keima's caprice diary

気付いたことをメモのように綴ります。なるべく義務っぽくならないように気まぐれに記録します。

そろがりでプライベートVLANのお話を、と【其の2】

 え、と今日もまたプライベートVLANの話です。 プライベートVLANを言い換えると、通常の1つのVLANを複数の特殊な一方行性のVLANに論理的に関連付けたもの、などと言えます。 ※通常の1つのVLAN→プライマリVLANと呼びます。 ※特殊な1方向性のVLAN→セカンダリVLANと呼びます。 セカンダリVLANに関連付けられたホストはプライマリVLAN上(ルータetc.)のポートと通信できますが、別のセカンダリVLANとは通信できません。セカンダリVLANのタイプには2種類あります。 ・Isolated(隔離)VLAN---このタイプに設定された全てのスッチポートはプライマリVLANに到達できますが、これ以外のタイプのセカンダリVLANには到達できません。また、同一の隔離VLANに関連付けられたホスト同士はお互いに通信できません。このタイプのVLANに関連付けられたホストは事実上、プライマリVLANを除く全てのものから隔離されます。 ・Community(コミュニティ)VLAN---このタイプに設定されたスイッチポートは、共通のコミュニティVLANに関連付けられたスイッチや、プライマリVLANとの通信が可能ですが、他のセカンダリVLANとの通信は一切できません。実はこれは、1つの組織内に複数のサーバファームやワークグループを作るときにとても大切なテクノロジーだったりします。組織内で隔離すべき部署はたくさん存在しているハズだからです。 全てのセカンダリVLANは、単一方向の関係を成立させる為に1つのプライマリVLANにマッピングしなければ意味を為しません。プライベートVLANの設定は、通常のVLANの設定に似ていますが、それの特殊ケースと考えると良いかもです。ただし、VTP(VLANトランキングプロトコル)はプライベートVLANの設定に関わる情報を他のスイッチに一切アドバタイズしません。なので、プライベートVLANに関わる設定は、それらを相互に接続している各スイッチ上でローカルに設定する必要があります。 プライベートVLANを使用する物理的な各スイッチポートは、VLANとの関連付けによってポートタイプを設定しなければいけません。ポートタイプには2種類あります。 ・プロミスキャス(Promiscuous)---スイッチポートをルータ、ファイヤーウォール、又はその他の一般的なゲートウェイデバイスに接続する場合、このタイプにします。このポートは、プライマリVLANにも、どのセカンダリVLANにも接続されていない、全てのデバイスと通信可能です。つまりポートはPromiscuous(相手を選ばない)というワケです。もっと言ってしまうと、このタイプのポートに限ってプラーベートVLANのルールは無視される、というワケです。 ・ホスト(Host)---スイッチポートを、隔離VLANやコミュニティVLAN上に存在する通常のホストに接続します。このポートはプロミスキャスポート、又は同じコミュニティVLAN上のポートとしか通信できません。 下に自作イメージ図を示してみました(恥...)が、1部のホストPCはセカンダリVLANのコミュニティに接続されています。2つのコミュニティVLANがプライマリVLANに関連付けられて、プライマリVLANはルータに繋がっています。このルータはプライマリVLAN上のプロミスキャスポートに接続されていて、1台のホストPCがルータのプロミスキャスポートと通信できるように、セカンダリの隔離VLANに接続されている、といった図です。はみだしちゃってますが、気にしないでください。ポリシーをもってハミだしています(大嘘!!)。 ということで、まとまりがなくなってきたので今日はここまで。 次回は具体的な設定コマンドを紹介するつもりだったりしますが、気まぐれなのでなんともいえないところです。