Hari ini saya kembali menulis mengenai Private VLAN. Tulisan ini didasarkan atas pengalaman saya dengan team disalah satu tempat projek beberapa waktu yg lalu, dimana di salah klient kami terdapat beberapa vlan network, dan kita diminta untuk membuat sebuah aturan dmana beberapa host dengan sistem ter-isolasi, sehingga host ini tingkat keamanannya lebih secure, karena tdk bs komunikasi dan dikases dengan host lain (keculai host Promiscuous) sekali pun dalam host-host ini satu segment network yg sama bahkan antar host-host yg berada dalam isolasi vlan jg tidak bisa komunikasi, intinyan host hanya bisa terhubung dengan host tertentu saja yg sdh ad policy nya. Maka dari itu kita menerapkan sebuah Private VLAN.
Prvate VLAN sendiri adalah konsep memecah broadcast Primary VLAN menjadi beberapa sub-broadcast domain yang terpisah satu dengan lain. Intinya membuat VLAN dalam VLAN dan ketika frame dari switch yang dikonfigurasikan dengan PVLAN dikirim ke switch lainnya, maka switch lainnya akan mengenali frame tersebut dengan di-tag menggunakan Primary VLAN kecuali switch lain juga dikonfigurasikan dengan PVLAN.
Tipe Port Private VLAN :- Promiscuous (P) port : Umumnya terkoneksi dengan router atau server, mengijinkan port untuk menerima dan mengirim dari tipe port manapun.
- Isolated (I) port : Hanya mengijinkan host untuk berkomunikasi dengan (P) port yg menuju router or server.
- Community (C) port : Mengijinkan host yang berada pada group community VLAN untuk berkomunikasi baik ke port (C) maupun ke port(P).
Pada topologi ini kita akan membuat Primary VLAN 500, Secondary Community VLAN 501, Secondary Isolated VLAN 502. Tujuan dari LAB ini adalah:- Host yang berada pada Community VLAN yang sama bisa saling berkomunikasi dan bisa jg melakukang ping ke host 192.168.1.254.
- Host yang berada pada Isolated VLAN TIDAK bisa komunikasi ke host Comunity dan ke host Isolated, hanya bisa komunikais dengan host yang berada diluar promisciousu port seperti host 192.168.1.254 atau link menuju server.
Kusus untuk lab ini penulis sendiri menggunakan switch benaran yaitu seri Catalyst 3750 series, atau jika ada seri lama minimal catalyst 3560, karna klo pake simulator seperti PT, GNS3 untuk lab PrivateVLAN sepertinya blum support, entah karna image ios yg saya pakai tdk compatible dgn Private VLAN, entahlh yg pasti jika saya pake simualtor ada beberapa case tidak jalan.
Langsung saja konfigurasi switch nya:
SwitchA(config)#vtp mode transparent
Setting device to VTP TRANSPARENT mode
SwitchA(config)#vlan 500
SwitchA(config-vlan)#private-vlan primary
SwitchA(config-vlan)#private-vlan association 501-502
SwitchA(config-vlan)#exi
SwitchA(config)#vlan 501
SwitchA(config-vlan)#private-vlan community
SwitchA(config-vlan)#exi
SwitchA(config)#vlan 502
SwitchA(config-vlan)#private-vlan isolated
SwitchA(config-vlan)#exi
SwitchA(config)#interface range fa0/1 - 2
SwitchA(config-if-range)#switchport private-vlan host-association 500 501
SwitchA(config-if-range)#switchport mode private-vlan host
SwitchA(config-if-range)#exit
SwitchA(config)#interface range fa0/3 - 4
SwitchA(config-if-range)#switchport private-vlan host-association 500 502
SwitchA(config-if-range)#switchport mode private-vlan host
SwitchA(config-if-range)#exit
SwitchA(config)#interface fa0/24
SwitchA(config-if)#switchport private-vlan mapping 500 501-502
SwitchA(config-if)#switchport mode private-vlan promiscuous
SwitchA(config-if-range)#exit
Konfigurasi Switch sudah selesai, sekarang kita lakukan verifikasi dengan perintah dibawah ini:
SwitchA#show interfaces fastEthernet 0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: 500 (VLAN0500) 501 (VLAN0501)
Administrative private-vlan mapping: none
Kita dapat melihat informasi switch port pada port fa0/1 dari hasil verifikasi yg dikasih tanda warna merah.
SwitchA#show interfaces fastEthernet 0/2 switchport | include host-as
Administrative private-vlan host-association: 500 (VLAN0500) 501 (VLAN0501)
Kita dapat melihat informasi switch port pada port fa0/2 yg dikasih warna merah.
SwitchA#show interface fa0/24 switchport
Name: Fa0/24
Switchport: Enabled
Administrative Mode: private-vlan promiscuous
Operational Mode: private-vlan promiscuous
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: 500 (VLAN0500) 501 (VLAN0501)
Kita dapat melihat informasi Mapping-Port pada port fa0/24 yg dikasih tanda warna merah
SwitchA#show vlan private-vlan
Primary Secondary Type Ports
------- --------- -------------- --------
500 501 community Fa0/1, Fa0/2, Fa0/24
SwitchA#show vlan private-vlan type
Maka goal dari lab ini adalah
- Host yg di VLAN isolated (192.168.1.3 dan 192.168.1.4) hanya bisa komunikasi ke 192.168.1.254 (host server).
- Host yg di VLAN comunity (192.168.1.1 dan 192.168.1.2) bisa komunikasi ke 192.168.1.254 dan juga ke host vlan comunity nya sendiri.
Posting Komentar untuk "Private VLAN"