Home

P-VLAN (Private VLAN)

7 Comments

wokeh guys…sebenernya gw mo bahas IPv4…uda setengah jalan malah gw ngetik materinya

tapi gw lagi training CCNP, materinya CCNP-switch…tentang VLAN lebih lanjut….

yaitu Private VLAN (P-VLAN)….

—————————————————————————————————-

apa itu P-VLAN ??

P-VLAN adalah teknik untuk membatasi hubungan/konektivitas antara end devices dalam 1 VLAN

contoh : di VLAN 20 itu ada HOST A,B, dan C, lalu ada Server MAIL dan Server WEB (di tempatkan di lantai yang sama misalnya)

lalu….HOST A dan B hanya bisa akses MAIL, dan HOST C dapat mengakses WEB

P-VLAN hanya bisa di configure di Multilayer Switch seperti Cisco Switch 3560 (3550 mesti di upgrade IOS-nya katanya) ,walaupun “switchport protected” itu adalah contoh simple dari PVLAN (bisa di konfig di 2960 switch, cuma ya gitu..cuma bisa fungsi protected aja)

contoh gambar lain dari P-VLAN (untuk lebih ngerti lagi)

Example of private VLAN port types on the switch

  • Promiscuous port (P-Port): The switch port connects to a router, firewall or other common gateway device. Port ini dapat berkomunikasi dengan port2 baik di primary maupun secondary VLAN. In other words, it is a type of a port that is allowed to send and receive frames from any other port on the VLAN.
  • Isolated Port (I-Port): port yang di isolasi alias “tersingkirkan” (karena P-Port bisa berhubungan ke semua port, port yang terisolasi pun bisa terhubung ke Isolated Port)
  • Community Port(C-Port): ini nih tipe port yang sebenernya terisolasi…hanya saja di kelompokkan kedalam satu “daerah” isolasi, jadi port2 dalam C-port bisa berhubungan dengan sesama C-Port yang tergabung di “daerah” mereka dan berkomunikasi dengan P-Port

kita bisa ibaratkan seperti ini : *orang miskin A,B,C datang ke kota…kebetulan di kota itu hanya ada pemukiman orang2 kaya dengan 1 ketua RT…nah, orang miskin A,B,C dijauhi oleh komunitas orang2 kaya….maka mereka bermukim di tempat tersendiri yang MASIH di pemukiman itu…orang miskin A terkena penyakit menular…maka dia dijauhi oleh orang miskin B dan C

nah…PEMUKIMAN orang2 di kota bisa di ibaratkan sebuah VLAN

komunitas orang2 kaya bisa kita katakan community port (sebuah VLAN didalam VLAN)

komunitas orang2 miskin juga kita bisa katakan community port (sebuah VLAN didalam VLAN)

orang miskin A yang terkena penyakit menular bisa kita katakan isolated port

SEMUA komunitas di kota itu bisa terhubung ke KETUA RT yang bisa kita sebut dengan promiscuous port

(yaaa…contoh yg gw kasi terlalu ektrim kali ya..tapi intinya lo dapet kan ?? wkwkwk)

from RouterJockey.com

contoh nyata penggunaan Private VLAN adalah seperti gambar dibawah ini

gw lupa ini ngambil darimana (for anyone to find this pic offensive...fell free to PM me)

P-port diusahakan adalah port2 untuk terhubung ke network luar / routing

C-Port diusahakan adalah port2 tempat data2 / farm server yang memang harus terhubung dengan PORT2 TERTENTU

I-Port diusahakan hanya port2 yang tidak perlu terhubung ke C-Port yang ada data2 penting / farm server / dll…tapi MASIH bisa atau dirasa PERLU terkoneksi ke network luar

salah satu kegunaan dari PVLAN adalah kita bisa memisahkan port2 satu dengan yang lain TANPA harus mengganti IP subnet mask / network address!!

ingat…host2 dalam satu VLAN bisa saling terkomunikasi…asal dalam IP subnet yang sama (network address yang sama)

nah…untuk memisahkan port satu dengan yang lain TANPA harus ngutak-atik IP dan subnet mask nya…kita bisa memakai PVLAN

——————————————————————————————————-

berikut ini kita akan bahas configurasi dari masing2 I,C, dan P port

Isolated Port Configuration

sebelum liat gambar2 contoh konfigurasi dibawah…gw akan jelasin logika untuk mengkonfigurasi PVLAN (agak bingung klo lo langsung liat gambar)

  1. lo harus punya bayangan mo bikin P-VLAN apa aja dan mode port nya apa aja (kek mo bikin VLAN aja…lo harus punya bayangan mo bikin VLAN apa aja, dan port berapa aja yang di masukin ke VLAN)
  2. setelah lo punya bayangan P-VLAN, gw SARANIN lo tulis dulu di kertas / notepad…
  3. kenapa gw suru lo tulis di kertas/notepad ??? karena lo akan konfig P-VLAN dulu…baru VLAN nya…agak bingung pasti klo lo “slow learner” kek gw *lol
  4. PVLAN HARUS dikonfigurasi dalam VTP transparent mode
  5. create PVLAN lalu tempatin PVLAN ini di mode port apa ?? I,C, atau P
  6. setelah PVLAN ditempatkan dalam mode port yang sudah di rancang…create / masuklah ke konfigurasi VLAN..inget ..VLAN !! bukan PVLAN
  7. karena PVLAN adalah secondary…VLAN adalah primary…maka kita harus ketik kata “primary” ini untuk “memberitahu” switch bahwa kita akan menempatkan / mengasosiasikan sebuah PVLAN kedalamnya
  8. asosiasikan PVLAN ini dengan VLAN
  9. setelah diasosiasikan, masuk ke interface port (kayak di VLAN)
  10. setting port itu dengan mode private vlan BESERTA mode port (i,c,p) nya ke VLAN dan PVLAN yang bersangkutan (port nya di mapping dulu)
dibawah ini adalah contoh PVLAN configuration (isolated), yang laen sama aja….cuma beda PVLAN numbernya, port mode, dan asosiasi+mappingnya (ganti2 aja)

sw2(config)#interface RANGE fastethernet 0/1-2 disini maksudnya adalah kita setting interface dari fastEthernet 0/1 DAN 0/2 (memakai kata kunci “range”)…kita juga bisa setting beebrapa interface port sekaligus dengan konfigurasi yang sama dengan memakai kata kunci range (bayangin klo konfigurasi sama…lo mesti setting 1-1….ada 24 port pula…24x donk ?…wkwkkw)

—————————————————————————————————————————–

Private VLAN Trunk

PVLAN ini juga bisa digunakan untuk trunking, tapi karena VTP tidak support PVLAN (thats why it must be configured as transparent, one of the reason), makanya configurasi PVLAN nya harus dikonfigurasi secara manual di masing2 switch yang terhubung.

encapsulasi yang disupport untuk PVLAN adalah 802.1

Isolated trunk port memungkinkan kita untuk mengkombine traffic bagi semua secondary ports melalui trunk

Promiscuous trunk port memungkinkan kita untuk mengkombine multiple promiscuous ports yang membawa multiple primary VLAN

The following are some guidelines for using the Private VLAN trunk feature:

  • Use isolated Private VLAN trunk ports when you anticipate the use of Private VLAN isolated host ports to carry multiple VLANs, either normal VLANs or for multiple Private VLAN domains. This makes it useful for connecting a downstream switch that does not support Private VLANs. (jujur gw kurang ngerti maksudnya apa…cuma klo Isolated..berarti dia bawa data2 VLAN dan PVLAN saja ke switch2 yang LAIN, terutama yang ga support PVLAN)
  • Use promiscuous Private VLAN  trunks ports where a Private VLAN promiscuous host port is normally used but where it is necessary to carry multiple VLANs, either normal VLANs or for multiple Private VLAN domains. This makes it useful for connecting an upstream router that does not support Private VLANs. (sama nih…cuma klo promiscuous…berarti dia bawa PVLAN dan VLAN ke router / host2 yg diakses semua donk???…inget fungsi P-Port !!)

contoh PVLAN Trunking

  1. memberitahu si switch bahwa interface port 5/2 ingin dijadikan PVLAN trunk
  2. setting Native VLAN (contoh disini adalah vlan 10)
  3. VLAN yang diperbolehkan masuk/keluar dari trunk link fa5/2 adalah vlan 3,10,301, dan 302
  4. dan 5, dari VLAN 3 yang dikirim…akan dikirim PVLAN 301 dan 302 juga melalui trunk link

—————————————————————————————————————————–

eh bro…klo blok2 gini…kita juga bisa pake ACL kan (access list) ?? ember ^_^V

oh iya…dalam 1 VLAN….HANYA BOLEH ADA 1 Isolated PVLAN (walaupun dalam isolated PVLAN ini ada 1 atau lebih port yang di isolasi)….(C-port bisa lebih, sedangkan P-port cuma bisa 1..sebagai KETUA RT nya para PVLAN2 ini…kwkwkwk)

nih…gw nemu link bagus buat belajar PVLAN…klo ga salah orang2 CCIE semua disini

cekidot…LINK

wokeh guys….sampai disini dulu…gw kasi materi PVLAN…gw masi harus lanjut belajar CCNP-Switch…blum lagi Router dan T-Shoot nya, klo ada yg berharga….pasti gw kasih ke elo2 pada ^_^

VTP (VLAN Trunking Protocol)

28 Comments

untuk yang mau langsung konfig…liat disini

sebelum tau VTP…VLAN Knowledge is prerequisite
=========

lanjutan kemaren….VTP..apaan si itu VTP…(bentar2…gw liat catetan gw dulu..wkwkwk)

VTP (adalah) berguna untuk mengelola semua VLAN yang telah dikonfigurasi pada sebuah internetwork switch dan menjaga konsistensi diseluruh network tersebut.

nyang nyiptaen inih Cisco jg…

VTP memungkinkan kita untuk untuk menambah, mengurangi,  dan mengganti nama VLAN-VLAN…yg kemudian informasi VTP itu disebarkan ke semua switch lain di domain VTP yg sudah di set (take it easy niggas…i’ll show you later)

keuntungan2 VTP

  1. konfigurasi VLAN yang konsisten disemua switch di network
  2. memperbolehkan VLAN-VLAN yang ada untuk memiliki trunk link melalui media network yang beragam (kek Ethernet/RJ45/UTP cable dengan ATM Lane ato dengan FDDI…*nih apaaan lagii iniiih*…sante…untuk sekarang lo ga usa pusing mikirin yg ini)
  3. Tracking dan Monitoring VLAN dengan akurat
  4. Reporting yang dinamis tentang VLAN-VLAN yang ada yang ditambahkan ke semua switch di domain
  5. Nambahin VLAN melalui / dengan / secara plug and play

wokeh..sekarang cara buatnya gimana ?!?…lo butuh 1 switch..yang bakal lo set sebagai VTP SERVER, jadi semua switch lain..akan mengupdate dirinya sendiri dan melakukan semacam “benchmarking” ato standarisasi dengan Server….

ok-ok..i get it….maksud lo..VTP ini..biar kita ga usa susah2 set VLAN lagi di switch baru beli ato mo nambah switch ke infrastruktur network kita kan !!??

yap…Anda Betoooolll

hal2 yg perlu di set di VTP

  • cek dulu nomor revisi dari switch yg mo lo masukin dan switch server lo….karena setiap switch punya nomor revisi (revision number *nanti kita liat lebih detil pas konfigurasi IOS switch)…lo cek dulu revisi number dari switch yg mau lo masukin ke network dengan server lo…PENTING…why…karena secara Default, switch bertindak sebagai server, dan kalau nomor revisi dari switch yg mau lo masukin ke network lebih tinggi dari switch server…maka switch baru GA AKAN MENGUPDATE DIRINYA SENDIRI malah dia UPDATE SI SERVER (secara dia lebih baru dan lebih bergengsi revisinya…*apa coba -_- )
  • klo ternyata switch yang mo lo masukin ke network nomor revisinya lebih tinggi…ya lo rubah dulu konfig nya….di transparent-in aja (ntar gw jelasin)
  • domain harus sama
  • klo pake password (sebaiknya pake password)..passwordnya mesti sama

===========================================

VTP Modes

  • Server Switch…bisa update, delete, modif VLAN
  • Client Switch…dalam mode ini…switch2 berfungsi sebagai penampung2 informasi dari VTP server…dan mengupdate dirinya sendiri jg ..bedanya…dalam mode ini..switch2 ga bisa melakukan perubahan apapun dalam VTP
  • Transparent…nah ini dia…switch dalam mode ini tetap terhubung dalam network…dia tidak akan mengupdate VTP kedalam dirinya…tetapi dia HANYA MENERUSKAN VTP yang sampai ke dirinya ke switch2 lain..dan dia juga ga mengirimkan VTP dirinya ke switch2 lain…mode ini berguna untuk Private-VLAN (in CCNP and in VTP version 3 module)…dan klo lo ga yakin…ato pengen coba2 dulu tanpa harus bongkar pasang switch..ato apalah….

VTP Advertisement (frame VTP yang di release oleh si switch server) secara default dikirim tiap 5 menit sekaliVTP Advertisement dikirim INSTAN saat itu juga…kalau di server ada update (entah delete vlan, update vlan, dll)

oh iy…ada lagi yg disebut VTP Pruning…yaitu suatu cara untuk menghemat bandwidth dengan cara memangkas (pruning) jumlah paket broadcast, multi cast, dan unicast (confignya hanya di VTP server)

sebagai contoh : klo switch A tidak mempunyai VLAN 5…maka dengan VTP pruning, paket broadcast tidak akan melewati trunk link ke switch A (yg tidak ada VLAN 5 nya). Secara default, VTP pruning di disable

======================================

VTP Domain

Untuk bisa suatu Switch Server bisa update switch lain…selain dari TRUNK link (wajib!!), nama domain dari switch2 client (dan juga transparent untuk bisa ngalirin VTP advertisement ke switch lain) harus sama

eh…tapi gw pengen di Gedung A pake domain “Cisco” misalkan (ada 4 lantai = 4 switch), trus di Gedung B gw mau pake domain “aselole_JOS” (wkwkwk), tapi gw ga mau ngeliat tulisan “VTP Domain Mismatch”…gimana dong??

remember…VTP advertisement PASTI melalui trunk, yang menyebabkan itu notifikasi muncul adalah Trunk Negotiation alias DTP (Dynamic Trunking Protocol) ga bekerja (domain harus sama klo mau trunking-nya jalan)…

solusinya?…abis switchport mode trunk, kasi switchport nonegotiate (singkat kata…PAKSA ITU SWITCH PORT JADI TRUNK !!!, hidup itu pedih Jendral !!!)

======================================
VTP Version

VTP version itu ada 3:

versi 1: default

versi 2: uda support token ring VLAN (1002-1005)

versi 3: uda support VLAN 1006 sampe 4095, bisa advertise yang namanya Private-VLAN (di CCNP belajarnya)

Switch dengan versi 1 VTP bisa ketemu dengan Switch versi 2 VTP, tapi Versi 3 ketemu dengan Switch versi 1 (YANG CAPABLE BUAT VERSI 2) akan ganti versi VTP versi 1 nya jadi versi 2 (VTP versi 3 akan ngasi advertisement yang bisa “dibaca” oleh switch2 VTP versi 2)

VTP versi 3 bisa bawa konfigurasi MST (Spanning-Tree) juga (untuk mencegah Region Root Bridge berubah, in CCNP)

Dan untuk mencegah musibah yang namanya “ketimpa ama client/server yang revisi lebih tinggi“, di VTP versi 3 punya namanya PRIMARY SERVER & SECONDARY SERVER

Primary Server = Server VTP yang punya otoritas untuk bisa ngerubah VTP revision, VLAN, dan version. Jadi walaupun client/server VTP revisinya lebih tinggi…dia akan ngecek PRIMARY SERVER-nya siapa, ga akan ada lagi kejadian “timpa menimpa” gara2 revisi

Secondary Server = Server VTP ini ga punya otoritas untuk ngerubah apapun, tapi client2 bisa nanya ini server untuk konfigurasi VTP jikalau VTP Primary ga ada

mirip kek OSPF DR BDR…behaviornya bahkan sama, primary klo down…pas idup lagi jadi secondary, secondary nya jadi primary

Klo ada 2 Primary gimana?!? ga akan ada yang update satu sama lain

ini VTP version 3 white paper by Cisco

=================================

VTP Password

untuk mencegah switch “begajulan” mendapat vlan dari server, selain Domain, opsi lain adalah dengan vtp password [password-nya]

nah VTP password ini ga bisa diliat dengan show vtp status, harus diliat dengan show vtp password…tapi masalahnya…PLAIN TEXT (ketauan)

bisa ga kayak “enable secret” ga bisa diliat?? bisa…pake service password-encryption

atau ketik vtp password [password-nya] hidden (tapi gw baru nyoba “iseng2” di Catalyst 6500)

==================================

diatas…gambaran umum, dibawah gambaran miris (wkwkw) alias detilnya (siap2 mabok)

DA = Destination Address

SA = Source Address

Len/Etype = data2 VLAN switch yang ngirim VTP advertisement alias si switch server

FCS = frame check sequence…buat cek error

frame VTP tadi di tambahin EType, Tag, dan FCS

nah…pas lewatin trunk…di encapsulasi dengan protocol 802.1q (inget…protocol….bukan software….protocol itu semacam aturan2 yang sudah di tentukan…oleh IEEE tentunya)…trus di tambahin dengan TAG (yang pasti…) yang isinya adalah:

PRI = priority…buat marking packet….lo bisa baca…buat Quality of Service (QoS)

dan VLAN ID + FCS yang sudah di recalculate

LLC = logical link control, liat di data link layer

DSAP = Destination Service Acces Point, isi value hexadecimal yang bernilai “AA”

SSAP = Source Service Access Point, isi value hexadecimal yang bernilai “AA” juga

SNAP = Sub-Network Access Protocol, SNAP ini intinya adalah suatu method untuk menjalankan protocol2 data-link layer yang BUKAN IEEE di jaringan LAN yang memakai protocol IEEE (mudahnya seperti itu)…protocol2 yang bukan dan yang dipakai IEEE apa aja…

contoh:

  • IEEE -> Ethernet (802.3)
  • bukan IEEE -> FDDI – Fiber Distributed Data Interface…cikal bakal SONET – Synchronous Optical Network….now you know what FDDI means (klo lo baca bener2 artikel VLAN gw)…by the way….ini di buat oleh American National Standard Institute (bukan IEEE jadinya)

gambar diatas adalah advertisement yang dikirim…*silakan mabok*

nah…kalo server ada update (entah itu nambah vlan, delete vlan, modif vlan…) akan di kirim “subset” advertisement (gambar diatas)..isi nya update2nya itu (vlan info field dan informasi2 tambahan lainnya)

vtp advertisement request (gambar diatas)..start value disini menandakan bahwa jika ada lebih dari satu server ngirim advertisement, client akan update dari server yang subset (vlan info) nya lebih banyak (ato paling banyak)

=====================================================

*update

1. update gambar

2. penjelasan2 lebih detil (ga ngerti semua gpp….yang penting konsep VTP awal2 yang perlu, yang tambahan2 ya sekedar komplementer aja)

Older Entries Newer Entries