Nell’ intervento di oggi, mi soffermerò sulla comprensione e configurazione delle VLAN private, attraverso argomenti utili ai fini degli esami CCNA Security e Building Converged Multilayer Switched Network (642-812).

Le pVlan sono delle Vlan che consentono di isolare delle porte all’interno della stessa Vlan, prevenendo la comunicazione degli host e permettendo di risparmiare IP subnet. In uno scenario nel quale si presenta la necessità di isolare uno o più host di una Vlan, senza ricorrere ad un nuovo piano di indirizzamento, le pVlan sono la soluzione ideale. Le pVlan consistono in primary Vlan e secondary Vlan, la primary Vlan è la vlan di più alto livello che instrada il traffico attraverso le Switch Virtual Interface L3, e può essere composta da molte secondary Vlan.

Le seguenti sono i due tipi di secondary Vlan :

• Community Vlan : le porte che fanno parte della Community Vlan sono abilitate a comunicare con altre porte della stessa community e con le “promiscuous ports” ovvero il default gatway.
• Isolated Vlan : le porte che fanno parte della Isolated Vlan possono comunicare esclusivamente con le porte promiscuous, quindi sono completamente isolate all’interno della vlan, pur condividendone il piano di indirizzamento IP.

Nello schema in alto vediamo che all’interno della Vlan principale (quindi il VID originario) è stato aggiunto un ulteriore VID pVlan per realizzare una community che può comunicare con altri host della stessa e con le porta del default gatway, isolando un altro host con un ulteriore subdomain attraverso le isolated port. Passiamo ora alla configurazione delle pVlan.

• Step 1 configure terminal Enter global configuration mode.
• Step 2 vtp mode transparent Set VTP mode to transparent (disable VTP).
• Step 3 vlan vlan-id Enter VLAN configuration mode and designate or create a VLAN that will be the primary VLAN. The VLAN ID range is 2 to 1001 and 1006 to 4094.
• Step 4 private-vlan primary Designate the VLAN as the primary VLAN.
• Step 5 exit Return to global configuration mode.
• Step 6 vlan vlan-id (Optional) Enter VLAN configuration mode and designate or create a VLAN that will be an isolated VLAN. The VLAN ID range is 2 to 1001 and 1006 to 4094.
• Step 7 private-vlan isolated Designate the VLAN as an isolated VLAN.
• Step 8 exit Return to global configuration mode.
• Step 9 vlan vlan-id (Optional) Enter VLAN configuration mode and designate or create a VLAN that will be a community VLAN. The VLAN ID range is 2 to 1001 and 1006 to 4094.
• Step 10 private-vlan community Designate the VLAN as a community VLAN.
• Step 11 exit Return to global configuration mode.
• Step 12 vlan vlan-id Enter VLAN configuration mode for the primary VLAN designated in Step 2.
• Step 13 private-vlan association [add | remove] secondary_vlan_list Associate the secondary VLANs with the primary VLAN.
• Step 14 end Return to privileged EXEC mode.
• Step 15 show vlan private-vlan [type] or show interfaces status Verify the configuration.
• Step 16 copy running-config startup config Save your entries in the switch startup configuration file. To save the private-VLAN configuration, you need to save the VTP transparent mode configuration and private-VLAN configuration in the switch startup configuration file. Otherwise, if the switch resets, it defaults to VTP server mode, which does not support private VLANs.

Ricordate sempre che la configurazione del VTP deve essere in transparent mode in versione 1 o 2 e che le SVI L3 non possono essere configurate per le secondary Vlan.

Ora vediamo gli step necessari per associare una porta host ad una pVlan :

• Step 1 configure terminal Enter global configuration mode.
• Step 2 interface interface-id Enter interface configuration mode for the Layer 2 interface to be configured.
• Step 3 switchport mode private-vlan host Configure the Layer 2 port as a private-VLAN host port.
• Step 4 switchport private-vlan host-association primary_vlan_id secondary_vlan_id Associate the Layer 2 port with a private VLAN.
• Step 5 end Return to privileged EXEC mode.
• Step 6 show interfaces [interface-id] switchport Verify the configuration.
• Step 7 copy running-config startup config (Optional) Save your entries in the switch startup configuration file.

In fine configuriamo una porta come promiscuous port :

• Step 1 configure terminal Enter global configuration mode.
• Step 2 interface interface-id Enter interface configuration mode for the Layer 2 interface to be configured.
• Step 3 switchport mode private-vlan promiscuous Configure the Layer 2 port as a private-VLAN promiscuous port.
• Step 4 switchport private-vlan mapping primary_vlan_id {add | remove} secondary_vlan_list Map the private-VLAN promiscuous port to a primary VLAN and to selected secondary VLANs.
• Step 5 end Return to privileged EXEC mode.
• Step 6 show interfaces [interface-id] switchport Verify the configuration.
• Step 7 copy running-config startup config (Optional) Save your entries in the switch startup configuration file.