プライベートVLANエッジ(保護ポート)
・「保護ポート」を利用して,全パソコンが同一VLANにありながら,他のパソコンにアクセスできないようにする
・ルーターにはすべてのパソコンがアクセスできるようにする
ネットワーク構成(画像を別ウインドウで表示)
SwitchAのコンフィグ
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname SwitchA
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
switchport protected ←このポートを保護ポートにする
no ip address
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
switchport protected ←このポートを保護ポートにする
no ip address
!
interface FastEthernet0/12
switchport access vlan 10
switchport mode access
no ip address
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
end
確認
同一VLANでのアクセス制限を簡単にに実現する方法として,「保護ポート」を使う方法があります。
「プライベートVLANエッジ」とも呼ばれています。

●保護ポートとは?
保護ポートに設定したポート同士は,一切通信ができなくなります。
保護ポートと通常ポート同士の通信はできます。
同一VLAN内のアクセス制御をする技術に「プライベートVLAN」があります。
こちらも同様ですが,通常のプライベートVLANと違うのは,こちらはセカンダリVLANを作らなくていいところです。

●保護ポートを設定する
それでは,スイッチのパソコンがつながるポートを保護ポートに設定します。
設定は簡単で,通常の設定にswitchport protectedコマンドを加えます。
パソコンがつながるFa0/1を保護ポートにします。

SwitchA(config)#interface fastEthernet 0/1
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 10
SwitchA(config-if)#switchport protected


同様に,Fa0/2も保護ポートに設定します。

SwitchA(config)#interface fastEthernet 0/2
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 10
SwitchA(config-if)#switchport protected


ルーターがつながるFa0/12は,通常のポートのままにします。

SwitchA(config)#interface fastEthernet 0/12
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 10


設定は以上です。
通常のVLAN設定の流れにコマンドが一つ加わるだけなので,簡単です。
プライベートVLANの場合は,VLANを作るときから通常のVLAN設定とは違います。)

これで,パソコン同士の通信ができなくなります。
一方,二つのパソコンとも,ルーターへの通信はできます。

●設定の確認
設定したポートが保護ポートになっているか確認しましょう。
Fa0/1の設定を見てみます。

SwitchA#show interfaces fastEthernet 0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 10 (VLAN0010)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL

Protected: true

Voice VLAN: none (Inactive)
Appliance trust: none


表示結果を見ると,「Protected: true」になっています(上の赤字の部分)。
確かに,Fa0/1が保護ポートに設定されていることがわかります。
Fa0/2も同様に表示されます。

●「プライベートVLAN」と「プライベートVLANエッジ(保護ポート)」の機種ごとの対応表
http://www.cisco.com/warp/public/473/63.html

VLANラボ
ポートVLAN
トランク接続(タグVLAN)
VLAN間ルーティング(トランク非対応ルーター)
VLAN間ルーティング(トランク対応ルーター)
VLAN間ルーティング(レイヤー3スイッチ)
VTP
VTPプルーニング
プライベートVLAN
プライベートVLANエッジ(保護ポート)