日本語

プライベートVLANとは何ですか?

Updated on 4月 23, 2021
3.0k

 プライベートVLAN (PVLAN)はポート分離とも呼ばれ、レイヤー2ネットワーク用のネットワークセグメンテーションテクノロジーであり、同じIPセグメントの下でポート分離またはトラフィックセグメンテーションを可能にします。共有ネットワーク環境でプライベートVLANを使用することにより、IP アドレスを大幅に節約し、レイヤー2内のスイッチポートのセキュリティを向上させることができます。

 

関連製品:S3910ー24TS(24xギガビットRJ45、4x10Gb SFP+46,947円 (税込)

 

プライベート VLANとは

 プライベートVLANはPrivate VLAN、PVLANとも呼ばれ、MAC アドレステーブルによる、L2 アクセス制御を行う技術で、同じIPセグメントの下でポート分離またトラフィックセグメンテーションが可能です。したがって、共有ネットワーク環境でプライベートVLANを導入することにより、IPアドレスを大幅に節約し、同じサブネットでのセキュリティーが確保できます。

 

プライベート VLANの概要

 プライベート VLANは「プライマリ VLAN」と「セカンダリ VLAN」の2つの部分によって構成されます。その中に、セカンダリ VLANは「コミュニティ VLAN」と「隔離 VLAN」の2種類があります。

 それに、プライマリ VLANをアサインするポートは「混合ポート」(無差別ポートとも呼ばれる)であり、隔離 VLANをアサインすポートは「隔離ポート」であり、コミュニテ VLANをアサインするポートは「コミュニティポート」です

 

PVLANの種類 プライマリ VLAN セカンダリ VLAN
隔離 VLAN コミュニティ VLAN
説明 1つのIPセグメントに対応するVLAN・主なVLAN プライマリ VLAN を内部で分割したVLAN
PVLANのポートタイプ 混合ポート(無差別ポート) 隔離ポート コミュニティポート
説明 混合ポート、隔離ポート、コミュニティポートの全てのポートと通信可 混合ポートのみと通信可 混合ポートと同じコミュニティ VLAN内のポートと通信可
 

プライベート VLANの応用

 ご覧の通り、ポート1、2はコミュニティ VLAN 1をアサインするコミュニティポートで、ポート3、4はコミュニティ VLAN 2をアサインするコミュニティポートで、ポート5、6は隔離 VLANをアサインする隔離ポートで、ポート7、8はプライマリ VLANをアサインするプライマリポートでです。

 上記の図表が述べたように、同じコミュニティ内のPC1がPC2と通信できるだけでなく、コミュニティポートのPC1とPC2は混合ポートのNASまたプリンターと通信できます。それに、隔離ポートのPC5とPC6は混合ポートのNASまたプリンターしか通信できません。混合ポートの設備(NASまたプリンター)はすべてのポートのデバイスと通信できます。

 

プライベートVLANの仕組み

 通常、プライベートVLANは次の段階を経ます:

◆ 1.プライマリVLANは、混合ポートからダウンストリームフレームをすべてのマッピングされたホストに転送します。

2.隔離VLANは、スタブホストのアップストリームから混合ポートのみにフレームを転送します。

3.コミュニティVLANにより、単一のコミュニティグループ内で双方向のフレーム交換が可能になります。一方、コミュニティVLANは混合ポートに向けてデータをアップストリームします。

4.イーサネットMACアドレスの学習および転送手順、およびプライマリ/セカンダリVLAN内のブロードキャスト/マルチキャストフラッディング手順は同じままです。

 VLANの定義と仕組みについての詳細は、VLANとは?仮想化について分かりやすく解説をご参照ください。

 

プライベートVLANに関する戸惑い

1. プライベートVLANの設定方法は何ですか?

 FSのS5800-8TF12S、S3910シリーズスイッチ、S5850シリーズスイッチ(製品詳細)、S8050-20Q4C、およびNシリーズスイッチはすべてプライベートVLANをサポートできます。プライベートVLANを設定するには、五つの手順があります:

▸step 1:プライマリおよびセカンダリVLANを作成して関連付けます。

▸step 2:隔離ポートとコミュニティポートを設定し、それぞれのセカンダリVLANに接続します。

▸step 3:インターフェイスを混合ポートとして設定し、混合ポートをプライマリとセカンダリのVLANペアにマッピングします。

▸step 4:VLAN間ルーティングを使用する場合は、プライマリスイッチの仮想インターフェイスを設定し、セカンダリVLANをプライマリVLANにマッピングします。

▸step 5:プライベートVLANの設定を確認します。

 

2.FSスイッチで隔離ポート(トラフィックセグメンテーション)を設定する方法とは?

 FS S3900シリーズとS3910シリーズスイッチ(製品詳細)はトラフィックセグメンテーション、S5800/5900/8050シリーズおよびNシリーズはポートアイソレーションに対応しています。トラフィックセグメンテーションやポートアイソレーションの設定方法は以下のとおりです。

▸step 1: 指定したスイッチに VLAN、IP アドレス、イーサネットインタフェースを設定し、ネッ トワークの相互接続を可能にする。

▸step 2: インタフェースをトラフィックセグメンテーショングループまたはポートアイソレーショングループに 追加し、これらのインタフェース間のレイヤ 2 セグメンテーションを実装します。

▸step 3: 設定を確認します。

 

3. VLAN VsプライベートVLAN:両者の違いは何ですか?

 一般的に言うと、異なるVLANは異なるIPサブネットにマップします。VLAN内の機器は、同じブロードキャストドメインを共有できるように設定できます。また、レイヤー2とレイヤー3で動作できます。

0

あなたにおすすめの記事