VLAN
VLAN は、ユーザの物理的な位置に関係なく、機能、プロジェクト チーム、またはアプリケーションなどで論理的に分割されたスイッチド ネットワークです。VLAN は、物理 LAN と同じ属性をすべて備えていますが、同じ LAN セグメントに物理的に配置されていないエンド ステーションもグループ化できます。どのスイッチ ポートも VLAN に割り当てることができます。ユニキャスト、ブロードキャスト、およびマルチキャスト パケットは、VLAN 内のエンド ステーションだけに転送およびフラッディングが行われます。各 VLAN は 1 つの論理ネットワークと見なされ、VLAN に割り当てられていないステーション宛てのパケットは、ルータまたはフォールバック ブリッジングをサポートするスイッチを経由して転送しなければなりません(図 17-1を参照)。VLAN はそれぞれが独立した論理ネットワークと見なされるので、VLAN ごとに独自のブリッジ管理情報ベース(MIB)情報があり、スパニングツリーの独自の実装をサポートできます。「STP の設定」を参照してください。
(注) VLAN を作成する前に、VLAN トランキング プロトコル(VTP)を使用してネットワークのグローバルな VLAN 設定を維持するかどうかを決定する必要があります。VTP の詳細については、「VTP の設定」を参照してください。
図 17-1 論理的に定義されたネットワークとしての VLAN
VLAN は通常、IP サブネットワークに対応付けられます。たとえば、特定の IP サブネットに含まれるエンド ステーションはすべて同じ VLAN に属します。スイッチ上のインターフェイスの VLAN メンバーシップは、インターフェイスごとに手動で割り当てます。この方法でスイッチ インターフェイスを VLAN に割り当てた場合、これをインターフェイス ベース(またはスタティック)VLAN メンバーシップと呼びます。
VLAN 間のトラフィックは、ルーティングまたはフォールバック ブリッジングする必要があります。スイッチは、スイッチ仮想インターフェイス(SVI)を使用して、VLAN 間でトラフィックをルーティングできます。VLAN 間でトラフィックをルーティングするには、SVI を明示的に設定して IP アドレスを割り当てる必要があります。
(注) スイッチに多数の VLAN を設定し、ルーティングをイネーブル化しない予定の場合は、sdm prefer vlan グローバル コンフィギュレーション コマンドを使用してスイッチ データベース管理(SDM)機能を VLAN テンプレートに設定できます。このテンプレートは、最大数のユニキャスト MAC アドレスをサポートするようにシステム リソースを設定します。SDM テンプレートの詳細については、「SDM テンプレートの設定」、またはこのリリースのコマンド リファレンスの sdm prefer コマンドを参照してください。
サポートされる VLAN
スイッチは、VTP クライアント、サーバ、およびトランスペアレントの各モードで VLAN をサポートしています。VLAN は、1 ~ 4096 の番号で識別します。VLAN ID 1002 ~ 1005 は、トークンリングおよびファイバ分散データ インターフェイス(FDDI)VLAN 専用です。
VTP バージョン 1 およびバージョン 2 は、標準範囲の VLAN(VLAN ID 1 ~ 1005)だけをサポートします。これらのバージョンで 1006 ~ 4096 の VLAN ID を作成する場合は、スイッチを VTP トランスペアレント モードにする必要があります。
このリリースでは、VTP バージョン 3 をサポートします。VTP バージョン 3 は、VLAN 範囲全体(VLAN 1 ~ 4096)をサポートします。拡張範囲 VLAN(VLAN 1006 ~ 4096)は、VTP バージョン 3 でだけサポートされます。拡張 VLAN がドメインに設定されている場合は、VTP バージョン 3 から VTP バージョン 2 に変換できません。
スイッチは合計 1005 の VLAN をサポートしますが、ルーテッド ポート、SVI、その他の設定済み機能の個数によって、スイッチのハードウェアの使用状況は左右されます。
スイッチは、最大 128 のスパニングツリー インスタンスを持つ Per-VLAN Spanning-Tree Plus(PVST+)または Rapid PVST+ をサポートします。VLAN ごとに 1 つずつスパニングツリー インスタンスを使用できます。スパニングツリー インスタンス数および VLAN 数の詳細については、「標準範囲 VLAN 設定時の注意事項」を参照してください。
VLAN ポート メンバーシップ モード
VLAN に所属するポートは、メンバーシップ モードを割り当てることで設定します。メンバーシップ モードは、各ポートが伝送できるトラフィックの種類、および所属できる VLAN の数を指定します。 表 17-1 に、各種メンバーシップ モード、およびそれぞれのメンバーシップと VTP の特性を示します。
表 17-1 ポートのメンバーシップ モードとその特性
|
|
|
スタティック アクセス |
スタティック アクセス ポートは、手動で割り当てられ、1 つの VLAN だけに所属します。 詳細については、「VLAN へのスタティック アクセス ポートの割り当て」を参照してください。 |
VTP は必須ではありません。VTP にグローバルに情報を伝播させないようにする場合は、VTP モードをトランスペアレント モードに設定します。VTP に加入するには、あるスイッチのトランク ポートに接続した別のスイッチ上に 1 つまたは複数のトランク ポートがなければなりません。 |
トランク(ISL または IEEE 802.1Q) |
デフォルトで、トランク ポートは拡張範囲 VLAN を含むすべての VLAN のメンバです。ただし、メンバーシップは許可 VLAN リストを設定して制限できます。また、プルーニング適格リストを変更して、リストに指定したトランク ポート上の VLAN へのフラッディング トラフィックを阻止することもできます。 トランク ポートの設定については、「トランク ポートとしてのイーサネット インターフェイスの設定」を参照してください。 |
VTP を推奨しますが、必須ではありません。VTP は、ネットワーク全体にわたって VLAN の追加、削除、名前変更を管理することにより、VLAN 設定の整合性を維持します。VTP はトランク リンクを通じて他のスイッチと VLAN コンフィギュレーション メッセージを交換します。 |
ダイナミック アクセス |
ダイナミック アクセス ポートは VLAN に属すことができ、VMPS(VLAN メンバーシップ ポリシー サーバ)によって動的に割り当てられます。VMPS には Catalyst 5000 または Catalyst 6500 シリーズ スイッチを使用できますが、IE 2000 スイッチは使用できません。このIE 2000 スイッチは VMPS クライアントです。 同一スイッチ上でダイナミックアクセス ポートとトランク ポートを使用できますが、ダイナミックアクセス ポートは別のスイッチではなく、エンド ステーションまたはハブに接続する必要があります。 設定については、「VMPS クライアント上のダイナミックアクセス ポートの設定」を参照してください。 |
VTP は必須です。 VMPS およびクライアントを同じ VTP ドメイン名で設定してください。 VTP に加入するには、あるスイッチのトランク ポートが別のスイッチのトランク ポートに接続していなければなりません。 |
音声 VLAN |
音声 VLAN ポートは、Cisco IP Phone に接続し、電話に接続されたデバイスからの音声トラフィックに 1 つの VLAN を、データ トラフィックに別の VLAN を使用するように設定されたアクセス ポートです。 音声 VLAN ポートの詳細については、「音声 VLAN の設定」を参照してください。 |
VTP は不要です。VTP は音声 VLAN に対して無効です。 |
アクセス モードとトランク モード、および機能の定義の詳細については、表 17-3を参照してください。
ポートが VLAN に所属すると、スイッチは VLAN 単位で、ポートに対応するアドレスを学習して管理します。詳細については、「アドレス エージング タイムの変更」を参照してください。
標準範囲 VLAN
標準範囲 VLAN は、VLAN ID が 1 ~ 1005 の VLAN です。スイッチが VTP サーバ モードまたは VTP トランスペアレント モードにある場合は、VLAN データベース内の VLAN 2 ~ 1001 について設定を追加、変更、または削除できます (VLAN ID 1 および 1002 ~ 1005 は自動作成され、削除できません)。
VLAN ID 1 ~ 1005 の設定は vlan.dat (VLAN データベース)ファイルに書き込まれます。この設定を表示するには、 show vlan 特権 EXEC コマンドを入力します。 vlan.dat ファイルはフラッシュ メモリに格納されます。
注意
vlan.dat
ファイルを手動で削除しようとすると、VLAN データベースの不整合が生じる可能性があります。VLAN 設定を変更する場合は、ここに記載されたコマンド、および
このリリースに対応するコマンド リファレンスに記載されたコマンドを使用します。VTP 設定の変更手順については、
「VTP の設定」を参照してください。
さらに、インターフェイス コンフィギュレーション モードを使用して、ポートのメンバーシップ モードの定義、VLAN に対するポートの追加および削除を行います。これらのコマンドの実行結果は、実行コンフィギュレーション ファイルに書き込まれます。このファイルを表示するには、 show running-config 特権 EXEC コマンドを使用します。
VLAN データベースに新しい標準範囲 VLAN を作成したり、VLAN データベース内の既存の VLAN を変更したりする場合、次のパラメータを設定できます。
• VLAN ID
• VLAN 名
• VLAN タイプ(イーサネット、FDDI、FDDI Network Entity Title(NET)、TrBRF または TrCRF、トークンリング、トークンリング Net)
• VLAN ステート(アクティブまたは中断)
• VLAN の最大伝送単位(MTU)
• Security Association Identifier(SAID)
• TrBRF VLAN のブリッジ識別番号
• FDDI および TrCRF VLAN のリング番号
• TrCRF VLAN の親 VLAN 番号
• TrCRF VLAN のスパニングツリー プロトコル(STP)タイプ
• ある VLAN タイプから別の VLAN タイプに変換するときに使用する VLAN 番号
VLAN を vlan グローバル コンフィギュレーション コマンドで設定するには、VLAN ID を入力します。新規の VLAN ID を入力して VLAN を作成するか、または既存の VLAN ID を入力してその VLAN を変更します。デフォルトの VLAN 設定を使用するか( 表 17-2 を参照)、複数のコマンドを入力して VLAN を設定できます。このモードで使用できるコマンドの詳細については、このリリースのコマンド リファレンスに記載されている vlan グローバル コンフィギュレーション コマンドを参照してください。設定を終了したら、VLAN コンフィギュレーション モードを終了して、設定を有効にする必要があります。VLAN 設定を表示するには、 show vlan 特権 EXEC コマンドを入力します。
VLAN ID 1 ~ 1005 の設定は、常に VLAN データベースに保存されます(vlan.dat ファイル)。VTP モードがトランスペアレント モードの場合、それらの設定もスイッチの実行コンフィギュレーション ファイルに保存されます。 copy running-config startup-config 特権 EXEC コマンドを使用して、スタートアップ コンフィギュレーション ファイルに設定を保存できます。VLAN 設定を表示するには、 show vlan 特権 EXEC コマンドを入力します。
VLAN および VTP 情報(拡張範囲 VLAN 設定情報を含む)をスタートアップ コンフィギュレーション ファイルに保存して、スイッチを再起動すると、スイッチの設定は次のように選択されます。
• スタートアップ コンフィギュレーションおよび VLAN データベース内の VTP モードがトランスペアレントで、VLAN データベースとスタートアップ コンフィギュレーション ファイルの VTP ドメイン名が一致する場合は、VLAN データベースが無視され(クリアされ)、スタートアップ コンフィギュレーション ファイル内の VTP および VLAN 設定が使用されます。VLAN データベース内の VLAN データベース リビジョン番号は変更されません。
• スタートアップ コンフィギュレーション内の VTP モードまたはドメイン名が VLAN データベースと一致しない場合、最初の 1005 の VLAN のドメイン名、VTP モード、および VTP 設定には VLAN データベース情報が使用されます。
• VTP バージョン 1 および 2 では、VTP モードがサーバの場合、最初の 1005 の VLAN だけのドメイン名および VLAN 設定には VLAN データベース情報が使用されます。VTP バージョン 3 は、VLAN 1006 ~ 4096 もサポートします。
トークンリング VLAN
このスイッチはトークンリング接続をサポートしていませんが、トークンリング接続を行っている Catalyst 6500 シリーズ スイッチなどのリモート デバイスを、サポート対象スイッチのうちの 1 台から管理できます。VTP バージョン 2 が稼働しているスイッチは、次のトークンリング VLAN に関する情報をアドバタイズします。
• トークンリング TrBRF VLAN
• トークンリング TrCRF VLAN
トークンリング VLAN の詳しい設定手順については、『 Catalyst 6500 Series Software Configuration Guide 』を参照してください。
標準範囲 VLAN 設定時の注意事項
ネットワーク内で標準範囲 VLAN を作成または変更する場合には、次の注意事項に従ってください。
• スイッチは、VTP クライアント、サーバ、およびトランスペアレントの各モードで 1005 の VLAN をサポートしています。
• 標準範囲 VLAN は、1 ~ 1001 の番号で識別します。VLAN 番号 1002 ~ 1005 は、トークンリングおよび FDDI VLAN 専用です。
• VLAN 1 ~ 1005 の VLAN 設定は、常に VLAN データベースに格納されます。VTP モードがトランスペアレント モードの場合、VTP と VLAN の設定もスイッチの実行コンフィギュレーション ファイルに保存されます。
• VTP バージョン 1 および 2 では、スイッチは VTP トランスペアレント モード(VTP はディセーブル)の場合だけ、VLAN ID 1006 ~ 4096 をサポートします。これらは拡張範囲 VLAN であり、設定オプションには制限があります。VTP トランスペアレント モードで作成された拡張範囲 VLAN は、VLAN データベースに保存されず、伝播されません。VTP バージョン 3 は、拡張範囲 VLAN(VLAN 1006 ~ 4096)データベース伝播をサポートします。拡張 VLAN を設定している場合は、VTP バージョン 3 からバージョン 1 または 2 に変換できません。「拡張範囲 VLAN の作成」を参照してください。
• VLAN を作成する前に、スイッチを VTP サーバ モードまたは VTP トランスペアレント モードにしておく必要があります。スイッチが VTP サーバである場合には、VTP ドメインを定義する必要があります。VTP ドメインを定義しないと、VTP は機能しません。
• スイッチは、トークンリングまたは FDDI メディアをサポートしません。スイッチは FDDI、FDDI-Net、TrCRF、または TrBRF トラフィックを伝送しませんが、VTP を介して VLAN 設定を伝播します。
• スイッチは 128 のスパニングツリー インスタンスをサポートします。スイッチのアクティブな VLAN 数が、サポートされているスパニングツリー インスタンス数よりも多い場合、スパニングツリーは 128 の VLAN でイネーブルにできます。残りの VLAN で、スパニングツリーはディセーブルになります。スイッチ上の使用可能なスパニングツリー インスタンスをすべて使い切ってしまった後に、VTP ドメインの中にさらに別の VLAN を追加すると、そのスイッチ上にスパニングツリーが稼働しない VLAN が生成されます。そのスイッチのトランク ポート上でデフォルトの許可リスト(すべての VLAN を許可するリスト)が設定されていると、すべてのトランク ポート上に新しい VLAN が割り当てられます。ネットワーク トポロジによっては、新しい VLAN 上で、切断されないループが生成されることがあります。特に、複数の隣接スイッチでスパニングツリー インスタンスをすべて使用してしまっている場合には注意が必要です。スパニングツリー インスタンスの割り当てを使い果たしたスイッチのトランク ポートに許可リストを設定することにより、このような可能性を防ぐことができます。
スイッチ上の VLAN の数がサポートされているスパニングツリー インスタンスの最大数を超える場合、スイッチ上に IEEE 802.1s Multiple STP(MSTP)を設定して、複数の VLAN を単一のスパニングツリー インスタンスにマッピングすることを推奨します。MSTP の詳細については、「MSTP の設定」を参照してください。
イーサネット VLAN のデフォルト設定
(注) スイッチがサポートするのは、イーサネット インターフェイスだけです。FDDI およびトークンリング VLAN は、ローカルではサポートされないので、FDDI およびトークンリング メディア固有の特性は、他のスイッチに対する VTP グローバル アドバタイズにのみ設定します。
表 17-2 イーサネット VLAN のデフォルトおよび範囲
|
|
|
VLAN ID |
1 |
1 ~ 4096 (注) 拡張範囲 VLAN(VLAN ID 1006 ~ 4096)は、VTP バージョン 3 の場合だけ VLAN データベースに保存されます。 |
VLAN 名 |
VLANxxxx 。 xxxx は VLAN ID 番号に等しい 4 桁の数字(先行ゼロを含む)です。 |
範囲なし |
IEEE 802.10 SAID |
100001(100000 と VLAN ID の和) |
1 ~ 4294967294 |
MTU サイズ |
1500 |
1500 ~ 18190 |
トランスレーショナル ブリッジ 1 |
0 |
0 ~ 1005 |
トランスレーショナル ブリッジ 2 |
0 |
0 ~ 1005 |
VLAN ステート |
アクティブ |
アクティブ、中断 |
リモート SPAN |
ディセーブル |
イネーブル、ディセーブル |
イーサネット VLAN
VLAN データベース内の各イーサネット VLAN には、1 ~ 1001 の 4 桁の一意の ID が設定されています。VLAN ID 1002 ~ 1005 は、トークンリングおよび FDDI VLAN 用に予約されています。標準範囲 VLAN を作成して VLAN データベースに追加するには、VLAN に番号および名前を割り当てます。
(注) VTP バージョン 1 および 2 でスイッチが VTP トランスペアレント モードの場合は、1006 を超える VLAN ID を割り当てることができますが、それらを VLAN データベースに追加できません。「拡張範囲 VLAN の作成」を参照してください。
VLAN の追加時に指定されるデフォルト パラメータの一覧は、「標準範囲 VLAN」を参照してください。
VLAN の削除
VTP サーバ モードのスイッチから VLAN を削除すると、VTP ドメイン内のすべてのスイッチの VLAN データベースから、その VLAN が削除されます。VTP トランスペアレント モードのスイッチから VLAN を削除した場合、そのスイッチ上に限り VLAN が削除されます。
イーサネット VLAN 1 および FDDI、またはトークンリング VLAN 1002 ~ 1005 の、メディア タイプ別のデフォルト VLAN は削除できません。
注意 VLAN を削除すると、その VLAN に割り当てられていたすべてのポートが非アクティブになります。これらのポートは、新しい VLAN に割り当てられるまで、元の VLAN に(非アクティブで)対応付けられたままです。
VLAN へのスタティック アクセス ポート
VTP をディセーブルにすることによって(VTP トランスペアレント モード)、VTP に VLAN 設定情報をグローバルに伝播させずに、スタティック アクセス ポートを VLAN に割り当てることができます。
クラスタ メンバ スイッチのポートを VLAN に割り当てる場合、最初に rcommand 特権 EXEC コマンドを使用して、そのクラスタ メンバ スイッチにログインします。
(注) 存在しない VLAN にインターフェイスを割り当てると、新しい VLAN が作成されます (「イーサネット VLAN の作成または変更」を参照)。
拡張範囲 VLAN
VTP バージョン 1 およびバージョン 2 でスイッチが VTP トランスペアレント モード(VTP がディセーブル)の場合、拡張範囲 VLAN(1006 ~ 4096)を作成できます。VTP バージョンは、拡張範囲 VLAN をサーバ モードおよびトランスペアレント モードでサポートします。サービス プロバイダーは拡張範囲 VLAN を使用することにより、インフラストラクチャを拡張して、多数の顧客に対応できます。拡張範囲 VLAN ID は、VLAN ID が許可されている任意の switchport コマンドで使用できます。
VTP バージョン 1 または 2 での拡張範囲 VLAN の設定は VLAN データベースに格納されません。ただし、VTP モードがトランスペアレントであるため、スイッチの実行コンフィギュレーション ファイルにストアされます。設定をスタートアップ コンフィギュレーション ファイルに保存するには、 copy running-config startup-config 特権 EXEC コマンドを使用します。VTP バージョン 3 で作成された拡張範囲 VLAN は、VLAN データベースに保存されます。
VLAN のデフォルト設定
表 17-2 にイーサネット VLAN のデフォルト設定を示します。拡張範囲 VLAN については MTU サイズ、プライベート VLAN、およびリモート SPAN 設定ステートしか変更できません。残りのすべての特性はデフォルト ステートのままでなければなりません。
拡張範囲 VLAN 設定時の注意事項
拡張範囲 VLAN を作成するときは次の注意事項に従ってください。
• 拡張範囲の VLAN ID は、スイッチが VTP バージョン 3 を実行していない場合は VLAN データベースに保存されず、VTP で認識されません。
• プルーニング適格範囲に拡張範囲 VLAN を含めることはできません。
• VTP バージョン 1 および 2 では、拡張範囲 VLAN を作成する場合は、スイッチを VTP トランスペアレント モードにする必要があります。VTP モードがサーバまたはクライアントの場合、エラー メッセージが生成され、拡張範囲 VLAN が拒否されます。VTP バージョン 3 は、拡張範囲 VLAN をサーバ モードおよびトランスペアレント モードでサポートします。
• VTP バージョン 1 または 2 では、グローバル コンフィギュレーション モードで、VTP モードをトランスペアレントに設定できます。「VTP ドメインへの VTP クライアント スイッチの追加」を参照してください。 VTP トランスペアレント モードでスイッチが始動するように、この設定をスタートアップ コンフィギュレーションに保存する必要があります。このようにしないと、スイッチをリセットした場合に、拡張範囲 VLAN 設定が失われます。VTP バージョン 3 で拡張範囲 VLAN を作成する場合は、VTP バージョン 1 または 2 に変更できません。
• 拡張範囲 VLAN では、STP はデフォルトでイネーブルになりますが、no spanning-tree vlan vlan-id グローバル コンフィギュレーション コマンドを使用してディセーブルにできます。スイッチ上に最大数のスパニングツリー インスタンスが存在している場合に、VLAN を新規作成すると、この VLAN 上でスパニングツリーはディセーブルになります。スイッチ上の VLAN の数がスパニングツリー インスタンスの最大数を超える場合、スイッチ上に IEEE 802.1s MSTP を設定して、複数の VLAN を単一のスパニングツリー インスタンスにマッピングすることを推奨します。MSTP の詳細については、「MSTP の設定」を参照してください。
• スイッチ上の各ルーテッド ポートは、内部 VLAN を使用するために作成します。この内部 VLAN は拡張範囲 VLAN 番号を使用し、その内部 VLAN ID は拡張範囲 VLAN には使用できません。内部 VLAN として割り当て済みの VLAN ID を指定して拡張範囲 VLAN を作成すると、エラー メッセージが生成され、コマンドは拒否されます。
– 内部 VLAN ID は拡張範囲の下部の方なので、拡張範囲 VLAN を作成するには最大の番号(4096)から始めて最小値(1006)へと動いて、内部 VLAN ID を使用する可能性を減らすことを推奨します。
– 拡張範囲 VLAN を設定する前に、 show vlan internal usage 特権 EXEC コマンドを入力して、どの VLAN が内部 VLAN として割り当てられているかを確認します。
– 必要に応じて、内部 VLAN に割り当てられたルーテッド ポートをシャットダウンできます。これにより、内部 VLAN が解放され、拡張範囲 VLAN を作成してポートを再度イネーブルにし、別の VLAN を内部 VLAN として使用します。「内部 VLAN ID を指定した拡張範囲 VLAN の作成」を参照してください。
• スイッチは合計 1005(標準範囲および拡張範囲)の VLAN をサポートしますが、ルーテッド ポート、SVI、その他の設定済み機能の個数によって、スイッチのハードウェアの使用状況は左右されます。拡張範囲 VLAN を作成するときに、使用できるハードウェア リソースが不足していると、エラー メッセージが生成され、拡張範囲 VLAN が拒否されます。
トランキングの概要
トランクとは、1 つまたは複数のイーサネット スイッチ インターフェイスと他のネットワーキング デバイス(ルータ、スイッチなど)の間のポイントツーポイント リンクです。イーサネット トランクは 1 つのリンクを介して複数の VLAN トラフィックを伝送するので、VLAN をネットワーク全体に拡張できます。
トランクを設定できるのは、1 つのイーサネット インターフェイスまたは EtherChannel バンドルに対してです。EtherChannel の詳細については、「EtherChannel の設定」を参照してください。
イーサネット トランク インターフェイスは、 表 17-3 に示すトランキング モードをサポートしています。インターフェイスをトランキングまたは非トランキングとして設定したり、ネイバー インターフェイスとトランキングのネゴシエーションを行ったりするように設定できます。トランキングを自動ネゴシエーションするには、インターフェイスが同じ VTP ドメインに存在する必要があります。
トランク ネゴシエーションは、PPP(ポイントツーポイント プロトコル)であるダイナミック トランキング プロトコル( DTP)によって管理されます。ただし、一部のインターネットワーキング デバイスによって DTP フレームが不正に転送されて、矛盾した設定となる場合があります。
この事態を避けるには、DTP をサポートしないデバイスに接続されたインターフェイスが DTP フレームを転送しないように、つまり DTP をオフにするように設定する必要があります。
• これらのリンク上でトランキングを行わない場合は、 switchport mode access インターフェイス コンフィギュレーション コマンドを使用して、トランキングをディセーブルにします。
• DTP をサポートしていないデバイスへのトランキングをイネーブルにするには、 switchport mode trunk および switchport nonegotiate インターフェイス コンフィギュレーション コマンドを使用して、インターフェイスがトランクになっても DTP フレームを生成しないように設定します。
表 17-3 レイヤ 2 インターフェイス モード
|
|
switchport mode access |
インターフェイス(アクセス ポート)を永続的な非トランキング モードにして、リンクの非トランク リンクへの変換をネゴシエートします。インターフェイスは、ネイバー インターフェイスがトランク インターフェイスかどうかに関係なく、非トランク インターフェイスになります。 |
switchport mode dynamic auto |
インターフェイスがリンクをトランク リンクに変換できるようにします。インターフェイスは、ネイバー インターフェイスが trunk または desirable モードに設定されている場合、トランク インターフェイスになります。すべてのイーサネット インターフェイスのデフォルトのスイッチポート モードは dynamic auto です。 |
switchport mode dynamic desirable |
インターフェイスがリンクのトランク リンクへの変換をアクティブに実行するようにします。インターフェイスは、ネイバー インターフェイスが trunk 、 desirable 、または auto モードに設定されている場合、トランク インターフェイスになります。 |
switchport mode trunk |
インターフェイスを永続的なトランキング モードにして、ネイバー リンクのトランク リンクへの変換をネゴシエートします。インターフェイスは、ネイバー インターフェイスがトランク インターフェイスでない場合でも、トランク インターフェイスになります。 |
switchport nonegotiate |
インターフェイスが DTP フレームを生成しないようにします。このコマンドは、インターフェイス スイッチポート モードが access または trunk の場合だけ使用できます。トランク リンクを確立するには、手動でネイバー インターフェイスをトランク インターフェイスとして設定する必要があります。 |
IEEE 802.1Q の設定時の注意事項
IEEE 802.1Q トランクは、ネットワークのトランキング方式について次の制限があります。
• IEEE 802.1Q トランクを使用して接続している Cisco スイッチのネットワークでは、スイッチはトランク上で許容される VLAN ごとに 1 つのスパニングツリー インスタンスを維持します。他社製のデバイスは、すべての VLAN でスパニングツリー インスタンスを 1 つサポートする場合があります。
IEEE 802.1Q トランクを使用して Cisco スイッチを他社製のデバイスに接続する場合、Cisco スイッチは、トランクの VLAN のスパニングツリー インスタンスを、他社製の IEEE 802.1Q スイッチのスパニングツリー インスタンスと結合します。ただし、各 VLAN のスパニングツリー情報は、他社製の IEEE 802.1Q スイッチからなるクラウドにより分離された Cisco スイッチによって維持されます。Cisco スイッチを分離する他社製の IEEE 802.1Q クラウドは、スイッチ間の単一トランク リンクとして扱われます。
• IEEE 802.1Q トランクに対応するネイティブ VLAN が、トランク リンクの両側で一致していなければなりません。トランクの片側のネイティブ VLAN と反対側のネイティブ VLAN が異なっていると、スパニングツリー ループが発生する可能性があります。
• ネットワーク上のすべてのネイティブ VLAN についてスパニングツリーをディセーブルにせずに、IEEE 802.1Q トランクのネイティブ VLAN 上のスパニングツリーをディセーブルにすると、スパニングツリー ループが発生することがあります。IEEE 802.1Q トランクのネイティブ VLAN 上でスパニングツリーをイネーブルのままにしておくか、またはネットワーク上のすべての VLAN でスパニングツリーをディセーブルにすることを推奨します。また、ネットワークにループがないことを確認してから、スパニングツリーをディセーブルにしてください。
レイヤ 2 イーサネット インターフェイス VLAN のデフォルト設定
表 17-4 レイヤ 2 イーサネット インターフェイス VLAN のデフォルト設定
|
|
インターフェイス モード |
switchport mode dynamic auto |
VLAN 許容範囲 |
VLAN 1 ~ 4096 |
プルーニングに適格な VLAN 範囲 |
VLAN 2 ~ 1001 |
デフォルト VLAN(アクセス ポート用) |
VLAN 1 |
ネイティブ VLAN(IEEE 802.1Q トランク用) |
VLAN 1 |
トランク ポートとしてのイーサネット インターフェイス
トランク ポートは VTP アドバタイズを送受信するので、VTP を使用する場合は、スイッチ上で少なくとも 1 つのトランク ポートが設定されており、そのトランク ポートが別のスイッチのトランク ポートに接続されていることを確認する必要があります。そうでない場合、スイッチは VTP アドバタイズを受信できません。
(注) デフォルトでは、インターフェイスはレイヤ 2 モードです。レイヤ 2 インターフェイスのデフォルト モードは、switchport mode dynamic auto です。隣接インターフェイスがトランキングをサポートし、トランキングを許可するように設定されている場合、リンクはレイヤ 2 トランクです。また、インターフェイスがレイヤ 3 モードの場合は、switchport インターフェイス コンフィギュレーション コマンドを入力するとレイヤ 2 トランクになります。
トランキングと他の機能との相互作用
トランキングは他の機能と次のように相互作用します。
• トランク ポートをセキュア ポートにすることはできません。
• トランク ポートは、トンネル ポートにできません。
• トランク ポートをまとめて EtherChannel ポート グループにすることはできますが、グループ内のすべてのトランクに同じ設定をする必要があります。グループを初めて作成したときには、そのグループに最初に追加されたポートのパラメータ設定値をすべてのポートが引き継ぎます。次のパラメータのいずれかについて、設定を変更すると、入力した設定値がスイッチによってグループ内のすべてのポートに伝播されます。
– 許可 VLAN リスト。
– 各 VLAN の STP ポート プライオリティ。
– STP PortFast の設定値。
– トランク ステータス。ポート グループ内の 1 つのポートがトランクでなくなると、すべてのポートがトランクでなくなります。
• PVST モードで設定するトランク ポートの数は 24 まで、MST モードで設定するトランク ポートの数は 40 までにすることを推奨します。
• トランク ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、ポート モードは変更されません。
• ダイナミック モードのポートは、ネイバーとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミックに変更しようとしても、ポート モードは変更されません。
トランクでの許可 VLAN
デフォルトでは、トランク ポートはすべての VLAN に対してトラフィックを送受信します。各トランクですべての VLAN ID(1 ~ 4096)が許可されます。ただし、許可リストから VLAN を削除することにより、それらの VLAN からのトラフィックがトランク上を流れないようにすることができます。トランクが伝送するトラフィックを制限するには、 switchport trunk allowed vlan remove vlan-list インターフェイス コンフィギュレーション コマンドを使用して、許可リストから特定の VLAN を削除します。
(注) VLAN 1 は、すべての Cisco スイッチのすべてのトランク ポートのデフォルト VLAN です。以前は、すべてのトランク リンクで VLAN 1 を必ずイネーブルにする必要がありました。VLAN 1 の最小化機能を使用して、個々の VLAN トランク リンクで VLAN 1 をディセーブルに設定できます。これにより、ユーザ トラフィック(スパニングツリー アドバタイズなど)は VLAN 1 で送受信されなくなります。
スパニングツリー ループまたはストームのリスクを軽減するには、許可リストから VLAN 1 を削除して個々の VLAN トランク ポートで VLAN 1 をディセーブルにします。トランク ポートから VLAN 1 を削除した場合、インターフェイスは引き続き VLAN 1 内で Cisco Discovery Protocol(CDP)、ポート集約プロトコル(PAgP)、Link Aggregation Control Protocol(LACP)、DTP、および VTP などの管理トラフィックを送受信します。
VLAN 1 をディセーブルにしたトランク ポートが非トランク ポートになると、そのポートはアクセス VLAN に追加されます。アクセス VLAN が 1 に設定されると、 switchport trunk allowed の設定には関係なく、ポートは VLAN 1 に追加されます。ポート上でディセーブルになっている任意の VLAN について同様のことが当てはまります。
トランク ポートは、VLAN がイネーブルになっており、VTP が VLAN を認識し、なおかつポートの許可リストにその VLAN が登録されている場合に、VLAN のメンバになることができます。VTP が新しくイネーブルにされた VLAN を認識し、その VLAN がトランク ポートの許可リストに登録されている場合、トランク ポートは自動的にその VLAN のメンバになります。VTP が新しい VLAN を認識し、その VLAN がトランク ポートの許可リストに登録されていない場合には、トランク ポートはその VLAN のメンバにはなりません。
タグなしトラフィック用ネイティブ VLAN
IEEE 802.1Q タギングが設定されたトランク ポートは、タグ付きトラフィックおよびタグなしトラフィックの両方を受信できます。デフォルトでは、タグなしトラフィックは、ポートに設定されたネイティブ VLAN に転送されます。ネイティブ VLAN は、デフォルトでは VLAN 1 です。
(注) ネイティブ VLAN には任意の VLAN ID を割り当てることができます。
IEEE 802.1Q 設定についての詳細は、「IEEE 802.1Q の設定時の注意事項」を参照してください。
トランク ポートを使用した負荷分散
負荷分散により、スイッチに接続しているパラレル トランクの提供する帯域幅が分割されます。STP は通常、ループを防止するために、スイッチ間で 1 つのパラレル リンク以外のすべてのリンクをブロックします。負荷分散を行うと、トラフィックの所属する VLAN に基づいて、リンク間でトラフィックが分散されます。
トランク ポートで負荷分散を設定するには、STP ポート プライオリティまたは STP パス コストを使用します。STP ポート プライオリティを使用して負荷分散を設定する場合には、両方の負荷分散リンクを同じスイッチに接続する必要があります。STP パス コストを使用して負荷分散を設定する場合には、それぞれの負荷分散リンクを同一のスイッチにも、2 台の異なるスイッチにも接続できます。STP の詳細については、「STP の設定」を参照してください。
STP ポート プライオリティによる負荷分散
同一スイッチ上の 2 つのポートがループを形成すると、スイッチは STP ポート プライオリティを使用して、どのポートをイネーブルとし、どのポートをブロッキング ステートとするかを判断します。パラレル トランク ポートにプライオリティを設定することにより、そのポートに、特定の VLAN のすべてのトラフィックを伝送させることができます。VLAN に対するプライオリティの高い(値の小さい)トランク ポートがその VLAN のトラフィックを転送します。同じ VLAN に対してプライオリティの低い(値の大きい)トランク ポートは、その VLAN に対してブロッキング ステートのままです。1 つのトランク ポートが特定の VLAN に関するすべてのトラフィックを送受信することになります。
図 17-2 に、サポート対象スイッチを接続する 2 つのトランクを示します。この例では、スイッチは次のように設定されています。
• VLAN 8 ~ 10 は、トランク 1 で 16 というポート プライオリティが割り当てられています。
• VLAN 3 ~ 6 は、トランク 1 でデフォルトのポート プライオリティである 128 のままです。
• VLAN 3 ~ 6 は、トランク 2 で 16 というポート プライオリティが割り当てられています。
• VLAN 8 ~ 10 は、トランク 2 でデフォルトのポート プライオリティである 128 のままです。
このように設定すると、トランク 1 が VLAN 8 ~ 10 のトラフィックを伝送し、トランク 2 が VLAN 3 ~ 6 のトラフィックを伝送します。アクティブ トランクで障害が起きた場合には、プライオリティの低いトランクが引き継ぎ、それらすべての VLAN のトラフィックを伝送します。いずれのトランク ポート上でも、トラフィックの重複は発生しません。
図 17-2 STP ポート プライオリティによる負荷分散
STP パス コストによる負荷分散
トランクにそれぞれ異なるパス コストを設定し、各パス コストをそれぞれ異なる VLAN 群に対応付け、各 VLAN でポートをブロックすることによって、VLAN トラフィックを分散するパラレル トランクを設定できます。VLAN はトラフィックを分離し、リンクが失われた場合に備えて冗長性を維持します。
図 17-3 で、トランク ポート 1 および 2 は 100BASE-T ポートとして設定されています。次の VLAN パス コストが割り当てられています。
• VLAN 2 ~ 4 は、トランク ポート 1 で 30 というパス コストが割り当てられています。
• VLAN 8 ~ 10 は、トランク ポート 1 で 100BASE-T のデフォルトのパス コストである 19 のままです。
• VLAN 8 ~ 10 は、トランク ポート 2 で 30 というパス コストが割り当てられています。
• VLAN 2 ~ 4 は、トランク ポート 2 で 100BASE-T のデフォルトのパス コストである 19 のままです。
図 17-3 パス コストによってトラフィックが分散される負荷分散トランク
「STP パス コストによる負荷分散の設定」を参照してください。
VMPS
VLAN Query Protocol(VQP)は、ダイナミックアクセス ポートをサポートする場合に使用します。ダイナミックアクセス ポートは VLAN に永続的に割り当てられるのではなく、ポートで認識された MAC(メディア アクセス コントロール)送信元アドレスに基づいて VLAN を割り当てます。未知の MAC アドレスが検出されるたびに、スイッチはリモート VMPS に VQP クエリーを送信します。クエリーには新たに検出された MAC アドレスとそのアドレスを検出したポートが含まれます。VMPS はそのポートの VLAN 割り当てで応答します。このスイッチを VMPS サーバにすることはできませんが、VMPS のクライアントとして機能させ、VQP を介して通信できます。
クライアント スイッチは新しいホストの MAC アドレスを受信するたびに、VMPS に VQP クエリーを送信します。このクエリーを受信した VMPS は、データベースで MAC アドレスと VLAN のマッピングを検索します。サーバの応答は、このマッピングと、サーバがオープン モードかセキュア モードかに基づいて行われます。セキュア モードの場合、サーバは不正なホストが検出されると、ポートをシャットダウンします。オープン モードでは、サーバはホストに対してポート アクセスを拒否するだけです。
ポートが 未割り当て の場合(つまり、VLAN 割り当てがまだ設定されていない場合)、VMPS は次のいずれかの応答を行います。
• そのポートでホストが許可されている場合、VMPS は割り当てられた VLAN 名を指定し、ホストへのアクセスを許可する VLAN 割り当て 応答をクライアントに送信します。
• そのポートでホストが許可されておらず、なおかつ VMPS がオープン モードの場合、VMPS は アクセス拒否 応答を送信します。
• そのポートで VLAN が許可されておらず、なおかつ VMPS がセキュア モードの場合、VMPS は ポートシャットダウン 応答を送信します。
ポートに VLAN 割り当てがすでに設定されている場合、VMPS は次のいずれかの応答を行います。
• データベース内の VLAN がポート上の現在の VLAN と一致した場合、VMPS は 成功 応答を送信し、ホストへのアクセスを許可します。
• データベース内の VLAN がポート上の現在の VLAN と一致せず、なおかつポート上にアクティブ ホストが存在する場合、VMPS は VMPS のセキュア モードに応じて、 アクセス拒否 または ポートシャットダウン 応答を送信します。
VMPS から アクセス拒否 応答を受信した場合、スイッチはそのホスト MAC アドレスのトラフィックを双方向で引き続きブロックします。スイッチはポート宛てのパケットを引き続きモニタし、新しいホスト アドレスを検出すると VMPS にクエリーを送信します。VMPS から ポートシャットダウン 応答を受信した場合、スイッチはそのポートをディセーブルにします。Network Assistant、CLI(コマンドライン インターフェイス)、または SNMP(簡易ネットワーク管理プロトコル)を使用して、ポートを手動で再びイネーブルにする必要があります。
ダイナミックアクセス ポート VLAN メンバーシップ
ダイナミックアクセス ポートが所属できるのは、VLAN ID が 1 ~ 4096 の 1 つの VLAN だけです。リンクがアップになっても、VMPS によって VLAN が割り当てられるまで、このポートとの間でトラフィック転送は行われません。VMPS は、ダイナミックアクセス ポートに接続した新しいホストの最初のパケットから送信元 MAC アドレスを受信し、VMPS データベースの VLAN とその MAC アドレスを照合します。
一致した場合、VMPS はそのポートの VLAN 番号を送信します。クライアント スイッチがまだ設定されていない場合は、スイッチは VMPS からトランク ポートで受信した最初の VTP パケットからのドメイン名を使用します。クライアント スイッチがすでに設定されている場合は、クエリー パケットにスイッチのドメイン名を含めて VMPS に送信し、VLAN 番号を取得します。VMPS はパケット内のドメイン名が自身のドメイン名と一致することを確認した後、要求を受け入れ、クライアントに割り当てられた VLAN 番号を応答します。一致しない場合、(VMPS セキュア モードの設定に応じて)VMPS は要求を拒否するか、ポートをシャットダウンします。
ダイナミックアクセス ポート上で複数のホスト(MAC アドレス)をアクティブにできますが、それらのホストはすべて同じ VLAN に存在する必要があります。ただし、ポート上でアクティブなホスト数が 20 を超えると、VMPS はダイナミックアクセス ポートをシャットダウンします。
ダイナミックアクセス ポート上でリンクがダウンになると、ポートは切り離された状態に戻り、VLAN の所属から外れます。ポート経由でオンラインになるホストは VMPS によって VQP 経由で再チェックされてから、ポートが VLAN に割り当てられます。
ダイナミックアクセス ポートは、直接ホスト接続に使用したり、ネットワークに接続したりできます。スイッチ上のポートごとに、最大 20 の MAC アドレスを使用できます。ダイナミックアクセス ポートが一度に所属できる VLAN は 1 つだけですが、VLAN は検出された MAC アドレスに基づいて後で変更されることがあります。
VMPS クライアントのデフォルト設定
表 17-5 VMPS クライアントおよびダイナミックアクセス ポートのデフォルト設定
|
|
VMPS ドメイン サーバ |
なし |
VMPS 再確認インターバル |
60 分 |
VMPS サーバ再試行回数 |
3 |
ダイナミックアクセス ポート |
未設定 |
VMPS 設定時の注意事項
ダイナミックアクセス ポート VLAN メンバーシップには、次の注意事項および制限事項があります。
• VMPS を設定してから、ポートをダイナミックアクセス ポートとして設定する必要があります。
• ポートをダイナミックアクセス ポートとして設定すると、そのポートに対してスパニングツリーの PortFast 機能が自動的にイネーブルになります。PortFast モードにより、ポートをフォワーディング ステートに移行させるプロセスが短縮されます。
• IEEE 802.1x ポートをダイナミックアクセス ポートとして設定することはできません。ダイナミックアクセス(VQP)ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。
• トランク ポートをダイナミックアクセス ポートにすることはできませんが、トランク ポートに対して switchport access vlan dynamic インターフェイス コンフィギュレーション コマンドを入力することは可能です。その場合、スイッチの設定は維持され、後にアクセス ポートとして設定された場合には、その設定が適用されます。
ダイナミックアクセス設定を有効にするには、ポート上でトランキングをオフにしておく必要があります。
• ダイナミックアクセス ポートをモニタ ポートにすることはできません。
• セキュア ポートをダイナミックアクセス ポートにすることはできません。ポートをダイナミックにするには、ポート上でポート セキュリティをディセーブルにしておく必要があります。
• プライベート VLAN ポートは、ダイナミックアクセス ポートにできません。
• ダイナミックアクセス ポートを EtherChannel グループのメンバにすることはできません。
• ポート チャネルをダイナミックアクセス ポートとして設定することはできません。
• ダイナミックアクセス ポートは、フォールバック ブリッジングに加入できます。
• VMPS クライアントと VMPS サーバの VTP 管理ドメインは、同じでなければなりません。
• VMPS サーバ上に設定された VLAN を音声 VLAN にしないでください。
VMPS 再確認インターバル
VMPS クライアントは、VMPS から受信する VLAN メンバーシップの情報を定期的に再確認します。再確認を実行する間隔は数字を使用して分単位で設定できます。
クラスタのメンバ スイッチを設定する場合、このパラメータはコマンド スイッチの再確認インターバルの設定値以上でなければなりません。メンバ スイッチにログインするには、最初に rcommand 特権 EXEC コマンドを使用する必要があります。
ダイナミックアクセス ポート VLAN メンバーシップ
VMPS は次の状況でダイナミックアクセス ポートをシャットダウンします。
• VMPS がセキュア モードであり、なおかつホストのポートへの接続を許可しない場合。VMPS はポートをシャットダウンして、ホストがネットワークに接続できないようにします。
• ダイナミックアクセス ポート上のアクティブ ホストが 20 を超えた場合。
ディセーブルにされているダイナミックアクセス ポートを再びイネーブルにするには、 shutdown インターフェイス コンフィギュレーション コマンドに続けて、 no shutdown インターフェイス コンフィギュレーション コマンドを入力します。