Chúng ta biết rằng VLAN lớp 2 là một miền quảng bá biệt lập và để giao tiếp giữa các VLAN, cần có Thiết bị lớp 3 (hoặc bộ định tuyến hoặc bộ chuyển mạch Layer3) cho Định tuyến giữa các VLAN. Một Private VLAN (PVLAN) cho phép chúng ta có thể phân chia một VLAN thành các VLAN con. Trong trường hợp PVLAN, một VLAN lớp 2 thông thường được ánh xạ trên các VLAN thứ cấp (Secondary). Điều này giúp hạn chế các thiết bị được kết nối trong cùng một VLAN thông thường (mạng con) giao tiếp với nhau. Các Switch Cisco Catalyst hầu như đều hỗ trợ PVLAN. Thông thường PVLAN được sử dụng trong trường hợp các máy chủ được đặt trong một DMZ trên cùng Layer2 Vlan và ta muốn hạn chế các máy chủ này giao tiếp giữa chúng. Điều này giúp ích rất nhiều trong việc bảo mật. Nếu các máy chủ có thể truy cập công khai từ Internet, khi một trong các máy chủ bị tin tặc xâm nhập, chúng ta có thể chặn kẻ tấn công truy cập các máy chủ khác trên cùng một Vlan. Tất nhiên, chúng ta có thể làm điều này với thiết bị Switch L3 hoặc tường lửa, nhưng trong trường hợp này, mỗi máy chủ phải có VLAN / mạng con riêng và kết quả là ta sẽ nhận được một mạng phức tạp. Trong trường hợp của PVLAN, chúng ta có một mạng (VLAN) và ta sẽ hạn chế kết nối giữa các máy chủ ở cấp Lớp2 bằng cách tạo các VLAN phụ. Kiểu Private VLAN (PVLAN) và kiểu cổng (Port): Các loại Private VLAN (PVLAN) Để hiểu các Private VLAN, rất đơn giản: Có một VLAN “bình thường” được gọi là Primary, VLAN này có các VLAN thứ cấp (phụ) được liên kết đến nó. Các VLAN phụ có thể là loại Isolated hoặc Community: Primary: Đây là vlan chính và vận chuyển lưu lượng từ các vlan Community và Isolated thứ cấp. Isolated: Có nghĩa là bất kỳ cổng chuyển mạch nào được liên kết với vlan Isolated chỉ có thể tiếp cận với vlan chính và không thể giao tiếp với bất kỳ máy chủ hoặc thiết bị bị Isolated nào trong các vlan riêng hoặc Community khác. Community: Có nghĩa là các cổng được liên kết với một vlan Community có thể giao tiếp với nhau và với vlan chính, nhưng không giao tiếp với với bất kỳ vlan riêng nào khác. Các loại cổng (Ports) Promiscuous (P): Thường kết nối với bộ định tuyến (Cổng mặc định) và cũng với cổng mở rộng - một loại cổng được phép gửi và nhận khung từ bất kỳ cổng nào khác trên VLAN chính. Isolated (I): Loại cổng này chỉ được phép giao tiếp với các cổng P - chúng là “stub”. Loại cổng này thường kết nối với các máy chủ. Chỉ một VLAN biệt lập được tạo. Các cổng nằm trong VLAN cô lập, KHÔNG thể giao tiếp với nhau, do đó cung cấp cách ly hoàn toàn các máy chủ ngay cả khi chúng thuộc cùng một vlan Layer2. Community (C): Các cổng trong cùng một Community có thể giao tiếp với nhau và cũng được kết nối với cổng Promiscuous. Có nhiều Cộng đồng có sẵn. Các cổng Community được phép nói chuyện với bạn bè của họ, chia sẻ cùng một nhóm (tất nhiên nó có thể nói chuyện với các cổng P). Hãy xem cách định cấu hình PVLAN Thiết bị được sử dụng trong LAB này: Cisco Catalyst L3 , Cisco Router Tình huống: Tạo một VLAN cộng đồng- Community (101), trong đó SRV1 và SRV2 sẽ thuộc về. Cũng tạo một VLAN biệt lập- Isolated (102), trong đó SRV3 và SRV4 sẽ thuộc về. Tạo Ge0 / 1 Promiscuous và kết nối với cổng mặc định (bộ định tuyến hoặc tường lửa). Theo cấu hình này, SRV1 và SRV2 có thể nói chuyện với nhau và cả với Bộ định tuyến (Cổng mặc định). Mặt khác, các Máy chủ trong VLAN Cô lập (SRV3 và SRV4) sẽ không giao tiếp với nhau và cũng sẽ không thể nói chuyện với vlan Cộng đồng (SRV1 và SRV2). Lưu ý: mạng con Layer3 cho tất cả các máy chủ là giống nhau (192.168.1.0/24). Điều này không thành vấn đề vì các hạn chế trong giao tiếp sẽ được áp đặt bởi Switch ở mức Layer2. Trước khi bắt đầu cấu hình PVLAN, cần chuyển Chế độ VTP sang Trong suốt (Transparent). Nếu VTP hoạt động ở chế độ khác, PVLAN sẽ không hoạt động. !Chuyển sang chế độ trong suốt (Transparent mode) Switch(config)# vtp mode transparent !Tạo isolated VLAN Switch(config)# vlan 102 Switch(config-vlan)# private-vlan isolated !Tạo community vlan Switch(config)# vlan 101 Switch(config-vlan)#private-vlan community !Tạo VLAN chính và ánh xạ với vlans phụ Switch(config-vlan)# vlan 100 Switch(config-vlan)# private-vlan primary switch(config-vlan)# private-vlan association 101 102 Cấu hình hoàn chỉnh vlan 100 private-vlan primary private-vlan association 101 102 ! vlan 101 private-vlan community vlan 102 private-vlan isolated ! Tạo promiscuous port và map với vlans khác Switch(config)# interface ge0/1 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 101 102 ! kết hợp các cổng Ge0 / 2 và Ge0 / 3 với VLANS sơ cấp và thứ cấp. Theo kịch bản Ge0 / 2 và Ge0 / 3 nên nằm trong Vlan cộng đồng (community Vlan). Switch(config)# interface range ge0/2-ge0/3 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 101 ! kết hợp các cổng Ge0 / 4 và Ge0 / 5 với VLANS sơ cấp và thứ cấp. Theo kịch bản Ge0 / 4 và Ge0 / sẽ ở trong Vlan cô lập (Isolated Vlan). Switch(config)# interface range ge0/4-ge0/5 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 102 Đã hoàn tất việc cấu hình PVLAN trên Switch Cisco, hãy xem đầu ra trông như thế nào. Switch# show interface status Port Name Status Vlan Duplex Speed Type Gi0/1 connected 100 a-full a-100 10/100BaseTX Gi0/2 connected 100,101 a-full a-100 10/100/0BaseTX Gi0/3 connected 100,101 a-full a-100 10/100BaseTX Gi0/4 connected 100,102 a-full a-100 10/100BaseTX Gi0/5 connected 100,102 a-full a-100 10/100BaseTX Đến đây các bạn đã hoàn tất việc cấu hình PVLAN trên thiết bị chuyển mạch Switch Cisco L3. Bạn có thể ứng dụng vào thực tế việc cấu hình PVLAN cho các máy chủ Server trong data center hay trong phòng máy chủ có nhiều Server. Cám ơn các bạn đã theo dõi bài viết. Chúc các bạn thành công.
