![[目次]](FIGURE/CONTENT.GIF)
![[用語]](FIGURE/GLOSS.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
解説書 Vol.1
- <この項の構成>
- (1) 概要
- (2) プライベートVLAN機能使用時の注意事項
(1) 概要
プライベートVLAN機能とは,複数のVLANを組み合わせて一つのサブネットを構成する機能です。プライベートVLANを構成する各VLANには,用途に応じてPrimary VLAN,Secondary VLAN(isolated VLAN),Secondary VLAN(community VLAN)のどれかのVLANタイプを定義します。
各VLANタイプについて以下に説明します。
- Primary VLAN
Primary VLANは一つのサブネットを構成する複数のVLANを束ねるためのVLANです。Primary VLANには複数のSecondary VLANを対応付けることができます。Primary VLAN側で受信したフレームは,Primary VLAN内のすべてのポートと,Primary VLANに対応付けられているすべてのSecondary VLANのポートに中継することができます。
複数のSecondary VLANから共有して使用する装置がある場合にはこのVLANに収容します。
Primary VLANにはIPアドレスを設定することができます。IPアドレスを設定することで,Secondary VLANから受信したパケットについてもL3中継が可能となります。
- Secondary VLAN
一つのSecondary VLANに対して一つのPrimary VLANを対応付けることができます。一つのSecondary VLANが複数のPrimary VLANと対応関係を持つことはできません。Secondary VLANにはisolated VLANとcommunity VLANの二つのタイプがあります。
Secondary VLANにはIPアドレスを設定できません。
- isolated VLAN
isolated VLAN側で受信したフレームを同一VLAN内のポートへは中継せずに,対応付けられているPrimary VLANのポートへだけ中継することができます。したがって,isolated VLAN側のポートに接続されている端末は端末同士の通信ができなくなり,代わりにPrimary VLAN側に接続されている装置との通信だけができるようになります。端末間の通信を遮断し,セキュリティを向上させたいときに使用します。
一つのPrimary VLANに対応付けることができるisolated VLANは,最大で一つです。
- community VLAN
community VLAN側で受信したフレームを同一VLAN内のポートと,Primary VLANのポートの両方へ中継することができます。したがって,community VLAN側のポートに接続されている端末はcommunity VLAN単位にグループ化され,さらにPrimary VLAN側に接続されている装置との通信も可能となります。教室や会議室といった単位で端末をグループ化し,グループ間での通信を遮断しつつグループ内の端末間の通信を許可する場合に使用します。
Primary VLANで受信したフレームを中継することができるポートの範囲と,Secondary VLANで受信したフレームを転送することができるポートの範囲を,次の図に示します。
図7-9 Primary VLANで受信した場合の中継可能なポートの範囲
図7-10 Secondary VLANで受信した場合の中継可能なポートの範囲
以下にプライベートVLAN機能の適用例を示します。
この適用例は,ある一つのサブネットを信頼できる端末の所属するネットワーク(グループ内ネットワーク)と,信頼できない端末の所属するネットワーク(グループ外ネットワーク)に分けた場合を示しています。信頼できない端末を接続するネットワークについては,端末間の通信を遮断して端末間のセキュリティを確保することができます。また,信頼できる端末のネットワークについては,端末間の通信を許可しています。双方のネットワークから共有する必要のあるプリンタなどの装置についてはPrimary VLAN側に接続します。
Primary VLANにIPアドレスを設定することで,Primary VLANがこのサブネットのルータとして動作し,Secondary VLANからのデータをルーティングすることが可能です。
図7-11 プライベートVLANの適用例
(2) プライベートVLAN機能使用時の注意事項
(a) FDBエントリ消費量について
プライベートVLAN機能では,MAC学習時に一つのMACアドレスにつき複数のFDBエントリを消費するケースがあります。詳細は「6.2.6 注意事項 (1) MACアドレス学習のFDB消費量」を参照してください。
(b) プライベートVLANのTaggedポートについて
プライベートVLANに所属するTaggedポートでは,プライベートVLANの各VLANのVLAN-Tagで送受信を行います。Primary VLANとSecondary VLANで同じVLAN-Tagを使用する場合は,Tag変換機能を設定してください。
図7-12 Tag変換機能を使用したプライベートVLAN
(c) フィルタリングおよびQoS機能について
プライベートVLAN機能を使用しているVLANに対するフィルタリング,およびQoS機能は,該当VLANの物理ポート(<Portlist>指定)に対する設定だけサポートしています。該当VLANのインタフェース(<Interface Name>指定)に対する設定は未サポートです。
(d) プライベートVLANの設定について
プライベートVLANの設定時には,次に示す項目に注意してください。
- 一つのVLANには,Primary VLANまたはSecondary VLANのどちらか一方だけ設定できます。
- 複数のPrimary VLANから同一のSecondary VLANを対応づけることはできません。
- Primary VLANからPrimary VLANを対応づけに指定できません。
- 対応関係を設定するVLANで,FDBのスタティックエントリに同じMACアドレスは指定できません。
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.
![[図データ]](FIGURE/GS810411.GIF)
![[図データ]](FIGURE/GS810412.GIF)
![[図データ]](FIGURE/GS810413.GIF)
![[図データ]](FIGURE/GS810414.GIF)