プライベート VLAN について
VLAN は、指定されたユーザーへのブロードキャストを制限します。プライベートVLAN(PVLAN)は、VLAN内の通信を制限することで、この概念をさらに一歩進めます。PVLAN は、メンバーのスイッチ ポート( プライベート ポートと呼ばれる)を通過するトラフィック フローを制限して、これらのポートが、指定されたアップリンク トランク ポートまたは同じ VLAN 内の指定されたポートとのみ通信するようにすることで、これを実現します。アップリンク トランク ポートまたはリンク アグリゲーション グループ(LAG)は、通常、ルーター、ファイアウォール、サーバー、またはプロバイダー ネットワークに接続されます。通常、各 PVLAN には、1 つのアップリンク ポートとのみ通信するプライベート ポートが多数含まれているため、ポート間の通信ができません。
PVLAN は、VLAN 内のポート間のレイヤー 2 分離を提供し、プライマリ VLAN 内にセカンダリ VLAN(コミュニティ VLAN と 分離 VLAN)を作成することで、ブロードキャスト ドメインを複数の個別のブロードキャスト サブドメインに分割します。同じコミュニティVLAN内のポートは相互に通信できます。分離 VLAN 内のポートは、1 つのアップリンク ポート とのみ 通信できます。
PVLAN は、正規の VLAN と同様、レイヤー 2 で隔離されており、セカンダリ VLAN 間でレイヤー 3 トラフィックをルーティングするには、次のいずれかのオプションが必要です。
ルーターとの無差別ポート接続
RVI(Routed VLAN Interface)
セカンダリ VLAN 間でレイヤー 3 トラフィックをルーティングする場合、PVLAN は上記のオプションのいずれか 1 つだけを必要とします。RVI を使用する場合でも、PVLAN に出入りするトラフィックのみを処理するように無差別ポートを設定したまま、ルーターへの無差別ポート接続を実装できます。
PVLAN は、ブロードキャストおよび不明なユニキャスト トラフィックのフローを制限し、既知のホスト間の通信を制限するのに役立ちます。サービス プロバイダは PVLAN を使用して、顧客を相互に分離します。PVLAN のもう 1 つの一般的な用途は、ホテルで部屋ごとのインターネット アクセスを提供することです。
PVLAN をサポートするスイッチにまたがるように PVLAN を設定できます。
このトピックでは、EX シリーズ スイッチの PVLAN に関する次の概念について説明します。
PVLAN のメリット
単一の VLAN を分離する必要があるのは、次の導入シナリオで特に役立ちます。
サーバー ファーム - 一般的なインターネット サービス プロバイダは、サーバー ファームを使用して多数の顧客に Web ホスティングを提供します。1 つのサーバー ファーム内でさまざまなサーバーを配置すると、管理が容易になります。レイヤー2ブロードキャストがVLAN内のすべてのサーバーに送られるため、すべてのサーバーが同じVLAN内にあるとセキュリティ上の問題が発生します。
メトロポリタンイーサネットネットワーク—あるメトロサービスプロバイダーが、さまざまな家庭、賃貸コミュニティ、企業にレイヤー2イーサネットアクセスを提供しています。顧客ごとに1つのVLANを展開する従来のソリューションは、拡張性がなく、管理が困難であるため、IPアドレスが無駄になる可能性があります。PVLAN は、よりセキュアで効率的なソリューションを提供します。
PVLAN の典型的な構造と主な用途
PVLAN は、1 台のスイッチ上で設定することも、複数のスイッチにまたがるように設定することもできます。ドメインとポートのタイプは次のとおりです。
プライマリ VLAN - PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)で定義されます。プライマリ PVLAN には、複数のセカンダリ VLAN(1 つの独立 VLAN と複数のコミュニティ VLAN)を含めることができます。
分離 VLAN/分離ポート - プライマリ VLAN には、分離された VLAN を 1 つだけ含めることができます。分離されたVLAN内のインターフェイスは、無差別ポートまたはスイッチ間リンク(ISL)ポートにのみパケットを転送できます。分離されたインターフェイスは、別の分離されたインターフェイスにパケットを転送することはできません。分離されたインターフェイスは、別の分離されたインターフェイスからパケットを受信できません。カスタマー デバイスがゲートウェイ ルーター にのみ アクセスする必要がある場合、デバイスは隔離されたトランク ポートに接続する必要があります。
コミュニティ VLAN/コミュニティ ポート - 1 つの PVLAN 内で複数のコミュニティ VLAN を設定できます。特定のコミュニティ VLAN 内のインターフェイスは、同じコミュニティ VLAN に属する他のインターフェイスとのレイヤー 2 通信を確立できます。コミュニティVLAN内のインターフェイスは、プロミスキャスポートまたはISLポートと通信することもできます。 たとえば、他の顧客デバイスから分離する必要があるが、相互に通信できる必要がある2つの顧客デバイスがある場合、コミュニティポートを使用します。
無差別ポート:無差別ポートは、インターフェイスが独立 VLAN またはコミュニティ VLAN に属しているかどうかに関係なく、PVLAN 内のすべてのインターフェイスとレイヤー 2 通信を行います。無差別ポートは、プライマリ VLAN のメンバーですが、セカンダリ サブドメインには含まれていません。レイヤー3ゲートウェイ、DHCPサーバー、およびエンドポイントデバイスと通信する必要があるその他の信頼できるデバイスは、通常、無差別ポートに接続されます。
スイッチ間リンク(ISL):ISLは、PVLAN内の複数のスイッチを接続するトランクポートで、2つ以上のVLANを含みます。PVLAN が複数のスイッチにまたがる場合にのみ必要です。
設定された PVLAN は、 プライマリ ドメイン(プライマリ VLAN)です。PVLAN 内では、プライマリ ドメイン内でネストされたサブドメインとなる セカンダリ VLAN を設定します。PVLAN は、1 台のスイッチ上で設定することも、複数のスイッチにまたがるように設定することもできます。図 1 に示す PVLAN には、プライマリ PVLAN ドメインとさまざまなサブドメインを持つ 2 つのスイッチが含まれています。
図 3 に示すように、PVLAN には 1 つのプライマリ ドメインと複数のセカンダリ ドメインしかありません。ドメインの種類は次のとおりです。
プライマリ VLAN - 分離 VLAN およびコミュニティ VLAN にフレーム ダウンストリームを転送するために使用される VLAN。PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)を使用して定義されます。プライマリ PVLAN には、複数のセカンダリ VLAN(1 つの独立 VLAN と複数のコミュニティ VLAN)を含めることができます。
セカンダリ分離 VLAN - プライマリ VLAN からのみパケットを受信し、アップストリームのフレームをプライマリ VLAN に転送する VLAN。分離 VLAN は、プライマリ VLAN 内にネストされたセカンダリ VLAN です。プライマリVLANには、分離VLANを1つだけ含めることができます。分離された VLAN 内のインターフェイス(分離されたインターフェイス)は、無差別ポートまたは PVLAN トランク ポートにのみパケットを転送できます。分離されたインターフェイスは、別の分離されたインターフェイスにパケットを転送することはできません。また、分離されたインターフェイスは、別の分離されたインターフェイスからパケットを受信することもできません。カスタマー デバイスがルーター にのみ アクセスする必要がある場合、デバイスは隔離されたトランク ポートに接続する必要があります。
セカンダリ インタースイッチ分離 VLAN - PVLAN トランク ポートを介して、分離された VLAN トラフィックを 1 つのスイッチから別のスイッチに転送するために使用される VLAN。IEEE 802.1Q では、トランキング デバイスが 4 バイトの VLAN フレーム識別タブをパケット ヘッダーに挿入する内部タグ付けメカニズムを使用するため、インタースイッチ分離 VLAN には 802.1Q タグが必要です。スイッチ間分離VLANは、プライマリVLAN内にネストされたセカンダリVLANです。
セカンダリコミュニティVLAN - コミュニティのメンバー(VLAN内のユーザーのサブセット)間でフレームを転送し、プライマリVLANにアップストリームのフレームを転送するために使用されるVLAN。コミュニティVLANは、プライマリVLAN内にネストされたセカンダリVLANです。1 つの PVLAN 内に複数のコミュニティ VLAN を設定できます。特定のコミュニティ VLAN 内のインターフェイスは、同じコミュニティ VLAN に属する他のインターフェイスとのレイヤー 2 通信を確立できます。コミュニティ VLAN 内のインターフェイスは、プロミスキャス ポートまたは PVLAN トランク ポートとも通信できます。
図 2 は複数のスイッチにまたがるPVLANを示しています。プライマリVLAN(100)には、2つのコミュニティドメイン (300 および 400)と1つのスイッチ間分離ドメインが含まれています。
プライマリおよびセカンダリVLANは、QFXシリーズでサポートされている4089VLANの制限に対してカウントされます。たとえば、 図 2 の各 VLAN はこの制限に対してカウントされます。
MX シリーズ ルーターにおける PVLAN の代表的な構造と主な用途
設定された PVLAN はプライマリ ドメインになり、セカンダリ VLAN はプライマリ ドメイン内にネストされたサブドメインになります。PVLAN は 1 台のルーターで作成できます。図 3 に示す PVLAN には、1 つのプライマリ PVLAN ドメインと複数のセカンダリ サブドメインを持つ 1 台のルーターが含まれています。
ドメインの種類は次のとおりです。
プライマリ VLAN - 分離 VLAN およびコミュニティ VLAN にフレーム ダウンストリームを転送するために使用される VLAN。
セカンダリ分離 VLAN - プライマリ VLAN からのみパケットを受信し、アップストリームのフレームをプライマリ VLAN に転送する VLAN。
セカンダリ インタースイッチ分離 VLAN - PVLAN トランク ポートを介して、分離された VLAN トラフィックを 1 つのルーターから別のルーターに転送するために使用される VLAN。
セカンダリコミュニティVLAN - VLAN内のユーザーのサブセットであるコミュニティのメンバー間でフレームを転送し、プライマリVLANにアップストリームのフレームを転送するために使用されるVLAN。
PVLANは、MX80ルーター、拡張LANモードのDPCを搭載したMX240、MX480、MX960ルーター、MPC1、MPC2、アダプティブサービスPICを搭載したMXシリーズルーターでサポートされています。
EX シリーズ スイッチにおける PVLAN の典型的な構造と主な用途
PVLAN のプライマリ VLAN は、完全な PVLAN の 802.1Q タグ(VLAN ID)を使用して定義されます。EX9200スイッチでは、各セカンダリVLANも独自のVLAN IDで定義する必要があります。
図 4 は、プライマリ VLAN(VLAN 100)に 2 つのコミュニティ VLAN(VLAN 300 および VLAN 400)と 1 つの独立 VLAN(VLAN 50)が含まれている、1 つのスイッチ上の PVLAN を示しています。
図 5 は複数のスイッチにまたがるPVLANを示しており、プライマリVLAN(VLAN 100)には2つのコミュニティVLAN(VLAN 300 およびVLAN 400)と1つの独立VLAN(VLAN 200)が含まれています。また、スイッチ 1 と 2 がスイッチ間リンク(PVLAN トランク リンク)を介して接続されていることも示しています。
また、 図 4 および 図 5 に示す PVLAN は、コミュニティ VLAN と分離された VLAN 間でレイヤー 3 トラフィックをルーティングする手段として、ルーターに接続された無差別ポートを使用しています。ルーターに接続されたプロミスキャスポートを使用する代わりに、 図 4 のスイッチまたは 図 5 に示すスイッチの 1 つ(一部の EX スイッチ)で RVI を設定できます。
分離VLANとコミュニティVLAN間でレイヤー3トラフィックをルーティングするには、 図 4 と 図 5に示すようにルーターを無差別ポートに接続するか、RVIを設定する必要があります。
RVI オプションを選択する場合、PVLAN ドメインのプライマリ VLAN に 1 つの RVI を設定する必要があります。この RVI は、ドメインに 1 つ以上のスイッチが含まれているかどうかに関係なく、PVLAN ドメイン全体にサービスを提供します。RVI を設定すると、セカンダリ VLAN インターフェイスが受信したレイヤー 3 パケットが RVI にマッピングされ、RVI によってルーティングされます。
RVI を設定する際、セカンダリ VLAN インターフェイスが受信した ARP 要求を RVI が処理できるように、プロキシのアドレス解決プロトコル(ARP)も有効にする必要があります。
単一スイッチおよび複数のスイッチで PVLAN を設定する方法については、「 1 つの EX シリーズ スイッチ上でのプライベート VLAN の作成(CLI 手順)」を参照してください。 RVIの設定については、 EXシリーズスイッチ上のプライベートVLANでのルーティングVLANインターフェイスの設定を参照してください。
分離VLANとコミュニティVLAN間のルーティング
分離VLANとコミュニティVLAN間でレイヤー3トラフィックをルーティングするには、外部ルーターまたはスイッチをプライマリVLANのトランクポートに接続する必要があります。プライマリVLANのトランクポートは 無差別 ポートです。したがって、PVLAN 内のすべての ポートと通信できます 。
PVLAN は 802.1Q タグを使用してパケットを識別します
パケットに顧客固有の802.1Qタグが付けられている場合、そのタグはネットワーク内の任意のスイッチまたはルーターのパケットの所有権を識別します。場合によっては、異なるサブドメインからのパケットを追跡するために、PVLAN 内で 802.1Q タグが必要となります。 表 1 は、プライマリVLANまたはセカンダリVLANでVLAN 802.1Qタグが必要な場合を示します。
| 単一スイッチ上 | 複数のスイッチ上 | |
|---|---|---|
| プライマリ VLAN | VLAN ID を設定して 802.1Q タグを指定します。 |
VLAN ID を設定して 802.1Q タグを指定します。 |
| セカンダリ VLAN | VLANにタグは必要ありません。 |
VLANには802.1Qタグが必要です。
|
PVLAN は IP アドレスを効率的に使用します。
PVLAN は、IP アドレスを節約し、IP アドレスを効率的に割り当てます。一般的なネットワークでは、VLAN は通常、1 つの IP サブネットに対応します。PVLAN では、サブネットがプライマリ VLAN に割り当てられるため、すべてのセカンダリ VLAN のホストは同じ IP サブネットに属します。セカンダリVLAN内のホストには、プライマリVLANに関連付けられたIPサブネットに基づいてIPアドレスが割り当てられ、そのIPサブネットマスキング情報にはプライマリVLANサブネットのそれが反映されます。ただし、各セカンダリ VLAN は個別のブロードキャスト ドメインです。
PVLAN ポート タイプと転送ルール
PVLAN では、最大 6 種類のポート タイプを使用できます。この図に示すネットワークでは図 2 無差別ポートを使用してルーターに情報を転送し、コミュニティ ポートを使用して財務および人事コミュニティをそれぞれのスイッチに接続し、隔離ポートを使用してサーバーを接続、PVLAN トランク ポートを使用して 2 つのスイッチを接続しています。PVLAN ポートにはさまざまな制限があります。
無差別トランク ポート:無差別ポートは、インターフェイスが独立 VLAN またはコミュニティ VLAN に属しているかどうかに関係なく、PVLAN 内のすべてのインターフェイスとレイヤー 2 通信を行います。無差別ポートは、プライマリ VLAN のメンバーですが、セカンダリ サブドメインの 1 つには含まれていません。レイヤー3ゲートウェイ、DHCPサーバー、およびエンドポイントデバイスと通信する必要があるその他の信頼できるデバイスは、通常、無差別ポートに接続されます。
PVLAN トランク リンク - PVLAN トランク リンクはスイッチ間リンクとも呼ばれ、PVLAN が複数のスイッチにまたがるよう設定されている場合にのみ必要です。PVLAN トランク リンクは、PVLAN を構成する複数のスイッチを接続します。
PVLAN トランク ポート:マルチスイッチ PVLAN 設定では、スイッチにまたがるには PVLAN トランク ポートが必要です。PVLAN トランク ポートは、PVLAN 内のすべての VLAN(つまり、プライマリ VLAN、コミュニティ VLAN、およびインタースイッチ分離 VLAN)のメンバーであり、プライマリ VLAN とすべてのセカンダリ VLAN からのトラフィックを伝送します。分離ポート以外のすべてのポートと通信できます。
PVLAN トランク ポートと独立ポート間の通信は、通常、単方向です。スイッチ間分離 VLAN における PVLAN トランク ポートのメンバーシップはエグレスのみであり、分離ポートは PVLAN トランク ポートにパケットを転送できますが、PVLAN トランク ポートは分離ポートにパケットを転送しません(ただし、パケットが無差別アクセス ポートで受信されるため、無差別ポートと同じプライマリ VLAN 内のすべてのセカンダリ VLAN に転送される場合を除く)。
セカンダリ VLAN トランク ポート(図示せず)- セカンダリ トランク ポートはセカンダリ VLAN トラフィックを伝送します。特定のプライベートVLANにおいて、セカンダリVLANトランクポートは1つのセカンダリVLANのトラフィックのみを伝送できます。ただし、セカンダリVLANトランクポートは、各セカンダリVLANが異なるプライマリVLANのメンバーである限り、複数のセカンダリVLANのトラフィックを伝送できます。たとえば、セカンダリVLANトランクポートは、プライマリVLAN pvlan100の一部であるコミュニティVLANのトラフィックを伝送し、プライマリVLAN pvlan400の一部である分離VLANのトラフィックも伝送できます。
コミュニティ ポート - コミュニティ ポート間および無差別ポートと通信します。コミュニティポートは、選択されたユーザーグループのみにサービスを提供します。これらのインターフェイスは、レイヤー 2 で、他のコミュニティ内の他のすべてのインターフェイスや、PVLAN 内の隔離ポートから分離されています。
分離アクセス ポート:分離ポートは、無差別ポートおよび PVLAN トランク ポートとのみレイヤー 2 接続を持ちます。分離ポートは、同じ分離 VLAN(またはインタースイッチ分離 VLAN)ドメインのメンバーであっても、別の分離ポートと通信できません。通常、メール サーバーやバックアップ サーバーなどのサーバーは、分離されたポートで接続されます。ホテルでは、各部屋は通常、隔離されたポートで接続されるため、部屋間の通信は不可能ですが、各部屋は無差別ポートでインターネットにアクセスできます。
無差別アクセス ポート(図示せず)- これらのポートは、タグなしのトラフィックを伝送します。無差別アクセス ポートで受信したトラフィックは、デバイス上のすべてのセカンダリ VLAN ポートに転送されます。トラフィックがVLAN対応ポートでデバイスに入力され、無差別アクセスポートで出力される場合、トラフィックはエグレスでタグなしになります。タグ付きトラフィックが無差別アクセス ポートで受信した場合、そのトラフィックは破棄されます。
インタースイッチ リンク ポート—インタースイッチ リンク(ISL)ポートは、PVLAN がルーターにまたがるときに 2 台のルーターを接続するトランク ポートです。ISL ポートは、PVLAN 内のすべての VLAN(つまり、プライマリ VLAN、コミュニティ VLAN、および分離 VLAN)のメンバーです。
ISLポートと絶縁ポート間の通信は単方向です。インタースイッチ分離VLANにおけるISLポートのメンバーシップはエグレスのみであり、ISLポートの着信トラフィックが分離VLANに割り当てられることはありません。独立ポートは PVLAN トランク ポートにパケットを転送できますが、PVLAN トランク ポートは分離ポートにパケットを転送できません。 表 3 、異なるタイプのポート間にレイヤー2接続が存在するかどうかを示しています。
表 2 は、ELS をサポートする EX シリーズ スイッチ上の PVLAN 内の異なるタイプのポート間のレイヤー 2 接続をまとめたものです。
送信元ポートの種類 |
孤立したポートへ? |
無差別ポートに? |
コミュニティポートへ? |
スイッチ間リンクポートへ? |
|---|---|---|---|---|
分離 |
打ち消す |
Permit |
打ち消す |
Permit |
無差別 |
Permit |
Permit |
Permit |
Permit |
コミュニティ1 |
打ち消す |
Permit |
Permit |
Permit |
ポートタイプ |
無差別トランク |
PVLAN トランク |
セカンダリ トランク |
コミュニティー |
分離アクセス |
無差別アクセス |
|---|---|---|---|---|---|---|
無差別トランク |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
PVLAN トランク |
◯ |
◯ |
◯ |
○。同一コミュニティーのみ |
◯ |
◯ |
セカンダリ トランク |
◯ |
◯ |
なし |
◯ |
なし |
◯ |
コミュニティー |
◯ |
◯ |
◯ |
○。同一コミュニティーのみ |
なし |
◯ |
分離アクセス |
◯ |
あり。単方向のみ |
なし |
なし |
なし |
◯ |
無差別アクセス |
◯ |
◯ |
◯ |
◯ |
◯ |
なし |
表 4 は、PVLAN 内の異なるタイプのポート間にレイヤー 2 接続が存在するかどうかを要約します。
ポートタイプ 変更後:→ 差出人:↓ |
無差別 |
コミュニティー |
分離 |
PVLAN トランク |
RVI |
|---|---|---|---|---|---|
無差別 |
◯ |
◯ |
◯ |
◯ |
◯ |
コミュニティー |
◯ |
○。同一コミュニティーのみ |
なし |
◯ |
◯ |
分離 |
◯ |
なし |
なし |
◯ 注:
この通信は単方向です。 |
◯ |
PVLAN トランク |
◯ |
○。同一コミュニティーのみ |
◯ 注:
この通信は単方向です。 |
◯ |
◯ |
RVI |
◯ |
◯ |
◯ |
◯ |
◯ |
表 4 で説明したように、独立ポートと PVLAN トランク ポート間のレイヤー 2 通信は単方向です。つまり、独立ポートは PVLAN トランク ポートにのみパケットを送信でき、PVLAN トランク ポートは分離ポートからのパケットしか受信できません。逆に、PVLAN トランク ポートは分離ポートにパケットを送信できず、分離ポートは PVLAN トランク ポートからパケットを受信できません。
プライマリVLANで no-mac-learning を有効にすると、PVLAN内のすべての分離VLAN(またはスイッチ間の分離VLAN)がその設定を継承します。ただし、いずれかのコミュニティVLANでMACアドレス学習を無効にする場合は、各VLANで no-mac-learning を設定する必要があります。
PVLAN の作成
図 6 に示すフローチャートは、PVLAN 作成プロセスの概要を示しています。示されている順序で設定手順を完了すると、これらの PVLAN ルールに違反することはありません。(PVLAN ルールでは、PVLAN トランク ポートの設定は、複数のルーターにまたがる PVLAN にのみ適用されます)。
プライマリVLANはタグ付きVLANである必要があります。
コミュニティVLAN IDを設定する場合は、まずプライマリVLANを設定する必要があります。
分離 VLAN ID を構成する場合は、最初にプライマリ VLAN を構成する必要があります。
PVLAN インターフェイスでのボイス オーバー IP(VoIP)VLAN の設定はサポートされていません。
図 6に示すように、1台のルーターでVLANを構成するのは比較的簡単です。
プライマリ VLAN の設定は、次の手順で構成されます。
プライマリVLAN名と802.1Qタグを設定します。
プライマリVLANに no-local-switching を設定します。
無差別トランク ポートとアクセス ポートを設定します。
無差別トランクおよびアクセス ポートをプライマリ VLAN のメンバーにします。
プライマリ VLAN 内では、セカンダリ コミュニティ VLAN、セカンダリ分離 VLAN、あるいはその両方を設定できます。セカンダリコミュニティVLANの設定は、次の手順に従います。
通常のプロセスを使用して VLAN を構成します。
VLAN のアクセス インターフェイスを設定します。
プライマリVLANをコミュニティVLANに割り当てます。
分離VLANは、分離VLANがメンバーとしてアクセスインターフェイスを持ち、プライマリVLANでオプション no-local-switching が有効になっている場合に内部的に作成されます。
IEEE 802.1Q では、トランキング デバイスが 4 バイトの VLAN フレーム識別タブをパケット ヘッダーに挿入する内部タグ付けメカニズムを使用するため、インタースイッチ分離 VLAN には 802.1Q タグが必要です。
トランク ポートは、マルチルーター PVLAN 構成でのみ必要で、トランク ポートはプライマリ VLAN とすべてのセカンダリ VLAN からのトラフィックを伝送します。
プライベート VLAN の制限
プライベート VLAN 構成には、次の制約が適用されます。
アクセス インターフェイスは 1 つの PVLAN ドメインにしか所属できません。つまり、2 つの異なるプライマリ VLAN に参加することはできません。
トランク インターフェイスは、セカンダリ VLAN が 2 つの異なる プライマリ VLAN 内にある限り、2 つのセカンダリ VLAN のメンバーになることができます。トランク インターフェイスは、 同じ プライマリ VLAN 内にある 2 つのセカンダリ VLAN のメンバーになることはできません。
マルチプルスパニングツリープロトコル(MSTP)の単一リージョンは、PVLAN に含まれるすべての VLAN で設定する必要があります。
VLANスパニングツリープロトコル(VSTP)はサポートされていません。
IGMPスヌーピングは、プライベートVLANではサポートされていません。
ルーテッドVLANインターフェイスはプライベートVLANではサポートされていません
同じプライマリVLAN内のセカンダリVLAN間のルーティングはサポートされていません。
一部の構成ステートメントは、セカンダリVLANでは指定できません。プライマリPVLANでのみ、
[edit vlans vlan-name switch-options]階層レベルで以下のステートメントを設定できます。プライマリVLANをセカンダリVLANに変更する場合は、まず通常のVLANに変更し、変更をコミットする必要があります。たとえば、次の手順に従います。
プライマリVLANを通常のVLANに変更します。
設定をコミットします。
通常の VLAN をセカンダリ VLAN に変更します。
設定をコミットします。
セカンダリVLANをプライマリVLANに変更する場合は、同じコミット順序に従ってください。つまり、セカンダリVLANを通常のVLANにしてその変更をコミットしてから、通常のVLANをプライマリVLANに変更します。
ELS 設定スタイルをサポートする Junos スイッチ上の PVLAN では、以下の 機能はサポートされていません。
エグレスVLANファイアウォールフィルター
イーサネットリング保護(ERP)
柔軟なVLANタギング
IRB(統合型ルーティングおよびブリッジング)インターフェイス
マルチシャーシ リンク アグリゲーション グループ(MC-LAG)
ポート ミラーリング
Q-in-Qトンネリング
VLANスパニングツリープロトコル(VSTP)
ボイスオーバーIP(VoIP)
プライマリPVLANでのみ、 [edit vlans vlan-name switch-options] 階層レベルで以下のステートメントを設定できます。