プライベートVLAN
次項 »
« « FXCX5512PEシリーズ目次
シナリオ
一般的なPrivate VLAN(PVLAN)機能は、専用のプロトコルや複雑なVLANマッピング設定を必要とすることが多いですが、
本シナリオではPVID(ポートVLAN ID)とUntaggedVLANの所属を非対称に設定させる手法を採用しています。
これにより、特殊なコマンドを使用せず、標準的なVLAN機能の組み合わせのみで「隔離(Isolated)」や「コミュニティ(Community)」といった
PVLAN特有の高度なトラフィック制御をシンプルに実現しています。
(プライマリーVLAN)プライマリーVLAN ID:1(192.168.1.0/24)
(セカンダリーVLAN)隔離VLAN ID:2,3,4,5
(セカンダリーVLAN)コミュニティVLAN ID:6
隔離ポートと混合ポート(アップリンク)は相互に通信可能
隔離ポート間では相互に通信不可
隔離ポートとコミュニティポート間は相互に通信不可
同一コミュニティーVLANのメンバーポートは相互に通信が可能
構成
隔離・混合・コミュニティポートを混合させる。
(プライマリーVLAN)混合VLAN:1
(セカンダリーVLAN)隔離VLAN:2,3,4,5
(セカンダリーVLAN)コミュニティVLAN:6
ポート割り当ては
1:混合(アップリンク)ポート
2~5:隔離ポート
6~8:コミュニティポート
とする。
通常、同じVLANに属する端末同士は自由に通信できるが、PVLANを使うことで
「ルータとは通信できるが、隣接パソコンとは通信させない(隔離)」といった細かい制御が可能となる。
設定例
| コマンド | コメント |
|---|---|
| vlan 1 | vlan1 |
| gvrp advertisement disable | GVRPを無効 |
| ! | 全ポートにUntaggedで割当てられてるため、デフォルトのまま変更なし。 |
| vlan 2 | vlan 2を作成 |
| gvrp advertisement disable | GVRPを無効 |
| ports add gigabitethernet 0/1,0/2 untagged gigabitethernet 0/1,0/2 | VLAN2を隔離VLANに設定,プライマリーVLANと紐づけ |
| vlan 3 | vlan 3を作成 |
| gvrp advertisement disable | GVRPを無効 |
| ports add gigabitethernet 0/1,0/3 untagged gigabitethernet 0/1,0/3 | VLAN3を隔離VLANに設定,プライマリーVLANと紐づけ |
| vlan 4 | vlan 4を作成 |
| gvrp advertisement disable | GVRPを無効 |
| ports add gigabitethernet 0/1,0/4 untagged gigabitethernet 0/1,0/4 | VLAN4を隔離VLANに設定,プライマリーVLANと紐づけ |
| vlan 5 | vlan 5を作成 |
| gvrp advertisement disable | GVRPを無効 |
| ports add gigabitethernet 0/1,0/5 untagged gigabitethernet 0/1,0/5 | VLAN5を隔離VLANに設定,プライマリーVLANと紐づけ |
| vlan 6 | vlan 6を作成 |
| gvrp advertisement disable | GVRPを無効 |
| ports add gigabitethernet 0/1,0/6,0/7,0/8 untagged gigabitethernet 0/1,0/6,0/7,0/8 | VLAN6をコミュニティVLANに設定,プライマリーVLANと紐づけ |
| ports name "6to8port" | VLAN名を設定(ポート6〜8:コミュニティVLAN) |
| interface gigabitethernet 0/1 | ポート1 |
| ! | ※PVID VLAN1は、デフォルトの為、変更不要 |
| interface gigabitethernet 0/2 | ポート2 |
| switchport pvid 2 | vlan2に割り当て |
| interface gigabitethernet 0/3 | ポート3 |
| switchport pvid 3 | vlan3に割り当て |
| interface gigabitethernet 0/4 | ポート4 |
| switchport pvid 4 | vlan4に割り当て |
| interface gigabitethernet 0/5 | ポート5 |
| switchport pvid 5 | vlan5に割り当て |
| interface gigabitethernet 0/6 | ポート6 |
| switchport pvid 6 | vlan6に割り当て |
| interface gigabitethernet 0/7 | ポート7 |
| switchport pvid 6 | vlan6に割り当て |
| interface gigabitethernet 0/8 | ポート8 |
| switchport pvid 6 | vlan6に割り当て |
| interface vlan 1 | vlan 1 |
| no ip address | - |
| ip address 192.168.1.1 255.255.255.0 | 管理IP:192.168.1.1/24設定 |
関連コマンド
#show vlan brief
VLANデータベースを表示する。
その他、備考
FXCX5512PEのデフォルト管理IP(vlan1):DHCP (※DHCP未取得時:192.168.1.1/24)となります
※本管理IPにはPVID1のポート割り当てのみアクセス可能です。
上記設定例では、gigabitethernet0/2-gigabitethernet0/8 からはアクセス不可となります。