します。

    注:

    スイッチ2の xe-0/0/0 がプロミスカスアクセスポートとして設定されている場合、ポートは1つのプライマリ VLAN のみに参加できます。この場合、プロミスカスアクセスポートは pvlan100 の一部であるため、comm600 のトラフィックが it から送信されることはありません。

  4. Comm600 のトラフィックは、スイッチ2のコミュニティーポート xe-0/0/6 にも egresses しています。この場合、ポートモードがアクセスされているため、トラフィックはタグ付けされません。

セカンダリ VLAN トランクとプロミスカストランク

この使用例では、前の使用事例と同じポートと Vlan で2台のスイッチが構成されていると仮定し、1つの例外を除きます。この場合、xe-0/0/0/スイッチ1は VLAN pvlan100 用のセカンダリ VLAN トランクポートとして設定されており、pvlan400 用のプロミスカストランクポートとしても設定されています。

図 11このトポロジと、isolated200 (pvlan100 のメンバー) および comm600 (pvlan400 のメンバー) のトラフィックが、スイッチ1の ingressing の後に流れる方法を示します。

図 11: 1つのインターフェース上でのセカンダリ VLAN トランクとプロミスカストランク1つのインターフェース上でのセカンダリ VLAN トランクとプロミスカストランク

VLAN isolated200 のトラフィックフローは、前の使用事例と同じですが、comm600 のフローは異なります。以下に、VLAN comm600 のトラフィックフローを示します。

  1. スイッチ1の comm600 ingresses のトラフィックがコミュニティ VLAN ポート xe-0/0/6 では、スイッチ1上のプロミスカストランクポート xe-0/0/0 に egresses しています。この場合、プライマリ VLAN タグ (400) を保持しています。
  2. Comm600 のトラフィックは、PVLAN トランクポートがすべての Vlan のメンバーであるため、PVLAN トランクポート上でも egresses します。パケットは、egressing 時にセカンダリ VLAN タグ (600) を保持します。
  3. スイッチ2の PVLAN トランクポート上の comm600 ingresses のトラフィックが終了すると、このインターフェイスがプロミスカストランクポートとして設定されている場合は、xe-0/0/0 を egresses します。

    このインターフェースがプロミスカスアクセスポートとして設定されている場合は、このポートが pvlan100 のみに参加できるため、このインターフェイスが、無作為に送信されることはありません。

  4. Comm600 のトラフィックは、スイッチ2のコミュニティーポート xe-0/0/6 にも egresses しています。

セカンダリ VLAN トランクと PVLAN トランク

この使用例では、以前の使用事例と同じポートと Vlan を持つ2台のスイッチが構成されていると仮定します。この場合、スイッチ1の PVLAN トランクポートとして構成されており、pvlan400 用に構成されています。

図 12このトポロジと、comm300 (pvlan100 のメンバー) および comm600 (pvlan400 のメンバー) のトラフィックが、スイッチ1の ingressing の後に流れる方法を示します。

図 12: 1つのインターフェイス上のセカンダリ VLAN トランクと PVLAN トランク1つのインターフェイス上のセカンダリ VLAN トランクと PVLAN トランク

以下に、VLAN comm300 のトラフィックフローを示します。

  1. Comm300 ingresses のコミュニティーポート xe-0/0/3 スイッチ1上でのトラフィックは、PVLAN トランクポート xe-0/0/1 を egresses しています。その PVLAN トランクポートはすべての Vlan のメンバーであるためです。パケットは、egressing 時にセカンダリ VLAN タグ (300) を保持します。
    注:

    このインターフェイスのセカンダリ VLAN トランクのポートは comm300 ではなく isolated200 を伴うため、comm300 のトラフィックは xe-0/0/0 に送信されません。

  2. スイッチ2の PVLAN トランクポートで comm300 ingresses のトラフィックを egresses した後、この xe-0/0/0 は、プロミスカストランクポートまたはプロミスカスアクセスポートとして構成されています。
    • スイッチ2の xe-0/0/0 がプロミスカストランクポートとして設定されている場合、パケットはこのポートでプライマリ VLAN タグ (100) とともに送信します。

    • スイッチ2の xe-0/0/0 がプロミスカスアクセスポートとして設定されている場合は、このポートで送信したパケットはタグなしになります。

  3. Comm300 のトラフィックは、スイッチ2のコミュニティーポート xe-0/0/3 にも egresses しています。

以下に、VLAN comm600 のトラフィックフローを示します。

  1. Comm600 ingresses のトラフィックが PVLAN ポート xe-0/0/0/スイッチ1では、スイッチ1のコミュニティーポート xe-0/0/6 を egresses します。パケットは、xe-0/0/6 がトランクポートであるため、egressing 時にセカンダリ VLAN タグ (600) を保持します。

  2. Comm600 のトラフィックは PVLAN トランクポート xe-0/0/1 にも egresses しています。これは PVLAN トランクポートがすべての Vlan のメンバーであるためです。パケットは、egressing 時にセカンダリ VLAN タグ (600) を保持します。

  3. スイッチ2の PVLAN トランクポート上の comm600 ingresses のトラフィックが終了すると、このインターフェイスがプロミスカストランクポートとして設定されている場合は、xe-0/0/0 を egresses します。

    このインターフェースがプロミスカスアクセスポートとして設定されている場合は、このポートが pvlan100 のみに参加できるため、このインターフェイスが、無作為に送信されることはありません。

  4. Comm600 のトラフィックは、スイッチ2のコミュニティーポート xe-0/0/6 にも egresses しています。このトラフィックは、xe-0/0/6 がアクセスポートであるため、送信時にタグなしで表示されます。

セカンダリ VLAN トランクと非プライベート VLAN インターフェイス

このような使用例では、前述の使用事例と同じポートと Vlan で2つのスイッチが構成されていることを前提としています。

  • スイッチ1の xe 0/0/0/ゼロの構成:

    • VLAN pvlan100 用のセカンダリ VLAN トランクポート

    • Vlan700 のアクセスポート

  • ポート xe-0/0/6 はどちらのスイッチでも、vlan700 のアクセスポートです。

図 13このトポロジーと、isolated200 (pvlan100 のメンバー) および vlan700 のトラフィックが、スイッチ1の ingressing の後にどのように流れるかを示します。

図 13: 1つのインターフェイスでのセカンダリ VLAN トランクと非プライベート VLAN ポート1つのインターフェイスでのセカンダリ VLAN トランクと非プライベート VLAN ポート

以下に、VLAN isolated200 のトラフィックフローを示します。

  1. スイッチ1のセカンダリ VLAN トランクポートで isolated200 ingresses のトラフィックが送信された後、PVLAN トランクポートに egresses します。パケットは、egressing 時にセカンダリ VLAN タグ (200) を保持します。
  2. スイッチ2の PVLAN トランクポートで isolated200 ingresses のトラフィックを egresses した後、この xe-0/0/0 は、プロミスカストランクポートまたはプロミスカスアクセスポートとして構成されています。
    • スイッチ2の xe-0/0/0 がプロミスカストランクポートとして設定されている場合、パケットはこのポートでプライマリ VLAN タグ (100) とともに送信します。

    • スイッチ2の xe-0/0/0 がプロミスカスアクセスポートとして設定されている場合は、このポートで送信したパケットはタグなしになります。

VLAN isolated200 のトラフィックは、同じ分離 VLAN のメンバーであるにもかかわらず、スイッチ1またはセカンダリ VLAN トランクポート xe-0/0/2 上の分離アクセスポート xe-0/0/2 を送信していないことに注意してください。

Vlan700 ingresses のトラフィックが xe-0/0/0/スイッチ1のアクセスポートで構成された後、アクセスポート xe-0/0/6 を egresses しています。そのポートは同じ VLAN のメンバーであるためです。Xe-0/0/1 の PVLAN トランクはこの VLAN を持たないため、vlan700 のトラフィックはスイッチ2に転送されません (xe-0/0/スイッチ2のメンバーは vlan700)。

プロミスカスアクセスポートでのトラフィック Ingressing

この使用例では、前の使用事例と同じポートと Vlan を持つ2台のスイッチが構成されていると仮定します。この場合、スイッチ1の 0/0/0 はプロミスカスアクセスポートとして設定されており、pvlan100 のメンバーであることを除けばなりません。図 14は、このトポロジーと、タグ付けされたトラフィックが、スイッチ1上のこのインターフェースから ingressing 後にどのように流れるかを示しています。

図 14: プロミスカスアクセスポートでのトラフィック Ingressingプロミスカスアクセスポートでのトラフィック Ingressing

図に示すように、プロミスカスアクセスポートに ingresses れたタグなしトラフィックは、プロミスカスアクセスポートがメンバーになっているのと同じプライマリ VLAN のメンバーであるすべてのセカンダリ VLAN ポートに転送されるようになっています。アクセスポートから egresses されているときにトラフィックをタグなしで、スイッチ2のトランクポート (xe-0/0/2) の出口でタグ付けします。

同じインターフェイスで 802.1 X 認証とプライベート Vlan を組み合わせて使用

同一インターフェイス上での 802.1 X 認証と PVLANs の使用の理解

同じインターフェイス上で、802.1 X 認証とプライベート Vlan (PVLANs) の両方を設定できるようになりました。

IEEE 802.1X 認証により、ネットワーク エッジ セキュリティーが提供され、サプリカントの認証情報が提供され、認証サーバー(RADIUS サーバー)で一致するまで、インターフェイスでサプリカント(クライアント)との全トラフィックをブロックし、不正ユーザー アクセスからイーサネット LAN を保護します。

プライベート Vlan (PVLANs) は、VLAN 内のポート間でレイヤー2の分離を提供し、セカンダリ Vlan を作成することで、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割します。PVLANs は、ブロードキャストおよび不明なユニキャストトラフィックのフローを制限し、既知のホスト間の通信を制限するのに役立ちます。

802.1 X 認証と PVLANs の両方が構成されているスイッチで、新しいデバイスが PVLAN ネットワークに接続されている場合、デバイスは認証され、PVLAN 構成または RADIUS プロファイルに基づいてセカンダリ VLAN に割り当てられます。その後、デバイスは IP アドレスを取得し、PVLAN ネットワークへのアクセスが許可されます。

注:

本書では、802.1 X 認証やプライベート Vlan に関する詳細な情報を提供していません。これらの詳細については、各機能に固有の機能のドキュメントを参照してください。802.1 X の詳細については、『ユーザーアクセスと認証ユーザーガイド』を参照してください。PVLANs については、「イーサネットスイッチングユーザーガイド」を参照してください。

802.1 X 認証と PVLANs の組み合わせの構成ガイドライン

これらの2つの機能を同じインターフェイスで構成する場合は、以下のガイドラインと制限事項を念頭に置いてください。

  • 802.1 X 対応インターフェイスは、プロミスカスインターフェイス (設定によってプライマリ VLAN のメンバーであるインターフェイス) として設定することも、interswitch リンク (ISL) インターフェイスとして構成することもできません。

  • 論理インターフェイス上の同一の PVLAN ドメインに属する異なる VLAN を使用して、複数のユーザーを認証することはできません。たとえば、インターフェイス ge 0/0/0 がクライアント C1 および C2 として認証され、それぞれ動的 VLAN V1 と V2 に追加されている場合、V1 と V2 はそれぞれ異なる PVLAN ドメインに属している必要があります。 supplicant multiple

  • VoIP VLAN とデータ VLAN が異なる場合、これらの2つの Vlan は異なる PVLAN ドメインに存在する必要があります。

  • PVLAN のメンバーシップが変更された場合 (つまり、インターフェイスが別の PVLAN で再構成された場合)、クライアントを再認証する必要があります。

例:1つの構成でプライベート Vlan を使用した 802.1 X 認証の構成

要件

  • 18.2 R1 以降の Junos OS リリース

  • EX2300、EX3400、EX4300 スイッチ

開始する前に、認証サーバーとして使用する RADIUS サーバーを指定します。スイッチ上での RADIUS サーバー接続の指定 (CLI 手順)を参照してください。

概要

以下の構成セクションは、アクセスプロファイルの設定、802.1 X 認証の構成、最後に Vlan (PVLANs を含む) の設定を示しています。

1つの構成でプライベート Vlan を使用した 802.1 X 認証の構成

手順
CLI クイック構成
順を追った手順

1つの構成で 802.1 X 認証と PVLANs を構成するには、次のようにします。

  1. アクセスプロファイルを設定します。

    注:

    設定済みの VoIP VLAN は、PVLAN (プライマリ、コミュニティー、分離) になることはできません。

  2. 802.1 X の設定を構成します。

    注:

    構成されたデータ VLAN は、コミュニティ VLAN または独立した VLAN である場合もあります。

  3. Vlan (PVLANs を含む) を構成するには、次のようにします。

結果

設定モードから、スイッチに以下showのコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

クライアント MAC アドレスがプライマリ VLAN で学習されていることを確認します。
目的

クライアント MAC アドレスがプライマリ VLAN で学習されたことを示します。

アクション
プライマリ VLAN が認証された VLAN であることを確認します。
目的

プライマリ VLAN が認証済み VLAN として示されていることを示します。

アクション

プライベート Vlan へのアクセスポートセキュリティーの導入

PVLANs 上のアクセスポートセキュリティについて

プライベート Vlan (PVLANs) で、DHCP スヌーピングなどのアクセスポートセキュリティー機能を有効にすることができるようになりました。

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。PVLAN 機能により、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、実質的に vlan 内に VLAN を配置することができます。

イーサネット Lan は、アドレススプーフィング (偽造) やレイヤー2サービス拒否 (DoS) などの攻撃に対して、ネットワークデバイス上で脆弱になっています。以下のアクセスポートセキュリティ機能は、そのような攻撃によって発生する可能性のある情報や生産性の損失からデバイスを保護し、PVLAN でこれらのセキュリティ機能を構成できるようになりました。

  • DHCP スヌーピング:信頼できないポートでイングレス DHCP サーバー メッセージをフィルターしてブロックします。DHCP スヌーピングは dhcp リース情報のデータベースを構築して管理します。これは DHCP スヌーピングデータベースと呼ばれます。

  • DHCPv6 スヌーピング—IPv6 用の DHCP スヌーピング。

  • DHCP オプション 82 —DHCP リレー エージェント情報オプションとも呼ばれる。IP アドレスや MAC アドレスのスプーフィング、DHCP IP アドレスの枯渇などの攻撃に対するスイッチの保護に役立ちます。オプション82は、DHCP クライアントのネットワークの場所に関する情報を提供します。DHCP サーバーは、この情報を使用して、クライアントの IP アドレスまたはその他のパラメーターを実装します。

  • DHCPv6 オプション:

    • オプション 37 —DHCPv6 のリモート ID オプション、は、リモート ホストのネットワーク位置に関する情報を DHCPv6 パケットに挿入します。

    • オプション 18 —DHCPv6 の回線 ID オプション、クライアント ポートに関する情報を DHCPv6 パケットに挿入します。

    • オプション 16 —DHCPv6 のベンダー ID オプション、は、クライアント ハードウェアのベンダーに関する情報を DHCPv6 パケットに挿入します。

  • DAI(Dynamic ARP Inspection)—ARP(アドレス解決プロトコル)スプーフィング攻撃を回避します。ARP の要求と応答は、DHCP スヌーピングデータベース内のエントリと比較され、それらの比較の結果に基づいてフィルタリングの決定が行われます。

  • IPソース ガード:イーサネットLANに対するIPアドレススプーフィング攻撃の影響を緩和します。は、信頼できないアクセス インターフェイスから DHCP スヌーピング データベースに対して送信されたパケット内の送信元 IP アドレスを検証します。パケットを検証できない場合は、破棄されます。

  • IPv6 ソース ガード:IPv6 用 IP ソース ガード。

  • IPv6近隣探索検出:IPv6アドレススプーフィング攻撃を防止します。DHCPv6 スヌーピング データベースのエントリーに対する近隣探索要求および応答を比較し、比較した結果に基づいてフィルタリングを決定します。

注:

このドキュメントでは、アクセスポートのセキュリティ機能や PVLANs に関する詳細な情報は提供していません。これらの詳細については、各機能に固有の機能のドキュメントを参照してください。アクセスポートのセキュリティについては、『 Security Services 管理ガイド』を参照してください。PVLANs については、「イーサネットスイッチングユーザーガイド」を参照してください。

PVLANs にアクセスポートセキュリティ機能を導入するための構成ガイドライン

PVLANs 上でアクセスポートセキュリティー機能を構成する際には、以下のガイドラインと制限事項を念頭に置いてください。

  • プライマリ vlan とそのすべてのセカンダリ Vlan の両方に対して、同じアクセスポートセキュリティ機能を適用する必要があります。

  • PVLAN は、1つの統合ルーティングおよびブリッジング (IRB) インターフェイスのみを持つことができ、IRB インターフェイスはプライマリ VLAN 上に存在する必要があります。

  • PVLANs 上のアクセスポートセキュリティ構成の制限は、PVLANs にないアクセスポートセキュリティー機能構成の場合と同じです。『 Security Services Administration Guide 』のアクセスポートセキュリティに関する資料を参照してください。

例:PVLAN のアクセスポートセキュリティーの構成

要件

  • 18.2 R1 以降の Junos OS リリース

  • EX4300 スイッチ

概要

ここでは、以下の構成について説明します。

  • プライマリVLAN( )とその3つのセカンダリVLAN(コミュニティVLAN ( および )と分離VLAN ( )を使用したプライベート vlan-privlan-hrvlan-finance VLANの設定 vlan-iso

  • これらの Vlan 上のインターフェイス間の通信を送信するために使用されるインターフェイスの構成。

  • PVLAN を構成するプライマリおよびセカンダリ Vlan でアクセスセキュリティー機能を設定します。

表 5は、トポロジ例の設定を示しています。

表 5: アクセスポートセキュリティー機能を備えた PVLAN を構成するためのトポロジーのコンポーネント
インターフェース 説明

ge-0/0/0.0

プライマリ VLAN (vlan1) トランクインターフェイス

ge-0/0/11.0

ユーザー1、HR コミュニティー (vlan-HR)

ge-0/0/12.0

ユーザー2、HR コミュニティー (vlan-HR)

ge-0/0/13.0

ユーザー3、ファイナンスコミュニティー (vlan-finance)

ge-0/0/14.0

ユーザー4、財務コミュニティー (vlan-finance)

ge-0/0/15.0

メールサーバー、分離 (vlan-iso)

ge-0/0/16.0

バックアップ・サーバー、分離型 (vlan-iso)

ge-1/0/0.0

プライマリ VLAN (vlan-pri) トランクインターフェイス

PVLAN のアクセスポートセキュリティーの構成

手順
CLI クイック構成
順を追った手順

プライベート VLAN (PVLAN) を構成し、その PVLAN でアクセスポートセキュリティー機能を構成するには、次のようにします。

  1. PVLAN の設定 — プライマリ VLAN とそのセカンダリ VLAN を作成し、VLAN IP を割り当てします。インターフェイスを Vlan に関連付けます。(Vlan の構成の詳細については、 ELS サポートを使用した EX シリーズスイッチの vlan の構成を参照してください (CLI 手続き)。

  2. プライマリ VLAN とそのすべてのセカンダリ Vlan でアクセスポートセキュリティー機能を構成します。

    注:

    ARP インスペクション、IP ソースガード、IPv6 送信元ガード、近傍検索インスペクション、DHCP オプション82、または DHCPv6 オプションを構成する場合、DHCP スヌーピングおよび DHCPv6 スヌーピングは自動的に設定されます。

結果

設定モードから、スイッチに以下showのコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

アクセスセキュリティ機能が期待どおりに機能していることを確認する
目的

PVLAN に設定したアクセスポートのセキュリティ機能が期待どおりに機能していることを確認します。

アクション

show dhcp-securityおよびclear dhcp-security CLI コマンドを使用して、機能が期待どおりに動作していることを確認します。これらのコマンドの詳細については、『 Security Services Administration Guide 』を参照してください。

ELS サポート (CLI プロシージャ) による単一スイッチへのプライベート VLAN の作成

注:

このタスクでは、拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートするスイッチに Junos OS を使用します。EX シリーズスイッチが、ELS をサポートしていないソフトウェアを実行する場合は、単一の EX シリーズスイッチ (CLI の手順) でプライベート VLAN を作成するを参照してください。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

注:

プライベート Vlan は、Junos OS リリース 15.1 X53 を実行している QFX5100 スイッチおよび QFX10002 スイッチではサポートされていません。

セキュリティ上の理由により、ブロードキャストおよび不明なユニキャストトラフィックのフローを制限したり、既知のホスト間の通信を制限したりすると役立つことがよくあります。プライベート Vlan (PVLANs) を使用すると、ブロードキャストドメイン (プライマリ VLAN) を複数の独立したブロードキャストサブドメイン (セカンダリ Vlan) に分割し、実質的に VLAN 内に VLAN を配置することができます。この手順では、単一のスイッチ上で PVLAN を作成する方法について説明します。

注:

PVLAN が1つのスイッチで構成されている場合でも、各セカンダリ VLAN の VLAN ID を指定する必要があります。

プライマリ VLAN を事前に構成する必要はありません。このトピックでは、この PVLAN 構成手順の一部として設定されるプライマリ VLAN について説明します。

PVLANs の構成に関するガイドラインのリストについては、「プライベート vlan について」を参照してください。

単一のスイッチ上でプライベート VLAN を構成するには、次のようにします。

  1. プライマリ VLAN の VLAN ID を設定します。
  2. PVLAN のすべてのサブドメインと通信するために、プライマリ VLAN 内で少なくとも1つのインターフェイスを構成します。このインターフェイスは、プロミスカスポートとして機能します。トランクポートまたはアクセスポートのいずれかを指定できます。
  3. PVLAN を外部ルーターまたはスイッチに接続するトランクポートとして、プライマリ VLAN の別のプロミスカスインターフェイスを構成します。
  4. 分離 vlan を作成するにはisolated 、以下private-vlanのオプションを選択し、分離された vlan の vlan ID を設定します。
    注:

    プライベート VLAN 内には、独立した VLAN を1つだけ作成できます。分離された VLAN の VLAN 名の設定は必須ではありません。VLAN ID を設定する必要があります。

  5. コミュニティー VLAN を作成するにはcommunityprivate-vlan、[] オプションを選択し、このコミュニティ vlan の vlan ID を設定します。
    注:

    追加のコミュニティー Vlan を作成するには、この手順を繰り返して、コミュニティ VLAN に別の名前を指定します。コミュニティ VLAN の VLAN 名の設定は必須ではありません。VLAN ID を設定する必要があります。

  6. 次のように、分離された VLAN とプライマリ VLAN を関連付けます。
  7. 各コミュニティ VLAN をプライマリ VLAN に関連付けます。
  8. まだ実行していない場合は、分離された VLAN のインターフェイスを少なくとも1つ構成します。
  9. まだ構成していない場合は、コミュニティー VLAN の少なくとも1つのインターフェイスを設定します。
    注:

    PVLAN に追加する他のコミュニティー Vlan で同じステップを繰り返します。

単一の QFX スイッチでのプライベート VLAN の作成

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。プライベート VLAN (PVLAN) 機能を使用すると、ブロードキャストドメインを複数の分離されたブロードキャストサブドメインに分割し、基本的にプライマリ VLAN 内にセカンダリ VLAN を配置することができます。このトピックでは、単一のスイッチで PVLAN を構成する方法について説明します。

開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ Vlan の名前を構成します。(プライマリ VLAN は、この手順の一部として設定済みで、プライマリ VLAN を事前設定する必要があります)。セカンダリ VLAN の VLAN ID(タグ)を作成する必要は不要です。セカンダリ VLAN にタグ付けする場合、機能が損なわれることはありませんが、1つのスイッチ上でセカンダリ Vlan を構成したときにタグが使用されることはありません。

PVLAN を構成する際には、以下のルールを念頭に置いてください。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • コミュニティー VLAN を構成する場合は、最初にプライマリ VLAN と PVLAN トランクポートを構成する必要があります。また、 pvlan文を使用して、プライマリ VLAN をプライベートに設定する必要があります。

  • 分離された VLAN を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

ここに記載されている順序で構成手順を完了した場合、これらの PVLAN ルールに違反することはありません。単一のスイッチ上でプライベート VLAN を構成するには、次のようにします。

  1. プライマリ VLAN の名前と VLAN ID (802.1 Q タグ) を設定します。
  2. VLAN をプライベートに設定します。
  3. プライマリ VLAN のトランクインターフェイスを構成します。
  4. トランクインターフェイスをプライマリ VLAN に追加します。
  5. コミュニティー (セカンダリ) Vlan のアクセスインターフェイスを設定します。
  6. コミュニティ Vlan にアクセスインターフェイスを追加します。
  7. コミュニティ VLAN ごとに、プライマリ VLAN を設定します。
  8. 孤立したポートを構成します。

単一の EX シリーズスイッチ (CLI の手順) でプライベート VLAN を作成する

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。EX シリーズスイッチのプライベート VLAN (PVLAN) 機能を使用すると、プライマリ VLAN としても知られるブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割できます。これは、セカンダリ Vlan としても知られています。プライマリ VLAN をセカンダリ Vlan に分割すると、別の VLAN 内に VLAN が実質的にネストされます。このトピックでは、単一のスイッチで PVLAN を構成する方法について説明します。

開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ Vlan の名前を構成します。(セカンダリ VLAN とは異なり、プライマリ VLAN を事前設定する必要は不要です。この手順では、プライマリ VLAN の完全な設定が提供されます)。1 つのスイッチでセカンダリ VLAN が設定されている場合、タグは必要とされませんが、セカンダリ VLAN をタグ付きとして設定しても、その機能に悪影響を及ぼすではありません。セカンダリ Vlan の構成方法については、 EX シリーズスイッチの vlan の構成を参照してください。

PVLAN を単一のスイッチ上で構成する場合は、以下のルールを念頭に置いてください。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • PVLAN インターフェイスでの VoIP VLAN の設定はサポートされていません。

単一のスイッチ上でプライベート VLAN を構成するには、次のようにします。

  1. プライマリ VLAN の VLAN ID を設定します。
  2. インターフェイスとポートモードを設定します。
  3. パケットを互いに転送しないように、プライマリ VLAN のアクセスポートを構成します。
  4. コミュニティ VLAN ごとに、アクセスインターフェイスを構成します。
  5. コミュニティ VLAN ごとに、プライマリ VLAN を設定します。

分離された Vlan は、このプロセスの一部としては構成されていません。代わりに、プライマリVLANで有効になっている場合、隔離されたVLANはメンバーとしてアクセス インターフェイスを持つ場合、内部 no-local-switching で作成されます。

ルーターに接続しているプロミスカスポートの代わりに、ルーティングされた VLAN インターフェイス (RVI) を使用して、独立したコミュニティ Vlan とコミュニティー間のルーティングを可能にするには、 EX シリーズスイッチのプライベート vlan でのルーティング Vlan インターフェイスの設定を参照してください。

注:

PVLAN ドメイン内の独立型およびコミュニティー内の Vlan 間でレイヤー3トラフィックをルーティングするために、RVI の使用をサポートしているのは EX8200 スイッチまたは EX8200 のみバーチャルシャーシです。

複数の QFX シリーズスイッチにまたがってプライベート VLAN を作成する

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。プライベート VLAN (PVLAN) 機能を使用すると、ブロードキャストドメインを複数の分離されたブロードキャストサブドメインに分割し、基本的にプライマリ VLAN 内にセカンダリ VLAN を配置することができます。このトピックでは、複数のスイッチにまたがる PVLAN を構成する方法について説明します。

開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ Vlan の名前を構成します。(プライマリ VLAN は、この手順の一部として設定済みで、プライマリ VLAN を事前設定する必要があります)。セカンダリ VLAN の VLAN ID(タグ)を作成する必要は不要です。セカンダリ VLAN にタグ付けする場合、機能が損なわれることはありませんが、1つのスイッチ上でセカンダリ Vlan を構成したときにタグが使用されることはありません。

PVLANs の作成には、以下のルールが適用されます。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • コミュニティー VLAN を構成する場合は、最初にプライマリ VLAN と PVLAN トランクポートを構成する必要があります。また、 pvlan文を使用して、プライマリ VLAN をプライベートに設定する必要があります。

  • 分離された VLAN を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

ここに記載されている順序で構成手順を完了した場合、これらの PVLAN ルールに違反することはありません。プライベート VLAN を複数のスイッチにまたがるように構成するには、次のようにします。

  1. プライマリ VLAN の名前と VLAN ID (802.1 Q タグ) を設定します。
  2. VLAN をプライベートに設定します。
  3. プライマリ VLAN のトランクインターフェイスを構成します。
  4. トランクインターフェイスをプライマリ VLAN に追加します。
  5. コミュニティー (セカンダリ) Vlan のアクセスインターフェイスを設定します。
  6. コミュニティ Vlan にアクセスインターフェイスを追加します。
  7. コミュニティ VLAN ごとに、プライマリ VLAN を設定します。
  8. 独立した VLAN ID を構成して、スイッチにまたがる interswitch の分離ドメインを作成します。
  9. 孤立したポートを構成します。

ELS サポートで複数の EX シリーズスイッチを使用したプライベート VLAN の作成 (CLI 手続き)

注:

このタスクでは、拡張レイヤー2ソフトウェア (els) のサポートを備えた EX シリーズスイッチの Junos OS を使用します。このスイッチで els をサポートしないソフトウェアが実行されている場合は、複数の EX シリーズスイッチを使用してプライベート VLAN を作成するを参照してください (CLI の手順)。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

注:

プライベート Vlan は、Junos OS リリース 15.1 X53 を実行している QFX5100 スイッチおよび QFX10002 スイッチではサポートされていません。

セキュリティ上の理由により、ブロードキャストおよび不明なユニキャストトラフィックのフローを制限したり、既知のホスト間の通信を制限したりすると役立つことがよくあります。プライベート Vlan (PVLANs) を使用すると、ブロードキャストドメイン (プライマリ VLAN) を複数の独立したブロードキャストサブドメイン (セカンダリ Vlan) に分割し、実質的に VLAN 内に VLAN を配置することができます。この手順では、複数のスイッチにまたがる PVLAN を構成する方法について説明します。

PVLANs の構成に関するガイドラインのリストについては、「プライベート vlan について」を参照してください。

PVLAN を複数のスイッチにまたがるように設定するには、PVLAN に参加するすべてのスイッチで以下の手順を実行します。

  1. 次のように、固有の VLAN 名を設定し、VLAN の 802.1 Q タグを指定して、プライマリ VLAN を作成します。
  2. ルーターに接続するスイッチで、プロミスカスインターフェイスをトランクポートとして構成し、PVLAN をルーターに接続します。
  3. すべてのスイッチで、スイッチを相互接続するために使用される ISL (スイッチ間リンク) としてトランクインターフェイスを構成します。
  4. 次のisolatedprivate-vlanオプションを選択し、分離された vlan の vlan ID を設定して、プライマリ vlan 内に分離された vlan を作成します。
    注:

    プライベート VLAN 内には、独立した VLAN を1つだけ作成できます。分離された VLAN には、PVLAN を構成する複数のスイッチからのメンバーインターフェイスを含めることができます。 分離された VLAN の VLAN 名の設定は必須ではありません。VLAN ID を設定する必要があります。

  5. 次のcommunityprivate-vlanオプションを選択し、このコミュニティ vlan の vlan ID を設定して、プライマリ VLAN 内にコミュニティー vlan を作成します。
    注:

    追加のコミュニティー Vlan を作成するには、この手順を繰り返して、コミュニティ VLAN に別の名前を指定します。コミュニティ VLAN の VLAN 名の設定は必須ではありません。VLAN ID を設定する必要があります。

  6. 次のように、分離された VLAN とプライマリ VLAN を関連付けます。
  7. 各コミュニティ VLAN をプライマリ VLAN に関連付けます。
  8. まだ構成していない場合は、少なくとも1つのアクセスインターフェイスを、分離された VLAN のメンバーに設定します。
  9. まだコミュニティ VLAN のメンバーになるように、少なくとも1つのアクセスインターフェイスを設定していない場合は、構成します。
    注:

    PVLAN に含まれている他のコミュニティー Vlan に対して、この手順を繰り返します。

複数の EX シリーズスイッチをまたがるプライベート VLAN の作成 (CLI の手順)

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。EX シリーズスイッチのプライベート VLAN (PVLAN) 機能により、管理者はブロードキャストドメイン (プライマリ VLAN とも呼ばれる) を複数の分離されたブロードキャストサブドメイン (セカンダリ Vlan とも呼ばれる) に分割できます。プライマリ VLAN をセカンダリ Vlan に分割すると、別の VLAN 内に VLAN が実質的にネストされます。このトピックでは、複数のスイッチにまたがる PVLAN を構成する方法について説明します。

開始する前に、プライマリ VLAN の一部となるすべてのセカンダリ Vlan の名前を構成します。(セカンダリ VLAN とは異なり、プライマリ VLAN を事前設定する必要は不要です。この手順では、プライマリ VLAN の完全な設定が提供されます)。セカンダリ VLAN の設定手順については、「 デバイス用の VLAN の設定 」を参照EX シリーズ スイッチ。

PVLANs の作成には、以下のルールが適用されます。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • セカンダリ Vlan を構成する前に、プライマリ VLAN と PVLAN トランクポートを構成する必要があります。

  • PVLAN インターフェイスでの VoIP VLAN の設定はサポートされていません。

  • PVLAN トランクポートで複数の VLAN 登録プロトコル (MVRP) が設定されている場合、セカンダリ Vlan と PVLAN トランクポートの設定は同じコミット操作でコミットされる必要があります。

プライベート VLAN を複数のスイッチにまたがるように構成するには、次のようにします。

  1. プライマリ VLAN 用の名前と 802.1 Q タグを構成します。.
  2. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。
  3. プライマリ VLAN を隣接スイッチに接続する PVLAN トランクインタフェースを設定します。
  4. スイッチにまたがるコミュニティ VLAN 用の名前と 802.1 Q タグを構成します。
  5. アクセスインターフェイスをコミュニティ VLAN に追加します。
  6. 指定されたコミュニティ VLAN のプライマリ VLAN を指定してください:
  7. 指定されたプライマリ VLAN に分離インターフェイスを追加します。
    注:

    分離インターフェイスを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているものとして構成してはなりません。

  8. Interswitch の分離された VLAN の 802.1 Q タグを設定します。

    802.1 q タグは、interswitch 分離された Vlan に必要です。 IEEE 802.1 Q は、トランクデバイスが4バイトの VLAN フレーム識別タブをパケットヘッダーに挿入する内部タグ機構を使用しているため、このようなことがあります。

ルーターに接続しているプロミスカスポートの代わりに、ルーティングされた VLAN インターフェイス (RVI) を使用して、独立したコミュニティ Vlan とコミュニティー間のルーティングを可能にするには、 EX シリーズスイッチのプライベート vlan でのルーティング Vlan インターフェイスの設定を参照してください。

注:

PVLAN ドメイン内の独立型およびコミュニティー内の Vlan 間でレイヤー3トラフィックをルーティングするために、RVI の使用をサポートしているのは EX8200 スイッチまたは EX8200 のみバーチャルシャーシです。

例:ELS サポートによる単一スイッチでのプライベート VLAN の構成

注:

この例では、拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートするスイッチに Junos OS を使用しています。ELSをサポートしていないEXスイッチでソフトウェアが実行されている場合は、次の例を 参照してください。単一の EX シリーズスイッチでプライベート VLAN を構成します。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

注:

プライベート Vlan は、Junos OS リリース 15.1 X53 を実行している QFX5100 スイッチおよび QFX10002 スイッチではサポートされていません。

セキュリティ上の理由により、ブロードキャストおよび不明なユニキャストトラフィックのフローを制限したり、既知のホスト間の通信を制限したりすると役立つことがよくあります。プライベート Vlan (PVLANs) を使用すると、ブロードキャストドメイン (プライマリ VLAN) を複数の独立したブロードキャストサブドメイン (セカンダリ Vlan) に分割し、実質的に VLAN 内に VLAN を配置することができます。

この例では、単一のスイッチで PVLAN を作成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1つの Junos OS スイッチ

  • Junos OS リリース 14.1 x53-D10 またはEX シリーズスイッチ用

    Junos OS リリース14.1 の X53-D15 またはそれ以降。 QFX シリーズスイッチ用

概要とトポロジー

セキュリティと効率を向上させるために、加入者のグループを分離することができます。この設定例では、シンプルなトポロジを使用して、1つのプライマリ VLAN と3つのセカンダリ Vlan (1 つの分離 VLAN、2つのコミュニティー Vlan) を持つ PVLAN を作成する方法を示します。

表 6は、この例で使用されるトポロジのインターフェイスを示しています。

表 6: PVLAN を構成するためのトポロジのインターフェイス
インターフェース 説明

ge-0/0/0

ge-1/0/0

プロミスカスメンバーポート

ge-0/0/11ge-0/0/12

HR コミュニティー VLAN メンバーポート

ge-0/0/13ge-0/0/14

ファイナンス・コミュニティー・ VLAN メンバー・ポート

ge-0/0/15ge-0/0/16

孤立したメンバーポート

表 7は、この例で使用されているトポロジーの VLAN Id を示しています。

表 7: PVLAN を構成するためのトポロジー内の VLAN Id
VLAN ID 説明

100

プライマリ VLAN

200

HR コミュニティー VLAN

300

ファイナンスコミュニティー VLAN

400

孤立した VLAN

図 15は、この例のトポロジを示しています。

図 15: 単一の EX シリーズスイッチ上のプライベート VLAN のトポロジ単一の EX シリーズスイッチ上のプライベート VLAN のトポロジ

構成

既存の VLAN をプライベート PVLAN の基礎として使用し、その内部にサブドメインを作成することができます。この例では、プロシージャの一部として、VLAN 名を使用してプライマリ VLAN vlan-pri を作成します。

PVLAN を構成するには、以下のタスクを実行します。

CLI クイック構成

PVLAN を簡単に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

手順

順を追った手順

PVLAN を設定するには、次のようにします。

  1. プライベートVLANのプライマリVLAN(この例では、名前 vlan-pri は) を作成します。

  2. 独立した VLAN を作成し、それに VLAN ID を割り当てます。

  3. HR コミュニティー VLAN を作成し、それに VLAN ID を割り当てます。

  4. ファイナンスコミュニティ VLAN を作成し、それに VLAN ID を割り当てます。

  5. セカンダリ Vlan をプライマリ VLAN と関連付けます。

  6. インターフェイスを適切なインターフェイスモードに設定します。

  7. プライマリ VLAN のプロミスカストランクインターフェイスを構成します。このインターフェイスは、プライマリ VLAN によってセカンダリ Vlan と通信するために使用されます。

  8. PVLAN をルーターに接続することで、プライマリ VLAN の別のトランクインターフェイス (無差別インターフェイス) を構成できます。

例:単一 QFX シリーズスイッチでのプライベート VLAN の構成

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限したり、既知のホスト間の通信を制限したりすると便利なことがよくあります。プライベート VLAN (PVLAN) 機能により、管理者は、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的に VLAN 内に VLAN を配置することができます。

この例では、単一のスイッチで PVLAN を作成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1つの QFX3500 デバイス

  • QFX シリーズの Junos OS リリース12.1 以降

PVLAN の構成を開始する前に、必要な Vlan を作成して設定していることを確認してください。参照スイッチ上の Vlan の構成してください。

概要とトポロジー

複数の建物と Vlan がある大規模オフィスでは、セキュリティ上の理由により、またはブロードキャストドメインのパーティションを作成するためにワークグループやその他のエンドポイントを分離する必要がある場合があります。この設定例は、シンプルなトポロジーを示しています。これは、1 つのプライマリ VLAN と 2 つのコミュニティ VLAN(1 つは HR 用と財務用に 1 つ、メール サーバー用は 2 個の分離ポート、もう 1 つはメール サーバー用)、もう 1 つはバックアップ サーバー用に PVLAN を作成する方法を示しています。

表 8サンプルトポロジの設定の一覧が表示されます。

表 8: PVLAN を構成するためのトポロジの構成要素
インターフェース 説明

ge-0/0/0.0

プライマリ VLAN (pvlan100) トランクインターフェイス

ge-0/0/11.0

ユーザー1、HR コミュニティー (hr-comm)

ge-0/0/12.0

ユーザー2、HR コミュニティー (hr-comm)

ge-0/0/13.0

ユーザー3、ファイナンスコミュニティー (finance-comm)

ge-0/0/14.0

ユーザー4、財務コミュニティー (finance-comm)

ge-0/0/15.0

メールサーバー、分離 (isolated)

ge-0/0/16.0

バックアップサーバー、分離 (isolated)

ge-1/0/0.0

プライマリ VLAN (pvlan100) トランクインターフェイス

構成

CLI クイック構成

PVLAN を簡単に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

手順

順を追った手順

PVLAN を設定するには、次のようにします。

  1. プライマリ VLAN の VLAN ID を設定します。

  2. インターフェイスとポートモードを設定します。

  3. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。

    注:

    プライマリ VLAN はタグ付き VLAN でなければなりません。

  4. トランクインターフェイスをプライマリ VLAN に追加します。

  5. 各セカンダリ VLAN に対して、アクセスインターフェイスを構成します。

    注:

    セカンダリ Vlan をタグなし Vlan にすることをお勧めします。セカンダリ VLAN にタグ付けすると、機能が損なわれることはありません。ただし、セカンダリ VLAN が1台のスイッチ上で構成されている場合、タグは使用されません。

  6. コミュニティ VLAN ごとに、プライマリ VLAN を設定します。

  7. プライマリ VLAN で分離インターフェイスを構成します。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

プライベート VLAN とセカンダリ Vlan が作成されたことを確認します。

目的

プライマリ VLAN とセカンダリ Vlan がスイッチ上で適切に作成されていることを確認します。

アクション

次のshow vlansコマンドを使用します。

この出力は、プライマリ VLAN が作成されたことを示し、それに関連付けられているインターフェイスとセカンダリ Vlan を識別します。

例:単一の EX シリーズスイッチでのプライベート VLAN の構成

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。EX シリーズスイッチのプライベート VLAN (PVLAN) 機能を使用すると、管理者はブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的に VLAN 内に VLAN を配置することができます。

この例では、単一の EX シリーズスイッチで PVLAN を作成する方法について説明します。

注:

PVLAN インターフェイスでの voice over IP (VoIP) VLAN の設定はサポートされていません。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • EX シリーズスイッチ1台

  • EX シリーズスイッチの Junos OS リリース9.3 以降

PVLAN の構成を開始する前に、必要な Vlan を作成して設定していることを確認してください。EX シリーズスイッチの vlan の設定を参照してください。

概要とトポロジー

複数の建物と Vlan がある大規模オフィスでは、セキュリティ上の理由により、またはブロードキャストドメインのパーティションを作成するためにワークグループやその他のエンドポイントを分離する必要がある場合があります。この設定例は、シンプルなトポロジーを示し、1 つのプライマリ VLAN と 2 つのコミュニティ VLAN(1 つは HR 用と財務用に 1 つ、メール サーバー用は 2 個の分離ポート、もう 1 つはメール サーバー用)、もう 1 つはバックアップ サーバー用に PVLAN を作成する方法を示しています。

表 9は、トポロジ例の設定を示しています。

表 9: PVLAN を構成するためのトポロジの構成要素
インターフェース 説明

ge-0/0/0.0

プライマリ VLAN (vlan1) トランクインターフェイス

ge-0/0/11.0

ユーザー1、HR コミュニティー (hr-comm)

ge-0/0/12.0

ユーザー2、HR コミュニティー (hr-comm)

ge-0/0/13.0

ユーザー3、ファイナンスコミュニティー (finance-comm)

ge-0/0/14.0

ユーザー4、財務コミュニティー (finance-comm)

ge-0/0/15.0

メールサーバー、分離 (isolated)

ge-0/0/16.0

バックアップサーバー、分離 (isolated)

ge-1/0/0.0

プライマリ VLAN ( pvlan) トランクインターフェイス

図 16は、この例のトポロジを示しています。

図 16: 単一の EX シリーズスイッチ上のプライベート VLAN のトポロジ単一の EX シリーズスイッチ上のプライベート VLAN のトポロジ

構成

PVLAN を構成するには、以下のタスクを実行します。

CLI クイック構成

PVLAN を簡単に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

手順

順を追った手順

PVLAN を設定するには、次のようにします。

  1. プライマリ VLAN の VLAN ID を設定します。

  2. インターフェイスとポートモードを設定します。

  3. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。

    注:

    プライマリ VLAN はタグ付き VLAN でなければなりません。

  4. トランクインターフェイスをプライマリ VLAN に追加します。

  5. 各セカンダリ VLAN について、VLAN Id とアクセスインターフェイスを構成します。

    注:

    セカンダリ Vlan をタグなし Vlan にすることをお勧めします。セカンダリ VLAN にタグ付けすると、機能が損なわれることはありません。ただし、セカンダリ VLAN が1台のスイッチ上で構成されている場合、タグは使用されません。

  6. コミュニティ VLAN ごとに、プライマリ VLAN を設定します。

  7. 各分離インターフェイスをプライマリ VLAN に追加します。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

プライベート VLAN とセカンダリ Vlan が作成されたことを確認します。

目的

プライマリ VLAN とセカンダリ Vlan がスイッチ上で適切に作成されていることを確認します。

アクション

次のshow vlansコマンドを使用します。

この出力は、プライマリ VLAN が作成されたことを示し、それに関連付けられているインターフェイスとセカンダリ Vlan を識別します。

例:複数の QFX スイッチにまたがるプライベート VLAN の構成

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限したり、既知のホスト間の通信を制限したりすると便利なことがよくあります。プライベート VLAN (PVLAN) 機能により、管理者は、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的に VLAN 内に VLAN を配置することができます。PVLAN は複数のスイッチにまたがることができます。

この例では、複数のスイッチにまたがる PVLAN を作成する方法について説明します。この例では、複数のセカンダリ Vlan を含む1つのプライマリ PVLAN を作成しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3台の QFX3500 デバイス

  • QFX シリーズの Junos OS リリース12.1 以降

PVLAN の構成を開始する前に、必要な Vlan を作成して設定していることを確認してください。参照スイッチ上の Vlan の構成してください。

概要とトポロジー

複数の建物と Vlan がある大規模オフィスでは、セキュリティ上の理由により、またはブロードキャストドメインのパーティションを作成するためにワークグループやその他のエンドポイントを分離する必要がある場合があります。この設定例では、複数の QFX デバイスの PVLAN を作成する方法を示しています。1つのプライマリ VLAN (HR および Finance 用に1つ)、および interswitch 分離された VLAN (メールサーバー、バックアップサーバー、CVS サーバー用) が含まれる、それぞれに2つのコミュニティー Vlan があります。PVLAN は、3つのスイッチ、2台のアクセススイッチ、1つの分散スイッチで構成されています。PVLAN は、プロミスカスポートを介してルーターに接続されています。これは、分散スイッチ上で設定されます。

注:

スイッチ1とスイッチ2の分離ポートは、同一ドメイン内に含まれていても、レイヤー2接続を持たないということです。参照プライベート Vlan についてしてください。

図 17 は、この例のトポロジーを示しています。2 つのアクセス スイッチがディストリビューション スイッチに接続され、これにはルーターへの接続(プロミスコード ポートを介して)が接続されています。

図 17: 複数のスイッチにまたがる PVLAN トポロジ複数のスイッチにまたがる PVLAN トポロジ

表 10表 11、サンプル表 12トポロジの設定をリストしています。

表 10: 複数のデバイスにまたがる PVLAN を構成するためのトポロジーにおけるスイッチ1のコンポーネント
プロパティ 設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolation-vlan-id、タグ50finance-comm、タグ300hr-comm、タグ400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ1をスイッチ3に接続します。

ge-0/0/5.0、スイッチ1をスイッチ2に接続します。

プライマリ VLAN での孤立したインターフェイス

ge-0/0/15.0、メールサーバー

ge-0/0/16.0、バックアップサーバー

VLAN のインターフェイスfinance-com

ge-0/0/11.0

ge-0/0/12.0

VLAN のインターフェイスhr-comm

ge-0/0/13.0

ge-0/0/14.0

表 11: 複数のデバイスにまたがる PVLAN を構成するためのトポロジーのスイッチ2のコンポーネント
プロパティ 設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolation-vlan-id、タグ50finance-comm、タグ300hr-comm、タグ400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ2をスイッチ3に接続します。

ge-0/0/5.0、スイッチ2をスイッチ1に接続します。

プライマリ VLAN での孤立したインターフェイス

ge-0/0/17.0、CVS サーバー

VLAN のインターフェイスfinance-com

ge-0/0/11.0

ge-0/0/12.0

VLAN のインターフェイスhr-comm

ge-0/0/13.0

ge-0/0/14.0

表 12: トポロジー内のスイッチ3のコンポーネントは、複数のデバイスにまたがる PVLAN を構成するためのものです。
プロパティ 設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolation-vlan-id、タグ50finance-comm、タグ300hr-comm、タグ400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ3をスイッチ1に接続します。

ge-0/0/1.0、スイッチ3をスイッチ2に接続します。

プロミスカスポート

ge-0/0/2PVLAN をルーターに接続します。

注:

PVLAN を PVLAN のメンバーとして PVLAN 外の別のスイッチやルーターに接続するトランクポートを構成する必要があります。これは、プロミスカスポートとして暗黙的に構成されます。

Topology

スイッチ1で PVLAN を構成しています

複数のスイッチで PVLAN を構成する場合、以下のルールが適用される。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。最初にプライマリ VLAN を構成することをお勧めします。

  • コミュニティーの VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。また、 pvlan文を使用して、プライマリ VLAN をプライベートに設定する必要があります。

  • 分離 VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

CLI クイック構成

複数のスイッチにまたがる PVLAN を簡単に作成して設定するには、以下のコマンドをコピーして、スイッチ1の端末ウィンドウに貼り付けます。

手順

順を追った手順
  1. プライマリ VLAN の VLAN ID を設定します。

  2. PVLAN トランクインターフェイスを設定して、この VLAN を隣接するスイッチ間で接続します。

  3. プライマリ VLAN をプライベートに設定し、ローカルスイッチングを持たないようにします。

  4. スイッチに広がっているコミュニティ finance-comm VLAN の VLAN ID を設定します。

  5. VLAN のアクセス インターフェイスを設定 finance-comm します。

  6. このセカンダリ コミュニティVLANのプライマリVLANを設定します finance-comm

  7. スイッチをまたがる HR コミュニティー VLAN の VLAN ID を設定します。

  8. VLAN のアクセス インターフェイスを設定 hr-comm します。

  9. このセカンダリ コミュニティVLANのプライマリVLANを設定します hr-comm

  10. Interswitch の分離 ID を設定して、スイッチにまたがる interswitch の孤立ドメインを作成します。

  11. プライマリ VLAN で分離インターフェイスを構成します。

    注:

    分離ポートを構成する場合、それをプライマリ VLAN のメンバーとして含めますが、コミュニティー VLAN のメンバーとして構成しないでください。

結果

構成の結果を確認します。

スイッチ2での PVLAN の構成

CLI クイック構成

複数のスイッチにまたがってプライベート VLAN をすばやく作成して設定するには、以下のコマンドをコピーして、スイッチ2の端末ウィンドウに貼り付けます。

注:

スイッチ2の構成は、interswitch の分離ドメイン内のインターフェイスを除いて、スイッチ1の構成と同じです。スイッチ2の場合、インターフェイスは ge-0/0/17.0 .

手順

順を追った手順

複数のスイッチにまたがる PVLAN on スイッチ2を構成するには、次のようにします。

  1. スイッチに広がっているコミュニティ finance-comm VLAN の VLAN ID を設定します。

  2. VLAN のアクセス インターフェイスを設定 finance-comm します。

  3. このセカンダリ コミュニティVLANのプライマリVLANを設定します finance-comm

  4. スイッチをまたがる HR コミュニティー VLAN の VLAN ID を設定します。

  5. VLAN のアクセス インターフェイスを設定 hr-comm します。

  6. このセカンダリ コミュニティVLANのプライマリVLANを設定します hr-comm

  7. プライマリ VLAN の VLAN ID を設定します。

  8. この VLAN を隣接するスイッチ間で接続する PVLAN トランクインターフェイスを設定します。

  9. プライマリ VLAN をプライベートに設定し、ローカルスイッチングを持たないようにします。

  10. Interswitch の分離 ID を設定して、スイッチにまたがる interswitch の孤立ドメインを作成します。

    注:

    分離ポートを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているものとして構成してはなりません。

  11. プライマリ VLAN で分離されたインターフェイスを構成します。

結果

構成の結果を確認します。

スイッチ3で PVLAN を構成しています

CLI クイック構成

スイッチ3を迅速にこの PVLAN のディストリビューションスイッチとして設定するには、以下のコマンドをコピーして、スイッチ3の端末ウィンドウに貼り付けます。

注:

インターフェイス ge-0/0/2.0 は、PVLAN をルーターに接続するトランクポートです。

手順

順を追った手順

この PVLAN のディストリビューションスイッチとしてスイッチ3を構成するには、以下の手順に従います。

  1. スイッチに広がっているコミュニティ finance-comm VLAN の VLAN ID を設定します。

  2. このセカンダリ コミュニティVLANのプライマリVLANを設定します finance-comm

  3. スイッチにまたがる HR コミュニティー VLAN の VLAN ID を設定します。

  4. このセカンダリ コミュニティVLANのプライマリVLANを設定します hr-comm

  5. プライマリ VLAN の VLAN ID を設定します。

  6. この VLAN を隣接するスイッチ間で接続する PVLAN トランクインターフェイスを設定します。

  7. プライマリ VLAN をプライベートに設定し、ローカルスイッチングを持たないようにします。

  8. Interswitch の分離 ID を設定して、スイッチにまたがる interswitch の孤立ドメインを作成します。

    注:

    分離ポートを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているものとして構成してはなりません。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

スイッチ1でプライマリ VLAN およびセカンダリ Vlan が作成されたことを確認します。

目的

スイッチ1で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

この出力は、スイッチ1で PVLAN が作成されたことを示しており、2つの分離 Vlan、2つのコミュニティー Vlan、および interswitch の独立した VLAN が含まれていることを示しています。Pvlan と Isl を分離したフィールドが存在することは、この PVLAN が複数のスイッチにまたがることを示しています。

スイッチ2でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ2で、複数のスイッチにまたがる PVLAN 構成が正常に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

この出力は、PVLAN がスイッチ2で作成されたことを示しており、1つの孤立した VLAN、2つのコミュニティー Vlan、interswitch の独立した VLAN が含まれていることを示しています。Pvlan と Isl を分離したフィールドが存在することは、この PVLAN が複数のスイッチにまたがることを示しています。この出力をスイッチ1の出力と比較すると、両方のスイッチが同じ PVLAN (pvlan100) に属していることがわかります。

スイッチ3でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ3上で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

この出力は、PVLAN (pvlan100) がスイッチ3で設定されていること、分離した vlan、2つのコミュニティー vlan、および interswitch の独立した vlan を含まないことを示しています。しかし、スイッチ3はディストリビューションスイッチとして機能しているため、出力には PVLAN 内のアクセスインターフェイスは含まれません。これは、同じ PVLAN 内でスイッチ 3 から他のスイッチ(スイッチ 1 とスイッチ 2)に接続しているインターフェイス pvlan-trunkpvlan100 のみを示しています。

例:IRB インターフェイスを使用して、プライベート VLAN を複数のスイッチにまたがるように構成する

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限したり、既知のホスト間の通信を制限したりすると便利なことがよくあります。プライベート VLAN (PVLAN) 機能により、管理者は、ブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的に VLAN 内に VLAN を配置することができます。PVLAN は複数のスイッチにまたがることができます。この例では、複数のスイッチにまたがる PVLAN を作成する方法について説明します。この例では、複数のセカンダリ Vlan を含む1つのプライマリ PVLAN を作成しています。

通常の VLAN と同様に、PVVPN はレイヤー 2 で分離され、トラフィックをルーティングする場合は通常、レイヤー 3 デバイスを使用する必要があります。Junos OS 14.1X53-D30から、IRB(統合型ルーティングおよびブリッジング)インターフェイスを使用して、PVLAN に接続されたデバイス間のレイヤー 3 トラフィックをルーティングできます。この方法で IRB インターフェイスを使用すると、PVLAN 内のデバイスが、他のコミュニティのデバイスまたは分離された VLAN 内のデバイスまたは PVLAN 外のデバイスとレイヤー 3 で通信することもできます。この例も、PVLAN 構成に IRB インターフェイスを組み込む方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3台の QFX シリーズまたは EX4600 スイッチ

  • QFX シリーズまたは EX4600 の PVLAN による Junos OS リリース

概要とトポロジー

複数の建物と Vlan がある大規模オフィスでは、セキュリティ上の理由により、またはブロードキャストドメインのパーティションを作成するためにワークグループやその他のエンドポイントを分離する必要がある場合があります。この設定例では、複数のスイッチで構成された PVLAN を作成する方法を示しています。1つのプライマリ VLAN (HR 用と経理用に1つ)、および interswitch の分離 VLAN (メールサーバー、バックアップサーバー、CVS サーバー用) を備えた、2つのコミュニティー Vlan があります。PVLAN は、2 台のアクセス スイッチと 1 台のディストリビューション スイッチという 3 つのスイッチで構成されています。PVLAN のデバイスは、レイヤー3で相互に接続され、ディストリビューションスイッチで構成された IRB インターフェイスを介して、PVLAN 外のデバイスとの間でつながっています。

注:

スイッチ1とスイッチ2の分離ポートは、同一ドメイン内に含まれていても、レイヤー2接続を持たないということです。参照プライベート Vlan についてしてください。

図 18は、この例のトポロジを示しています。

図 18: IRB インターフェイスを使用して複数のスイッチにまたがる PVLAN トポロジIRB インターフェイスを使用して複数のスイッチにまたがる PVLAN トポロジ

表 13表 14、サンプル表 15トポロジの設定をリストしています。

表 13: 複数のデバイスにまたがる PVLAN を構成するためのトポロジーにおけるスイッチ1のコンポーネント
プロパティ 設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolated-vlan-id、タグ50finance-comm、タグ300hr-comm、タグ400

Interswitch のリンクインターフェイス

xe-0/0/0.0、スイッチ1をスイッチ3に接続します。

xe-0/0/5.0、スイッチ1をスイッチ2に接続します。

プライマリ VLAN での孤立したインターフェイス

xe-0/0/15.0、メールサーバー

xe-0/0/16.0、バックアップサーバー

VLAN のインターフェイスfinance-com

xe-0/0/11.0

xe-0/0/12.0

VLAN のインターフェイスhr-comm

xe-0/0/13.0

xe-0/0/14.0

表 14: 複数のデバイスにまたがる PVLAN を構成するためのトポロジーのスイッチ2のコンポーネント
プロパティ 設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolated-vlan-id、タグ50finance-comm、タグ300hr-comm、タグ400

Interswitch のリンクインターフェイス

xe-0/0/0.0、スイッチ2をスイッチ3に接続します。

xe-0/0/5.0、スイッチ2をスイッチ1に接続します。

プライマリ VLAN での孤立したインターフェイス

xe-0/0/17.0、CVS サーバー

VLAN のインターフェイスfinance-com

xe-0/0/11.0

xe-0/0/12.0

VLAN のインターフェイスhr-comm

xe-0/0/13.0

xe-0/0/14.0

表 15: トポロジー内のスイッチ3のコンポーネントは、複数のデバイスにまたがる PVLAN を構成するためのものです。
プロパティ 設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolated-vlan-id、 タグ 50finance-comm 、 タグ 300hr-comm、タグ400

Interswitch のリンクインターフェイス

xe-0/0/0.0スイッチ3をスイッチ1に接続します。

xe-0/0/1.0スイッチ3をスイッチ2に接続します。

プロミスカスポート

xe-0/0/2PVLAN を他のネットワークに接続します。

注:

PVLAN を PVLAN のメンバーとして PVLAN 外の別のスイッチやルーターに接続するトランクポートを構成する必要があります。これは、プロミスカスポートとして暗黙的に構成されます。

IRB インターフェイス

xe-0/0/0

xe-0/0/1

IRB インターフェイスで無制限のプロキシ ARP を構成することで、ARP 解決が可能になり、IPv4 を使用するデバイスがレイヤー3で通信できるようになります。IPv6 トラフィックの場合は、IRB のアドレスを宛先アドレスに明示的にマッピングして、ARP 解決が可能になるようにする必要があります。

Topology

構成の概要

PVLAN を複数のスイッチに設定する場合は、以下のルールが適用されます。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。

  • プライマリ VLAN は、interswitch link インターフェイスのメンバーになることができる唯一の VLAN です。

IRB のインターフェイスを PVLAN に設定する場合は、以下のルールが適用されます。

  • PVLAN に参加するスイッチの数に関係なく、PVLAN には1つの IRB インターフェイスのみを作成できます。

  • IRB インターフェイスは、PVLAN のプライマリ VLAN のメンバーである必要があります。

  • レイヤー3で接続する各ホストデバイスは、デフォルトゲートウェイアドレスとして IRB の IP アドレスを使用する必要があります。

スイッチ1で PVLAN を構成しています

CLI クイック構成

複数のスイッチにまたがる PVLAN を簡単に作成して設定するには、以下のコマンドをコピーして、スイッチ1の端末ウィンドウに貼り付けます。

手順

順を追った手順
  1. インターフェイス xe-0/0/0 をトランクに設定します。

  2. インタフェース xe-0/0/0 を、すべての Vlan を搬送する interswitch リンクとして設定します。

  3. インターフェイス xe-0/0/0 のメンバーとなるように pvlan100 (プライマリ VLAN) を設定します。

  4. インターフェイス xe-0/0/5 をトランクに設定します。

  5. インターフェース xe-0/0/5 を、すべての Vlan を搬送する interswitch リンクとして設定します。

  6. Pvlan100 をインターフェイス xe-0/0/5 のメンバーになるように設定します。

  7. 財務組織用のコミュニティー VLAN を作成します。

  8. HR 組織用のコミュニティー VLAN を作成します。

  9. メールおよびバックアップサーバー用に、分離された VLAN を作成します。

  10. プライマリ VLAN を作成し、コミュニティーと分離した Vlan メンバーにします。

  11. インターフェイス xe-0/0/11 のメンバーになるように VLAN 300 (a コミュニティー VLAN) を構成します。

  12. インターフェイス xe-0/0/12 のメンバーとなるように VLAN 300 (コミュニティー VLAN) を構成します。

  13. インターフェイス xe-0/0/13 のメンバーとなるように VLAN 400 (コミュニティー VLAN) を構成します。

  14. インターフェイス xe-0/0/14 のメンバーとなるように VLAN 400 (コミュニティー VLAN) を構成します。

  15. インターフェイス xe-0/0/15 のメンバーとしての VLAN 50 (分離された VLAN) を構成します。

  16. VLAN 50 (分離された VLAN) をインターフェイス xe-0/0/16 のメンバーになるように設定します。

結果

構成の結果を確認します。

スイッチ2での PVLAN の構成

CLI クイック構成

複数のスイッチにまたがってプライベート VLAN をすばやく作成して設定するには、以下のコマンドをコピーして、スイッチ2の端末ウィンドウに貼り付けます。

注:

スイッチ2の構成は、分離された VLAN を除き、スイッチ1の構成と同じです。スイッチ2の場合は、孤立したxe-0/0/17.0 VLAN インターフェイスが使用されます。

手順

順を追った手順
  1. インターフェイス xe-0/0/0 をトランクに設定します。

  2. インタフェース xe-0/0/0 を、すべての Vlan を搬送する interswitch リンクとして設定します。

  3. インターフェイス xe-0/0/0 のメンバーとなるように pvlan100 (プライマリ VLAN) を設定します。

  4. インターフェイス xe-0/0/5 をトランクに設定します。

  5. インターフェース xe-0/0/5 を、すべての Vlan を搬送する interswitch リンクとして設定します。

  6. Pvlan100 をインターフェイス xe-0/0/5 のメンバーになるように設定します。

  7. 財務組織用のコミュニティー VLAN を作成します。

  8. HR 組織用のコミュニティー VLAN を作成します。

  9. メールおよびバックアップサーバー用に、分離された VLAN を作成します。

  10. プライマリ VLAN を作成し、コミュニティーと分離した Vlan メンバーにします。

  11. インターフェイス xe-0/0/11 のメンバーになるように VLAN 300 (a コミュニティー VLAN) を構成します。

  12. インターフェイス xe-0/0/12 のメンバーとなるように VLAN 300 (コミュニティー VLAN) を構成します。

  13. インターフェイス xe-0/0/13 のメンバーとなるように VLAN 400 (コミュニティー VLAN) を構成します。

  14. インターフェイス xe-0/0/14 のメンバーとなるように VLAN 400 (コミュニティー VLAN) を構成します。

  15. VLAN 50 (分離された VLAN) をインターフェイス xe-0/0/17 のメンバーになるように設定します。

結果

構成の結果を確認します。

スイッチ3で PVLAN を構成しています

CLI クイック構成

スイッチ3を迅速にこの PVLAN のディストリビューションスイッチとして設定するには、以下のコマンドをコピーして、スイッチ3の端末ウィンドウに貼り付けます。

注:

インターフェース xe-0/0/2.0 は、PVLAN を別のネットワークに接続するトランクポートです。

手順

順を追った手順

この PVLAN のディストリビューションスイッチとしてスイッチ3を構成するには、以下の手順に従います。

  1. インターフェイス xe-0/0/0 をトランクに設定します。

  2. インタフェース xe-0/0/0 を、すべての Vlan を搬送する interswitch リンクとして設定します。

  3. インターフェイス xe-0/0/0 のメンバーとなるように pvlan100 (プライマリ VLAN) を設定します。

  4. インターフェイス xe-0/0/5 をトランクに設定します。

  5. インターフェース xe-0/0/5 を、すべての Vlan を搬送する interswitch リンクとして設定します。

  6. Pvlan100 をインターフェイス xe-0/0/5 のメンバーになるように設定します。

  7. インターフェイス xe-0/0/2 (プロミスカスインターフェイス) をトランクとして構成します。

  8. Pvlan100 をインターフェイス xe-0/0/2 のメンバーになるように設定します。

  9. プライマリ VLAN を作成します。

  10. IRB インターフェイスirbを作成し、スイッチ1および2に接続されたデバイスが使用するサブネット内のアドレスを割り当てます。

    注:

    レイヤー3で接続する各ホストデバイスは、IRB インターフェイスと同じサブネット内に存在し、デフォルトゲートウェイアドレスとして IRB インターフェイスの IP アドレスを使用する必要があります。

  11. インターフェイスをプライマリ VLAN pvlan100にバインドすることによって、IRB のインターフェイス構成を完了します。

  12. IRB インターフェイスの各ユニットに対して無制限のプロキシー ARP を設定して、ARP 解決が IPv4 トラフィックに対応するようにします。

    注:

    コミュニティーと孤立した Vlan のデバイスはレイヤー2で分離されているため、この手順は Vlan 間で ARP 解決を実行し、IPv4 を使用するデバイスがレイヤー3で通信できるようにする必要があります。IPv6 トラフィックの場合は、IRB のアドレスを宛先アドレスに明示的にマッピングして、ARP 解決を可能にする必要があります。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

スイッチ1でプライマリ VLAN およびセカンダリ Vlan が作成されたことを確認します。

目的

スイッチ1で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

この出力は、スイッチ1で PVLAN が作成されたことを示しており、2つの分離 Vlan、2つのコミュニティー Vlan、および interswitch の独立した VLAN が含まれていることを示しています。トランクとスイッチ間の分離フィールドが存在することは、この PVLAN が複数のスイッチにまたがっていることを示しています。

スイッチ2でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ2で、複数のスイッチにまたがる PVLAN 構成が正常に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

この出力は、PVLAN がスイッチ2で作成されたことを示しており、1つの孤立した VLAN、2つのコミュニティー Vlan、interswitch の独立した VLAN が含まれていることを示しています。トランクとスイッチ間の分離フィールドが存在することは、この PVLAN が複数のスイッチにまたがっていることを示しています。この出力をスイッチ1の出力と比較すると、両方のスイッチが同じ PVLAN (pvlan100) に属していることがわかります。

スイッチ3でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ3上で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

この出力は、PVLAN (pvlan100) がスイッチ3で設定されていること、分離した vlan、2つのコミュニティー vlan、および interswitch の独立した vlan を含まないことを示しています。しかし、スイッチ3はディストリビューションスイッチとして機能しているため、出力には PVLAN 内のアクセスインターフェイスは含まれません。同じ PVLAN 内のスイッチ3から他pvlan100のスイッチ (スイッチ1およびスイッチ 2) に接続するトランクインターフェイスのみを示しています。

例:複数の EX シリーズスイッチをまたがるプライベート VLAN の構成

セキュリティ上の理由により、ブロードキャストトラフィックと不明なユニキャストのフローを制限し、既知のホスト間の通信を制限することもできます。EX シリーズスイッチのプライベート VLAN (PVLAN) 機能を使用すると、管理者はブロードキャストドメインを複数の独立したブロードキャストサブドメインに分割し、基本的に VLAN 内に VLAN を配置することができます。PVLAN は複数のスイッチにまたがることができます。

この例では、複数の EX シリーズスイッチの PVLAN を作成する方法について説明します。この例では、複数のセカンダリ Vlan を含む1つのプライマリ PVLAN を作成します。

注:

PVLAN インターフェイスでの voice over IP (VoIP) VLAN の設定はサポートされていません。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 3つの EX シリーズスイッチ

  • EX シリーズスイッチの Junos OS リリース10.4 以降

PVLAN の構成を開始する前に、必要な Vlan を作成して設定していることを確認してください。EX シリーズスイッチの vlan の設定を参照してください。

概要とトポロジー

複数の建物と Vlan がある大規模オフィスでは、セキュリティ上の理由により、またはブロードキャストドメインのパーティションを作成するためにワークグループやその他のエンドポイントを分離する必要がある場合があります。この設定例では、複数の EX シリーズスイッチの PVLAN を作成する方法を示しています。2つのコミュニティー Vlan (1 つは HR 用と Finance 用)、Interswitch 分離 VLAN (メールサーバー、バックアップサーバー、CVS) を含むプライマリ VLANサーバー) です。PVLAN は、3つのスイッチ、2台のアクセススイッチ、1つの分散スイッチで構成されています。PVLAN は、プロミスカスポートを介してルーターに接続されています。これは、分散スイッチ上で設定されます。

注:

スイッチ1とスイッチ2の分離ポートは、同じドメイン内に含まれていても、レイヤー2接続を持っていません。「プライベート vlan について」を参照してください。

図 19 は、この例のトポロジーを示しています。2 つのアクセス スイッチがディストリビューション スイッチに接続され、これにはルーターへの接続(プロミスコード ポートを介して)が接続されています。

図 19: 複数のスイッチにまたがる PVLAN トポロジ複数のスイッチにまたがる PVLAN トポロジ

表 16表 17、サンプル表 18トポロジの設定をリストしています。

表 16: 複数の EX シリーズスイッチの PVLAN を構成するためのトポロジーにおけるスイッチ1のコンポーネント
プロパティ 設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolation-id、タグ50finance-comm、タグ300hr-comm、タグ400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ1をスイッチ3に接続します。

ge-0/0/5.0、スイッチ1をスイッチ2に接続します。

VLAN のインターフェイスisolation

ge-0/0/15.0、メールサーバー

ge-0/0/16.0、バックアップサーバー

VLAN のインターフェイスfinance-com

ge-0/0/11.0

ge-0/0/12.0

VLAN のインターフェイスhr-comm

ge-0/0/13.0

ge-0/0/14.0

表 17: 複数の EX シリーズスイッチの PVLAN を構成するためのトポロジーのスイッチ2のコンポーネント
プロパティ 設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolation-id、タグ50finance-comm、タグ300hr-comm、タグ400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ2をスイッチ3に接続します。

ge-0/0/5.0、スイッチ2をスイッチ1に接続します。

VLAN のインターフェイスisolation

ge-0/0/17.0、CVS サーバー

VLAN のインターフェイスfinance-com

ge-0/0/11.0

ge-0/0/12.0

VLAN のインターフェイスhr-comm

ge-0/0/13.0

ge-0/0/14.0

表 18: 複数の EX シリーズスイッチを構成するためのトポロジーにおけるスイッチ3のコンポーネント (PVLAN)
プロパティ 設定

VLAN 名とタグ Id

primary-vlan、タグ100

isolation-id、タグ50finance-comm、タグ300hr-comm、タグ400

PVLAN トランクインターフェイス

ge-0/0/0.0、スイッチ3をスイッチ1に接続します。

ge-0/0/1.0、スイッチ3をスイッチ2に接続します。

プロミスカスポート

ge-0/0/2PVLAN をルーターに接続します。

注:

PVLAN を PVLAN のメンバーとして PVLAN 外の別のスイッチやルーターに接続するトランクポートを構成する必要があります。これは、プロミスカスポートとして暗黙的に構成されます。

Topology

スイッチ1で PVLAN を構成しています

CLI クイック構成

複数のスイッチで PVLAN を構成する場合、以下のルールが適用される。

  • プライマリ VLAN はタグ付き VLAN でなければなりません。最初にプライマリ VLAN を構成することをお勧めします。

  • PVLAN インターフェイスでの voice over IP (VoIP) VLAN の設定はサポートされていません。

  • コミュニティーの VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

  • 分離 VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

  • MVRP が PVLAN トランクポート上で構成されている場合、セカンダリ Vlan と PVLAN トランクポートを1回のコミットでコミットする必要があります。

複数のスイッチにまたがる PVLAN を簡単に作成して設定するには、以下のコマンドをコピーして、スイッチ1の端末ウィンドウに貼り付けます。

手順

順を追った手順

以下の構成手順を次の順に完了します。また、1 回のコミットで設定をコミットする前に、すべての手順を完了してください。以下の3つのルールに違反した場合に発生するエラーメッセージが発生しないようにするには、これが最も簡単な方法です。

  • コミュニティーの VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

  • 分離 VLAN ID を構成する場合は、まずプライマリ VLAN と PVLAN トランクポートを構成する必要があります。

  • セカンダリ vlan と PVLAN トランクは、1つのコミットでコミットする必要があります。

複数のスイッチにまたがるスイッチ1で PVLAN を構成するには、次のようにします。

  1. プライマリ VLAN の VLAN ID を設定します。

  2. この VLAN を隣接するスイッチ間で接続する PVLAN トランクインターフェイスを設定します。

  3. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。

  4. スイッチに広がっているコミュニティ finance-comm VLAN の VLAN ID を設定します。

  5. VLAN のアクセス インターフェイスを設定 finance-comm します。

  6. このセカンダリ コミュニティVLANのプライマリVLANを設定します finance-comm

  7. スイッチをまたがる HR コミュニティー VLAN の VLAN ID を設定します。

  8. VLAN のアクセス インターフェイスを設定 hr-comm します。

  9. このセカンダリ コミュニティVLANのプライマリVLANを設定します hr-comm

  10. スイッチ間の分離されたドメインを作成するには、相互切り替え分離 ID を設定します。

    注:

    分離ポートを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているという構成は行いません。

結果

構成の結果を確認します。

スイッチ2での PVLAN の構成

CLI クイック構成

複数のスイッチにまたがってプライベート VLAN をすばやく作成して設定するには、以下のコマンドをコピーして、スイッチ2の端末ウィンドウに貼り付けます。

注:

スイッチ2の構成は、スイッチ間の分離されたドメイン内のインターフェイスを除き、スイッチ1の構成と同じです。スイッチ2の場合、インターフェイスは ge-0/0/17.0 .

手順

順を追った手順

複数のスイッチにまたがる PVLAN on スイッチ2を構成するには、次のようにします。

  1. スイッチに広がっているコミュニティ finance-comm VLAN の VLAN ID を設定します。

  2. VLAN のアクセス インターフェイスを設定 finance-comm します。

  3. このセカンダリ コミュニティVLANのプライマリVLANを設定します finance-comm

  4. スイッチをまたがる HR コミュニティー VLAN の VLAN ID を設定します。

  5. VLAN のアクセス インターフェイスを設定 hr-comm します。

  6. このセカンダリ コミュニティVLANのプライマリVLANを設定します hr-comm

  7. プライマリ VLAN の VLAN ID を設定します。

  8. この VLAN を隣接するスイッチ間で接続する PVLAN トランクインターフェイスを設定します。

  9. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。

  10. スイッチ間の分離されたドメインを作成するには、相互切り替え分離 ID を設定します。

    注:

    分離ポートを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているという構成は行いません。

結果

構成の結果を確認します。

スイッチ3で PVLAN を構成しています

CLI クイック構成

スイッチ3を迅速にこの PVLAN のディストリビューションスイッチとして設定するには、以下のコマンドをコピーして、スイッチ3の端末ウィンドウに貼り付けます。

注:

インターフェイス ge-0/0/2.0 は、PVLAN をルーターに接続するトランクポートです。

手順

順を追った手順

この PVLAN のディストリビューションスイッチとしてスイッチ3を構成するには、以下の手順に従います。

  1. スイッチに広がっているコミュニティ finance-comm VLAN の VLAN ID を設定します。

  2. このセカンダリ コミュニティVLANのプライマリVLANを設定します finance-comm

  3. スイッチにまたがる HR コミュニティー VLAN の VLAN ID を設定します。

  4. このセカンダリ コミュニティVLANのプライマリVLANを設定します hr-comm

  5. プライマリ VLAN の VLAN ID を設定します。

  6. この VLAN を隣接するスイッチ間で接続する PVLAN トランクインターフェイスを設定します。

  7. 次のようにプライマリ VLAN を設定してローカルスイッチングを行わないようにします。

  8. スイッチ間の分離されたドメインを作成するには、相互切り替え分離 ID を設定します。

    注:

    分離ポートを構成するには、プライマリ VLAN のメンバーの1つとして含めますが、いずれかのコミュニティー Vlan に属しているという構成は行いません。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

スイッチ1でプライマリ VLAN およびセカンダリ Vlan が作成されたことを確認します。

目的

スイッチ1で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

この出力は、スイッチ1で PVLAN が作成されたことを示しており、2つの分離 Vlan、2つのコミュニティー Vlan、および interswitch の独立した VLAN が含まれていることを示しています。と のフィールド pvlan-trunkInter-switch-isolated 存在する場合、この PVLAN は複数のスイッチにまたがっています。

スイッチ2でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ2で、複数のスイッチにまたがる PVLAN 構成が正常に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

この出力は、スイッチ1で PVLAN が作成されたことを示しており、2つの分離 Vlan、2つのコミュニティー Vlan、および interswitch の独立した VLAN が含まれていることを示しています。と のフィールド pvlan-trunkInter-switch-isolated 存在すると、これが複数のスイッチにまたがる PVLAN である必要があります。この出力をスイッチ1の出力と比較すると、両方のスイッチが同じ PVLAN (pvlan100) に属していることがわかります。

スイッチ3でプライマリ VLAN およびセカンダリ Vlan が作成されていることを確認します。

目的

スイッチ3上で、複数のスイッチにまたがる PVLAN 構成が適切に機能していることを確認します。

アクション

次のshow vlans extensiveコマンドを使用します。

出力では、PVLAN( )がスイッチ 3 で設定され、2 つの独立 VLAN、2 つのコミュニティ VLAN、インタースイッチで分離された VLAN が含まれています pvlan100 。しかし、スイッチ3はディストリビューションスイッチとして機能しているため、出力には PVLAN 内のアクセスインターフェイスは含まれません。これは、同じ PVLAN 内でスイッチ 3 から他のスイッチ(スイッチ 1 とスイッチ 2)に接続しているインターフェイス pvlan-trunkpvlan100 のみを示しています。

例:QFX シリーズスイッチでのセカンダリ VLAN トランクポートおよびプロミスカスアクセスポートを使用した PVLANs の構成

この例では、プライベート VLAN 構成の一部としてセカンダリ VLAN トランクポートとプロミスカスアクセスポートを構成する方法を示します。セカンダリ VLAN トランクポートは、セカンダリ VLAN トラフィックを伝送します。

注:

この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルに対応していないスイッチに Junos OS を使用します。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

特定のプライベート VLAN に対して、セカンダリ VLAN トランクポートは1つのセカンダリ VLAN にのみトラフィックを伝送できます。ただし、セカンダリ vlan トランクポートは、各セカンダリ VLAN が異なるプライベート (プライマリ) VLAN のメンバーである限り、複数のセカンダリ vlan にトラフィックを伝送することができます。たとえば、セカンダリ VLAN トランクポートは、プライマリ VLAN pvlan100 の一部であるコミュニティー VLAN へのトラフィックを伝送し、プライマリ VLAN pvlan400 の一部である分離された VLAN へのトラフィックを伝送することもできます。

トランクポートがセカンダリ VLAN トラフィックを伝送するように設定するisolatedにはinterface 、ステップ12および13スイッチ1の例の構成に示されているように、隔離されたステートメントを使用します。

注:

セカンダリ VLAN トランクポートからトラフィック egresses が送信されると、通常はセカンダリポートがメンバーになっているプライマリ VLAN のタグが付けられます。セカンダリ VLAN トランクポートから egresses のトラフィックがセカンダリ VLAN タグを保持するようにするには、拡張セカンダリ vlan idステートメントを使用します。

プロミスカスアクセスポートは、タグ付けされていないトラフィックを伝送し、1つのプライマリ VLAN のみのメンバーになることができます。プロミスカスアクセスポート上で ingresses されたトラフィックは、プロミスカスアクセスポートがメンバーになっているプライマリ VLAN のメンバーであるセカンダリ Vlan のポートに転送します。このトラフィックは、セカンダリ vlan ポートがトランクポートである場合、セカンダリ vlan ポートから egresses されたときに、適切なセカンダリ VLAN タグを伝送します。

アクセスポートをプロミスカスとして設定するには、スイッチ2の構成例12のステップに示すように、プロミスカス文を使用します。

2つ目の VLAN ポートでトラフィックが ingresses、プロミスカスアクセスポート上で egresses が検出された場合は、送信時にトラフィックがタグなしになります。Ingresses のトラフィックがプロミスカスアクセスポート上にある場合、トラフィックは破棄されます。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • QFX デバイス2台

  • QFX シリーズの Junos OS リリース12.2 以降

概要とトポロジー

図 20は、この例で使用されているトポロジを示しています。スイッチ1には、複数のプライマリおよびセカンダリプライベート Vlan が含まれており、プライマリ Vlan pvlan100 および pvlan400 のメンバーであるセカンダリ Vlan を伝送するように構成された2つのセカンダリ VLAN トランクポートも含まれています。

スイッチ2には、同じプライベート Vlan が含まれています。この図は、プロミスカスアクセスポートまたはプロミスカストランクポートで構成された、スイッチ2の xe-0/0/0 を示しています。ここに記載されている例の構成では、このポートをプロミスカスアクセスポートとして構成しています。

この図はまた、スイッチ1のセカンダリ VLAN トランクポートで ingressing 後のトラフィックの流れを示しています。

図 20: セカンダリ VLAN トランクポートとプロミスカスアクセスポートを備えた PVLAN トポロジセカンダリ VLAN トランクポートとプロミスカスアクセスポートを備えた PVLAN トポロジ

表 19また表 20 、両方のスイッチのサンプルトポロジの設定を示しています。

表 19: スイッチ1でセカンダリ VLAN トランクを構成するためのトポロジーのコンポーネント
コンポーネント 説明

pvlan100、ID 100

プライマリ VLAN

pvlan400、ID 400

プライマリ VLAN

comm300、ID 300

コミュニティー VLAN、pvlan100 のメンバー

comm600、ID 600

コミュニティー VLAN、pvlan400 のメンバー

分離: vlan id 200

孤立した VLAN の VLAN ID、pvlan100 のメンバー

分離–vlan-id 500

孤立した VLAN の VLAN ID、pvlan400 のメンバー

xe-0/0/0.0

プライマリ Vlan pvlan100 および pvlan400 のセカンダリ VLAN トランクポート

xe-0/0/1.0

プライマリ Vlan pvlan100 および pvlan400 の PVLAN トランクポート

xe-0/0/2.0

Pvlan100 用の独立アクセスポート

xe-0/0/3.0

Comm300 のコミュニティーアクセスポート

xe-0/0/5.0

Pvlan400 用の独立アクセスポート

xe-0/0/6.0

Comm600 のコミュニティートランクポート

表 20: スイッチ2でセカンダリ VLAN トランクを構成するためのトポロジーの構成要素
コンポーネント 説明

pvlan100、ID 100

プライマリ VLAN

pvlan400、ID 400

プライマリ VLAN

comm300、ID 300

コミュニティー VLAN、pvlan100 のメンバー

comm600、ID 600

コミュニティー VLAN、pvlan400 のメンバー

分離: vlan id 200

孤立した VLAN の VLAN ID、pvlan100 のメンバー

分離–vlan-id 500

孤立した VLAN の VLAN ID、pvlan400 のメンバー

xe-0/0/0.0

プライマリ Vlan 用のプロミスカスアクセスポート pvlan100

xe-0/0/1.0

プライマリ Vlan pvlan100 および pvlan400 の PVLAN トランクポート

xe-0/0/2.0

孤立した VLAN のセカンダリトランクポート、pvlan100 のメンバー

xe-0/0/3.0

Comm300 のコミュニティーアクセスポート

xe-0/0/5.0

Pvlan400 用の独立アクセスポート

xe-0/0/6.0

Comm600 のコミュニティーアクセスポート

スイッチ1上の PVLANs の設定

CLI クイック構成

スイッチ1の PVLANs を簡単に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

手順

順を追った手順

プライベート Vlan とセカンダリ VLAN トランクポートを構成するには、次のようにします。

  1. インターフェイスとポートモードを構成します。

  2. プライマリ Vlan を作成します。

    注:

    プライマリ Vlan は、1つのデバイスだけに存在する場合でも、常にタグ付けされた Vlan でなければなりません。

  3. プライマリ Vlan をプライベートに設定します。

  4. PVLAN トランクポートを構成して、スイッチ間でプライベート VLAN トラフィックを実行します。

  5. VLAN ID 300 を使用したセカンダリ VLAN comm300 の作成:

  6. Comm300 のプライマリ VLAN を構成します。

  7. Comm300 のインターフェイスを構成します。

  8. VLAN ID 600 を使用したセカンダリ VLAN comm600 の作成:

  9. Comm600 のプライマリ VLAN を構成します。

  10. Comm600 のインターフェイスを構成します。

  11. Interswitch 分離 Vlan を構成します。

    注:

    セカンダリ VLAN トランクポートを構成して分離された VLAN を実行する場合は、分離 vlan idも構成する必要があります。このことは、分離された VLAN が1つのスイッチにのみ存在する場合にも当てはまります。

  12. トランクポート xe-0/0/0 を有効にすることにより、プライマリ Vlan のセカンダリ Vlan を実行できます。

  13. トランクポート xe-0/0/ゼロを設定して、comm600 (所属 pvlan400) に対応します。

    注:

    分離された VLAN トラフィック(タグ 200 および 500)を実行するように xe-0/0/0 を明示的に設定する必要はありません。なぜなら、pvlan100 および pvlan400(xe-0/0/0.0 など)のすべての隔離されたポートが、設定時に作成した分離された VLAN に自動的に含まれるためです。 isolation-vlan-id 200isolation-vlan-id 500

  14. 「Xe-0/0/2」と「xe-0/0/6」を構成して、分離されるようにします。

結果

スイッチ1の構成の結果を確認します。

スイッチ2の PVLANs の設定

スイッチ2の設定は、スイッチ1の構成とほぼ同じです。最も重要な違いは、スイッチ2の xe-0/0/0 がプロミスカスポートまたはプロミスカスアクセスポートとして設定図 20されていることです。次の構成では、xe-0/0/0 はプライマリ VLAN pvlan100 用のプロミスカスアクセスポートとして設定されます。

VLAN 対応のポートと egresses がプロミスカスアクセスポート上で ingresses を使用している場合、VLAN タグは送信時にドロップされ、その時点ではトラフィックがタグ付けされません。たとえば、comm600 ingresses のトラフィックは、スイッチ1の xe-0/0/0.0 で構成されたセカンダリ VLAN トランクポート上で、セカンダリ VLAN から転送されるタグ600を使用しています。スイッチ2上の xe-0/0/0.0 から egresses した場合、この例に示すように、無差別アクセスポートとして xe-0/0/0.0 を設定すると、タグが付けられません。代わりに、comm600 のトラフィックは、egresses 時にプライマリ VLAN タグ (400) を保持しています。そのため、xe-0/0/0.0 をプロミスカストランクポート (ポートモードトランク) として設定することもできます。

CLI クイック構成

スイッチ2の PVLANs を簡単に作成して設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

手順

順を追った手順

プライベート Vlan とセカンダリ VLAN トランクポートを構成するには、次のようにします。

  1. インターフェイスとポートモードを構成します。

  2. プライマリ Vlan を作成します。

  3. プライマリ Vlan をプライベートに設定します。

  4. PVLAN トランクポートを構成して、スイッチ間でプライベート VLAN トラフィックを実行します。

  5. VLAN ID 300 を使用したセカンダリ VLAN comm300 の作成:

  6. Comm300 のプライマリ VLAN を構成します。

  7. Comm300 のインターフェイスを構成します。

  8. VLAN ID 600 を使用したセカンダリ VLAN comm600 の作成:

  9. Comm600 のプライマリ VLAN を構成します。

  10. Comm600 のインターフェイスを構成します。

  11. Interswitch 分離 Vlan を構成します。

  12. Pvlan100 のプロミスカスとしてアクセスポート xe/0/0 を構成するには、次のようにします。

    注:

    プロミスカスアクセスポートは、1つのプライマリ VLAN のみのメンバーになることができます。

  13. 「Xe-0/0/2」と「xe-0/0/6」を構成して、分離されるようにします。

結果

スイッチ2の設定の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

プライベート VLAN とセカンダリ Vlan が作成されたことを確認します。

目的

スイッチ1でプライマリ VLAN とセカンダリ Vlan が適切に作成されていることを確認します。

アクション

次のshow vlansコマンドを使用します。

この出力は、プライベート Vlan が作成され、それらに関連付けられているインターフェイスとセカンダリ Vlan を識別したことを示しています。

イーサネット・スイッチング・テーブルのエントリーの確認

目的

イーサネットスイッチングテーブルエントリがプライマリ VLAN pvlan100 用に作成されたことを確認します。

アクション

Pvlan100 のイーサネット交換テーブルエントリを表示します。

プライベート VLAN がスイッチ上で動作していることを確認します。

目的

プライベート Vlan (PVLANs) の作成と設定が完了したら、適切に設定されていることを確認します。

アクション

  1. プライマリおよびセカンダリ VLAN 構成が正常に作成されたかどうかを確認するには、以下のようにします。

    • 1つのスイッチ上の PVLAN についてshow configuration vlansは、次のコマンドを使用します。

    • 複数のスイッチにまたがる PVLAN の場合は、 コマンドを使用 show vlans extensive します。

  2. show vlans extensiveこのコマンドを使用して、1つのスイッチまたは複数のスイッチにまたがる PVLAN の PVLAN の VLAN 情報とリンクステータスを表示します。

    • 1つのスイッチ上の PVLAN の場合:

    • 複数のスイッチにまたがる PVLAN の場合:

  3. 以下のshow ethernet-switching tableコマンドを使用して、vlan 上で MAC 学習のログを表示します。

注:

複数のスイッチにまたがる PVLAN を設定している場合、すべてのスイッチで同じコマンドを使用して、これらのスイッチで MAC 学習のログを確認することができます。

単一スイッチ上の PVLAN の出力表示では、プライマリ VLAN には 2 つのコミュニティ ドメイン( と )、2 つの分離されたポート、および 2 つのトランク ポートが含まれているの community1community2 が分かっています。1 つのスイッチ上の PVLAN には、プライマリ VLAN 用 1000 のタグ( )が 1 つのみです。

複数のスイッチにまたがる PVLAN には、複数のタグが含まれています。

  • コミュニティ ドメインは COM1 タグ付けで識別されます 100

  • コミュニティ ドメインは community2 タグ付けで識別されます 20

  • インタースイッチで分離されたドメインはタグで識別されます 50

  • プライマリ VLAN は primary タグ付きで識別されます 10

また、複数のスイッチにまたがる PVLAN では、トランク インターフェイスは 以下のように識別されます pvlan-trunk

QFX スイッチのプライベート Vlan のトラブルシューティング

プライベート VLAN 構成のトラブルシューティングには、以下の情報を使用してください。

プライベート Vlan の限界

プライベート VLAN 構成には、以下の制約が適用されます。

  • IGMP スヌーピングはプライベート Vlan ではサポートされていません。

  • プライベート Vlan ではルーティング VLAN インターフェイスはサポートされていません

  • 同じプライマリ VLAN でのセカンダリ Vlan 間のルーティングはサポートされていません。

  • プライマリ VLAN をセカンダリ VLAN に変更する場合は、まず、それを通常の vlan に変更し、変更をコミットする必要があります。たとえば、以下の手順に従います。

    1. プライマリ VLAN を通常の VLAN に変更します。

    2. 構成をコミットします。

    3. 通常の VLAN をセカンダリ VLAN に変更します。

    4. 構成をコミットします。

    セカンダリ VLAN がプライマリ VLAN に変更されるようにする場合は、同一のコミットシーケンスに従ってください。つまり、セカンダリ VLAN を通常の vlan として設定し、その変更をコミットしてから、通常の VLAN をプライマリ VLAN に変更します。

プライベート Vlan による転送

説明
  • 孤立した VLAN またはコミュニティ VLAN のタグ付きトラフィックが PVLAN トランクポートで受信されると、MAC アドレスがプライマリ VLAN から学習されます。このため、[イーサネット交換テーブルの表示] コマンドからの出力は、MAC アドレスがプライマリ vlan から学習され、セカンダリ vlan に複製済みであることを示しています。この動作は、転送の決定に影響を与えません。

  • セカンダリ VLAN タグを持つパケットがプロミスカスポートで受信された場合、それが受け入れられ、転送される。

  • パケットが PVLAN トランクポートで受信され、以下の条件の両方に該当する場合、それはドロップされます。

    • このパケットには、コミュニティーの VLAN タグが含まれています。

    • パケットは、分離された VLAN で学習したユニキャスト MAC アドレスまたはマルチキャストのグループ MAC アドレスに送信されます。

  • パケットが PVLAN トランクポートで受信され、以下の条件の両方に該当する場合、それはドロップされます。

    • パケットには、独立した VLAN タグがあります。

    • パケットは、コミュニティ VLAN で学習したユニキャスト MAC アドレスまたはマルチキャストのグループ MAC アドレスに送信されます。

  • プライマリ VLAN タグを持つパケットが、セカンダリ (孤立またはコミュニティ) VLAN ポートによって受信された場合、セカンダリポートはパケットを転送します。

  • 1つのデバイスでコミュニティ VLAN を構成し、第2のデバイスで別のコミュニティ VLAN を構成し、両方のコミュニティー vlan が同じ VLAN ID を使用している場合、いずれかの Vlan のトラフィックを別の VLAN に転送できます。たとえば、次のような構成があるとします。

    • スイッチ1のコミュニティー VLAN comm1 は、VLAN ID 50 を持ち、プライマリ VLAN pvlan100 のメンバーです。

    • スイッチ2のコミュニティー VLAN comm2 も VLAN ID 50 を持ち、プライマリ VLAN pvlan200 のメンバーです。

    • プライマリ VLAN pvlan100 が両方のスイッチに存在しています。

    Comm1 のトラフィックがスイッチ1からスイッチ2に送られる場合、comm2 に参加しているポートに送信されます。(トラフィックは、comm1 のポートにも転送されます)。

ソリューション

これらは予期された動作です。

プライベート Vlan を使用した送信ファイアウォールフィルター

説明

出力方向にファイアウォールフィルターをプライマリ VLAN に適用した場合、以下に示すように、トラフィックがプライマリ VLAN タグまたは孤立した VLAN タグで egresses すると、プライマリ VLAN のメンバーであるセカンダリ Vlan にもフィルターが適用されます。

  • セカンダリ VLAN トランクポートからプロミスカスポート (トランクまたはアクセス) へ転送されたトラフィック

  • 分離された VLAN を PVLAN トランクポートに搬送するセカンダリ VLAN トランクポートから転送されるトラフィック。

  • プロミスカスポート (トランクまたはアクセス) からセカンダリ VLAN トランクポートへ転送されたトラフィック

  • PVLAN トランクポートから転送されたトラフィック。セカンダリ VLAN トランクポートに

  • コミュニティーポートからプロミスカスポート (トランクまたはアクセス) へのトラフィックの転送

出力方向にファイアウォールフィルターをプライマリ VLAN に適用した場合、以下に示すように、コミュニティー VLAN タグ付きの egresses のトラフィックにはフィルターが適用されません

  • コミュニティートランクポートから PVLAN トランクポートへ転送されたトラフィック

  • セカンダリ VLAN トランクポートから転送されたトラフィック (コミュニティー VLAN を PVLAN トランクポートに搬送する)

  • プロミスカスポート (トランクまたはアクセス) からコミュニティートランクポートに転送されたトラフィック

  • PVLAN トランクポートから転送されたトラフィック。コミュニティートランクポートへ

出力方向にファイアウォールフィルターをコミュニティ VLAN に適用すると、以下のような現象が適用されます。

  • このフィルターは、プロミスカスポート (トランクまたはアクセス) からコミュニティートランクポートに転送されたトラフィックに適用します (トラフィックがコミュニティー VLAN タグと egresses しているためです)。

  • このフィルターは、コミュニティーポートから PVLAN トランクポートに転送されるトラフィックに適用されます (トラフィックがコミュニティー VLAN タグに egresses れているためです)。

  • このフィルターは、コミュニティーポートからプロミスカスポートに転送されたトラフィックには適用していません(トラフィックがプライマリ VLAN タグまたはタグなしの egresses で行われるためです)。

ソリューション

これらは予期された動作です。この問題が発生するのは、ファイアウォールフィルターをプライベート VLAN に出力方向に適用していて、入力方向のプライベート VLAN にファイアウォールフィルターを適用した場合には発生しないためです。

送信ポートとプライベート Vlan のミラーリング

説明

送信時にプライベート VLAN (PVLAN) トラフィックをミラーリングするポートミラーリング構成を作成する場合、ミラー化されたトラフィック (analyzer システムに送信されるトラフィック) には、発信 VLAN ではなく受信 VLAN の VLAN タグが含まれています。たとえば、次の PVLAN 構成があるとします。

  • プライマリ Vlan pvlan100 と pvlan400 を伝送するプロミスカストランクポート。

  • セカンダリ VLAN isolated200 を搬送する、独立したアクセスポート。この VLAN は、プライマリ VLAN pvlan100 のメンバーです。

  • セカンダリ VLAN comm300 を搬送するコミュニティーポート。この VLAN は、プライマリ VLAN pvlan100 のメンバーでもあります。

  • Analyzer システムに接続する出力インターフェイス (モニタインターフェイス) です。このインターフェイスは、ミラー化されたトラフィックをアナライザーに転送します。

Pvlan100 用パケットがプロミスカストランクポートで入力され、分離アクセスポートで終了した場合、元のパケットは、アクセスポートで終了するため、出力時にタグが付いていないことになります。ただし、pvlan100 が analyzer に送信されると、ミラーコピーはそのタグを保持します。

もう1つの例を示します。Comm300 のパケットがコミュニティーポートに ingresses し、プロミスカストランクポート上で egresses を使用している場合、元のパケットは予想どおりに出口で pvlan100 のタグを伝達します。ただし、comm300 が analyzer に送信されると、ミラーコピーはそのタグを保持します。

ソリューション

これは予期された動作です。