VLAN privada (PVLAN) no

Cisco Catalyst Switch

Em um tutorial anterior, expliquei o recurso de porta protegida nos Cisco
Catalyst Switches. Desta vez, vamos olhar para a VLAN privada, que eu posso
descrever como portas protegidas em esteróides . Se você não tem idéia do que
é uma porta protegida ou VLAN, eu recomendo ler primeiro o meu tutorial
anterior . Dito isso, vamos começar com uma boa imagem de topologia:

Muitos estudantes de rede acreditam que as VLANs privadas são muito

complexas quando vêem isso pela primeira vez. Vou dividir e explicar como
isso funciona.
A VLAN privada sempre tem uma VLAN principal . Dentro da VLAN principal,
você encontrará a porta promíscua. Na minha foto acima você pode ver que há
um roteador conectado a uma porta promíscua. Todas as outras portas podem
se comunicar com a porta promíscua . Dentro da VLAN principal, você
encontrará uma ou mais VLANs secundárias, existem dois tipos:
 VLAN da comunidade : Todas as portas dentro da comunidade VLAN podem se
comunicar umas com as outras e com a porta promíscua.
 VLAN isolada : todas as portas dentro da VLAN isolada não podem se comunicar
entre si, mas podem se comunicar com a porta promíscua.

Os nomes dessas VLANs secundárias são bem escolhidos se você me

perguntar. Em uma comunidade, todos podem conversar entre si. Quando você
está isolado, só pode falar consigo mesmo ou no caso de nossas VLANs
privadas ... a porta promíscua.

As VLANs secundárias sempre podem se comunicar com a porta promíscua,

mas nunca podem se comunicar com outras VLANs secundárias ! Você está
me seguindo até agora? Se assim for… bom! Se você ainda está um pouco
confuso, não se preocupe. Vou mostrar a configuração e demonstrar como isso
funciona.
Configuração
Primeiro, deixe-me mostrar a topologia que eu usarei para esta demonstração:
Deixe-me resumir o que temos aqui:

 A VLAN principal tem o número 500.

 A comunidade secundária VLAN tem o número 501.
 A VLAN secundária isolada possui o número 502.
 Acabei de inventar esses números de VLAN; você pode usar o que quiser.
 H1 e H2 na comunidade VLAN devem ser capazes de alcançar um ao outro e
também o servidor conectado à porta promíscua.
 H3 e H4 na VLAN isolada podem se comunicar apenas com o servidor na porta
promíscua.
 O servidor deve conseguir acessar todas as portas.
Vamos começar!
 SW1(config)#vtp mode transparent
Setting device to VTP TRANSPARENT mode.

Configurar VLANs privadas exige que alteremos o modo VTP para

Transparente.

SW1(config)#vlan 501
SW1(config-vlan)#private-vlan community
SW1(config-vlan)#vlan 500
SW1(config-vlan)#private-vlan primary
SW1(config-vlan)#private-vlan association add 501

Vamos começar com a configuração da comunidade VLAN. Primeiro eu crio a

VLAN 501 e digo ao switch que é uma VLAN da comunidade digitando
o comando da comunidade private-vlan . Em segundo lugar, estou criando a
VLAN 500 e configurando-a como a VLAN principal com o comando primário
private-vlan . Por último, mas não menos importante, preciso informar ao
switch que a VLAN 501 é uma VLAN secundária usando o comando private-
vlan association .
SW1(config)#interface range fa0/1 - 2
SW1(config-if-range)#switchport mode private-vlan host
SW1(config-if-range)#switchport private-vlan host-
association 500 501

A interface fa0 / 1 e fa0 / 2 estão conectadas a H1 e H2 e pertencem à

comunidade VLAN 501. No nível da interface, preciso informar ao switch que
essas portas são host emitindo o comando host private-mode vlan do modo
switchport . Eu também tenho que usar o comando switchport private-vlan
host-association para dizer ao switch que a VLAN 500 é a VLAN principal e
501 é a VLAN secundária.
SW1(config)#interface fa0/24
SW1(config-if)#switchport mode private-vlan promiscuous
SW1(config-if)#switchport private-vlan mapping 500 501

É assim que eu configuro a porta promíscua. Primeiro eu tenho que dizer ao

switch que fa0 / 24 é uma porta promíscua digitando o comando promiscuous
private-mode do switchport mode. Eu também tenho que mapear as VLANs
usando o comando switchport private-vlan mapping. Aqui está a saída para
FastEthernet 0/1:

SW1#show interfaces fastEthernet 0/1 switchport

Name: Fa0/1
 Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: 500
(VLAN0500) 501 (VLAN0501)
Administrative private-vlan mapping: none

Podemos verificar nossa configuração olhando as informações do switchport. A

interface fa0 / 2 tem a mesma configuração que fa0 / 1.

SW1#show interface fa0/24 switchport

Name: Fa0/24
Switchport: Enabled
Administrative Mode: private-vlan promiscuous
Operational Mode: private-vlan promiscuous
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: 500 (VLAN0500) 501
(VLAN0501)

Aqui está a informação do switchport para fa0 / 24 (nossa porta

promíscua). Você pode ver as informações de mapeamento.

SW1 # show vlan private-vlan

primário tipo secundário portas
------- --------- ----------------- ------
-----------------------------------
- 500 501 comunidades Fa0 / 1, Fa0 / 2, Fa0 / 24

O comando show vlan private-vlan nos fornece informações valiosas. Você

pode ver que a VLAN 500 é a VLAN principal e 501 é a VLAN
secundária. Também nos informa se a
VLAN é uma comunidade ou uma VLAN isolada das portas.
 SW1#show vlan private-vlan type
Vlan Type
---- -----------------
500 primary
501 community

Também gosto do comando show vlan private-vlan type, porque nos fornece
uma visão geral rápida das VLANs privadas.
Então, qual é o resultado dessa configuração?

Se está tudo bem, agora devemos ter uma comunidade de trabalho VLAN ...
vamos descobrir!

C:Documents and SettingsH1>ping 192.168.1.2

Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128

H1 é capaz de atingir H2.

C:Documents and SettingsH1>ping 192.168.1.254

Pinging 192.168.1.254 with 32 bytes of data:
Reply from 192.168.1.254: bytes=32 time<1ms TTL=128

O H1 também pode alcançar o servidor atrás da porta promíscua.

C:Documents and SettingsS1>ping 192.168.1.2

Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128

O servidor é capaz de acessar o H2. Ótimo! Nossa comunidade VLAN parece

estar funcionando. Vamos continuar com a configuração da VLAN isolada.

SW1(config)#vlan 502
SW1(config-vlan)#private-vlan isolated
SW1(config-vlan)#vlan 500
SW1(config-vlan)#private-vlan primary
SW1(config-vlan)#private-vlan association add 502

A configuração é a mesma que a VLAN da comunidade, mas desta vez estou

usando o comando private vlan isolated . Não se esqueça de adicionar a
associação entre a VLAN primária e secundária usando o comando private-vlan
association add. O comando principal private-vlan é obsoleto porque eu já fiz
isso antes, apenas mostro para manter a configuração completa.
 SW1(config)#interface range fa0/3 - 4
SW1(config-if-range)#switchport mode private-vlan host
SW1(config-if-range)#switchport private-vlan host-
association 500 502

Esta parte é exatamente igual à configuração para a comunidade VLAN, mas

estou configurando a interface fa0 / 3 e fa0 / 4 que estão conectadas ao H3 e
H4.

SW1(config)#interface fa0/24
SW1(config-if)#switchport mode private-vlan promiscuous
SW1(config-if)#switchport private-vlan mapping 500 502

Eu já configurei a fa0 / 24 como uma porta promíscua, mas também estou

mostrando aqui para manter a configuração completa. Eu preciso criar um
mapeamento adicional entre a VLAN 500 (primária) e a VLAN 502
(secundária).

Vamos verificar nosso trabalho!

SW1#show interfaces fa0/3 switchport

Name: Fa0/3
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: down
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: 500
(VLAN0500) 502 (VLAN0502)
Administrative private-vlan mapping: none

Com boa aparência… podemos ver a associação de host entre a VLAN 500 e a
502.

SW1#show interfaces fastEthernet 0/4 switchport | include

host-as
Administrative private-vlan host-association: 500
(VLAN0500) 502 (VLAN0502)

Um rápido olhar para fa0 / 4 me mostra a mesma saída de fa0 / 3.

 SW1#show interfaces fa0/24 switchport
Name: Fa0/24
Switchport: Enabled
Administrative Mode: private-vlan promiscuous
Operational Mode: private-vlan promiscuous
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: 500 (VLAN0500) 501
(VLAN0501) 502
(VLAN0502)

Agora podemos ver que a VLAN 501 e a VLAN 502 são mapeadas para a
VLAN 500 primária.

SW1#show vlan private-vlan

Primary Secondary Type Ports
------- --------- -----------------
-----------------------------------------
-
500 501 community Fa0/1, Fa0/2, Fa0/24
500 502 isolated Fa0/3, Fa0/4, Fa0/24

Aqui está uma boa visão geral que mostra todas as VLANs, os mapeamentos e
as interfaces.

SW1#show vlan private-vlan type

Vlan Type
---- -----------------
500 primary
501 community
502 isolated

Ou se você se importa apenas com os números de VLAN e o tipo de VLAN, é

isso que você precisa.

Qual será o resultado do nosso trabalho árduo?

C:\Documents and Settings\H3>ping 192.168.1.254

Pinging 192.168.1.254 with 32 bytes of data:
Reply from 192.168.1.254: bytes=32 time<1ms TTL=128
O H3 pode alcançar o servidor atrás da porta promíscua.

C:\Documents and Settings\H4>ping 192.168.1.254

Pinging 192.168.1.254 with 32 bytes of data:
Reply from 192.168.1.254: bytes=32 time<1ms TTL=128

O H4 também pode alcançar o servidor atrás da porta promíscua.

C:\Documents and Settings\H3>ping 192.168.1.4

Pinging 192.168.1.4 with 32 bytes of data:
Request timed out.
Ping statistics for 192.168.1.4:
Packets: Sent = 1, Received = 0, Lost = 1 (100% loss),

Não há acessibilidade entre H3 e H4 porque estão na VLAN isolada.

E quanto à acessibilidade entre a VLAN 501 e a VLAN 502? Vamos tentar:

C:\Documents and Settings\H1>ping 192.168.1.4

Pinging 192.168.1.4 with 32 bytes of data:
Request timed out.
Ping statistics for 192.168.1.4:
Packets: Sent = 1, Received = 0, Lost = 1 (100% loss),

Isso é H1 na VLAN 501 tentando alcançar H4 na VLAN 502. Como você pode
ver, isso não é possível. Você não consegue se comunicar entre diferentes
VLANs secundárias.