当記事ではCatalystスイッチにおけるプライベートVLANの設定方法について記載します。
目次
プライベートVLANとは
VLANをさらに複数のグループに分割する機能です。
プライベートVLANにより、同じVLAN同士の通信を遮断することができるため、
以下のような状況でセキュリティを強化するのに役立ちます。
例えば、データセンター内のサーバーを分離し、各サーバー間の不必要な通信を防ぐことで、
一つのサーバーが攻撃されても他のサーバーへの影響を防ぎます。
またホテルやマンションなどで、各部屋のネットワーク通信を分離することで他の部屋からのアクセスを防ぐことができます。
通常のVLANを適用すると、VLAN10内のデバイス同士で通信できます。
上図に示されているように、PC1からPC2,3,4への通信が可能です。
ただし、逆を考えると、PC1から他の各デバイスに不正アクセスされる可能性があります。
この問題を解決するために、プライベートVLANを導入することが有効です。
下図のように、プライベートVLANを実装することで、不正アクセスのリスクを低減することが可能になります。
プライベートVLANの構成
| 構成 | 説明 |
| プライマリVLAN | ・1つのIPセグメントに相当するVLAN |
| セカンダリVLAN | ・プライマリVLANを内部で分割したVLAN ・隔離(isolated)VLANとコミュニティ(community)VLANに分けられる |
3種類のポート説明
| ポートタイプ | 説明 |
| 混合ポート | ・プライマリVLANに属するポート ・すべてのポートと通信可能 |
| 隔離ポート | ・セカンダリVLANに属するポート ・混合ポートのみと通信可能 |
| コミュニティポート | ・セカンダリVLANに属するポート ・混合ポート、同じコミュニティ内のポートと通信可能 |
設定・使用環境について
設定環境図
今回は、同じセグメントに属する端末を5台用意します。プライマリVLANは10に設定します。
PC1とPC2には隔離VLANを設定し、PC3とPC4にはコミュニティVLANを設定します。
PC5には混合VLANを設定します。使用するポートの番号は13,14,15,16,17です。
設定完了後、適切に設定できているかをそれぞれの機器間で疎通確認を行います。
プライベートVLANの設定方法
- プライベートVLANを実装するために、スイッチのVTPモードをトランスペアレントモードにする必要があります。(設定をスムーズに行い、他のスイッチに不必要な設定が伝播しないようにするため)
Switch(config)#vtp mode transparent
- プライマリVLAN、セカンダリVLANを作成する
Switch(config)#vlan 10 Switch(config-vlan)#private-vlan primary Switch(config)#vlan 101 Switch(config-vlan)#private-vlan isolated Switch(config)#vlan 102 Switch(config-vlan)#private-vlan community
- プライマリVLANにセカンダリVLANを属させる
Switch(config)#vlan 10 Switch(config-vlan)#private-vlan association 101-102
ここまでの設定内容を確認
Switch#show running-config
- 各ポートにプライベートVLANを割り当てる
Switch(config)#interface gigabitethernet1/0/13 Switch(config-if)#switchport mode private-vlan host 隔離VLAN Switch(config-if)#switchport private-vlan host-association 10 101 Switch(config)#interface gigabitethernet1/0/15 Switch(config-if)#switchport mode private-vlan host コミュニティVLAN Switch(config-if)#switchport private-vlan host-association 10 102 Switch(config)#interface gigabitethernet1/0/17 Switch(config-if)#switchport mode private-vlan promiscuous 混合VLAN Switch(config-if)#switchport private-vlan mapping 10 101-102
※今回はポート13,14に隔離VLAN、ポート15,16にコミュニティVLAN、ポート17に混合VLANを割り当てる
設定内容を確認
Switch#show running-config
Switch#show vlan
疎通確認
PC1→PC2 隔離ポート同士の通信を遮断
PC1→PC3 隔離ポートからコミュニティポートへの通信を遮断
PC1→PC5 隔離ポートから混合ポートへの通信を確認
PC3→PC4 コミュニティポート同士の通信を確認
PC3→PC5 コミュニティポートから混合ポートへの通信を確認
疎通確認を通じて、設定した内容が期待通りに機能しているかを確認することができます。
スイッチ確認コマンド
プライベートVLANの設定を入力した後、その設定が正しく反映されているかを確認することは重要です。以下のようなコマンドを使用して、設定が適切に適用されているかを適宜確認しながら、行うことを推奨します。
| 確認コマンド | 説明 |
| Switch#show running-config | 現在のコンフィグを表示 |
| Switch#show vlan | スイッチのVLAN情報を表示 |
| Switch#show interfaces status | 所属するVLANを含む、インターフェースのステータスを表示 |
| Switch#show interface switchport | インターフェース上のプライベートVLAN設定を表示 |
まとめ
本記事では、CatalystスイッチにおけるプライベートVLANの設定方法について、
具体的な環境を例に挙げて紹介しました。
プライベートVLANは、VLANをさらに複数のグループに分割する機能です。
セキュリティをより強化したいときなどに役立ちます。
設定手順は特に難しくありませんので、ぜひ活用してみてください。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。
