Ta đã biết trong cùng một VLAN , nếu một máy tính gởi gói tin cho tất cả máy tính khác (gọi là gởi broadcast) thì tất cả các máy tính còn lại trong VLAN đó sẽ nhận được gói tin broadcast này Thường th[.]
Ta biết VLAN , máy tính gởi gói tin cho tất máy tính khác (gọi gởi broadcast) tất máy tính cịn lại VLAN nhận gói tin broadcast Thường người ta muốn chia nhỏ không gian broadcast cách phân làm nhiều VLAN, sau dùng router hay switch lớp để định tuyến VLAN Tuy nhiên để giải việc ảnh hưởng qua lại thiết bị VLAN ta phải có giải pháp nhằm cho lưu lượng VLAN độc lập với Ví dụ: nhà cung cấp dịch vụ, khách hàng thuê ta 10 máy chủ Một mặt muốn 10 máy chủ nằm VLAN gọi server farm VLAN để dễ quản lí, giao tiếp internet thông qua defaut gateway Mặt khác muốn máy chủ khách hàng khác độc lập không bị ảnh hưởng lẫn Private VLAN đời nhằm giải vấn đề này, độc lập lưu lượng lớp thiết bị VLAN Trong ví dụ trên, khách hàng khác đặt VLAN khác nghĩa ta phải cung cấp riêng cho VLAN subnet Hơn ta phải tiêu tốn cho VLAN interface, có nhiều VLAN nghĩa STP chạy phức tạp Để quản lí VLAN này, phải thêm nhiều danh sách quản lý truy cập (Access Control List – ACL) , làm cho việc quản lí mạng trở nên phức tạp Giải pháp private VLAN cung cấp thuận lợi sau: Giảm số lượng VLAN: khách hàng khác dùng chung VLAN mà không ảnh hưởng lẫn Dùng subnet cho toàn private VLAN, dãy địa ip khách hàng nằm subnet Lưu lượng mang primary VLAN, nghĩa có địa ip giao diện primary VLAN quảng bá Private VLAN phân làm khái niệm: primary VLAN secondary VLAN Trong Primary VLAN cung cấp kết nối logic secondary VLAN Một máy tính thuộc secondary VLAN giao tiếp với cổng thuộc primary VLAN giao tiếp với máy tính nằm secondary VLAN khác Các máy tính secondary VLAN giao tiếp với giới bên ngồi (Internet) thơng qua primary VLAN Ta hình dung primary VLAN có tác dụng chun chở máy tính nằm secondary VLAN ngồi Secondary VLAN chia làm loại : isolated VLAN community VLAN Isolated: cổng switch gắn vào isolated VLAN giao tiếp với primary VLAN mà thôi, giao tiếp với secondary VLAN khác Thêm vào đó, máy tính thuộc isolated VLAN khơng thể giao tiếp với chúng nằm VLAN Các máy tính giao tiếp với primary VLAN để khỏi local subnet mà thơi Các máy tính nằm isolated VLAN độc lập hoàn toàn với thứ, ngoại trừ primary VLAN Community: cổng switch gắn vào community VLAN nói chuyện với với primary VLAN Nhưng secondary VLAN khác không Tất secondary VLAN phải kết hợp với primary VLAN Private VLAN loại VLAN đặc biệt nên có ý nghĩa cục switch mà thơi Switch cấu hình private VLAN có switch có VLAN Giao thức VTP không quảng bá thông tin private VLAN cho switch khác Và lúc cấu hình private VLAN bị yêu cầu phải cấu hình chế độ VTP transparent Đối với VLAN thường, muốn gắn cổng vào VLAN ta gõ câu lệnh “switchport access VLAN_id” Nhưng private VLAN lại định nghĩa hai dạng cổng: promiscuous host Promiscuous cổng switch kết nối với gateway Router Cổng giao tiếp với loại primary VLAN hay secondary VLAN mà không bị giới hạn cả.Host kết nối với cổng switch thuộc loại isolated VLAN hay community VLAN Cổng loại giao tiếp với promiscuous cổng cổng khác nằm community VLAN Đối với máy tính nằm isolated VLAN khơng giao tiếp với ln, mà giao tiếp với promiscuous cổng mà thơi Trong hình cổng 2/1 switch cấu hình cổng promiscuous Cổng 1/1 , 1/2 thuộc secondary VLAN 10 Community VLAN: máy tính VLAN thấy thấy promiscuous cổng, nhiên thấy secondary VLAN khác Các máy tính nằm secondary VLAN 10 thấy khơng thể thấy máy tính nằm secondary VLAN 20 Cả VLAN community community nội VLAN mà thơi Cổng 1/4, 1/5 thuộc Secondary VLAN 20 ( community VLAN ) Cổng 1/3 thuộc Isolated VLAN 30 (secondary VLAN 30) Các máy tính nằm VLAN 30 giao tiếp với cổng promiscuous mà thôi, giao tiếp với với secondary VLAN khác Cấu hình private VLAN thực Catalyst 6500 Switch 3550 khơng thực chức private-VLAN Mặc dù switch 3550 có câu lệnh private-VLAN câu lệnh bổ sung khơng có, có khơng có tác động Trước hết phải cấu hình VTP chế độ transparent , sau cấu hình private vlan khơng thể quay lại chế độ VTP client hay VTP server dược Khơng thể cấu hình vlan hay vlan 1002 1005 private vlan Cấu hình giao diện lớp VLAN (interface VLAN) cho primary vlan Trên switch lúc có giao diện lớp primary VLAN hoạt động mà Private VLAN không áp dụng cho cổng cấu hình tính Etherchannel Nếu cổng SPAN đích cấu hình private VLAN dành cho cổng khơng có tác dụng Đối với private VLAN, hỗ trợ đặc điểm SPAN sau: cấu hình private VLAN cổng cổng nguồn SPAN Có thể sử dụng tính SPAN dựa VLAN primary, isolated, community VLAN Một primary VLAN có isolated VLAN nhiều community VLAN kèm với Isolated VLAN hay Community VLAN có primary VLAN kèm với Bật tính portfast BPDU guard cổng thuộc isolated VLAN community VLAN nhằm tránh bị lặp vòng STP cấu hình sai tăng tốc độ hội tụ STP Nếu ta xóa VLAN cấu hình private VLAN cổng thuộc vlan khơng sử dụng Private vlan khơng thiết phải nằm switch, nằm switch khác miễn switch kết nối qua trunk kết nối trunk isolated VLAN community VLAN chưa bị xóa VTP khơng hỗ trợ tính private VLAN Bạn phải cấu hình tay tính private VLAN thiết bị mà bạn muốn Hãy xem cách định cấu hình PVLAN Thiết bị sử dụng LAB này: Cisco Catalyst L3 , Cisco Router Tình huống: Tạo VLAN cộng đồng- Community (101), SRV1 SRV2 thuộc Cũng tạo VLAN biệt lập- Isolated (102), SRV3 SRV4 thuộc Tạo Ge0 / Promiscuous kết nối với cổng mặc định (bộ định tuyến tường lửa) Theo cấu hình này, SRV1 SRV2 nói chuyện với với Bộ định tuyến (Cổng mặc định) Mặt khác, Máy chủ VLAN Cô lập (SRV3 SRV4) không giao tiếp với khơng thể nói chuyện với vlan Cộng đồng (SRV1 SRV2) Lưu ý: mạng Layer3 cho tất máy chủ giống (192.168.1.0/24) Điều không thành vấn đề hạn chế giao tiếp áp đặt Switch mức Layer2 Trước bắt đầu cấu hình PVLAN, cần chuyển Chế độ VTP sang Trong suốt (Transparent) Nếu VTP hoạt động chế độ khác, PVLAN không hoạt động !Chuyển sang chế độ Switch(config)# vtp mode transparent !Tạo isolated VLAN suốt (Transparent mode) Switch(config)# vlan 102 Switch(config-vlan)# private-vlan isolated !Tạo community vlan Switch(config)# vlan 101 Switch(config-vlan)#private-vlan community !Tạo VLAN ánh xạ với vlans phụ Switch(config-vlan)# vlan 100 Switch(config-vlan)# private-vlan primary switch(config-vlan)# private-vlan association 101 102 Cấu hình hồn chỉnh vlan 100 private-vlan primary private-vlan association 101 102 ! vlan 101 private-vlan community vlan 102 private-vlan isolated ! Tạo promiscuous port map với vlans khác Switch(config)# interface ge0/1 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 101 102 ! kết hợp cổng Ge0 / Ge0 / với VLANS sơ cấp thứ cấp Theo kịch Ge0 / Ge0 / nên nằm Vlan cộng đồng (community Vlan) Switch(config)# interface range ge0/2-ge0/3 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 101 ! kết hợp cổng Ge0 / Ge0 / với VLANS sơ cấp thứ cấp Theo kịch Ge0 / Ge0 / Vlan cô lập (Isolated Vlan) Switch(config)# interface range ge0/4-ge0/5 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 102 Đã hồn tất việc cấu hình PVLAN Switch Cisco, xem đầu trông Switch# show interface status Port Name Status Vlan Duplex Speed Type Gi0/1 connected 100 a-full a-100 10/100BaseTX Gi0/2 connected 100,101 a-full a-100 10/100/0BaseTX Gi0/3 connected 100,101 a-full a-100 10/100BaseTX Gi0/4 connected 100,102 a-full a-100 10/100BaseTX Gi0/5 connected 100,102 a-full a-100 10/100BaseTX Đến bạn hoàn tất việc cấu hình PVLAN thiết bị chuyển mạch Switch Cisco L3 Bạn ứng dụng vào thực tế việc cấu hình PVLAN cho máy chủ Server data center hay phịng máy chủ có nhiều Server