Network/Cisco/Switch/VLAN

#amazon(4844319736)

スタティック VLAN [Static Virtual Local Area Network] †

概要 †

• スイッチを論理的に分割し、複数のブロードキャスト ドメインを共存させる機能
• VLAN の設定情報はフラッシュ メモリ内の vlan.dat に保存される

  [Host1]---+      AAA      +---[Host3]
            |               |
  ・・・・  +---[Switch1]---+  ・・・・
            |               |
  [Host2]---+      BBB      +---[Host4]
  

設定 †

VLAN データベース モード †

• 従来の設定方法

1. VLAN の作成

   sw# vlan database
   sw(vlan)# vlan vlan-id [name vlan-name]
   

   • vlan-id
     • 1~1001 (デフォルトは 1)
     • 0、1006~1024 はシステムで予約
     • 1002~1005 は FDDI、Token Ring 用のデフォルト VLAN
   • vlan-name
     • VLAN 名
2. インターフェースを VLAN に割り当てる

   sw(config)# interface i/f
   sw(config-if)# switchport mode access
   sw(config-if)# switchport access vlan vlan-id
   

グローバル コンフィギュレーション モード †

• 現在の設定方法

1. VLAN の作成

   sw# vlan vlan-id
   sw(config-vlan)# name vlan-name
   

   • vlan-id
     • 1~1001 に加え、1025~4094 の拡張 VLAN が使用可能 (デフォルトは 1)
     • 4095 はシステムで予約
   • vlan-name
     • VLAN 名 (オプション)
2. インターフェースを VLAN に割り当てる

   sw(config)# interface i/f
   sw(config-if)# switchport mode access
   sw(config-if)# switchport access vlan vlan-id
   

インターフェース コンフィギュレーション モード †

• VLAN が存在しない場合、自動で作成される

1. VLAN の作成とインターフェースへの割り当て

   sw(config)# interface i/f
   sw(config-if)# switchport mode access
   sw(config-if)# switchport access vlan vlan-id
   % Access VLAN does not exist. Creating vlan vlan-id
   

確認 †

VLAN データベースの確認 †

sw# vlan database
sw(vlan)# show
  VLAN ISL Id: 1
    Name: default
    Media Type: Ethernet
    VLAN 802.10 Id: 100001
    State: Operational
    MTU: 1500
    Backup CRF Mode: Disabled
    Remote SPAN VLAN: No

  VLAN ISL Id: 100
    Name: Front
    Media Type: Ethernet
    VLAN 802.10 Id: 100100
    State: Operational
    MTU: 1500
    Backup CRF Mode: Disabled
    Remote SPAN VLAN: No

  VLAN ISL Id: 200
    Name: Back
    Media Type: Ethernet
    VLAN 802.10 Id: 100200
    State: Operational
    MTU: 1500
    Backup CRF Mode: Disabled
    Remote SPAN VLAN: No

  VLAN ISL Id: 1002
    Name: fddi-default
    Media Type: FDDI
    VLAN 802.10 Id: 101002
    State: Operational
    MTU: 1500
    Bridge Type: SRB
    Backup CRF Mode: Disabled
    Remote SPAN VLAN: No

VLAN の確認 †

sw# show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active
100  Front                            active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11
200  Back                             active    Fa0/12, Fa0/13, Fa0/14, Fa0/15
                                                Fa0/16, Fa0/17, Fa0/18, Fa0/19
                                                Fa0/20, Fa0/21, Fa0/22
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0
100  enet  100100     1500  -      -      -        -    -        0      0
200  enet  100200     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        0      0
1003 tr    101003     1500  -      -      -        -    srb      0      0
1004 fdnet 101004     1500  -      -      -        ieee -        0      0

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1005 trnet 101005     1500  -      -      -        ibm  -        0      0

Remote SPAN VLANs
------------------------------------------------------------------------------


Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

• ここに出力されないポートは、トランク ポート

†

sw# show vlan id vlan-id 

スイッチング状態の確認 (インターフェース毎) †

sw# show interface mod/type switchport 
Name: Fa0/23
Switchport: Enabled
Administrative Mode: static access Trunk設定
Operational Mode: down トランク状態 down, trunk
Administrative Trunking Encapsulation: dot1q トランク プロトコル
Negotiation of Trunking: Off DTPの状態 Off,?
Access Mode VLAN: 10 (VLAN0010) 
Trunking Native Mode VLAN: 1 (default) ネイティブVLAN
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL 転送が許可されているVLAN
Pruning VLANs Enabled: 2-1001 転送が拒否されているVLAN
Capture Mode Disabled
Capture VLANs Allowed: ALL

Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

トランクの確認 (インターフェース毎) †

sw# show interface mod/type trunk 

Port        Mode         Encapsulation  Status        Native vlan
Fa0/23      off          802.1q         other         1

Port        Vlans allowed on trunk トランクで識別可能なVLAN
Fa0/23      none

Port        Vlans allowed and active in management domain トランクで有効なVLAN
Fa0/23      none

Port        Vlans in spanning tree forwarding state and not pruned トランクで転送可能なVLAN
Fa0/23      none

ダイナミック VLAN [Dynamic Virtual Local Area Network] †

概要 †

• ホストの MAC アドレスに基づいて、自動で VLAN を割り当てる
• VLAN の情報は VMPS [VLAN Management Policy Server] から、VQP [VLAN Query Protocol] を使用し取得する

設定 †

VMPSの設定

rt(config)# vmps server 192.168.0.10 primary
rt(config)# vmps server 192.168.0.11

ダイナミック VLAN の有効化

rt(config)# int faX/X
rt(config-if)# switchport accses vlan dynamic

確認 †

rt# show vmps
rt# show vmps statistics

プライベート VLAN [Private VLAN] †

概要 †

• 同一 VLAN 内でのアクセスを制御する方法。
• プライマリ VLAN とセカンダリ VLAN を設定し、2 つの VLAN 間のアクセスは許可される
• セカンダリ VLAN 内のアクセスは、タイプにより 2 つに分けられる
  • 保護 VLAN … VLAN 内のアクセスは制限される
  • コミュニティ VLAN … VLAN 内のアクセスは許可される

• Cisco - Private VLAN Catalyst Switch Support Matrix
  • http://www.cisco.com/warp/public/473/63.html

設定 †

• host[12] 同士の通信は制限したい
• host[34] 同士は通信は許可したい
• host[1-4] から rt への通信は許可したい

             ┏━━━┯━━━┓
[host1]───┨Fa0/1 │      ┃
[host2]───┨Fa0/2 │      ┃
             ┠───┤Fa0/24┠───[rt]───
[host3]───┨Fa0/3 │      ┃
[host4]───┨Fa0/4 │      ┃
             ┗━━━┷━━━┛

1. PVLAN は透過モードでないと利用できない

   sw(config)# vtp mode transparent
   

2. 保護 VLAN の作成

   sw(config)# vlan 10
   sw(config-vlan)# private-vlan isolated
   

3. コミュニティ VLAN の作成

   sw(config)# vlan 20
   sw(config-vlan)# private-vlan community
   

4. プライマリ VLAN の作成と関連付け

   sw(config)# vlan 30
   sw(config-vlan)# private-vlan primary
   sw(config-vlan)# private-vlan association 10,20
   

   sw(config)# interface range fa0/1 - 2
   sw(config-if)# switchport mode private-vlan host
   sw(config-if)# switchport private-vlan host-association 30 10
   

   sw(config)# interface range fa0/3 - 4
   sw(config-if)# switchport mode private-vlan host
   sw(config-if)# switchport private-vlan host-association 30 20
   

   sw(config)# interface fa0/24
   sw(config-if)# switchport mode private-vlan promiscuous
   sw(config-if)# switchport private-vlan mapping 30 10,20
   

確認 †

sw# show vlan private-vlan

プライベート VLAN エッジ [Private VLAN Edge] †

概要 †

• 同一 VLAN 内でのアクセスを制御する方法。
• 保護ポートを設定することで、保護ポート同士のアクセスを制限する。
• 保護ポートと非保護ポートのアクセスは制限されない。

• Cisco - Private VLAN Catalyst Switch Support Matrix
  • http://www.cisco.com/warp/public/473/63.html

設定 †

             ┏━━━━━━┓
[host1]───┨Fa0/1 Fa0/24┠───[rt]───
[host2]───┨Fa0/2       ┃
             ┗━━━━━━┛

• スイッチ内の各ポートはすべて VLAN 10 に所属している。
• host[１2] 間のアクセスは許可したくない
• host[１2] から rt へのアクセスは許可したい

sw(config)# interface fa0/1 - 2
sw(config-if-range)# switchport mode access
sw(config-if-range)# switchport access vlan 10
sw(config-if-range)# switchport protected

• VLAN 10 に所属させ、保護ポートに設定
• 保護ポート同士はアクセスできないため、host[12] 間の通信は遮断される

sw(config)# interface fa0/24
sw(config-if)# switchport mode access
sw(config-if)# switchport access vlan 10

• VLAN 10 に所属させる
• 保護ポートではないので、自由にアクセスできる

VLAN Trunk †

概要 †

• ローカル VLAN
  • 単一のスイッチで完結する VLAN
• エンド ツー エンド VLAN
  • 複数のスイッチにまたがる VLAN
  • スイッチ間で VLAN を識別する仕組みが必要

         Access                            Access
{VLAN10}────┐        Trunk         ┌────{VLAN10}
{VLAN20}────[Switch1]━━━━[Switch2]────{VLAN20}
{VLAN30}────┘                      └────{VLAN30}

• アクセス リンク … スイッチ、ホスト間を接続するリンク
• トランク リンク … スイッチ間を接続し、VLAN 情報を転送するリンク

ISL [Inter Switch Link] †

• ISL ヘッダ

  	0~3 bit	4~7 bit	8~11 bit	12~15 bit	16~19 bit	20~23 bit	24~27 bit	28~31 bit
  ~4 byte	マルチキャスト MAC アドレス
  ~8 byte	マルチキャスト MAC アドレス		TYPE	USER	送信元 SW の MAC アドレス
  ~12 byte	送信元 SW の MAC アドレス
  ~16 byte	元パケット長				SNAP
  ~20 byte	SNAP		送信元 MAC アドレスの先頭 3 byte
  ~24 byte	VLAN ID、BPDU				INDEX
  ~28 byte	RES

• Cisco 独自規格
• Cisco スイッチ間で VLAN を識別
• フレームを ISL ヘッダでカプセル化
  • ISL ヘッダが 26 byte、CRC が 4 byte
  • 64~1518 byte のフレームが、94~1548 byte になる
• 1,024 VLAN まで対応

IEEE802.1Q †

• 標準規格
• マルチ ベンダー間で VLAN を識別
• イーサーネット フレームにタグを挿入
  • タグが 4 byte、CRC は再計算される
  • 64~1518 byte のフレームが、68~1522 byte になる
• 4,096 VLAN まで対応
• タグが不要なネイティブ VLAN を 1 つ持つことができる

LANE [LAN Emulation] †

• ATM で VLAN を識別

IEEE802.10 †

• Cisco 独自規格
• FDDI で VLAN を識別

設定 †

1. I/F を選択

   sw(config)# interface type mod/num
   

2. トランク ポートに設定

   sw(config-if)# switchport mode trunk
   

3. トランク方法を指定

   sw(config-if)# switchport trunk encapsulation encap
   

   • encap
     • dot1q、isl

ネイティブ VLAN の指定 †

sw(config-if)# switchport trunk native vlan vlan-id

• vlan-id
  • ネイティブ VLAN の ID (デフォルトは 1)

トランク VLAN の指定 †

sw(config-if)# switchport trunk allowed vlan [add|remove] vlan-id

• vlan-id
  • トランク リンクに流す VLAN の ID (デフォルトは全 VLAN)
• add
  • 既存の設定に追加する場合に指定
• remove
  • 既存の設定から削除する場合に指定

DTP [Dynamic Trunking Protocol] †

• ポートの役割、トランク方法をダイナミックに設定する Cisco 独自のプロトコル
• トランク リンクでデフォルト オン
• 30 秒毎に DTP フレームを送信する

1. DTP モードの設定

   sw(config-if)# switchport mode dynamic mode
   

   • mode
     • desirable … DTP を送信し、能動的にトランク ポートになる (2950、3550 のデフォルト)
     • auto … 自分からは DTP を送信せず、対向スイッチの設定に合わせる (3560、3750 のデフォルト)

1. DTP の無効化

   sw(config-if)# switchport nonegotiate
   

   • トランク ポートとして固定設定する場合は、ネゴシエーションを止める
   • 無駄なトラフィックが流れない

VLAN 間ルーティング †

{VLAN10}────┐       Trunk
{VLAN20}────[L2SW]━━━━━[Router]
{VLAN30}────┘

• トランク リンクをルータに接続することで、単一の I/F で VLAN 間ルーティングを行う (Router on a stick)
• 物理インターフェースには設定せず、VLAN 毎にサブ インターフェースを作り、IP アドレスを設定する

rt(config)# interface type mod/num.sub-num
rt(config-subif)# encapsulation protocol vlan-num [native]
rt(config-subif)# ip address ip-addr netmask

• protocol
  • スイッチ側で使用している VTP プロトコル
  • isl, dot1q
• vlan-num
  • サブ インターフェースを所属させる VLAN 番号
• native
  • ネイティブ VLAN の場合に指定 (dot1q 時のみ)

確認 †

sw# show interfaces port-channel 1 switchport
Name: Po1
Switchport: Enabled
Administrative Mode: trunk 設定されたポートの役割 dynamic autoなど
Operational Mode: trunk 有効なポートの役割 static accessなど
Administrative Trunking Encapsulation: dot1q 設定されたトランク方法
Operational Trunking Encapsulation: dot1q 有効なトランク方法
Negotiation of Trunking: On DTP の設定状態
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default) ネイティブVLAN
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001

Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

sw# show interfaces port-channel 1 trunk
            DTPモード    トランク方法   ポートの役割  ネイティブVLAN
Port        Mode         Encapsulation  Status        Native vlan
Po1         on           802.1q         trunking      1

Port        Vlans allowed on trunk
Po1         1-4094 トランクリンクで識別可能なVLAN

Port        Vlans allowed and active in management domain
Po1         1,10 トランクリンクでアクティブなVLAN

Port        Vlans in spanning tree forwarding state and not pruned
Po1         1,10 トランクリンクでプルーニングされないVLAN

rt# sh vlans

Virtual LAN ID:  1 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interface:   FastEthernet0/1

 This is configured as native Vlan for the following interface(s) :
FastEthernet0/1

   Protocols Configured:   Address:              Received:        Transmitted:
        Other                                           0               66329

   21757 packets, 1305480 bytes input
   66329 packets, 1259295 bytes output

Virtual LAN ID:  10 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interface:   FastEthernet0/1.1

   Protocols Configured:   Address:              Received:        Transmitted:
           IP              192.168.0.1             222383              169450
        Other                                           0               23949

   222383 packets, 49867971 bytes input
   193399 packets, 21864252 bytes output

Virtual LAN ID:  20 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interface:   FastEthernet0/1.2

   Protocols Configured:   Address:              Received:        Transmitted:
           IP              192.168.1.1              24537               29727
        Other                                           0                8717

   24537 packets, 2704094 bytes input
   38444 packets, 3906996 bytes output

VTP [VLAN Trunk Protocol] †

概要 †

• VLAN 設定を他のスイッチと同期させる機能
• 5 分ごと、もしくは VLAN 設定が変更されるごとに VTP アドバタイズメントを行う
• アドバタイズメントを受信したスイッチはリビジョン番号を確認し、上がった場合は VTP アドバタイズメント要求を行う
• アドバタイズメントは管理 VLAN に対する、L2 マルチキャストで行われる

• VTP サマリー
  • VTP ドメイン、リビジョン番号、VLAN 情報の要約
  • 5 分ごと、または VLAN 設定が変更された場合に送信される
• VTP サブセット
  • VTP ドメイン、リビジョン番号、詳細な VLAN 情報
  • VLAN 設定が変更された場合に、VTP サマリーの後に送信される
  • 他のスイッチから VTP アドバタイズメント要求があった場合にも、上記の動作をする

設定 †

1. ドメインの設定

   sw(config)# vtp domain vtp-domain
   

   • vtp-domain
     • VTP ドメイン名
     • 一致したスイッチ同士で、VLAN 情報の交換を行う
2. パスワードの設定 (オプション)

   sw(config)# vlan password passwd
   

   • passwd
     • 一致したスイッチ同士で、VLAN 情報の交換を行う
3. バージョンの設定 (オプション)

   sw(config)# vtp version version
   

   • version
     • 1~3 (デフォルトは 1)
     • ドメイン内のバージョンは統一する必要がある
4. 動作モードの設定

   sw(config)# vlan mode vtp-mode
   

   • vtp-mode
     • VTP 動作モード
     • server, client, transparent (デフォルトは server)

       動作	サーバ	クライアント	透過
       VLAN 作成、変更、削除	○	×	○
       アドバタイズメント送信	○	×	×
       アドバタイズメント転送	○	○	○
       VLAN 設定情報の共有	○	○	×
       NVRAM への保存	○	×	○

VTP プルーニング [VTP Pruning] †

• 宛先の VLAN を持たないスイッチには、パケットを転送しない機能
• デフォルトはオフ
• Prune = 枝を刈る、つまり不要なスイッチ (枝) に転送しない

sw(config)# vtp pruning

確認 †

sw# show vtp status
VTP Version                     : 2 対応しているVTPバージョン
Configuration Revision          : 3  リビジョン番号
Maximum VLANs supported locally : 255 対応VLAN数
Number of existing VLANs        : 6 アクティブなVLAN数
VTP Operating Mode              : Server VTPモード
VTP Domain Name                 : DOMAIN1 VTPドメイン名
VTP Pruning Mode                : Disabled VTP Pruning
VTP V2 Mode                     : Disabled VTPv2のサポート
VTP Traps Generation            : Disabled
MD5 digest                      : 0xED 0xD8 0xB2 0x36 0x17 0x2C 0xCA 0x18 VTPパスワード
Configuration last modified by 0.0.0.0 at 3-1-93 01:35:17  VTP更新情報
Local updater ID is 10.0.0.4 on interface Vl10 (lowest numbered VLAN interface # found)

sw# show vtp password

sw# show vtp counters

Q in Q トンネル †

概要 †

• サービス プロバイダ エッジで、二重に IEEE 802.1Q タギングを行う
• Cisco 独自プロトコル

設定 †

1. インターフェースの選択

   sw(config)# interface type mod/num
   

2. プロバイダ VLAN の設定

   sw(config-if)# switchport access vlan num
   

   • num
     • プロバイダ VLAN
3. 二重タギングの設定

   sw(config-if)# switchport mode dot1qtunnel
   

4. ネイティブ VLAN の設定

   sw(config)# vlan dot1q tag native
   

   • サービス プロバイダ ネットワークのネイティブ VLAN フレームを強制的にタギングする
   • カスタマ ネットワークからのネイティブ VLAN フレームを破棄する

レイヤ 2 プロトコル トンネル †

• L2 制御 PDU (STP, VTP, CDP など) を、Q in Q トンネル内に流す
• 全サービス プロバイダ エッジで設定が必要

1. インターフェースの選択

   sw(config)# interface type mod/num
   

2. トンネリンするプロトコル

   sw(config-if)# l2protocol-tunnel [protocol]
   

   • protocol
     • stp, vtp, cdp (デフォルトは全て)
3. ドロップ閾値

   sw(config-if)# l2protocol-tunnel drop-threshold pps [protocol]
   

   • pps
     • 1 秒間に閾値を超えるフレームを受信した場合は、破棄する
     • 1~4,096
4. シャットダウン閾値

   sw(config-if)# l2protocol-tunnel shutdown-threshold pps [protocol]
   

   pps
   • pps
     • 1 秒間に閾値を超えるフレームを受信した場合は、インターフェースを errdisable にする
     • 1~4,096

EoMPLS [Ethernet over Multi Protocol Label Switching] †

概要 †

• ラベルでフレームをカプセル化する
• ラベルに基づきルーティングを行う

• LER [Label Edge Switch Router] … MPLS ネットワークのエッジに位置するルータ
• LSR [Label Switch Router] … MPLS ネットワーク内のルータ

• TDP [Tag Distribution Protocol]
• LDP [Label Distribution Protocol]

Menu

+ Operating System
　- Linux
　- FreeBSD
　- Solaris
　- Windows
　- Macintosh
　- Virtualization
+ Middleware
　- High Availability
　- Web
　- Mail
　- Database
　- FileTransfer
　- Management
　- Other Software
　- Library
　- Tool
+ Application
+ Network
+ Storage
+ Cloud
+ Protocol
+ Program
+ Others

AND検索 OR検索  

#amazon(B01NBDY5L2)

最新の10件

#amazon(4774185787)

Advertisement

Counter

Today: 2
Yesterday: 1
Total: 20586

MenuEdit