プライベート VLAN (PVLAN) のメカニズムを使用すると、通常の VLAN をサブ VLAN に分割することによってネットワークトラフィックを隔離できます。PVLAN のメカニズムは、RFC 5517 で定義されています。通常の VLAN は通常、1 つのブロードキャストドメインですが、PVLAN のプロパティーを使用して構成されると、既存のレイヤー 3 構成を維持したまま、1 つのブロードキャストドメインがより小さいブロードキャストサブドメインにパーティション化されます。PVLAN を構成する場合、通常の VLAN はプライマリ VLAN と呼ばれ、サブ VLAN はセカンダリ VLAN と呼ばれます。
2 つの仮想ネットワークが物理リンク上の同じ VLAN ID を使用する場合は、すべてのブロードキャストトラフィックがこの 2 つの仮想ネットワークの間で渡されます。ただし、PVLAN のプロパティーを使用する仮想ネットワークを作成した場合は、パケット転送動作がすべての状況には適用されない可能性があります。
次の表に、隔離 PVLAN とコミュニティー PVLAN でのブロードキャストパケット転送のルールを示します。
|
たとえば、vnet0 仮想ネットワークと vnet1 仮想ネットワークの両方が net0 ネットワーク上で分離されている場合、net0 は 2 つの仮想ネットワーク間でブロードキャストトラフィックを渡しません。ただし、net0 ネットワークが分離された VLAN からトラフィックを受信する場合、トラフィックは VLAN に関連する分離されたポートには渡されません。この状況は、分離された仮想ネットワークがプライマリ VLAN からのトラフィックのみを受け付けるために発生します。
inter-vnet リンク機能は、隔離 PVLAN とコミュニティー PVLAN の通信制限をサポートします。inter-vnet リンクは、隔離 PVLAN では無効であり、コミュニティー PVLAN の場合は同じコミュニティー内に存在する仮想ネットワークでのみ有効です。コミュニティーの外部にあるほかの仮想ネットワークからの直接のトラフィックは許可されません。