Home

Private-VLAN

Leave a comment

setelah kita belajar apa itu yang namanya VLAN..trus Inter-VLAN, trus VTP

sekarang kita belajar yang namanya Private-VLAN

pertama2 kita akan mengenal fitur Switch yang dinamakan “protected port

contoh…dalam VLAN 10 ada 3 port yang terasosiasi (Fa0/1, Fa0/2, Fa0/3)

Fa0/1 punya Server, sisanya PC…nah…kita pengen PC-PC ini bisa akses server (secara di VLAN yang sama), TAPI GA BOLE AKSES PC YANG LAIN

so…masing2 Port yang terhubung ke PC kita buat menjadi “Protected

protected port fungsinya adalah untuk mencegah port ini berkomunikasi dengan port protected yang lain

jadi…protected port dalam suatu switch hanya bisa berhubungan dengan yang NON-protected


konsep sederhana ini yang dikembangkan menjadi P-VLAN alias Private-VLAN

oh iya….fitur Private-VLAN ini hanya ada di Switch2 Tipe Distribution (Switch Layer 3 /Multilayer Switch), contohnya Switch Cisco Catalyst 3550, 3560, 3750.

klo fitur protected port mah switch layer 2 juga bisa (defaultnya unprotected).

lalu bedanya P-VLAN dengan protected apa ??

  • Protected Port (disebut juga P-VLAN Edge)…hanya berlaku di Switch itu saja (local)…beda switch, itu protected port ga berlaku sementara P-VLAN bisa inter-switch
  • Protected Port ga forward any traffic ke Protected Port lainnya (Unicast, Multicast, atau Broadcast)…P-VLAN bisa

Kapan sih kita terapkan P-VLAN ini???

biasanya diterapkan di ISP, kenapa?…di ISP seringkali ada device dari client yang di taro di ISP (selain server ISP itu sendiri)

dan biasanya di taruh di DMZ (De-Militarized Zone) alias area dimana traffic dari public bisa masuk ke area itu

karena kita ga pengen traffic server kita (ISP) masuk ato ikut2an ke client, ataupun sebaliknya…terpaksa kita buat VLAN di switchnya ISP donk?!?

bayangin klo banyak VLAN…repot bin mampus bisa….belum lagi ngurusin beda VLAN beda Subnet IP (bisa boros IP), belum lagi ngurusin STP nya, belum lagi security via ACL nya

untuk itulah dibuat P-VLAN…1 VLAN terdapat macem2 device dengan tujuan berbeda2…tapi ga ganggu device lain walaupun 1 VLAN

ada 3 tipe port dalam P-VLAN

  • Promiscuous, ini port yang bisa berhubungan dengan port manapun di VLAN yang sama
  • Community, ini port hanya bisa berkomunikasi dengan port di komunitas yang sama (NAHHH…cocok ini untuk ISP) dan ke Promiscuous juga
  • Isolated, ini dia protected port…cuma bisa komunikasi ke Promiscuous port

so…kita bisa bayangin klo di ISP ada banyak macem alat disana (termasuk alat mereka sendiri), mereka bisa bikin 1 VLAN untuk semuanya, tapi di kelompok2in

-port2 switch ISP yang mengarah ke device A,B,C punya Company ABC dibikin satu komunitas (community port)

-port2 switch ISP yang mengarah ke device X,Y,Z punya Company XYZ dibikin satu komunitas juga

-port2 yang sekiranya tidak perlu berkomunikasi dengan Company2 yang ada bisa dijadikan Isolated Port

-nah…port ISP ke ISP lainnya dijadikan Promiscuous Port

jadinya Company ABC tidak perlu terganggu dengan traffic2 dari Company XYZ tapi masi bisa ngalirin traffic ke/dari ISP, begitu juga sebaliknya

Analogi untuk P-VLAN port type ini kira2 seperti ini

ada suatu Kota (Switch)…karena terlalu banyak orangnya dibagi2lah menjadi beberapa komplek perumahan (VLAN), anggeplah pemekaran wilayah wkwkwk

dalam suatu Komplek Perumahan, sebut saja Bunga *ups*…Perumahan Bunga Bangke maksudnya wkwkw, ternyata terlalu bervariasi keinginan penduduknya

nah…oleh ketua RT (promiscuous) Perumahan Bunga Bangke ini dibagi2lah menjadi komunitas Olahraga, komunitas Film, dan juga komunitas IT (community port), yang setiap orang dalam komunitas dalam menyalurkan aspirasinya ke pada sesama anggota komuniti yang sama

nah trus ada yang jadi ajudan2 ketua RT nih (kek Camat aja ada ajudan) di komplek…klo ada apa2 kan mereka hanya akan lapor ke ketua RT (inilah yang disebut Isolated Port)

anggota komunitas juga klo mo keluar kota atau ijin mo bikin tamu nginep juga harus lapor RT kan ?!?!

hanya boleh ada 1 isolated group

klo liat topologi diatas…kita bisa aja kan batasin pake ACL
???
kan tadiiii gw uda bilangg diatas !!! repot tauuuk

-________-;

seperti yang udah gw sebutin diatas…P-VLAN bisa inter-switch

klo VLAN biasa kita perlu bantuan fitur “trunk“…di P-VLAN juga sama…namanya P-VLAN trunking

  • kita bisa menggunakan port didalam Isolated group, kalau kita mo nganterin data2 P-VLAN ke switch yang ga support P-VLAN (contohnya switch layer 2)
  • kita bisa menggunakan port yang promiscuous, klo kita mo nganterin data2 P-VLAN via Router yang ga ngerti P-VLAN (taunya 802.1Q buat VLAN doank)

oh iya…lupa…untuk create P-VLAN, kita harus setting mode VTP nya jadi Transparent

kenapa ?? karena banyak switch yang hanya support VTP versi 1 & 2 bukan versi 3 yang terbaru

  • version 1 – the first vtp
  • version 2 – menyebarkan vlan token ring (itu loh…vlan 1005,1006, dst), klo di version 1 transparent switch ngecek domainnya dulu (kalo sama di pass…klo beda di tolak/drop), klo version 2 uda engga
  • version 3 – uda bisa menyebarkan private vlan (diajarin di CCNP switch)

baca lagi VTP

P-VLAN configuration ongoing…..(harap sabar menanti)

Frame Relay

6 Comments

Wokeh…alasan gw tulis artikel ini karena di CNAP diajarin juga

Frame relay diinvent oleh Eric Scarce as a simpler version of X.25 Protocol untuk digunakan di ISDN (Integrated Sevice Digital Network) interface

Sekarang Frame Relay uda sedikit implementasinya…uda digantiin ama MPLS

Jadi X.25 -> Frame Relay -> sekarang MPLS (multi protocol label switching)

Frame Relay menggunakan kabel Serial (V.35, Smart Serial, dll)

Dalam topologi Frame Relay, Router di LAN disebut DTE (data terminal equipment), Frame Relay Switch (class 4/5 switch) disebut DCE (data circuit-terminating equipment)

How it works???

Ketika network di router dengan “nomor” 102 mo kirim data…dia akan kirim ke Frame Relay Switch (yang terhubung adalah Switch A)

Nah…sebelumnya router ini harus diset dulu “nomor”nya…nomor ini disebut DLCI (data link control identifier) <– data link layer ini

Nah…nomor ini akan dicatat oleh si switch A…lalu dikirim ke switch B…trus ke C…trus ke D…dan ke router DLCI 201

Pertanyaannya adalah kok bisa tau si A HARUS kirim ke B…trus B harus kirim ke C ?? padahal di B bisa langsung ke D ?!?!

Jawabannya…di frame relay switching juga ada settingannya (ga dibahas di Cisco…nanti coba de gw bahas…kalo bisa..hahaha)

Jadi frame relay switch akan tau DLCI 201 harus dikirim ke port mana…DLCI 102 harus di kirim kemana…

Yang setting siapa (termasuk setting nomor DLCI ?? Frame Relay Service Provider

Settingan DLCI di router (yang akan kita konfig untuk bisa jalan di network frame relay) itu Local Significance

Artinya apa ?? DLCI ini value nya hanya di router itu aja…di router lain beda…

Contoh…kita mapping di Router A…untuk DLCI 102 anter ke Router B, tapi di Router B disetting DLCI 102 dianter ke router C (DLCI sama ga masalah)

Nah…fitur Router seakan2 tau ni packet mo dikirim kemana dengan melihat DLCI inilah yang membuat seolah2 ada sirkuit virtual (VC = Virtual Circuit)

Ada 2 VC…

  • SVC (Switched Virtual Circuit)…established dynamically by sending signaling messages to the network (CALL SETUP, DATA TRANSFER, IDLE, CALL TERMINATION)
  • PVC (Permanen/Private Virtual Circuit)….dikonfigurasi di Router (yang diajarin yang tipe ini)

Nah dalam fitur Frame Relay…kita juga bisa mengirimkan 2 atau lebih DLCI dalam 1 interface fisik serial yang sama…pake serial subinterface

Tidak hanya IP saja yang bisa dipake oleh Frame Relay, kita juga bisa pake IPX bahkan IPv6 over frame relay pun bisa

Nah…di data link layer ini…dalam bagian address inilah terdapat data2 DLCI

  • Flag…untuk nandain start and stop frame dari frame relay
  • Address…source DLCI dan destination DLCI
  • EA…extended address, biar nomor DLCI bisa lebih panjang (yang tadinya 3 digit..302,111,424, dll….jadi 4333,5678,dll)
  • Congestion Control…untuk sinyal network frame relay klo lagi penuh networknya
    • FECN = Forward Explicit Congestion Notification, bit yang dikirim dari FR Switch ke FR Switch yang lain lalu ke Router bahwa network Frame Relay lagi penuh sesak (bit yang di receive)
    • BECN = Backward Explicit Congestion Notification, bit yang dikirim dari FR Switch ke Router bahwa network Frame Relay lagi penuh sesak (bit yang di send)
    • DE = Discard Eligible
  • C/R …ga ngerti, kata Cisco ini undefined

======================================================

FRAME RELAY TOPOLOGY

…………………………………………………

…………………………………………………

…………………………………………………

======================================================

Frame Relay Address Mapping

Sebelum Router bisa transmit data over frame relay, dia harus tau DLCI dan assosiasi nya (contoh: DLCI 102 itu untuk tujuan 192.168.1.2). This address-to-DLCI mapping can be accomplished either by static or dynamic mapping.

Dynamic Mapping

Mapping secara dinamis ini akan di peroleh dari Inverse-ARP

Apa itu Inverse-ARP? Yaitu request layer 3 address (IP) dari DLCI yang diterima, beda dengan ARP…request MAC address dari IP yang diterima (tipically on Ethernet Switch alias switch yg biasa kita liat)

Klo ARP (address Resolution Protocol) itu dipake oleh switch untuk mapping MAC address ke IP yang bersangkutan (mapping layer 2 ke layer 3)

Klo Inverse-ARP dipake oleh FR Switch untuk mapping IP ke DLCI yang bersangkutan (mapping layer 3 ke layer 2)

Di Cisco Router…Inverse-ARP is enabled by default

Static Mapping

Ya uda…setting aja di routernya…DLCI 103 itu tujuan 10.1.1.4 misalnya…

======================================================

Local Management Interface (LMI)

LMI berguna untuk acquire information about the status of the network, LMI itu adalah keepalive mechanism yang bertugas mem-provide status informasi connection between DTE (Router) & DCE (FR Switch) connection dari frame relay

LMI ini tiap 10 detik sekali dikirim dari router

Klo encapsulation itu tugasnya dari Router satu ke Router lain dalam frame relay…

Klo LMI itu dari router ke switch frame relay

The switch and its connected router care about using the same LMI (baik Router dan Switch harus memakai LMI yang sama)

The switch does not care about the encapsulation. The endpoint routers (DTEs) do care about the encapsulation. (Router ke Router di Frame Relay harus pake encapsulasi yang sama…ya eyaa laaaa)

Tipe LMI itu ada 3

  • Cisco – the original LMI
  • ANSI – pake standar Amerika (T1.617 Annex D)
  • Q933A – pake standar ITU

Cisco IOS update 11.2 keatas…udah auto sense LMI, jadi bisa langsung auto config (ga disetel2 lagi config di routernya harus pake LMI apa)

======================================================

Split Horizon Issue

inget ga klo distance vector menggunakan fitur ini untuk mencegah routing loop, dengan cara mencegah informasi yang dikirimkan balik lagi ke interface yang sama

nah…klo di Frame Relay gimana ??

R1 punya 1 Serial Link…dalam satu serial link ini terdapat 2 DLCI (102,103)

Hanya saja…di Frame Relay Switch kan bukan Switch Ethernet (yang punya fitur Broadcast…makanya disebut NBMA), oleh karena itu keyword broadcast harus dimasukkan di router untuk mereplika frame relay packet

Nah…ketika R1 dapet routing update dari R2…dia mo kirim ke R3…karena split horizon rule menyatakan tidak boleh kirim dari interface fisik yang sama…ga dapet de R3 nya

Solusinya…dibuatlah Serial Subinterface (untuk masing2 DLCI)

Point-to-Point = 1 Physical interface to 1 subinterface / 1 interface

Point-to-Multipoint = 1 subinterface to multiple subinterface

======================================================

Frame Relay Terminology

  • CIR (Committed Information rate) – Speed yang dijanjikan oleh ISP

Klo ISP bilang “koneksi kami up to 5mbps” itu baru UP TO (bisa sampai)…actualnya mah ga segitu…

CIR itu…pemakaian 5mbps…ya up to 5mbps…tapi bisa lebih (ga kaya ISP sekarang..up to…malah kurang -__- ; )

Kelebihan pemakaian dari 5mbps itu disebut burst (dan ga bayar extra…flat rate charge)

Kok bisa??…ya kadang2 klo bandwidthnya lagi lowong dan ga ada yang make…kita bisa make kelebihan itu for free

  • Committed Burst (Bc) Information Rate (CBIR)

Yaitu sampai mana burst itu bisa dipake, klo mo burstnya lebih banyak dan lebih lama (tipikalnya 4-5 detik doank), harus bayar lagi

  • Discard Eligible (DE)

Yaitu kondisi dimana packet sudah sampai pada level Bc…packet ini akan ditandain dengan DE alias klo network uda mulai penuh, ini packet akan di mark untuk di drop

Liat di bagian Frame Relay Encapsulation diatas de…

Older Entries Newer Entries