Private VLAN

Posted: 11 Mayıs 2011 in Switch

Private VLAN özellikle her vlan için ayri bir subnet geregini ortadan kaldirmasi için kullanilir.  Private Vlanlar kisaca ayni Vlan’a üye olan hostlar arasinda Layer 2 izolasyon saglar.

Private VLAN mantigi içerisinde aslinda portlar Primary ve Secondary olmak üzere iki ayri Vlan’a üye olurlar. Üç çesit Secondary Vlan vardir; Isolated port ve Community port ve Promiscuous port.

Isolated Vlan’a üye olan portlar birbirleri arasinda haberlesemezler. Portlar sadece Promiscuos portlar ile haberlesirler.

Community Vlan’a üye olan portlar, ayni Community Vlan’daki portlar ile haberlesebilirler fakat farkli Community Vlan’lara üye olan portlar ile haberlesemezler. Community portlar ise ayni secondar vlandaki portlar ve Promiscuous portlar ile haberlesirler.

Promiscuous portlar ayni Primary Vlan altindaki, Community ,Isolated ve secondary Vlan portlarida dahil olmak üzere bütün portlar ile haberlesirler. Bu port genellikle default gateway saglayan cihazlar baglanir.

Özetlersek yapimizda bir adet primary vlan vardir. Bu vlana bagli secondary vlanlar mevcutur. Community port olarak ayarladigimiz vlan kendi içerisindeki server, clent gibi cihazlarla haberlesir fakat diger vlanlarla haberlesemez. Secondary Isolated vlan’li kisimda ise hiçbir cihaz birbirleriyle haberselemez sadece Promiscuous dedigimiz default gateway saglayan cihazlar’a erisir.

Bir senaryo üzerinde devam edersek, port ve vlan type’larin daha iyi anlasilacagini düsünüyorum.

  • 2 DNS server kendi aralarinda haberlesecekler ve internete çikabilecekler. Vlan 100 ayarlanacak
  • web server, sql server’a erisim yapabilecek ve internete çikabilecek. Vlan 200 ayarlanacak
  • sql server sadece web serverla haberlesecek.
  • Ftp server sadece internete çikis yapabilecek.
  • SMTP server internet çikabilecek ama intraneten email kullanimi olmayacak.

Öncelikle switch üzerinde prvate vlan 10 olusturacagiz bu sonar sirasiyla  3 adet 200, 100, 86 vlanlari olusturacagiz yukaridaki senaryoya göre ve bunun için 200 nolu vlan community port olacak.

Private Vlan konfigürasyonu sadece VTP Transparent Modda yapilabilir. Bu sebeple birinci asamada yapilacak islem default olarak VTP Server durumunda olan switchleri Transparent moda çekmek olacaktir.

Switch(config)# vtp mode transparent

Switch(config-vlan)#private-vlan community
Switch(config-vlan)#exit
Switch(config)#vlan 100
Switch(config-vlan)#private-vlan community
Switch(config)#vlan 200
Switch(config-vlan)#private-vlan community
Switch(config-vlan)#exit
Switch(config)#vlan 86
Switch(config-vlan)#private-vlan isolated
Switch(config-vlan)#exit
Switch(config)#vlan 10
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#private-vlan association 100,200,86
Switch(config-vlan)#exit

Olusturdugumuz vlanlar internete çikis yapabilmeleri için ayarlar yapiyoruz. Promiscuous port tanimlanir. Burada Primary ve Secondary Vlanlarin map edildigini söyleyebiliriz.

Switch(config)#interface gig2/1
Switch(config-if)#switchport mode private-vlan promiscuous
Switch(config-if)# switchport  private-vlan mapping 10 100,200,86

Bu adimda gigabyte ethernetin 2. Ve 3. Portlari vlan 100 atanmisti. Vlan 10 iliskilendirme yapiyoruz.

Switch(config)#vlan 100
Switch(config-vlan)#private-vlan community
Switch(config-vlan)#exit
Switch(config)#interface range Gig2/2 – 3
Switch(config-if-range)#switchport private-vlan host-association 10 100

Bu adimda gigabyte ethernetin 4. Ve 5. Portlari vlan 200 atanmisti. Vlan 10 iliskilendirme yapiyoruz.

Switch(config)#vlan 200
Switch(config-vlan)#private-vlan community
Switch(config-vlan)#exit
Switch(config)#interface range Gig2/4 – 5
Switch(config-if-range)#switchport private-vlan host-association 10 200

Bu adimda gigabyte ethernetin 6. Ve 7. Portlari vlan 86 atanmisti. Vlan 10 iliskilendirme yapiyoruz.

Switch(config)#vlan 86
Switch(config-vlan)#private-vlan isolated
Switch(config-vlan)#exit
Switch(config)#interface range Gig2/6 – 7
Switch(config-if-range)#switchport private-vlan host-association 10 86

Bu adimlar sonrasinda sekildeki yapiyi olusturmus olduk. Vlanlar ayni subnette ve birbirleriye haerlesemiyorlar sadece internet erisimi yapabiliyor.

Yaptigimiz ayarlarin kontrolloeri  show konutlari ile görebiliriz bunu için  alttaki komutlari girmemiz yeterli olacak.

show interface ga0/3 switchport
show vlan-private
show vlan-private type
show vlanprivate-vlan

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s