Private VLAN

Vlan = Virtual LAN
Private Vlan = Vlan Privée !

Avant de lire cet article, il est primordiale de maîtriser les Vlans, Je vous invite donc de lire mon article sur les Vlans avant toute chose.

 

Présentation


Problématique :

Nous avons un vlan contenant 800 postes clients.
Chaque poste client va recevoir les broadcasts de ses 799 voisins…
Les postes clients de notre entreprise ont t’ils besoin de discuter entre eux ??? Bien-sur que non !!

Solution :

Mettre en place des Privates VLAN !

Un Vlan privée (Private) est un Vlan dans un Vlan.
Il en existe deux types :

Vlan Primaire
Vlan Secondaire

 

Vlan Primaire


Vlan primaire = Vlan classique.

Tous les ports présents dans un vlan primaire sont capable de discuter entre eux sans restriction.

Pour plus de détails sur les Vlans primaire, je vous donne rendez-vous dans l’article Vlan.

 

Vlan Secondaire


Vlan Secondaire = Vlan Privée.

Un Vlan Secondaire doit faire partie d’un Vlan primaire.

Il existe deux type de Vlan secondaire :

Isolated Vlan (Vlan Isolé)
Community Vlan (Vlan Communautaire)

 

Private Vlan

Private Vlan

 

Isolated Vlan


Un port dans un Vlan isolé peut discuter avec :

Les membres du Vlan Primaire.

Il ne peut donc pas discuter avec les autres membres du Vlan isolé ou les membres d’une communauté.

 

Community Vlan


Un port dans un Vlan Communautaire peut discuter avec :

Les membres de sa communauté.
Les membres du Vlan Primaire.

Il ne peut donc pas discuter avec les membres d’un Vlan isolé ou les membres d’une autre communauté.

 

Configuration


PVLAN - Architecture de base

PVLAN – Architecture de base

Configuration du VTP


Les Private Vlan ne sont pas supporté par le VTP version 1 et 2. Il faut donc soit le désactiver, soit activer le VTP version 3 :

Passer le VTP en version 3 :

SW_01(config)# vtp version 3

ou

Désactiver le VTP :

SW_01(config)# vtp mode transparent

 

Créer les Vlans dans la Vlan-database


SW_01(config)# vlan 11
SW_01(config-vlan)# private-vlan isolated

SW_01(config)# vlan 12
SW_01(config-vlan)# private-vlan community

SW_01(config)# vlan 10
SW_01(config-vlan)# name VLAN_10
SW_01(config-vlan)# private-vlan primary
SW_01(config-vlan)# private-vlan association 11 , 12

----

SW_01(config)# vlan 21 
SW_01(config-vlan)# private-vlan isolated 

SW_01(config)# vlan 22 
SW_01(config-vlan)# private-vlan community  

SW_01(config)# vlan 20 
SW_01(config-vlan)# name VLAN_20 
SW_01(config-vlan)# private-vlan primary 
SW_01(config-vlan)# private-vlan association 21 , 22

Ces Vlans sont :

– Soit à créer sur tous nos switchs.
– Soit à créer sur le Switch en mode server de notre domaine VTPv3.

 

Affecter un port dans un vlan privée


Sw(config)# interface FastEthernet X/X
Sw(config-if)# switchport mode private-vlan host
Sw(config-if)# switchport private-vlan host-association XX YY

XX = Vlan Primaire
YY = Vlan Secondaire

Ce qui nous donnes :

SW_01(config)# interface FastEthernet 0/1
SW_01(config-if)# switchport mode private-vlan host
SW_01(config-if)# switchport private-vlan host-association 10 11

SW_01(config)# interface FastEthernet 0/2
SW_01(config-if)# switchport mode private-vlan host
SW_01(config-if)# switchport private-vlan host-association 10 12

SW_01(config)# interface FastEthernet 0/3
SW_01(config-if)# switchport mode private-vlan host
SW_01(config-if)# switchport private-vlan host-association 20 21

SW_01(config)# interface FastEthernet 0/4
SW_01(config-if)# switchport mode private-vlan host
SW_01(config-if)# switchport private-vlan host-association 20 22

 

Routage Inter-Vlan


Switch Vlan interface (SVI)


Architecture de base


PVLAN - SVI

PVLAN – SVI

 

Configuration du SW01


SW01(config)# interface fa0/24
SW01(config-if)# description LIEN_TRUNK
SW01(config-if)# switchport mode trunk private-vlan trunk promiscuous
SW01(config-if)# switchport private-vlan mapping trunk 10 11,12
SW01(config-if)# switchport private-vlan mapping trunk 20 21,22

 

Configuration du SWCore


SWCore(config)# interface fa0/1
SWCore(config-if)# description LIEN_TRUNK
SWCore(config-if)# switchport mode trunk private-vlan trunk promiscuous
SWCore(config-if)# switchport private-vlan mapping trunk 10 11,12
SWCore(config-if)# switchport private-vlan mapping trunk 20 21,22

SWCore(config)# interface vlan 10
SWCore(config-if)# description VLAN 10 
SWCore(config-if)# ip address 192.168.10.254 255.255.255.0

SWCore(config)# interface vlan 20
SWCore(config-if)# description VLAN 20 
SWCore(config-if)# ip address 192.168.20.254 255.255.255.0

 

Router on a stick (ROAS)


Architecture de base


PVLAN - ROAS

PVLAN – ROAS

 

Configuration du SW01


SW01(config)# interface fa0/24
SW01(config-if)# description LIEN_TRUNK
SW01(config-if)# switchport mode trunk private-vlan trunk promiscuous
SW01(config-if)# switchport private-vlan mapping trunk 10 11,12
SW01(config-if)# switchport private-vlan mapping trunk 20 21,22

 

Configuration du RTR_01


RTR_01(config)# interface fa0/0.10
RTR_01(config-if)# encapsulation dot1q 10
RTR_01(config-if)# description VLAN 10
RTR_01(config-if)# ip address 192.168.10.254 255.255.255.0

RTR_01(config)# interface fa0/0.20
RTR_01(config-if)# encapsulation dot1q 20
RTR_01(config-if)# description VLAN 20
RTR_01(config-if)# ip address 192.168.20.254 255.255.255.0

 

Vérifications


SW_01# show vlan private-vlan

Primary Secondary      Type                          Ports
------- --------- --------------- -------------------------------------------
  10      11         isolated      Fa0/1
  10      12         community     Fa0/2
  20      21         isolated      Fa0/3
  20      22         community     Fa0/4
SW_01# show vlan private-vlan type

Vlan       Type
---- -----------------
 10       primary
 11       isolated
 12       community
 20       primary
 21       isolated
 22       community

 

Support Vidéo


CBT Nuggets propose gratuitement une vidéo sur les Privates Vlan. Je vous conseille vivement de la regarder 🙂

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

FingerInTheNet.com

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

2
Poster un Commentaire

Laisser un commentaire

  Subscribe  
plus récents plus anciens plus de votes
Me notifier des
KayouMT
Invité
KayouMT

Félicitations ! Quelques commentaires. 1 – J’ai toujours entendu que la notion de private Vlan est locale à une switch. Est-ce à dire que je ne peux pas avoir plusieurs switchs reliés par des liens Trunk et sur lesquels seront répartis des ports VLAN 21, 22, 23 ? 2 – « Les private Vlan ne sont pas supporté par le VTP ». Pas tout à fait d’accord ! Je crois que la version 3 de VTP supporte les private Vlan. 3 – Je ne comprends pas ce que tu as écrit au sujet de Community Vlan : « Nos Postes n’ont pas à… Read more »