setelah kita belajar apa itu yang namanya VLAN..trus Inter-VLAN, trus VTP

sekarang kita belajar yang namanya Private-VLAN

pertama2 kita akan mengenal fitur Switch yang dinamakan “protected port

contoh…dalam VLAN 10 ada 3 port yang terasosiasi (Fa0/1, Fa0/2, Fa0/3)

Fa0/1 punya Server, sisanya PC…nah…kita pengen PC-PC ini bisa akses server (secara di VLAN yang sama), TAPI GA BOLE AKSES PC YANG LAIN

so…masing2 Port yang terhubung ke PC kita buat menjadi “Protected

protected port fungsinya adalah untuk mencegah port ini berkomunikasi dengan port protected yang lain

jadi…protected port dalam suatu switch hanya bisa berhubungan dengan yang NON-protected


konsep sederhana ini yang dikembangkan menjadi P-VLAN alias Private-VLAN

oh iya….fitur Private-VLAN ini hanya ada di Switch2 Tipe Distribution (Switch Layer 3 /Multilayer Switch), contohnya Switch Cisco Catalyst 3550, 3560, 3750.

klo fitur protected port mah switch layer 2 juga bisa (defaultnya unprotected).

lalu bedanya P-VLAN dengan protected apa ??

  • Protected Port (disebut juga P-VLAN Edge)…hanya berlaku di Switch itu saja (local)…beda switch, itu protected port ga berlaku sementara P-VLAN bisa inter-switch
  • Protected Port ga forward any traffic ke Protected Port lainnya (Unicast, Multicast, atau Broadcast)…P-VLAN bisa

Kapan sih kita terapkan P-VLAN ini???

biasanya diterapkan di ISP, kenapa?…di ISP seringkali ada device dari client yang di taro di ISP (selain server ISP itu sendiri)

dan biasanya di taruh di DMZ (De-Militarized Zone) alias area dimana traffic dari public bisa masuk ke area itu

karena kita ga pengen traffic server kita (ISP) masuk ato ikut2an ke client, ataupun sebaliknya…terpaksa kita buat VLAN di switchnya ISP donk?!?

bayangin klo banyak VLAN…repot bin mampus bisa….belum lagi ngurusin beda VLAN beda Subnet IP (bisa boros IP), belum lagi ngurusin STP nya, belum lagi security via ACL nya

untuk itulah dibuat P-VLAN…1 VLAN terdapat macem2 device dengan tujuan berbeda2…tapi ga ganggu device lain walaupun 1 VLAN

ada 3 tipe port dalam P-VLAN

  • Promiscuous, ini port yang bisa berhubungan dengan port manapun di VLAN yang sama
  • Community, ini port hanya bisa berkomunikasi dengan port di komunitas yang sama (NAHHH…cocok ini untuk ISP) dan ke Promiscuous juga
  • Isolated, ini dia protected port…cuma bisa komunikasi ke Promiscuous port

so…kita bisa bayangin klo di ISP ada banyak macem alat disana (termasuk alat mereka sendiri), mereka bisa bikin 1 VLAN untuk semuanya, tapi di kelompok2in

-port2 switch ISP yang mengarah ke device A,B,C punya Company ABC dibikin satu komunitas (community port)

-port2 switch ISP yang mengarah ke device X,Y,Z punya Company XYZ dibikin satu komunitas juga

-port2 yang sekiranya tidak perlu berkomunikasi dengan Company2 yang ada bisa dijadikan Isolated Port

-nah…port ISP ke ISP lainnya dijadikan Promiscuous Port

jadinya Company ABC tidak perlu terganggu dengan traffic2 dari Company XYZ tapi masi bisa ngalirin traffic ke/dari ISP, begitu juga sebaliknya

Analogi untuk P-VLAN port type ini kira2 seperti ini

ada suatu Kota (Switch)…karena terlalu banyak orangnya dibagi2lah menjadi beberapa komplek perumahan (VLAN), anggeplah pemekaran wilayah wkwkwk

dalam suatu Komplek Perumahan, sebut saja Bunga *ups*…Perumahan Bunga Bangke maksudnya wkwkw, ternyata terlalu bervariasi keinginan penduduknya

nah…oleh ketua RT (promiscuous) Perumahan Bunga Bangke ini dibagi2lah menjadi komunitas Olahraga, komunitas Film, dan juga komunitas IT (community port), yang setiap orang dalam komunitas dalam menyalurkan aspirasinya ke pada sesama anggota komuniti yang sama

nah trus ada yang jadi ajudan2 ketua RT nih (kek Camat aja ada ajudan) di komplek…klo ada apa2 kan mereka hanya akan lapor ke ketua RT (inilah yang disebut Isolated Port)

anggota komunitas juga klo mo keluar kota atau ijin mo bikin tamu nginep juga harus lapor RT kan ?!?!

hanya boleh ada 1 isolated group

klo liat topologi diatas…kita bisa aja kan batasin pake ACL
???
kan tadiiii gw uda bilangg diatas !!! repot tauuuk

-________-;

seperti yang udah gw sebutin diatas…P-VLAN bisa inter-switch

klo VLAN biasa kita perlu bantuan fitur “trunk“…di P-VLAN juga sama…namanya P-VLAN trunking

  • kita bisa menggunakan port didalam Isolated group, kalau kita mo nganterin data2 P-VLAN ke switch yang ga support P-VLAN (contohnya switch layer 2)
  • kita bisa menggunakan port yang promiscuous, klo kita mo nganterin data2 P-VLAN via Router yang ga ngerti P-VLAN (taunya 802.1Q buat VLAN doank)

oh iya…lupa…untuk create P-VLAN, kita harus setting mode VTP nya jadi Transparent

kenapa ?? karena banyak switch yang hanya support VTP versi 1 & 2 bukan versi 3 yang terbaru

  • version 1 – the first vtp
  • version 2 – menyebarkan vlan token ring (itu loh…vlan 1005,1006, dst), klo di version 1 transparent switch ngecek domainnya dulu (kalo sama di pass…klo beda di tolak/drop), klo version 2 uda engga
  • version 3 – uda bisa menyebarkan private vlan (diajarin di CCNP switch)

baca lagi VTP

P-VLAN configuration ongoing…..(harap sabar menanti)

Advertisements