1. VLAN 基本設定#
1.1 基本操作#
作成と命名
Switch(config)# vlan 10
Switch(config-vlan)# name Staff # 管理しやすい名前を推奨管理用 IP (SVI) の設定 L2スイッチはMACアドレスベースで転送するが、遠隔管理 (SSH/Telnet) のために管理用IPが必要。
Switch(config)# interface vlan 1
Switch(config-if)# ip address 192.168.1.10 255.255.255.0
Switch(config-if)# no shutdown
Switch(config)# exit
# デフォルトゲートウェイの設定 (PCと同様)
Switch(config)# ip default-gateway 192.168.1.254確認と検証
show vlan brief # 最も頻出。ID、名前、所属ポートを確認
show vlan id 10 # 特定のVLANの詳細を確認1.2 アクセスポート (Access Port)#
エンドデバイス (PC, Server) の接続に使用。
基本設定
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10ボイス VLAN (Voice VLAN) IP電話の接続に使用。電話とPCは同じ物理ケーブルを共有して数珠繋ぎするため、Voice VLANでトラフィックを区別する。
Switch(config-if)# switchport voice vlan 202. Trunk リンクとカプセル化#
2.1 Trunk の基本#
Trunk ポート:スイッチ間で複数の VLAN トラフィックを転送するために使用。
設定コマンド
Switch(config)# interface GigabitEthernet 0/1
# カプセル化プロトコルの指定 (古い機器では必須、現行機はデフォルトで dot1q)
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk2.2 カプセル化プロトコル#
異なる VLAN のトラフィックをどう区別するか?タグ付け (Tagging) で解決する。
- ISL (Cisco 独自):
- フレームの先頭と末尾をカプセル化 (Head 26byte + FCS 4byte)。
- 廃止済み。最新機器では非対応。
- IEEE 802.1Q (Dot1q):
- 業界標準。
- 元のイーサネットフレームヘッダ内に 4バイト のタグを挿入。
2.3 ネイティブ VLAN (Native VLAN)#
- 定義:Dot1q Trunk リンク上で、タグなし (Untagged) で転送される VLAN。
- デフォルト値:VLAN 1。
- 注意:リンク両端の Native VLAN は 一致させる必要がある。不一致の場合、“Native VLAN Mismatch” エラーが発生し、STPループや通信断の原因となる。
# Native VLAN の変更
Switch(config-if)# switchport trunk native vlan 992.4 Allowed VLAN (許可リスト)#
デフォルトでは全 VLAN (1-4094) が許可される。セキュリティとパフォーマンスのため、手動で制限することを推奨。
Switch(config-if)# switchport trunk allowed vlan 10,20,99
Switch(config-if)# switchport trunk allowed vlan add 30 # 追加
Switch(config-if)# switchport trunk allowed vlan remove 10 # 削除3. DTP (Dynamic Trunking Protocol)#
DTP:スイッチポート間で Trunk の状態を自動ネゴシエーションするプロトコル。
| モード | 説明 |
|---|---|
| dynamic desirable | 能動的に Trunk になろうとする。 |
| dynamic auto | 受動的に相手を待つ (デフォルト)。 |
| trunk | 強制 Trunk。DTP パケットを送信する。 |
| access | 強制 Access。DTP パケットを送信しない。 |
セキュリティのベストプラクティス:
モードを手動指定 (access または trunk) し、ネゴシエーションは無効化 (OFF) することを推奨。攻撃者が DTP を悪用して不正に VLAN にアクセスするのを防ぐため。
# DTP ネゴシエーションの無効化 (先に非 dynamic モードにする必要あり)
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport nonegotiate4. VLAN 間ルーティング (Inter-VLAN Routing)#
L2 は VLAN を隔離し、L3 (ルーティング) は VLAN を接続する。
4.1 Router-on-a-Stick (ROAS)#
ルータの1つの物理インターフェースを使用し、複数の論理サブインターフェース (Sub-interfaces) を設定する方法。
# 物理インターフェースは有効化しておく
Router(config)# interface g0/0
Router(config-if)# no shutdown
# サブインターフェースの設定 (VLAN 10用)
Router(config)# interface g0/0.10
Router(config-subif)# encapsulation dot1q 10 # VLAN ID を紐付け
Router(config-subif)# ip address 192.168.10.254 255.255.255.0
# Native VLAN 用のサブインターフェース設定
Router(config)# interface g0/0.99
Router(config-subif)# encapsulation dot1q 99 native4.2 L3スイッチ (SVI)#
L3スイッチの仮想インターフェース SVI (Switch Virtual Interface) をゲートウェイとして使用。高性能かつ設定が簡単。
# 1. ルーティング機能の有効化 (必須)
L3Switch(config)# ip routing
# 2. SVI インターフェースの設定
L3Switch(config)# interface vlan 10
L3Switch(config-if)# ip address 192.168.10.254 255.255.255.0
L3Switch(config-if)# no shutdown5. VTP (VLAN Trunking Protocol)#
VTP:スイッチ間で VLAN データベース (追加/削除/名前変更) を自動同期するプロトコル。
5.1 モード比較#
| モード | 作成/変更 | 同期 | 広告転送 | 説明 |
|---|---|---|---|---|
| Server | ✅ | ✅ | ✅ | デフォルトモード。 |
| Client | ❌ | ✅ | ✅ | 学習のみ。変更不可。 |
| Transparent | ✅ (ローカルのみ) | ❌ | ✅ | 推奨モード。同期せず、透過するだけ。 |
5.2 リスクと設定#
リスク:リビジョン番号 (Revision Number) が高いスイッチ (Client でも) を接続すると、ネットワーク全体の VLAN 設定が上書きされ、全通信が停止する恐れがある。
基本設定:
Switch(config)# vtp domain CiscoLab # ドメイン名は一致させる
Switch(config)# vtp mode transparent # Transparent 推奨
Switch(config)# vtp password cisco # パスワード設定を推奨状態確認:
Switch# show vtp status6. よく使う確認コマンド#
# 1. インターフェースのL2状態確認 (Access/Trunk, Native VLAN, Voice VLAN)
Switch# show interfaces g0/1 switchport
# 2. Trunk インターフェースと許可リストのみ確認
Switch# show interfaces trunk
# 3. インターフェース状態一覧 (トラブルシューティングの第一歩)
Switch# show interfaces status