Các kỹ sư có thể thiết kế VLAN với nhiều mục đích. Trong nhiều trường hợp ngày nay, các thiết bị có thể nằm trong cùng một vlan do cùng chung một vị trí đặt máy. Vấn đề bảo mật là một trong nhưng yếu tố khác trong thiết kế VLAN: các thiết bị khác nhau trong các vlan khác nhau không nghe broadcast. Thêm vào đó, việc chia các host ra các vlan khác nhau sẽ dẫn đến yêu cầu dùng routers hoặc các multilayer switch giữa các subnets và các kiểu thiết bị này thường có thêm nhiều chức năng bảo mật. Trong một vài trường hợp, nhu cầu tăng tính bảo mật bằng cách tách các thiết bị bên trong một vlan nhỏ sẽ xung đột với mục đích thiết kế sử dụng các địa chỉ IP sẵn có.

Tính năng private vlan của Cisco giúp giải quyết vấn đề này. Private vlan cho phép một switch tách biệt các host như thể các host này trên các vlan khác nhau trong khi vẫn dùng duy nhất một IP subnet. Một tình huống phổ biến để triển khai private vlan là trong phòng data center của các nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ có thể cài đặt một router và một switch. Sau đó, SP sẽ gắn các thiết bị từ các khách hàng khác nhau vào cùng một switch. Private VLAN cho phép SP (service provider) dùng một subnet duy nhất cho cả toà nhà, cho các cổng khác nhau của khách hàng sao cho nó không thể giao tiếp trực tiếp trong khi vẫn hỗ trợ tất cả các khách hàng trong một switch duy nhất.

Về mặt ý niệm, một private vlan bao gồm các loại cổng sau:
Các cổng cần giao tiếp với tất cả các thiết bị khác.
Các cổng cần giao tiếp với nhau và với các thiết bị khác, thường là routers.
Các công giao tiếp chỉ với những thiết bị dùng chung.

Để hỗ trợ những nhóm port trên, một private vlan bao gồm primary vlan và một hoặc nhiều secondary vlan. Các port trong primary vlan được gọi là promicuous có nghĩa là nó có thể gửi và nhận frame với bất kỳ port nào khác, kể cả với những port được gán vào secondary vlan. Các thiết bị được truy cập chung, chẳng hạn như routers hay server thường được đặt vào trong primary vlan.

Các port khác, chẳng hạn như các port của khách hàng sẽ gắn vào một trong những secondary vlan. Secondary vlan thường có một trong hai dạng là community vlan và isolated vlans. Các kỹ sư sẽ chọn lựa kiểu tùy thuộc vào thiết bị có là một phần của tập hợp các cổng cho phép gửi frame vào và ra (community vlan). Còn kiểu isolated port sẽ không thể truyền đến các port khác ngoài vlan.

Cảm ơn anh Minh. Nhưng em vẫn chưa hiểu rõ lắm khi triển khai. Em có một số thắc mắc sau, không biết anh có thể giải thích giúp:
1) Em đọc trong site của cisco thì thấy rằng pvlan được hỗ trợ bởi một L2 switch, và switch này sẽ nối với một router qua một promiscuous port của nó. Vậy trong cấu hình này thì port đó có cần phải tag không?
2) Vẫn trường hợp trên, nhưng nếu sử dụng nhiều switch thì trunk link có phải gắn vào các promiscuous port không?
3) Em thấy rằng cisco chỉ hỗ trợ pvlan trên các multilayer switch (em không chắc) như dòng 3500. Bản thân các switch này có thể routing rồi, nên liệu có cần phải có promiscuous port nữa hay không? Vì port này là để connect ra router trên layer 2 switch (như câu 1).
Một số thắc mắc hơi ngây ngô, mong được anh Minh giải thích giúp.
Xin cảm ơn.

hi

1. Cấu hình cổng Ethernet kết nối vào L2 Switch của bạn không cần cấu hình trunking (tagging). Vai trò của router L3 trong trường hợp này là gateway cho tất cả các host trong PVLAN (private vlan).

2. các lưu lượng trong các vlan isolated, promicuous, community...có thể được mang bởi kết nối trunk bình thường. Do đó, các port trunk kết nối giữa hai switch không cần cấu hình ở chế độ promicuous.

3. Chức năng cơ bản của PVLAN là giúp tiết kiệm địa chỉ, giảm số vlan trong một datacenter, đơn giản hóa vấn đề spanning tree. Do đó, nếu không dùng PVLAN, cách làm truyền thống thay thế sẽ là tạo ra mỗi vlan cho một khách hàng, mỗi khách hàng dùng một IP subnet riêng. Sau đó, dùng L3 switch thực hiện chức năng routing giữa các vlan này. vậy, nếu ko dùng PVLAN với các cổng promicuos, bạn quay lại cách dùng truyền thống.

Chúc vui vẻ

Chào admin,

Em muốn thuê thiết bị làm bài private vlan này. Admin có thể cho em biết giá thuê được không? Bài này có thể làm trong bao lâu thì xong? vnpro có hỗ trợ bài lab không?

Cám ơn

Nam

Một lần nữa xin cảm ơn anh Minh. Em xin hỏi thêm trong trường hợp câu 2 ở trên, do theo định nghĩa là chỉ có promiscuous port mới có thể liên lạc được với các port isolated và community. Vậy trunk port không phải là member của pvlan đó thì làm sao mang được traffic cho các port trong pvlan đó?
Và nếu ta tag cho promiscuous port thì có phải là traffic từ các secondary vlan sẽ được tag khi gửi ra ngoài không? Như vậy thì đâu còn là private nữa phải không?
Mong anh Minh hoặc ai đó giải thích giúp.
Xin cảm ơn.

Hi

Đối với kết nối trunk, PVLAN (bao gồm lưu lượng từ promicuous port, isolated vlan, primary vlan....) là một vlan duy nhất, bình thường như bao vlan khác. Do đó, kết nối trunking sẽ mang lưu lượng của PVLAN (tức tất cả các lưu lượng của các loại vlan con bên trong PVLAN) bình thường.

Một PVLAN (với tất cả các loại vlan con bên trong nó) sẽ giao tiếp với các vlan "bình thường" còn lại của campus như là một vlan duy nhất.

Một isolated vlan chỉ không thể giao tiếp với các isolated vlan trong PVLAN nhưng bản thân các host (và isolated vlan đó) đều cần thiết phải có khả năng giao tiếp với các máy, các gateway ở các vlan bình thường khác của mạng campus.

Chúc vui vẻ

Cảm ơn anh Minh thêm một lần.

Chào anh Minh,

Cho em thắc mắc thêm một chút. Trong những tài liệu nói về PVLAN thì thường thấy rằng tính năng này chỉ được ví dụ trên các L2 switch. Và L2 switch này sẽ được nối vào một router làm gateway. Vậy nếu trên một switch L3 thì cấu hình như thế nào? Bởi vì khi này bản thân switch đã có thể routing, không cần phải có một router hỗ trợ. Vì vậy sẽ không cần một promiscuous port phải không? Chỉ có các port nằm trong isolated và community vlan thôi. Các port này cũng chính là thành viên của private vlan.
Như vậy thì có đúng không? Mong được anh Minh hoặc bạn nào đó giải thích giúp. Em không có device thật để thử nghiệm nên phải đọc tài liệu và tưởng tượng ra thôi.
Xin cảm ơn.

hi

Ta cần phải xem xét lại những tình huống mà PVLAN tỏ ra hiệu quả.

Thông thường, lưu lượng được cho phép di chuyển không giới hạn bên trong một VLAN. Các gói tin (unicast) được gửi từ một máy này đến một máy khác chỉ được nghe bởi máy đích, do bởi đặc tính của L2 switching.


Tuy nhiên, nếu một máy broadcast ra một gói tin, tất cả các máy trong vlan đó phải lắng nghe. Để ngăn chặn các gói tin này, ta có thể dùng VACL để lọc gói giữa nguồn và đích tỏng một vlan nếu cả hai máy đều gắn vào cùng một switch nội bộ.

Thỉng thoảng, ta cần tính năng ngăn các lưu lượng bên trong một VLAN mà không cần dùng router và dùng nhiều VLAN. Ví dụ, trong một vlan của server farm. Lúc này, tất cả các server phải có khả năng giao tiếp được với gateway router, nhưng các server không phải (và không nên) lắng nghe các broadcast traffic của nhau. Nếu tiến thêm một bước nữa, giả sử mỗi server thuộc về một tổ chức khác nhau, mỗi server cần phải tách biệt với nhau trong khi vẫn có khả năng đi ra gateway để tìm ra những máy không nằm trên mạng cục bộ.

Một tình huống khác là một mạng của một nhà cung cấp dịch vụ. Ở đây, nhà cung cấp có thể dùng 1 vlan đơn để kết nối vài mạng của khách hàng. Mỗi khách hàng cần phải có thể đi ra gateway của mạng provider, và rõ ràng là các mạng của khách hàng không cần giao tiếp với nhau.


Private VLANs (PVLANs) sẽ giải quyết tốt các tình huống trên trong Catalyst switches.

Trong trường hợp SW L3. Một sw L3 có ba kiểu cổng (interface sau):

L2 port.
L3 port (no switch port): phải cài IP cho các port này.
SVI (interface vlan): tượng trưng cho tất cả các port trong một vlan.

Nếu bạn farontek gắn các server vào các port L3 thì cũng không phải là không được. Tuy nhiên, lúc đó, bạn farontek tốn nhiều IP cho các server của khách hàng. Nếu bạn gắn server của các khách hàng khác nhau vào các vlan khác nhau thì vẫn tốn địa chỉ và tốn tài nguyên cho spanning tree hoạt động trên số vlan. Do đó, thường thấy PVLAN dùng trong các L2 switch/ L2 vlan nói chung.

re: PVLAN

Theo em được hiểu thì thế này:
-Các secondary Vlan chẳng qua là những VLAn chứa trong Primary VLan , và vì thế chỉ được phép có 1 Primary Vlan mà có thể có nhiều Secondary Vlan. Trong Sacondary Vlan thì lại phân ra làm 2 loại Vlan , là Isolated VLan (tập hợp 1 hoặc nhiều Isolated port) và Community Vlan (tập hợp 1 hoặc nhiều Isolated port).


- Các Isolated port trong cùng 1 Isolated Vlan hoặc khác Isolated Vlan ( trong cùng 1 vùng Private VLan) không thể giao tiếp với nhau, không thể giao tiếp với các port trong các Community Vlan trong cùng vùng, mà chỉ có thể giao tiếp với các Promiscuous port (là các port thuộc Primary Vlan).
-Các community port trong cùng 1 Community Vlan hoặc khác Community Vlan ( trong cùng 1 vùng Private VLan) có thể giao tiếp với nhau, có thể giao tiếp với Promiscuous port, và tất nhiên không thể giao tiếp với Isolated port trong cùng 1 vùng.

Chính vì lí do đó:
-Các promiscuous port thường được gắn vào các tài nguyên dùng chung, để vùng Private Vlan đó có thể sử dụng tài nguyên này.
-Các port cần được cách li nhau ( chẳng hạn các port của server các khách hàng ) thì gắn vào các Isolated port.
- Các port khác ( Community port) thì gán cho các thiết bị có thể truy cập với nhau nhưng không động chạm tới các server của các khách hàng.

Về lí thuyết là như vậy, mình diễn đạt theo cách hiểu của mình, các anh em thấy sai giúp nhé.

Về mặt ý niệm, một private vlan bao gồm các đặc điểm sau:

• Các cổng cần giao tiếp với tất cả các thiết bị khác.
• Các cổng cần giao tiếp với nhau và với các thiết bị khác, thường là routers.
• Các công giao tiếp chỉ với những thiết bị dùng chung.

Để hỗ trợ những nhóm port trên, một private vlan bao gồm primary vlan và một hoặc nhiều secondary vlan. Các cổng trong primary vlan được gọi là promicuous có nghĩa là nó có thể gửi và nhận frame với bất kỳ cổng nào khác, kể cả với những cổng được gán vào secondary vlan. Các thiết bị được truy cập chung, chẳng hạn như routers hay server thường được đặt vào trong primary vlan.

Các cổng khác, chẳng hạn như các cổng của khách hàng sẽ gắn vào một trong những secondary vlan. Secondary vlan thường có một trong hai dạng là community vlan và isolated vlans. Các kỹ sư sẽ chọn lựa kiểu tùy thuộc vào thiết bị có là một phần của tập hợp các cổng mà cho phép gửi frame vào và ra (community vlan). Còn kiểu isolated sẽ không thể truyền đến các cổng khác ngoài vlan. Secondary vlan chia ra làm 2 loại : isolated vlan và community vlan.

• Isolated: bất kì cổng của switch nào gắn vào isolated vlan sẽ chỉ có thể giao tiếp với primary vlan mà thôi, không thể giao tiếp với các secondary vlan khác. Thêm vào đó, nếu các host thuộc cùng một isolated vlan cũng không thể giao tiếp được với nhau mặc dù chúng cùng nằm trong một vlan. Các host này chỉ có thể giao tiếp với primary vlan để đi ra khỏi local subnet mà thôi. Các host nằm trong isolated vlan độc lập hoàn toàn với mọi thứ, ngoại trừ primary vlan.

• Community: các cổng của switch gắn vào community vlan có thể nói chuyện được với nhau và với primary vlan. Nhưng đối với các secondary vlan khác thì không được.

Tất cả secondary vlan phải được kết hợp với một primary vlan. Private vlan là một loại Vlan đặc biệt nên nó chỉ có ý nghĩa cục bộ trên một switch mà thôi. Trong đó primary vlan cung cấp kết nối logic giữa nó và các secondary vlan. Một host thuộc secondary vlan có thể giao tiếp với một cổng thuộc primary vlan nhưng không thể giao tiếp với một host nằm trong secondary vlan khác. Các host trong secondary vlan sẽ giao tiếp với thế giới bên ngoài (Internet) thông qua primary vlan. Ta hình dung primary vlan có tác dụng chuyên chở các host nằm trong các secondary vlan ra ngoài. Switch nào cấu hình private vlan thì chỉ có switch đó mới có các vlan này thôi. VTP protocol sẽ không quảng bá thông tin về private vlan cho các switch khác. Lúc cấu hình private vlan thì chúng ta cũng phải cấu hình switch ở VTP mode transparent.

Đối với một vlan thường, chúng ta muốn gắn một cổng nào đó vào vlan nào thì ta gõ câu lệnh: “switchport access vlan_id”. Nhưng đối với private vlan thì lại định nghĩa ra hai dạng cổng: promiscuous và host. Promiscuous là cổng của switch kết nối với gateway Router. Qui luật của private vlan không áp dụng cho loại cổng này. Cổng này có thể giao tiếp với các loại primary vlan hay secondary vlan mà không bị giới hạn nào cả. Cổng loại này chỉ có thể giao tiếp với cổng loại promiscuous hoặc các cổng khác nằm trong cùng một community vlan. Đối với các host nằm trong isolated vlan thi cũng không giao tiếp được với nhau luôn, mà chỉ có thể giao tiếp với cổng promiscuous.

<table border="1" cellpadding="0" cellspacing="0"> <tbody><tr> <td valign="top" width="187"> Mô tả kiểu cổng nào có thể nói với cổng nào
</td> <td valign="top" width="132"> Primary vlan port
</td> <td valign="top" width="124"> Community Vlan port
</td> <td valign="top" width="148"> Isolated vlan port
</td> </tr> <tr> <td valign="top" width="187"> Nói với các cổng trong kiểu primary vlan (promiscuous port)
</td> <td valign="top" width="132"> YES
</td> <td valign="top" width="124"> YES
</td> <td valign="top" width="148"> YES
</td> </tr> <tr> <td valign="top" width="187"> Nói với các cổng trong secondary vlan (hostport)
</td> <td valign="top" width="132"> Yes
</td> <td valign="top" width="124"> Yes
</td> <td valign="top" width="148"> No
</td> </tr> <tr> <td valign="top" width="187"> Nói với các cổng trong secondary vlan
</td> <td valign="top" width="132"> Yes
</td> <td valign="top" width="124"> No
</td> <td valign="top" width="148"> No
</td> </tr> </tbody></table>

Re: Private VLAN

Có một số câu hỏi mà mình chưa rõ muốn đặt ra cho mọi người trao đổi như sau:

1/ Trong Primary Vlan có thể tạo được 1 hay nhiều Promiscuous port?
2/ Có phải trong cấu hình Private Vlan , các interface được cấu hình thuộc Secondary VLAN được gọi là "host ports"?
3/Câu lệnh "switchport private-vlan mapping [add] [remove]" và "private-vlan mapping [add] [remve] " được dùng khi nào, sự khác biệt giữa 2 câu lệnh này?

Cho em hỏi mình có thể tạo bao nhiêu private vlan trên 1 switch?

Thanks,
AnhLQN

Có tài liệu của cisco nà, chi tiết, dễ hiểu :d http://www.cisco.com/en/US/docs/swit...e/swpvlan.html