Halo Bertemu kembali pada kesempatan kali ini kita akan membahas mengenai Private VLAN pada pembahasan sebelumnya agan sudah tahu dong fungsi vlan
BASIC VLAN AND TRUNKING
Apa itu private VLAN : Private vlan adalah vlan-vlan yang berisikan segmentasi broadcast dari group vlan,lalu pada group-group vlan tersebut vlan akan di bawa oleh primary vlan,flow vlan normalnya ketika akan berkomunikasi antar vlan maka menggunakan namanya router atau SVI,namun berbeda dengan private vlan,segmentasi trafik broadcast vlan akan dibawah oleh primary vlan ke destination vlan yang berbeda (promiscuous port),setiap member vlan dapat terhubung dengan namanya promiscuous port .
dalam private vlan ada 2 kategori vlan :
1.Primary Vlan : Primary vlan adalah yang bertugas membawa vlan-vlan menuju ke promiscuous port
2.Secondary Vlan : Vlan-Vlan yang terkoneksi under Primary Vlan
terdapat 2 tipe pada secondary vlan
1.Community : Setiap member vlan yang berada dibawah primary vlan yang status non-blocked(non Isolated)
2.Isolated : Member Vlan yang berada dibawah primary vlan yang statusnya blocked(isolated)
Tipe Port dalam Private Vlan
1.Port Host : biasa port host di konfigurasikan untuk group associate/secondary vlan
2.Promiscuous : Port yang bebas dapat diakses oleh semua member vlan (community dan issolated)
coba agan tengok gambar diatas ada 2 tipe vlan primary dan secondary,pada secondary community hanya dapat terkoneksi pada community itu saja vlan 100 dengan vlan 100,tapi tidak bisa antara vlan 100 dan vlan 101,jadi pada mode community vlan-vlan tersebut hanya dapat berkomunikasi dengan member vlan community itu saja (community vlan 100 dengan vlan 100 saja tidak dengan 101 dan 102),dan pada mode
vlan yang berada pada port isolated tidak dapat berkomunikasi antar community(itu dah pasti),dan terlebih parah dalam member isolated mereka tidak dapat berkomunikasi walaupun masih dengan member vlan yang sama(ip yang berada pada vlan 102 tidak dapat saling terhubung/isolated),lalu bagimana dengan promiscuous?? semua member-member vlan yang berada dibawah primary vlan(vlan-200) dapat berkomunikasi dengan promiscuous,pada gambar diatas promiscuous port kita berikan untuk menuju akses ke internet,jadi semua member vlan dapat menuju ke internet tapi tidak dengan menuju ke server,server belongs to finance he..he..he.(community vlan-100)
jadi topologi buat labnya seperti diatas
Hmmmm jadi ceritanya begini : pada topologi office diatas terdapat 4 vlan pada gambar diatas vlan 100-101(community) vlan 102 (Isolated) dan vlan 200 adalah primary vlan
jadi dah tau dong 100-102 merupakan member vlan secondary (dah jago)wk..wk..wk.
disini kita mempunyai rencana,yaitu pada segment 101 yang merupakan staff office hanya dapat mengakses internet,sedangkan vlan 100 merupakan segment finance office,segment finance mempunyai kebutuhan mengakses server tersebut,jadi hanya vlan 100 yang dapat mengakses ke server tersebut,dan untuk vlan 102 tidak ada kebutuhan saling terkoneksi IP-IP yang berada dibawah vlan 102 tersebut karena vlan 102 terhubung ke Lobby(Tamu),namun vlan 102 dapat mengakses ke internet.
yuk kita konfigurasi
note:untuk nexus agan wajib untuk enable feature private-vlan
kita konfigurasi SWITCH-01 :
SW-01(config)#vtp mode transparent
SW-01(config)#vlan 100
SW-01(config-vlan)private-vlan community
SW-01(config)#vlan 101
SW-01(config-vlan)private-vlan community
SW-01(config)#vlan 102
SW-01(config-vlan)private-vlan isolated
SW-01(config)#vlan 200
SW-01(config-vlan)private-vlan primary
SW-01(config-vlan)private-vlan association 100-102
sekarang kita konfigurasi portnya
Berikut Port Ke Arah Router
SW-01#sh run interface gig0/0
Building configuration…
Current configuration : 158 bytes
interface GigabitEthernet0/0
switchport private-vlan mapping 200 100-102
switchport mode private-vlan promiscuous
media-type rj45
negotiation auto
end
Port Ke Arah VLAN-100(Server-Finance)
interface GigabitEthernet0/1
switchport private-vlan host-association 200 100
switchport mode private-vlan host
media-type rj45
negotiation auto
!
Port Ke Arah VLAN-102(Switch ruang Lobby/Tamu)
interface GigabitEthernet0/3
switchport private-vlan host-association 200 102
switchport mode private-vlan host
media-type rj45
negotiation auto
hasilnya :
untuk ke arah office cukup kita trunk saja
Port Ke Arah SW-02 (Office)
interface GigabitEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
media-type rj45
negotiation auto
nanti kita bahas mengenai trunk untuk pvlan
untuk SWITCH-02 :
Buat lagi ya gan untuk vlan-vlannya vtpnya gak ngaruh di private vlan wk..wk..wk..asumsi ogut agan dah buat vlan-vlannya,saya hanya mencapture port-portnya saja
Port ke arah segment office(finance)
interface GigabitEthernet0/1
switchport private-vlan host-association 200 100
switchport mode private-vlan host
media-type rj45
negotiation auto
Port Ke Arah Segment Office(Staff)
interface GigabitEthernet0/2
switchport trunk encapsulation dot1q
switchport private-vlan host-association 200 101
switchport mode private-vlan host
media-type rj45
negotiation auto
untuk p2p ke sw01-02 cukup trunk saja,silahkan kalau menambahkan keribetan dengan native vlan dan lain lain wk..wk..wk..
kita lakukan test yuk
kebutuhan finance dapat mengakses ke server finance dan internet mari kita cek ping ke server dan internet
hasilnya sudah ok bagaimana dengan community vlan lain ya gak akan bisa yuk kita coba ping ke vlan 101(192.168.1.3) vlan 102(192.168.1.5)
PC-02> ping 192.168.1.3
host (192.168.1.3) not reachable
PC-02> ping 192.168.1.5
host (192.168.1.5) not reachable
tuh hasilnya jadi community hanya dapat ping ke member vlan itu saja ya?? yes gan vlan 100 hanya bisa konek ke vlan 100 vlan 101 hanya ke vlan 101 saja kan tadi dah saya bilang diatas,makanya rulenya finance dijadikan 1 vlan 100(server dengan staff finance),supaya saling terkoneksi antara server dengan finance
oke pastikan gan vlan 101 dengan vlan 100 tidak dapat ngeping yo…vlan 101 hanya dapat koneksi ke internet
Ping ke server finance
PC-03> ping 192.168.1.1
host (192.168.1.1) not reachable
ping ke internet
PC-03> ping 8.8.8.8
84 bytes from 8.8.8.8 icmp_seq=1 ttl=49 time=103.275 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=49 time=75.585 ms
sekarang kita test untuk vlan 102,vlan 102 ini parah wk..wk.wk..sesama vlan 102 saja tidak akan bisa saling ngeping,apalagi ke vlan yang lain,tapi tenang aja vlan 102 masih bisa ke promiscuous port ( internet ),masih baik kan…ha..ha..ha..
ping ke internet
PC-05> ping 8.8.8.8
84 bytes from 8.8.8.8 icmp_seq=1 ttl=49 time=61.961 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=49 time=55.637 ms
84 bytes from 8.8.8.8 icmp_seq=3 ttl=49 time=61.870 ms
Ping ke server finance
PC-05> ping 192.168.1.1
host (192.168.1.1) not reachable
ping ke pc staff office
PC-05> ping 192.168.1.3
host (192.168.1.3) not reachable
ping antar device dalam 1 vlan(vlan-102 ke vlan 102)
PC-05> ping 192.168.1.6
host (192.168.1.6) not reachable
oke gimana dengan private vlan trunk agan bisa menambahkan sebagai berikut :
Trunk With Promiscouous
switch# configure terminal
switch(config)# interfaceGigabitEthernet0/2
switch(config-if)# switchport mode private-vlan trunk promiscuous
switch(config-if)# switchport private-vlan mapping trunk 200 100
switch(config-if)# switchport private-vlan mapping trunk 200 101
switch(config-if)# switchport private-vlan mapping trunk 200 102
Trunk with (secondary vlan)
switch# configure terminal
switch(config)# interface ethernet 1/1
switch(config-if)# switchport mode private-vlan trunk secondary
switch(config-if)# switchport private-vlan association trunk 200 100
switch(config-if)# switchport private-vlan association trunk 200 101
Ocree gan…
Semoga Bermanfaat
Dani.P.N 