プライベート VLAN の概要

プライベート VLAN (PVLAN) のテクノロジーを使用すると、VLAN をサブ VLAN に分割することによってネットワークトラフィックを隔離できます。通常の VLAN は、単一のブロードキャストドメインです。PVLAN を構成すると、1 つのブロードキャストドメインが小さいサブドメインに分割されます。PVLAN を構成する場合、標準 (IEEE 802.1Q) VLAN はプライマリ VLAN と呼ばれ、サブ VLAN はセカンダリ VLAN と呼ばれます。セカンダリ VLAN は、隔離 VLAN またはコミュニティー VLAN のどちらでもかまいません。

• 隔離 VLAN

  隔離 VLAN に関連付けられたポートは、プライマリ VLAN のみと通信でき、その他のセカンダリ VLAN とはできません。隔離 VLAN はプライマリ VLAN ドメイン内に 1 つだけ作成できます。

• コミュニティー VLAN

  コミュニティー VLAN に関連付けられたポートは、プライマリ VLAN、および同一のコミュニティー VLAN 内にあるその他のポートと通信できます。コミュニティー VLAN はプライマリ VLAN ドメイン内に複数作成できます。

通常の VLAN については、仮想ローカルエリアネットワークを使用した仮想ネットワークの構成を参照してください。

次の図は、PVLAN をサポートするスイッチで構成された 2 つの PVLAN を持つ単純な PVLAN 構成を示しています。

図 9  プライベート VLAN

この図で、プライマリ VLAN ID が 100 のプライベート VLAN には 3 つのセカンダリ VLAN があり、そのセカンダリ VLAN ID は 101、102、および 103 です。セカンダリ VLAN のうち 2 つはホスト Host A、Host B、Host C、Host D によるコミュニティー VLAN、もう 1 つはホスト Host E および Host F による隔離 VLAN です。

コミュニティー VLAN 101 および 102 に関連付けられたポートは、プライマリ VLAN 100 と通信でき、さらに相互に通信できます。つまり、Host A は Host B と通信でき、Host C は Host D と通信できます。ただし、コミュニティー VLAN 101 内の Host A および Host B は、コミュニティー VLAN 102 内の Host C および Host D と通信できません。隔離 VLAN に関連付けられたポートは、プライマリ VLAN のみと通信でき、相互にはできません。

詳細については、プライベート VLAN の構成を参照してください。

PVLAN を使用することの利点

PVLAN の使用には、次の利点があります。

• IP サブネットごとに複数の VLAN を作成できるため、IP アドレスを節約します。

• PVLAN は通常の VLAN よりも多くの L2 分離ネットワークを提供するため、スケーラビリティーが向上します。この増加により、VLAN の制限が取り除かれ、最大 4094 の分離されたネットワークを作成できるようになります。

• 通常の VLAN に比べて分離が向上します。

PVLAN ポート

PVLAN は通常の VLAN と同様に複数のスイッチにまたがることができます。トランクポートはプライマリ VLAN またはセカンダリ VLAN からのフレームを搬送します。PVLAN に関連付けられた 2 種類のポートは、プロミスキャストランクポートとセカンダリトランクポートです。

• プロミスキャストランクポート – プロミスキャストランクポートから送信されるすべてのフレームは、プライマリ VLAN ID でタグ付けされます。このポートは、最上位のアップリンクポートで構成されます。スイッチは、プライマリ VLAN ID とセカンダリ VLAN ID をマッピングします。

• PVLAN セカンダリトランクポート – PVLAN セカンダリトランクポートから送信されるすべてのフレームは、セカンダリ VLAN ID でタグ付けされます。

送信トラフィックのタグ付け

Oracle Solaris では、プロミスキャストランクポートがシステムとスイッチのどちらにあるのかに応じて、PVLAN のタグモードプロパティーを設定する必要があります。したがって、PVLAN がスイッチ上で構成されていてセカンダリポートが Oracle Solaris 上で構成されているのか、それとも PVLAN がスイッチ上ではなくシステム上でのみ構成されているのかを識別する必要があります。

プライマリ VLAN ID を持つパケットを送信するには、タグモードを primary に設定する必要があります。セカンダリ VLAN ID を持つパケットを送信するには、タグモードを secondary に設定する必要があります。スイッチは、セカンダリ VLAN ID をプライマリ VLAN ID に変換します。デフォルトでは、パケットはプライマリ VLAN ID 付きで送信されます。

tagmode プロパティーを構成して、プライマリ VLAN ID またはセカンダリ VLAN ID で送信トラフィックにタグ付けできます。このプロパティーのデフォルト値は、primary です。複数の PVLAN スイッチがあり、1 つの PVLAN をこれら複数のスイッチにまたがるようにする場合は、dladm set-linkprop コマンドを使用して、プロパティー tagmode を secondary に設定する必要があります。

使用例 19  PVLAN 用のタグモードの設定

次の例は、データリンク上のタグモードを変更する方法を示しています。

# dladm set-linkprop -p pvlan-tagmode=secondary net0
# dladm show-linkprop -p pvlan-tagmode net0
LINK     PROPERTY       PERM VALUE        EFFECTIVE    DEFAULT   POSSIBLE
net0     pvlan-tagmode  rw   secondary    secondary    primary   secondary,
                                                                 primary

PVLAN 構成の要件

PVLAN を構成するときは、次の制限事項に注意してください。

• コミュニティー VLAN のプライマリ VLAN ID とセカンダリ VLAN ID は一意である必要があります。

  たとえば、3 のプライマリ VLAN ID と 100 のセカンダリ VLAN ID を持つコミュニティー VLAN がある場合は、3 または 100 をセカンダリ VLAN ID として使用する別のコミュニティー VLAN を作成することはできません。つまり、4 と 100 や 4 と 3 といった ID ペアが含まれる組み合わせは無効です。

• 隔離 VLAN のセカンダリ VLAN ID は再利用できます。

  たとえば、3 のプライマリ VLAN ID と 100 のセカンダリ VLAN ID を持つ隔離 VLAN がある場合は、VLAN ID 100 をプライマリ VLAN ID またはコミュニティーセカンダリ VLAN ID として再利用できます。

ゾーンを持つ PVLAN

VLAN と Oracle Solaris ゾーンを組み合わせることにより、スイッチなどの 1 つのネットワーク単位内に複数のプライベート仮想ネットワークを構成できます。PVLAN を使用すると、追加の VLAN を導入しなくても同じ VLAN 内にあるゾーン間のネットワーク分離を提供できます。次の図は、2 つの物理 NIC と 2 つの PVLAN を持つシステムがそれらの上に構成されていることを示しています。

図 10  ゾーンを持つ PVLAN

この図は、101 および 102 の VLAN ID を持つ 2 つの PVLAN を示しています。隔離およびコミュニティー VLAN は、プライマリ VLAN 101 の上に構成されています。プライマリ VLAN 102 上には隔離 VLAN が 1 つだけ構成されています。プライマリ VLAN 101 上の隔離 VLAN およびコミュニティー VLAN 内のゾーンは、相互に通信できません。ただし、コミュニティー VLAN 内のホストは、相互に通信できます。

ゾーンに PVLAN を割り当てる方法については、ゾーンへの PVLAN の割り当てを参照してください。