Aynı network subnetinde bulunan hostlarımızı vlan içerisinde iletişimlerini gruplamak ve aralarında izolasyon sağlamak için en kolay yöntem private-vlan yapılandırma yöntemidir.Aşağıdaki topoloji üzeride private-vlan yapılandırması adım adım yapılacaktır.
Öncelikli olarak vtp modumuzu transparent’a çekmemiz gerekmektedir.
BB_SW(config)#vtp mode transparent
BB_SW(config)#vlan 10
Daha sonra vlan’larımızı oluşturarak tiplerini belirliyoruz.Daha sonra ise primary vlan’ımızı belirliyoruz ve secondary vlan’larımızı tanıtıyoruz.
BB_SW(config)#vlan 10
BB_SW(config-vlan)#private-vlan isolated
BB_SW(config-vlan)#exit
BB_SW(config)#vlan 20
BB_SW(config)#private-vlan community
BB_SW(config-vlan)#exit
BB_SW(config)#vlan 100
BB_SW(config-vlan)#private-vlan primary
BB_SW(config-vlan)#private-vlan association 10,20
BB_SW(config-vlan)#exit
Fiziksel portlarımız üzerine host olduklarını, private vlan atamalarını ve promiscuous port tanımlamasını ayarlıyoruz.
BB_SW(config)#interface FastEthernet0/1
BB_SW(config-if)# switchport private-vlan host-association 100 10
BB_SW(config-if)# switchport mode private-vlan host
BB_SW(config-if)# exit
BB_SW(config)# interface FastEthernet0/2
BB_SW(config-if)# switchport private-vlan host-association 100 20
BB_SW(config-if)# switchport mode private-vlan host
BB_SW(config-if)# exit
BB_SW(config)# interface FastEthernet0/3
BB_SW(config-if)# switchport private-vlan host-association 100 20
BB_SW(config-if)# switchport mode private-vlan host
BB_SW(config-if)# exit
ASA’nın bulunduğu portu promiscous port yaparak üye vlan’ları mapping işlemine tabi tutuyoruz.
BB_SW(config-if)# interface FastEthernet0/10
BB_SW(config-if)# switchport private-vlan mapping 100 10,20
BB_SW(config-if)# switchport mode private-vlan promiscuous
BB_SW(config-if)# exit
Son olarak trunk port üzerinden diğer switch üzerindeki aynı community vlan id’ye sahip vlan’larla görüşebilmesi için trunk yapılandırmamızı yapıyoruz.
BB_SW(config)# interface FastEthernet0/12
BB_SW(config-if)# switchport trunk encapsulation dot1q
BB_SW(config-if)# switchport mode trunk
BB_SW(config-if)# end
BB_SW#
İşlemimiz tamamlanmıştır, bu işlem sonunda isolated ve community vlanlar birbirleri arasında görüşemeyecekler fakat promiscuous port üzerindeki ASA ile sorunsuz iletişim kurabileceklerdir.
