Private Vlans e Isolated Vlans

 Hoje vou falar de um assunto voltado para Routing & Switching mas que é muito interessante. Vamos falar de private Vlans e Isolated Vlans.
Em meu trabalho anterior, prestávamos serviços como provedor de internet, ainda que pequeno, e tínhamos em um dos clientes esse tipo de implementação. Me recordo que usávamos switches Planet configurados através de uma interface web.
 Na AT&T ainda não vi esse tipo de implementação uma vez que nossas atividades estão mais voltadas para administração de data centers.
 A grande vantagem oferecida por esse tipo de implementação é poder usar um range de endereçamento IP para todos os clientes e mantar o controle do domínio de broadcast. Você nem seus clientes precisam ou querem que um cliente tenha aceso a outro e essa solução resolve esse problema.
   Vou usar terminologia Cisco para esse tutorial. Em resumo, precisamos ter uma Vlan dita Primary onde será colocada o default Gateway da rede. Sim, porque você está  usando apenas um range de IP com um gateway que possui uma interface com saída para a Internet e uma interface que atende a rede local. Essa interface fará parte da Vlan primary .
 O conceito de Isolated Vlans é bastante simples. Com essa solução, hosts em uma mesma Vlan, apenas são capazes de se comunicar com o default gateway, não se comunicam nem mesmo com os hosts dentro da mesma Vlan.
 Ou seja, se você tiver um cliente com várias máquinas, é possível colocá-las em uma Vlan do tipo community de forma que todos os hosts tenham comunicação  entre si e com o default gateway. Porém, se voce possui cliente que dispoem de apenas uma máquina, é possível agrupar todos esses clientes dentro de uma Vlan do tipo Isolated. Dessa forma, hosts terão comunicação com o gateway,porém, não terão acesso um ao outro.

 Abaixo, vou mostrar os comandos para a configuração das vlans. Vamos criar uma Vlan 10 como sendo a Vlan onde ficará o default gateway, uma vlan 20 e 30 para uso dos clientes.
Poderemos ver nos comandos comuity e isolated abaixo,  a vlan 20, do tipo community. poderá receber vários hosts e todos terão acesso um ao outro e ao default gateway.Porém, a vlan 30, do tipo isolated, terá hosts apenas com acesso ao default gateway devido ao comando.

Sw1(config)# vlan 10
Sw1(config-vlan)# private-vlan primary
Sw1(config-vlan)# private-vlan association 20,30

 O comando acima seria como o comando : switchport mode trunk allowed vlan add vlan 20,30.


Sw1(config)#
Sw1(config)# vlan 20
Sw1(config-vlan)#private-vlan community

Sw1(config-vlan)#vlan 30
Sw1(config-vlan)#private-vlan isolated

Uma vez definido a topologia lógica, devemos configurar as portas que farão parte dela.
O comando que coloca a interface do gateway como acessível a todos os hosts é como segue:


Sw1(config)#interface Fa 0/1
Sw1(config-if)# switchport mode private-vlan promiscuos
Sw1(config-if)# switchport private-vlan mapping 10 20,30.

Dessa forma, a porta Fa 0/1 será a interface que terá comunicação com cada host de minha rede local,ou seja, será o default gateway dos mesmos.

 E por último temos o comando abaixo:

Sw1(config)#interface Fa 0/3
Sw1(config-if)# switchport mode private-vlan host
Sw1(config-if)# switchport private-vlan host-association 10 20

Com esses comandos, estamos relacionado a porta Fa 0/3, onde vai estar conectado um host de um dos nossos clientes a vlan 10 e 20.
Percebam  que no comando anterior usamos a palavra promiscuos e agora usamos uma sintax parecida porém com a palavra host.

Basicamente isso é o que temos de comandos. A partir da daí seria apenas repetição desses comandos de acordo com a topologia que foi desenhada.

Vou adicionar um excelente vídeo que mostra como fazer as configurações  e os testes após as configurações:

Boa sorte e aproveitem esse vídeo tutorial muito bom !