Private Vlan

En el mundo del networking, un escenario muy habitual trata sobre el aislamiento de algunas redes a las que queremos brindar el acceso a ciertos recursos compartidos y, en cambio, no queremos otorgarle esos mismos derechos de acceso o conectividad hacia otras zonas de nuestra topología por considerarlas más privadas.

En dichos casos, una de las posibles soluciones a implementar para lograr el mencionado propósito sería emplear la característica de private vlan.

Gracias a esta feature, podremos lograr que varias vlans diferentes tengan visibilidad hacia una que denominemos común a todas. Y, al mismo tiempo, dentro de esas vlans podremos diferenciar a las que deseemos otorgarles conectividad intra vlan, así como a las que no queramos que sus usuarios se vean entre sí.

D-Link Switches

Desde D-Link no dejamos de trabajar para presentaros todas las soluciones posibles para los distintos escenarios que los técnicos de redes os podéis encontrar en vuestro día a día. Es por ello que, ya desde nuestra gama Smart, hemos incluido esta útil característica que de tanta valía os puede resultar.

En concreto, está incluida en todas estas familias:

• Familia Smart Managed Switches: DGS-1520
• Familia Managed/Data Center Switches: DGS-3130 / DGS-3630 DXS-3400 / DXS-3610 / DXS-5000

¿Cómo se implementa por WEB UI?

En primera instancia, procederemos a dar de alta las diferentes VLANs desde el menú: L2 Features >> VLAN >> 802.1Q VLAN

A continuación, editamos los nombres de las VLANs creadas: L2 Features >> VLAN >> 802.1Q VLAN

Podemos, incluso, añadir una descripción a cada una para aumentar el detalle de información proporcionada y que, seguro, será de utilidad en el futuro. Para ello, debemos ir al menú: L2 Features >> VLAN >> L2VLAN Interface Description

En el menú de Private VLAN editaremos las diferentes VLANs primarias y secundarias: L2 Features >> VLAN >> Private VLAN

 

Ahora, procederemos con la asociación entre las VLANs primarias y secundarias entre sí: L2 Features >> VLAN >> Private VLAN

Los puertos que pertenezcan a las VLANs secundarias los configuraremos en modo host y los puertos que pertenezcan a las VLANs primarias en modo promiscuous: L2 Features >> VLAN >> VLAN Interface

Vinculamos los puertos host a sus respectivas VLANs secundarias asociándolos a su vez a su VLAN primaria correspondiente: L2 Features >> VLAN >> Private VLAN

Por último, haremos lo propio con los puertos de tipo promiscuous, especificando el mapping entre la vlan primaria a la que pertenecen y las secundarias a las que dichos puertos tendrán visibilidad: L2 Features >> VLAN >> Private VLAN

 

¿Cómo se implementa por CLI?

Los pasos son similares a los mencionados para la interfaz gráfica.

A continuación, describimos los comandos que se han de ejecutar:

En primera instancia, procederemos a dar de alta las diferentes VLANs:

Switch#configure terminal Switch(config)#vlan 10,20,30,40

A continuación, editamos los nombres de las VLANs creadas:

Switch(config)#vlan 10

Switch(config-vlan)#name PRIMARY

Switch(config-vlan)#vlan 20

Switch(config-vlan)#name DPT_A

Switch(config-vlan)#vlan 30

Switch(config-vlan)#name DPT_B

Switch(config-vlan)#vlan 40

Switch(config-vlan)#name GUEST

Podemos, incluso, añadir una descripción a cada una para aumentar el detalle de información proporcionada y que, seguro, será de utilidad en el futuro:

Switch(config)#interface l2vlan 10

Switch(config-if)#description Internet

Switch(config-if)#interface l2vlan 20

Switch(config-if)#description Sales Department

Switch(config-if)#interface l2vlan 30

Switch(config-if)#description Marketing Deparment

Switch(config-if)#interface l2vlan 40

Switch(config-if)#description Guest Vlan

Ahora, editaremos las diferentes VLANs primarias y secundarias:

Switch(config)#vlan 10

Switch(config-vlan)#private-vlan primary

Switch(config-vlan)#vlan 20,30

Switch(config-vlan)#private-vlan community

Switch(config-vlan)#vlan 40

Switch(config-vlan)#private-vlan isolated

Procederemos con la asociación entre las VLANs primarias y secundarias entre sí:

Switch(config)#vlan 10

Switch(config-vlan)#private-vlan association add 20,30,40

Los puertos que pertenezcan a las VLANs secundarias los configuraremos en modo host y los puertos que pertenezcan a las VLANs primarias en modo promiscuous:

Switch(config)#interface range ethernet 1/0/5-8

Switch(config-if-range)#switchport mode private-vlan promiscuous

Switch(config-if-range)#interface range ethernet 1/0/9-20

Switch(config-if-range)#switchport mode private-vlan host

Vinculamos los puertos host a sus respectivas VLANs secundarias asociándolos a su vez a su VLAN primaria correspondiente:

Switch(config)#interface range ethernet 1/0/9-12

Switch(config-if-range)#switchport private-vlan host-association 10 20

Switch(config-if-range)#interface range ethernet 1/0/13-16

Switch(config-if-range)#switchport private-vlan host-association 10 30

Switch(config-if-range)#interface range ethernet 1/0/17-20

Switch(config-if-range)#switchport private-vlan host-association 10 40

Por último, haremos lo propio con los puertos de tipo promiscuous especificando el mapping entre la vlan primaria a la que pertenecen y las secundarias a las que dichos puertos tendrán visibilidad:

Switch(config)#interface range ethernet 1/0/5-8

Switch(config-if-range)#switchport private-vlan mapping 10 add 20,30,40

Podemos visualizar el resultado de nuestra configuración de forma muy sencilla:

Switch# show vlan private-vlan

¿Quieres que te asesoremos?

Si tienes proyectos relacionados con el contenido de este eBook desde D-Link te ofrecemos diversas vías de contacto directo para que podamos asesorarte y ofrecerte la mejor solución, siempre sin  compromiso y con la garantía del soporte técnico desde el propio fabricante.

E-mail: [email protected]

Web (con chat de soporte preventa)

Si eres reseller, integrador o proveedor de servicios TI puedes darte de alta en nuestro Programa de Canal VIP+. Tendrás multitud de ventajas y es gratuito (el proceso de alta es online).

Más información aquí