【ネットワーク】デフォルトVLAN、管理VLAN、ネイティブVLANについて
ネットワーク運用業務を行うにあたり、いろいろなVLANを理解するまで時間がかかりました。
いまだ十分に理解できているかわかりませんがすぐに混乱してしまうので自身のメモとして残しておきたいと思います。
目次
デフォルトVLAN
CiscoのCatalystスイッチは、工場出荷時のデフォルト状態では全てのスイッチポートでVLAN 1が設定されており、CatalystスイッチのVLAN 1はデフォルトVLANと呼ばれています。
管理VLAN
管理VLANは、Catalystスイッチを管理するための管理用トラフィックを流します。
SSHでリモート接続したり、CDPアドバタイズやVTPアドバタイズを伝送するには、この管理VLANにIPアドレスを設定する必要があります。
管理VLANは、デフォルトでVLAN1になっているのでデフォルトのまま利用したい場合は、管理VLAN1にIPアドレスを設定します。
私の理解では、管理VLANとVLANは同じ「VLAN1」でも用途が異なるので片方のVLANを無効化しても、もう片方のVLANは利用できることが混乱の元となり理解するまで時間がかかりました。
例えば「管理VLAN1」を無効化してもアクセスポートに設定された「VLAN1」は有効で利用できるということです。
管理VLAN 1 へIPアドレスを設定
設定前に show run で確認
「no ip address」と表示されIPアドレスは設定されていません。
管理VLAN1へIPアドレスを割り当て
管理VLAN 1 へIPアドレス「192.168.10.100/24」を割り当てます。
設定後に show run で確認
各ポートのVLAN設定を確認
すべてのポートがデフォルトのVLAN 1 に割り当てられていることが確認できます。
動作確認
すべてのポートから管理VLAN 1 へSSH接続できることが確認できました。
(SSH接続設定は事前に完了しているものとします)
管理VLANを変更
デフォルトの管理VLAN 1 を利用せず、別のVLANを管理VLANとして利用する場合、デフォルトの管理VLAN 1 を無効化し、別のVLANを管理VLANとして設定します。
管理VLAN 1 を無効化
管理VLAN 1 を「shutdown」で無効化します。
設定後に show run で確認
管理VLAN 1 が無効化されたことを確認します。
新しい管理VLANを作成
新しい管理VLANを設定するには、管理VLANに設定したいVLANを作成して、IPアドレスを割り当てます。今回は、VLAN 10 を作成して管理VLANとして設定し、ポート3へVLAN 10 を割り当てます。
VLAN作成
VLAN10を作成します。
作成した管理VLAN用のVLAN10へIPアドレスを割り当て
管理VLAN 10 へIPアドレス「192.168.10.100/24」を割り当てます。
設定後に show run で確認
管理VLAN 1 が無効化されて、管理VLAN10が有効化されていることが確認できます。
ポート Fa0/3 へVLAN10を割り当て
各ポートのVLAN設定を確認
ポート3のみVLAN10が割り当たっています。
動作確認
ポート 3 からのみ管理VLAN 10 へSSH接続できることが確認できました。(SSH接続設定は事前に完了しているものとします)
ネイティブ VLAN
ネイティブ VLAN とは、トランクポートの中でタグを付けない VLAN を意味し、PVID (Port VLAN ID) やアンタグ(UnTag)も同じ意味となります。
各トランクポートで 1 つだけネイティブ VLAN を指定することができ、デフォルトではVLAN ID 1 が ネイティブ VLAN に設定されています。
トランクポートの両側では、同じネイティブ VLANに設定する必要があり、不一致の場合、通信できなかったり想定外にフレームが転送される場合があります。
ネイティブVLANの確認
トランクポートの設定よりネイティブVLAN が確認できます。この設定ですとネイティブVLAN 1 とVLAN1からVLAN4094がトランクポートを通過できます。
トランクポートのネイティブVLANを 1 から10へ変更
トランクポート Fa0/8 のネイティブVLANを 1 から 10 へ変更します。
この設定でも先ほどと同じようにネイティブVLAN 10 とVLAN1からVLAN4094がトランクポートを通過できます。
この状態で トランクポート(Fa0/8) の allowed を vlan 1 だけに変更
この状態ですとVLAN 1 は通過しますが、ネイティブVLAN10は通過できません。結局「allowed」で許可されていないとトランクポートを通過できないということが検証でわかりました。