Private VLAN چیست و چگونه راه اندازی می شود؟ یکی دیگر از مباحث امنیتی در لایه دو Private VLAN است. شبکه ای را فرض کنید که دارای چندین سرور مختلف است به طور مثال یک سرور اکتیو دایرکتوری و یک سرور DNS و یک وب سرور آپاچی.سرور آپاچی هیچ گونه ارتباطی با سرور اکتیودایرکتوری ما ندارد در نتیجه نیازی نیست که این سرور ، دیگر سرورها را ببیند. Private Vlan این امکان را به ما می دهد بدون تغییر Subnet یا استفاده از ACL ارتباط بین این سرورها را محدود کنیم.
به طور کلی به وسیله این قابلیت می توانیم بخشی از شبکه را ایزوله کنیم یا به عبارتی ارتباط لایه دو ، چند نود که در یک VLAN هستند را کنترل کنیم بدون اینکه از روش هایی مانند جدا کردن Subnet یا استفاده از ACL استفاده کنیم.Private VLAN را با استفاده از Secondary VLAN ایجاد می کنیم در واقع VLAN را به چند Secondary VLAN تقسیم می کنیم که می تواند یکی از دو نوع زیر باشد:
پورت های عضو Private VLAN می توانند یکی از سه نوع زیر باشند:
اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.
Switch(config)#vtp transparent
Switch(config)#vlan 201 Switch(config-vlan)#private-vlan isolated
VLAN Isolated را ایجاد می کنیم.
Switch(config)#vlan 202 Switch(config-vlan)#private-vlan community
VLAN Community را ایجاد می کنیم.
Switch(config)#vlan 100 Switch(config-vlan)#private-vlan primary Switch(config-vlan)#private vlan association 201,202
VLAN 100 را به عنوان VLAN اصلی تعریف می کنیم و VLAN 201,202 را به عنوان Secondary آن مشخص می کنیم.
Switch(config)#interface fastethernet 0/24 Switch(config-if)#switchport mode private-vlan promiscuous Switch(config-if)#switchport private-vlan mapping 100 201,202
روتر را در حالت Promiscuous قرار دهیم تا بتواند با همه نودها ارتباط برقرار کند.
Switch(config)#interface range fastethernet 0/1-2 Switch(config-if)#switchport mode private-vlan host Switch(config-if)#switchport private-vlan host-association 100 202
دو سرور اکتیودایرکتوری و DNS را در Community VLAN قرار می دهیم تا بتوانند با یکدیگر و روتر ارتباط داشته باشند.
Switch(config)#interface fastethernet 0/3 Switch(config-if)#switchport mode private-vlan host Switch(config-if)#switchport private-vlan host-association 100 201
سرور آپاچی را در Isolated VLAN قرار می دهیم تا بتواند فقط با روتر در ارتباط باشد.