Ta đã biết trong cùng một VLAN , nếu một máy tính gởi gói tin cho tất cả máy tính khác (gọi là gởi broadcast) thì tất cả các máy tính còn lại trong VLAN đó sẽ nhận được gói tin broadcast này Thường th[.]
Trang 1Ta đã biết trong cùng một VLAN , nếu một máy tính gởi gói tin cho tất cả máy tính khác (gọi là gởi broadcast) thì tất cả các máy tính còn lại trong VLAN đó sẽ nhận được gói tin broadcast này Thường thì người ta muốn chia nhỏ không gian broadcast ra bằng cách phân ra làm nhiều VLAN, sau đó dùng router hay switch lớp 3 để định tuyến giữa các VLAN này Tuy nhiên để giải quyết việc ảnh hưởng qua lại giữa các thiết bị trong cùng một VLAN thì ta phải có một giải pháp nào đó nhằm cho các lưu lượng trong cùng một VLAN là độc lập với nhau Ví dụ: chúng
ta là nhà cung cấp dịch vụ, các khách hàng thuê của ta 10 máy chủ Một mặt chúng
ta muốn 10 máy chủ này nằm trong một VLAN gọi là server farm VLAN để dễ quản lí, và có thể giao tiếp trên internet thông qua defaut gateway Mặt khác chúng
ta cũng muốn rằng các máy chủ của các khách hàng khác nhau sẽ độc lập và không
bị ảnh hưởng lẫn nhau Private VLAN ra đời nhằm giải quyết vấn đề này, đó là độc lập lưu lượng ở lớp 2 giữa các thiết bị trong cùng một VLAN Trong ví dụ trên, nếu các khách hàng khác nhau đặt ở các VLAN khác nhau nghĩa là ta phải cung cấp riêng cho mỗi VLAN một subnet Hơn nữa ta phải tiêu tốn cho mỗi VLAN một interface, và càng có nhiều VLAN nghĩa là STP chạy càng phức tạp hơn Để quản
lí các VLAN này, chúng ta cũng phải cùng thêm nhiều danh sách quản lý truy cập (Access Control List – ACL) hơn , làm cho việc quản lí mạng cũng trở nên phức tạp hơn Giải pháp private VLAN cung cấp những thuận lợi sau:
Giảm số lượng VLAN: các khách hàng khác nhau có thể dùng chung một VLAN mà không ảnh hưởng lẫn nhau
Dùng một subnet duy nhất cho toàn bộ private VLAN, dãy địa chỉ ip của khách hàng cũng nằm trong subnet này
Lưu lượng chỉ được mang đi trên primary VLAN, nghĩa là chỉ có địa chỉ ip của giao diện primary VLAN mới được quảng bá
Private VLAN phân ra làm 2 khái niệm: primary VLAN và secondary VLAN Trong đó Primary VLAN cung cấp kết nối logic giữa nó và các secondary VLAN Một máy tính thuộc secondary VLAN có thể giao tiếp với một cổng thuộc primary VLAN nhưng không thể giao tiếp với một máy tính nằm trong secondary VLAN khác Các máy tính trong secondary VLAN sẽ giao tiếp với thế giới bên ngoài (Internet) thông qua primary VLAN Ta hình dung primary VLAN có tác dụng chuyên chở các máy tính nằm trong các secondary VLAN ra ngoài Secondary VLAN chia ra làm 2 loại : isolated VLAN và community VLAN
Isolated: bất kì cổng của switch nào gắn vào isolated VLAN sẽ chỉ có thể giao tiếp với primary VLAN mà thôi, không thể giao tiếp với các secondary VLAN khác Thêm vào đó, nếu các máy tính thuộc cùng một isolated VLAN cũng không thể giao tiếp được với nhau mặc dù chúng cùng nằm trong một
Trang 2VLAN Các máy tính này chỉ có thể giao tiếp với primary VLAN để đi ra khỏi local subnet mà thôi Các máy tính nằm trong isolated VLAN độc lập hoàn toàn với mọi thứ, ngoại trừ primary VLAN
Community: các cổng của switch gắn vào community VLAN có thể nói chuyện được với nhau và với primary VLAN Nhưng đối với các secondary VLAN khác thì không được
Tất cả secondary VLAN phải được kết hợp với một primary VLAN Private VLAN là một loại VLAN đặc biệt nên nó chỉ có ý nghĩa cục bộ trên một switch mà thôi Switch nào cấu hình private VLAN thì chỉ có switch đó mới có các VLAN này thôi Giao thức VTP sẽ không quảng bá thông tin về private VLAN cho các switch khác Và lúc cấu hình private VLAN thì chúng ta cũng bị yêu cầu phải cấu hình trên chế độ VTP transparent Đối với một VLAN thường, chúng ta muốn gắn
một cổng nào đó vào VLAN nào thì ta gõ câu lệnh “switchport access VLAN_id”.
Nhưng đối với private VLAN thì lại định nghĩa ra hai dạng cổng: promiscuous và host Promiscuous là cổng của switch kết nối với gateway Router Cổng này có thể giao tiếp với các loại primary VLAN hay secondary VLAN mà không bị giới hạn nào cả.Host kết nối với cổng của switch thuộc loại isolated VLAN hay community VLAN Cổng loại này chỉ có thể giao tiếp với promiscuous cổng hoặc các cổng khác nằm trong cùng một community VLAN Đối với các máy tính nằm trong isolated VLAN thì cũng không giao tiếp được với nhau luôn, mà chỉ có thể giao tiếp với promiscuous cổng mà thôi
Trang 3Trong hình trên cổng 2/1 của switch được cấu hình là cổng promiscuous Cổng 1/1 , 1/2 thuộc về secondary VLAN 10 Community VLAN: các máy tính trong VLAN này có thể thấy nhau và thấy promiscuous cổng, tuy nhiên không thể thấy được các secondary VLAN khác Các máy tính nằm trong secondary VLAN 10 có thể thấy nhau nhưng không thể thấy các máy tính nằm trong secondary VLAN 20
Cả 2 VLAN này đều là community nhưng chỉ là community trong nội bộ của VLAN đó mà thôi Cổng 1/4, 1/5 thuộc về Secondary VLAN 20 ( community VLAN ) Cổng 1/3 thuộc về Isolated VLAN 30 (secondary VLAN 30) Các máy tính nằm trong VLAN 30 chỉ có thể giao tiếp với cổng promiscuous mà thôi, không thể giao tiếp với nhau và với các secondary VLAN khác Cấu hình private VLAN chỉ có thể thực hiện trên Catalyst 6500 Switch 3550 không thực hiện được chức năng private-VLAN Mặc dù trong switch 3550 cũng có câu lệnh private-VLAN nhưng các câu lệnh bổ sung không hề có, hoặc có nhưng không có tác động
Trước hết phải cấu hình VTP ở chế độ transparent , sau khi đã cấu hình private vlan rồi thì không thể quay lại chế độ VTP client hay VTP server dược nữa
Trang 4Không thể cấu hình vlan 1 hay vlan 1002 và 1005 là private vlan
Cấu hình giao diện lớp 3 VLAN (interface VLAN) chỉ cho primary vlan Trên switch lúc này chỉ có giao diện lớp 3 của primary VLAN là hoạt động mà thôi Private VLAN không áp dụng cho cổng được cấu hình tính năng Etherchannel Nếu một cổng là SPAN đích thì mọi cấu hình private VLAN dành cho cổng đó không có tác dụng Đối với private VLAN, hỗ trợ các đặc điểm của SPAN sau: có thể cấu hình private VLAN cổng là một cổng nguồn của SPAN Có thể sử dụng tính năng SPAN dựa trên VLAN trên primary, isolated, community VLAN Một primary VLAN có thể có 1 isolated VLAN và nhiều community VLAN đi kèm với
nó Isolated VLAN hay Community VLAN chỉ có thể có 1 primary VLAN đi kèm với nó Bật tính năng portfast và BPDU guard trên các cổng thuộc isolated VLAN
và community VLAN nhằm tránh bị lặp vòng STP do cấu hình sai và tăng tốc độ hội tụ của STP Nếu ta xóa một VLAN đã được cấu hình là private VLAN thì các cổng thuộc về vlan đó sẽ không sử dụng được nữa Private vlan không nhất thiết phải nằm trên một switch, nó có thể nằm trên 2 switch khác nhau miễn là 2 switch này kết nối qua trunk và trên kết nối trunk này isolated VLAN và community VLAN vẫn chưa bị xóa VTP không hỗ trợ tính năng private VLAN Bạn phải cấu hình bằng tay tính năng private VLAN trên mỗi thiết bị mà bạn muốn
Hãy xem cách định cấu hình PVLAN
Thiết bị được sử dụng trong LAB này: Cisco Catalyst L3 , Cisco Router
Tình huống: Tạo một VLAN cộng đồng- Community (101), trong đó SRV1 và
SRV2 sẽ thuộc về Cũng tạo một VLAN biệt lập- Isolated (102), trong đó SRV3 và SRV4 sẽ thuộc về Tạo Ge0 / 1 Promiscuous và kết nối với cổng mặc định (bộ định tuyến hoặc tường lửa)
Trang 5Theo cấu hình này, SRV1 và SRV2 có thể nói chuyện với nhau và cả với Bộ định
SRV4) sẽ không giao tiếp với nhau và cũng sẽ không thể nói chuyện với vlan Cộng đồng (SRV1 và SRV2)
Lưu ý: mạng con Layer3 cho tất cả các máy chủ là giống nhau (192.168.1.0/24).
Điều này không thành vấn đề vì các hạn chế trong giao tiếp sẽ được áp đặt bởi Switch ở mức Layer2
Trước khi bắt đầu cấu hình PVLAN, cần chuyển Chế độ VTP sang Trong suốt
(Transparent) Nếu VTP hoạt động ở chế độ khác, PVLAN sẽ không hoạt động.
!Chuyển sang chế độ trong suốt (Transparent mode)
Switch(config)# vtp mode transparent
!Tạo isolated VLAN
Trang 6Switch(config)# vlan 102
Switch(config-vlan)# private-vlan isolated
!Tạo community vlan
Switch(config)# vlan 101
Switch(config-vlan)#private-vlan community
!Tạo VLAN chính và ánh xạ với vlans phụ
Switch(config-vlan)# vlan 100
Switch(config-vlan)# private-vlan primary
switch(config-vlan)# private-vlan association 101 102
Cấu hình hoàn chỉnh
vlan 100
private-vlan primary
private-vlan association 101 102
!
vlan 101
private-vlan community
vlan 102
private-vlan isolated
! Tạo promiscuous port và map với vlans khác
Switch(config)# interface ge0/1
Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 101 102
Trang 7! kết hợp các cổng Ge0 / 2 và Ge0 / 3 với VLANS sơ cấp và thứ cấp Theo kịch bản Ge0 / 2 và Ge0 / 3 nên nằm trong Vlan cộng đồng (community Vlan).
Switch(config)# interface range ge0/2-ge0/3
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 101
! kết hợp các cổng Ge0 / 4 và Ge0 / 5 với VLANS sơ cấp và thứ cấp Theo kịch bản Ge0 / 4 và Ge0 / sẽ ở trong Vlan cô lập (Isolated Vlan).
Switch(config)# interface range ge0/4-ge0/5
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 102
Đã hoàn tất việc cấu hình PVLAN trên Switch Cisco, hãy xem đầu ra trông như
Switch# show interface status
Port Name Status Vlan Duplex Speed Type
Gi0/1 connected 100 a-full a-100 10/100BaseTX
Gi0/2 connected 100,101 a-full a-100 10/100/0BaseTX
Gi0/3 connected 100,101 a-full a-100 10/100BaseTX
Gi0/4 connected 100,102 a-full a-100 10/100BaseTX
Gi0/5 connected 100,102 a-full a-100 10/100BaseTX
Đến đây các bạn đã hoàn tất việc cấu hình PVLAN trên thiết bị chuyển mạch Switch Cisco L3 Bạn có thể ứng dụng vào thực tế việc cấu hình PVLAN cho các máy chủ Server trong data center hay trong phòng máy chủ có nhiều Server