Private Private VANの設定

・プライベートVLAN番号は200です。
・セカンダリコミュニティVLAN番号は101です。
・セカンダリ隔離VLAN番号は102です。
・任意のVLAN番号を使用することができます。
・コミュニティVLANのPC-AとPC-Bはお互いに疎通が
できます。また、混合ポートに 接続されたサーバにも接続できます。
・隔離VLANのPC-CとPC-Dは混合ポートのサーバとしか通信できません。
・サーバはすべてのポートと通信できます。

Switch(config)#vtp mode transparent
Device mode already VTP TRANSPARENT.
Switch#show vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs : 11
VTP Operating Mode : Transparent
VTP Domain Name : CISCO
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x02 0x3A 0xC2 0xD5 0xF8 0x6B 0xE9 0x99
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00

プライベートVLANの設定には、VTPモードをTransparentに変更が必要です。

Switch(config)#vlan 101
Switch(config-vlan)#private-vlan community
Switch(config-vlan)#vlan 200
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#private-vlan association add 101

コミュニティVLANの設定を始めます。最初に、VLAN101を作り、 private-vlan communityのコマンドで、これがコミュニティVLANであると認識させ、また、vlan200を作成して、private-vlan primary のコマンドでプライマリVLANとして設定します。

最後に、VLAN101がセカンダリVLANであるということをprivate-vlan associationコマンドで設定します。

Switch#show vlan private-vlan
Primary Secondary Type Ports

200 101 community

※200はプライマリVLAN番号
※101はセカンダリVLAn番号
※CommunityはVLANのタイプ
Switch(config)#interface range fastEthernet 0/1-2
Switch(config-if-range)#switchport mode private-vlan host
Switch(config-if-range)#switchport private-vlan host-association 200 101

インターフェース fa0/1とfa0/2はPC-AとPC-Bに接続されており、VLAN101に所属しています。switchport mode private-vlan hostコマンドを発行することによって、これらがホストポートであるということをインターフェースレベルでスイッチに伝える必要があります。また、switchport private-vlan host-associationコマンドでVLAN200がプライマリVLANでVLAN101がセカンダリVLANであることをスイッチに認識させます。

Switch(config)#interface fastEthernet 0/10
Switch(config-if)#switchport mode private-vlan promiscuous
Switch(config-if)#switchport private-vlan mapping 200 101

これが混合ポートを作成する方法です。switchport mode private-vlan promiscuous コマンドを入力することによって、fa0/10が混合ポートであるということを設定します。
また、switchport private-vlan mappingコマンドによって、VLANをマッピングする必要があります。

Switch#show interfaces fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: private-vlan host
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: 200 (VLAN0200) 101 (VLAN0101)
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan:
200 (VLAN0200) 101 (VLAN0101)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

switchport情報を見ることで設定を確認できます。
interface fa0/2も、fa0/1と同じ設定です。

Switch#show interfaces fa0/10 switchport
Name: Fa0/10
Switchport: Enabled
Administrative Mode: private-vlan promiscuous
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: 200 (VLAN0200) 101 (VLAN0101)
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

fa0/10(混合ポート)のswitchport情報です。マッピング情報が確認できます。

Switch#show vlan private-vlan
Primary Secondary Type Ports

200 101 community Fa0/1, Fa0/2, Fa0/10

show vlan private-vlanコマンドで、VLAN200がプライマリVLAN、VLAN101がセカンダリVLANであると分かります。また、VLANがコミュニティVLANポートであるのか隔離VLANポートであるのかが分かります。

Switch#show vlan private-vlan type
Vlan Type

101 community
200 primary

それでは設定の結果を確認してみましょう。

C:\PC-A>ping 192.168.1.102
Pinging 192.168.1.102 with 32 bytes of data:
Reply from 192.168.1.102: bytes=32 time<1ms TTL=128
Reply from 192.168.1.102: bytes=32 time<1ms TTL=128
Reply from 192.168.1.102: bytes=32 time<1ms TTL=128

PC-Aは、PC-Bに接続できます。

C:\PC-A>ping 192.168.1.200
Pinging 192.168.1.200 with 32 bytes of data:
Reply from 192.168.1.200: bytes=32 time<1ms TTL=128
Reply from 192.168.1.200: bytes=32 time<1ms TTL=128
Reply from 192.168.1.200: bytes=32 time<1ms TTL=128

PC-Aは混合ポートの背後にあるサーバにも接続できます。

コミュニティVLANは正常に動作しているので、それでは次に、
隔離VLANの設定を行います。

Switch(config)#vlan 102
Switch(config-vlan)#private-vlan isolated
Switch(config-vlan)#vlan 200
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#private-vlan association add 102

設定はコミュニティVLANと同じです。しかし、今回、private vlan isolatedコマンドを使用しています。private-vlan association addコマンドを使用して、プライマリVLANと
セカンダリVLAN間の関連を忘れずに追加してください。

Switch(config)#interface range fastEthernet 0/3-4
Switch(config-if-range)#switchport mode private-vlan host
Switch(config-if-range)#switchport private-vlan host
Switch(config-if-range)#switchport private-vlan host-association 200 102

上記コマンドは、コミュニティVLANの設定と同じです。

Switch(config)#interface fastEthernet 0/10
Switch(config-if)#switchport mode private-vlan promiscuous
Switch(config-if)#switchport private-vlan mapping 200 102

VLAN200(プライマリ)とVLAN102(セカンダリ)間のマッピングを追加で作成することが必要です。

Switch#show interfaces fa0/3 switchport
Name: Fa0/3
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: 200 (VLAN0200) 102 (VLAN0102)
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

VLAN200と102間のhost-associationが確認できます。

Switch#show interfaces fa0/4 switchport
Name: Fa0/4
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: 200 (VLAN0200) 102 (VLAN0102)
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

fa0/3と同じ出力結果です。

Switch#show interfaces fa0/10 switchport
Name: Fa0/10
Switchport: Enabled
Administrative Mode: private-vlan promiscuous
Operational Mode: private-vlan promiscuous
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: 200 (VLAN0200) 101 (VLAN0101) 102 (VLAN0102)
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan:
200 (VLAN0200) 101 (VLAN0101) 102 (VLAN0102)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

VLAN101とVLAN102がプライマリVLAN200にマッピングされていることが分かります。

Switch#show vlan private-vlan
Primary Secondary Type Ports

200 101 community Fa0/1, Fa0/2, Fa0/10
200 102 isolated Fa0/3, Fa0/4, Fa0/10
Switch#show vlan private-vlan type
Vlan Type

101 community
102 isolated
200 primary

それでは、設定の結果を確認してみましょう。

C:PC-3>ping 192.168.1.200
Pinging 192.168.1.254 with 32 bytes of data:
Reply from 192.168.1.200: bytes=32 time<1ms TTL=128
Reply from 192.168.1.200: bytes=32 time<1ms TTL=128
Reply from 192.168.1.200: bytes=32 time<1ms TTL=128

PC-3は混合ポートの背後のサーバに接続できます。

C:PC-3>ping 192.168.1.104
192.168.1.104 に ping を送信しています 32 バイトのデータ:
192.168.1.103 からの応答: 宛先ホストに到達できません。
192.168.1.103 からの応答: 宛先ホストに到達できません。
192.168.1.103 からの応答: 宛先ホストに到達できません。
192.168.1.103 からの応答: 宛先ホストに到達できません。
192.168.1.104 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、

PC-3とPC-4間では接続できません。これは、PC-3とPC-4が隔離VLANだからです。

Leave a comment

Your email address will not be published. Required fields are marked *