Virtual Local Area Network (VLAN)

November 5, 2010
Miftah Rahman Network Theory, Switching Access, Trunk, Trunk Port, VLAN,VLAN
Dinamis, VLAN Statis 4 Comments
untuk yang mo langsung config…disini
sebelum kita lanjut ke VLAN…gw mo menegaskan lagi tentang collision & broadcast domain

secara default, switch membagi collision domain dan router membagi broadcast domain
tapi sekarang di switch PUN bisa menciptakan broadcast domain sendiri….caranya dengan menggunakan /
membuat VLAN

lalu ente bertanya “gunanya router apa ??”…yah tergantung (tergantung apa yang digantung..!??!?)

secara default, host2 dalam 1 VLAN tidak dapat berkomunikasi dengan host2 di VLAN yang berbeda,
untuk bisa berkomunikasi dengan vlan yang berbeda….ITULAH GUNANYA ROUTER….
Dasar2 VLAN
 Penambahan, Pemindahan, dan Perubahan network dilakukan dengan cara mengkonfigurasi sebuah port ke
VLAN yang sesuai…contoh : di kantor lo ada karyawan baru, bagian akutansi…kebetulan komputer kepake
semua…so, lo harus beli komputer baru..trus masang kabel LAN/ethernet/RJ45 biar dia bisa konek ke bagian
akutansi….dengan VLAN…lo cuma nentuin colokan dari komputer karyawan baru ke switch port berapa yg
ada di VLAN akutansi (contoh..lo set komputer2 akutansi VLANnya dari port 1-12)..engga ribet..lebih ter-
organisir
 Secara Default (blum di set/konfigure apa2)…semua port dalam switch berada pada 1 VLAN..yaitu VLAN
1…tapi CISCO merekomendasikan ke VLAN selain 1..karena untuk keperluan administratif (cih..mang sapa
luh..wkwkw..kidding)
 Fleksibilitas dan Skalabilitas, dengan VLAN…lo bisa menentukan seberapa fleksibel kah network lo (lo bisa
buat VLAN super gede tapi resiko broadcast strom ada..ato kecil…hanya saja lo bakal repot klo ada
penambahan user2 baru…mesti set2 lagi)
 dengan VLAN, faktor keamanan juga terjaga…karena secara default…user2 dari bagian/departement/VLAN
lain ga bisa akses ke VLAN/Departement/bagian kita (kalau dulu kan user/orang bisa colok kabel RJ45/Kabel
Lan ke port nganggur yang sembarang juga jadi..trus bisa akses de ke semua orang yg terhubung ke switch
yang sama dengan port itu)
contoh :
diatas adalah contoh LOGIKAL dari VLAN-VLAN. Jadi, jika sekarang lo perlu menambahkan user lain ke VLAN
Sales misalnya (VLAN 7), port yang digunakan oleh user baru itu bisa lo alokasikan jadi anggota VLAN
7, TIDAK BERGANTUNG PADA LOKASI FISIK DARI USER BARU TERSEBUT. inilah salah satu
keuntungan dalam merancang network lo dengan VLAN….
so…setiap user baru..tinggal lo tanya..mo masuk departement mana..tinggal alokasikan aja port nya ke VLAN
yg sudah di tentukan

oh iya…liat di gambar atas..gw mulai dari VLAN 2…ya karena aturan cisco tadi..trus klo lo liat…semua link
(garis) warnanya ijo..sedangkan dari switch ke router merah…ga usa di pusingin…gw lagi contohin VLAN,
wkwkwkw…itu kira2 gambarnya dan mesti di konfig dulu switch dan router nya agar bisa konek (baca:
garis/link nya jadi warna ijo)
ada 3 tipe VLAN:

VLAN Statis
ini yg paling umum….lo buat VLAN untuk departement apa…trus ada user baru…lo alokasikan port yang ada
ke port yg menjadi anggota VLAN yang dituju
-paling gampang

-paling mudah diawasi

contoh paling gampang liat gambar diatas..oh iya !!..sebelum lupa…dalam VLAN…user yg mau masuk
VLAN yang dituju..IP nya mesti tercakup dalam ip dari VLAN yang dituju….contoh mo masuk sales
departement VLAN…ip komputernya mesti 172.16.60.xxx…sesuai dengan ip network yg di set di VLAN
sales
VLAN Dinamis
gampangnya…lo set (nanti) di konfigurasi switch nya…lo mo ngelompokin user di VLAN tertentu
BERDASARKAN alamat MAC nya, atau protokolnya, atau bahkan aplikasi2nya

-relax…langsung otomatis dimasukin ke VLAN yg tertuju

-awalnya doank yg ribet..karena di awal2 konfigurasi nya lo mesti set ini set itu dulu..wkwkkw

Admin CISCO menggunakan layanan VLAN Management Policy Server untuk men-setup sebuah database
dari alamat2 MAC, yang dapat digunakan untuk pengalamatan dinamis dari VLAN. sebuah database VMPS
memetakan alamat dari MAC ke VLAN-VLAN
NATIVE VLAN
Default VLAN = VLAN 1 = is…Native VLAN

native vlan ini dipake untuk menghubungkan switch (yang punya fitur2 VLAN) ke hub (yang ga ada
VLAN)…HUB tidak mengenal VLAN, yang berarti…semua VLAN selain Native akan di drop. Native VLAN bisa
dirubah selain dari VLAN 1
Mengidentifikasikan VLAN-VLAN
ketika frame bergerak di sebuah network, switch2 harus dapat mengikuti perubahan dari semua jenis frame
yang berbeda, dan memahami apa yang harus dilakukan dengannya sesuai dengan alamat hardware. Dan
ingat, frame-frame ditangani secara berbeda sesuai dengan jenis link yang dilaluinya (gw nyontek dari
catetan gw ni kata2nya semua dari “ketika….” wkwkwkkw)
Access Link (Access Port)
jenis link ini hanya bagian dari 1 VLAN dan disebut VLAN native (vlan asli) dari port. Setiap alat yang
terhubung ke sebuah access link tidak menyadari keanggotaan VLAN….dia cuma berasumsi bahwa dia adalah
bagian dari sebuah broadcast domain…masih bagian dari sebuah router..tapi dia engga tau tentang network
fisikal. switch2 menghapus semua informasi VLAN dari frame sebelum dikirim ke sebuah alat access-link. Alat
access-link tidak dapat berkomunikasi dengan alat2 di luar VLAN-nya kecuali jika paket itu di-Routed

Trunk Link (Trunk Port)

Sebuah Trunk Link adalah sebuah link point-to-point (ibaratnya…lo ke gw , gw ke elo) 100 atau 1000 Mbps
antara 2 switch, atau antara Switch dan Router, atau antara Switch ke Server. Link2 ini dapat membawa
lalulintas data dari banyak VLAN (dari 1 sampe 1005 VLAN pada satu saat). TRUNKING = Membuat sebuah
Link agar dapat dilewati oleh banyak VLAN, biasanya TRUNKING ada pas Switch konek ke Switch ato ke
Router (dibiasain Switch-ke-Switch jadiin trunk), Trunk link dapat membawa beberapa atau semua informasi
VLAN memalui link nya, tetapi jika link diantara switch2 itu ga di set jadi Trunk link..maka hanya informasi dari
VLAN 1 aja yg dikirim (NATIVE VLAN) . lo bisa liat gambar diatas…Switch ke Switch..itu trunk link
(kasarnya..walopun blum di set jadi trunk)..jadi…PC di VLAN yg sama tapi di switch yg berbeda bisa
berkomunikasi dengan baik dengan adanya Trunk Link
 tiap host yang berada disuatu VLAN akan mengirimkan frame yang ada “tag” vlan nya…biar switch tau mau
dibawa kemana itu data. gambar diatas adalah struktur tag dari vlan yang di tempel ke frame yang akan di
kirim

 EtherType field - Set to the hexadecimal value of 0×8100. This value is called the tag protocol ID (TPID)
value. With the EtherType field set to the TPID value, the switch receiving the frame knows to look for
information in the tag control information field. jadi kalau TPID ini ADA di dalam suatu frame….maka tag
control-nya akan di liat, ada vlan ID nya ga….
 3 bits of user priority – Used by the 802.1p standard, which specifies how to provide expedited transmission
of Layer 2 frames. 802.1p itu protocol untuk memprioritaskan data suara (voice vlan)…lebih tepatnya protocol
untuk QoS (quality of service) dalam level layer 2 (MAC)
 1 bit of Canonical Format Identifier (CFI) – Enables Token Ring (teknologi yang menggunakan token ring)
frames to be carried across Ethernet links easily.
 12 bits of VLAN ID (VID) – VLAN identification numbers; supports up to 4096 VLAN IDs
 PAD – Packet Assembler/Dis-assembler (buat gabungin frame jadi packet/misahin packet jadi frame…silakan
di baca teori OSI Layer)
 FCS – Frame Check Sequence…buat cek error
METODE2 IDENTIFIKASI VLAN (TRUNKING MODE)
Inter-Switch Link (ISL)
Cuma buat CISCO (proprietary), dan hanya untuk Fast Ethernet (kabel yg biasa kita pake) dan Gigabit
Ethernet aja. uda jarang kepake…karena frame2 yang ga ada tag VLAN nya, defaultnya di drop

IEEE 802.1Q
sesuai nama..diciptakan oleh IEEE, digunakan pas lo mo konek switch ke switch yang bukan cisco punya, plus
bisa carry vlan berbeda dan ga di drop

DTP (Dynamic Trunking Protocol)

Is a Cisco proprietary protocol. Switches from other vendors do not support DTP. DTP is automatically enabled
on a switch port when certain trunking modes are configured on the switch port. jadi klo switchA port ketemu
dengan switchB port…cukup salah satu aja dijadiin trunk..yang lawannya otomatis ngikut (kecuali kita config
manual…beda lagi, defaultnya auto negotiable)
sampai disini dulu…besok kita masuk ke VTP (
VLAN Trunking Protocol)
*updated
1. VLAN Tag Field with Picture
2. update ISL
3. DTP
 VTP (VLAN Trunking Protocol)
November 13, 2010
Miftah Rahman Network Theory, Switching
DSAP, Ethernet, FDDI, LLC, SNAP,SONET, SSAP, VLAN, VTP, VTP Advertisement, VTP
Client, VTP Domain, VTP Frame Structure, VTP Password, VTP Server, VTP Trasnparent
17 Comments
untuk yang mau langsung konfig…liat disini
sebelum tau VTP…VLAN Knowledge is prerequisite
=========
lanjutan kemaren….VTP..apaan si itu VTP…(bentar2…gw liat catetan gw dulu..wkwkwk)

VTP (adalah) berguna untuk mengelola semua VLAN yang telah dikonfigurasi pada sebuah
internetwork switch dan menjaga konsistensi diseluruh network tersebut.
nyang nyiptaen inih Cisco jg…tapi bukan proprietary (hak milik)

VTP memungkinkan kita untuk untuk menambah, mengurangi, dan mengganti nama VLAN-VLAN…yg
kemudian informasi VTP itu disebarkan ke semua switch lain di domain VTP yg sudah di set (take it easy
niggas…i’ll show you later)
keuntungan2 VTP

1. konfigurasi VLAN yang konsisten disemua switch di network

2. memperbolehkan VLAN-VLAN yang ada untuk memiliki trunk link melalui media network yang beragam
(kek Ethernet/RJ45/UTP cable dengan ATM Lane ato dengan FDDI…*nih apaaan lagii
iniiih*…sante…untuk sekarang lo ga usa pusing mikirin yg ini)
3. Tracking dan Monitoring VLAN dengan akurat

4. Reporting yang dinamis tentang VLAN-VLAN yang ada yang ditambahkan ke semua switch di domain

5. Nambahin VLAN melalui / dengan / secara plug and play

wokeh..sekarang cara buatnya gimana ?!?…lo butuh 1 switch..yang bakal lo set sebagai VTPSERVER, jadi
semua switch lain..akan mengupdate dirinya sendiri dan melakukan semacam “benchmarking” ato standarisasi
dengan Server….
“ok-ok..i get it….maksud lo..VTP ini..biar kita ga usa susah2 set VLAN lagi di switch baru beli ato mo nambah
switch ke infrastruktur network kita kan !!?? “
yap…Anda Betoooolll

hal2 yg perlu di set di VTP

 cek dulu nomor revisi dari switch yg mo lo masukin dan switch server lo….karena setiap switch punya nomor
revisi (revision number *nanti kita liat lebih detil pas konfigurasi IOS switch)…lo cek dulu revisi number dari
switch yg mau lo masukin ke network dengan server lo…PENTING…why…karena secara Default, switch
bertindak sebagai server,dan kalau nomor revisi dari switch yg mau lo masukin ke network lebih tinggi dari
 switch server…maka switch baru GA AKAN MENGUPDATE DIRINYA SENDIRI (secara dia lebih baru dan
lebih bergengsi revisinya…*apa coba -_- )
 klo ternyata switch yang mo lo masukin ke network nomor revisinya lebih tinggi…ya lo rubah dulu konfig
nya….di transparent-in aja (ntar gw jelasin)
 domain harus sama
 klo pake password (sebaiknya pake password)..passwordnya mesti sama
===========================================

VTP Modes
 Server Switch…bisa update, delete, modif VLAN
 Client Switch…dalam mode ini…switch2 berfungsi sebagai penampung2 informasi dari VTP server…dan
mengupdate dirinya sendiri jg ..bedanya…dalam mode ini..switch2 ga bisa melakukan perubahan apapun
dalam VTP
 Transparent…nah ini dia…switch dalam mode ini tetap terhubung dalam network…dia tidak akan
mengupdate VTP kedalam dirinya…tetapi dia HANYA MENERUSKAN VTP yang sampai ke dirinya ke
switch2 lain..dan dia juga ga mengirimkan VTP dirinya ke switch2 lain…mode ini berguna untuk Private-
VLAN (in CCNP and in VTP version 3 module)…dan klo lo ga yakin…ato pengen coba2 dulu tanpa harus
bongkar pasang switch..ato apalah….

VTP Advertisement (frame VTP yang di release oleh si switch server) secara default dikirim tiap 5 menit
sekali, VTP Advertisement dikirim INSTAN saat itu juga…kalau di server ada update (entah delete vlan, update
vlan, dll)
oh iy…ada lagi yg disebut VTP Pruning…yaitu suatu cara untuk menghemat bandwidth dengan cara
memangkas (pruning) jumlah paket broadcast, multi cast, dan unicast (confignya hanya di VTP server)

sebagai contoh : klo switch A tidak mempunyai VLAN 5…maka dengan VTP pruning, paket broadcast tidak
akan melewati trunk link ke switch A (yg tidak ada VLAN 5 nya). Secaradefault, VTP pruning di disable
======================================

VTP Domain
Untuk bisa suatu Switch Server bisa update switch lain…selain dari TRUNK link (wajib!!), nama domain dari
switch2 client (dan juga transparent untuk bisa ngalirin VTP advertisement ke switch lain) harus sama
eh…tapi gw pengen di Gedung A pake domain “Cisco” misalkan (ada 4 lantai = 4 switch), trus di Gedung B gw
mau pake domain “aselole_JOS” (wkwkwk), tapi gw ga mau ngeliat tulisan “VTP Domain Mismatch”…gimana
dong??
remember…VTP advertisement PASTI melalui trunk, yang menyebabkan itu notifikasi muncul adalah Trunk
Negotiation alias DTP (Dynamic Trunking Protocol) ga bekerja (domain harus sama klo mau trunking-nya
jalan)…

solusinya?…abis switchport mode trunk, kasi switchport nonegotiate (singkat kata…PAKSA ITU SWITCH
PORT JADI TRUNK !!!, hidup itu pedih Jendral !!!)
======================================
VTP Version
VTP version itu ada 3:

versi 1: default

versi 2: uda support token ring VLAN (1002-1005)

versi 3: uda support VLAN 1006 sampe 4095, bisa advertise yang namanya Private-VLAN (di CCNP
belajarnya)

Switch dengan versi 1 VTP ga bisa ketemu dengan Switch versi 2 VTP (vice versa), tapi Versi 3 ketemu
dengan Switch versi 1 (YANG CAPABLE BUAT VERSI 2) akan ganti versi VTP versi 1 nya jadi versi 2 (VTP
versi 3 akan ngasi advertisement yang bisa “dibaca” oleh switch2 VTP versi 2)

VTP versi 3 bisa bawa konfigurasi MST (Spanning-Tree) juga (untuk mencegah Region Root Bridge berubah,
in CCNP)

Dan untuk mencegah musibah yang namanya “ketimpa ama client/server yang revisi lebih tinggi“, di VTP versi
3 punya namanya PRIMARY SERVER & SECONDARY SERVER
Primary Server = Server VTP yang punya otoritas untuk bisa ngerubah VTP revision, VLAN, dan version. Jadi
walaupun client/server VTP revisinya lebih tinggi…dia akan ngecek PRIMARY SERVER-nya siapa, ga akan
ada lagi kejadian “timpa menimpa” gara2 revisi

Secondary Server = Server VTP ini ga punya otoritas untuk ngerubah apapun, tapi client2 bisa nanya ini server
untuk konfigurasi VTP jikalau VTP Primary ga ada

mirip kek OSPF DR BDR…behaviornya bahkan sama, primary klo down…pas idup lagi jadi secondary,
secondary nya jadi primary

Klo ada 2 Primary gimana?!? ga akan ada yang update satu sama lain
ini VTP version 3 white paper by Cisco
=================================

VTP Password
untuk mencegah switch “begajulan” mendapat vlan dari server, selain Domain, opsi lain adalah dengan vtp
password [password-nya]
nah VTP password ini ga bisa diliat dengan show vtp status, harus diliat dengan show vtp password…tapi
masalahnya…PLAIN TEXT (ketauan)
bisa ga kayak “enable secret” ga bisa diliat?? bisa…pake service password-encryption
atau ketik vtp password [password-nya] hidden (tapi gw baru nyoba “iseng2″ di Catalyst 6500)
==================================

diatas…gambaran umum, dibawah gambaran miris (wkwkw) alias detilnya (siap2 mabok)
DA = Destination Address

SA = Source Address

Len/Etype = data2 VLAN switch yang ngirim VTP advertisement alias si switch server

FCS = frame check sequence…buat cek error

frame VTP tadi di tambahin EType, Tag, dan FCS

nah…pas lewatin trunk…di encapsulasi dengan protocol 802.1q (inget…protocol….bukan software….protocol

itu semacam aturan2 yang sudah di tentukan…oleh IEEE tentunya)…trus di tambahin dengan TAG (yang
pasti…) yang isinya adalah:

PRI = priority…buat marking packet….lo bisa baca…buat Quality of Service (QoS)

dan VLAN ID + FCS yang sudah di recalculate
 LLC = logical link control, liat di data link layer
DSAP = Destination Service Acces Point, isi value hexadecimal yang bernilai “AA”
SSAP = Source Service Access Point, isi value hexadecimal yang bernilai “AA” juga
SNAP = Sub-Network Access Protocol, SNAP ini intinya adalah suatu method untuk menjalankan protocol2
data-link layer yang BUKAN IEEE di jaringan LAN yang memakai protocol IEEE (mudahnya seperti
itu)…protocol2 yang bukan dan yang dipakai IEEE apa aja…
contoh:

 IEEE -> Ethernet (802.3)

 bukan IEEE -> FDDI – Fiber Distributed Data Interface…cikal bakal SONET – Synchronous Optical
Network….now you know what FDDI means (klo lo baca bener2 artikel VLAN gw)…by the way….ini di buat
oleh American National Standard Institute(bukan IEEE jadinya)
gambar diatas adalah advertisement yang dikirim…*silakan mabok*

nah…kalo server ada update (entah itu nambah vlan, delete vlan, modif vlan…) akan di kirim “subset”
advertisement (gambar diatas)..isi nya update2nya itu (vlan info field dan informasi2 tambahan lainnya)
vtp advertisement request (gambar diatas)..start value disini menandakan bahwa jika ada lebih dari satu server
ngirim advertisement, client akan update dari server yang subset (vlan info) nya lebih banyak (ato paling
banyak)

=====================================================

*update

1. update gambar

2. penjelasan2 lebih detil (ga ngerti semua gpp….yang penting konsep VTP awal2 yang perlu, yang
tambahan2 ya sekedar komplementer aja)
VLAN configuration (including Inter-VLAN
& VTP)
October 22, 2012
Miftah Rahman Config Switch Inter-VLAN, native vlan, router, switch, Trunk,VLAN, VTP
12 Comments
kita sudah membahas teori tentang VLAN, sekarang konfigurasinya…
baik…bahan-bahan yang kita butuhkan adalah

1. Bawang Bombay 5kg

2. Aer 1lt

wkwkwk…yang kita butuhkan cuma Software Simulasi Packet Tracer (yang gw gunain versi 5.3.3)

========================================================

kita akan bahas…VLAN, Inter-VLAN, dan VTP configuration sekaligus

VLAN 10 : 192.168.10.0 /24

VLAN 20 : 192.168.20.0 /24

Caption 1. VLAN Design

 Caption 2. Create VLAN
penjelasan:

 command switchport access vlan 10 di interface fa0/1 berguna untuk mengasosiasikan port fastEthernet 0/1
di switch ke VLAN 10. Ibaratnya kita bilang ke switch “Switch…port nomor satu dikasi buat VLAN 10
yaaaa“…”iya ndorooo“
 untuk mengasosiasikan lebih dari satu port secara bersamaan bisa menggunakan kata kunci range.
Contoh: interface range fa0/1-5 (untuk mengasosiasikan port nomor 1 sampai 5) atau interface fa0/1, fa0/3,
fa0/5 (untuk mengasosiasikan port yang tidak berurutan)

Caption 3. VLAN Verification

Penjelasan:

 secara default, VLAN 1 sudah ada, dan semua port diasosiasikan ke VLAN 1
 untuk verifikasi BIASA nya di priviledge mode, yaitu Switchlt1#
show vlan brief (notice…hanya ada tanda pagar), untuk bisa ketik kata kunci show di luar priviledge mode
kita harus menambahkan kata kunci do disemua mode konfigurasi keculai USER MODE (SwitchLt1> alias
User Mode untuk show vlan brief bisa tanpa pakedo)
 Caption 4. Naming VLAN
Penjelasan:

 untuk create vlan 20 HARUSNYA diketik di SwicthLt1(config)# alias abis ketik vlan 10 trus dikasi nama, kita
harus exit dulu … tapi klo kita TAHU PERSIS command nya…LANGSUNG TABRAK AJA
BLEEEH…bisa….hahaha
sekarang bagaimana caranya untuk komputer di VLAN yang sama tetapi di Switch yang berbeda ??

Penjelasan:

 karena defaultnya VLAN switch adalah VLAN 1…semua device bisa mengantarkan data lewat switch
berbeda
 untuk menghantarkan data-data dari VLAN yang sama (selain VLAN 1) dengan switch yang berbeda
diperlukan jembatan yang bahasa inggrisnya TRUNK
 koq klo VLAN selain VLAN 1 ga bisa beda switch sih?? coba ketik “show interface trunk” yang ada HANYA
VLAN 1 (allowed nya hanya VLAN 1), makanya bisa2 aja
 makanya VLAN 1 disebut juga Administtative VLAN alias NATIVE VLAN, cocok buat menghubungkan Switch
ke Hub/SwitchHub because Hub tidak mengenal VLAN !!
 switch2 yang murahan, yang ga bisa diotak-atik sama sekali, yang cuma tinggal colok = SwitchHub
 kata kunci native digunakan untuk mem-”mark” frame untuk melewati Hub
 ketik aja “switchport native vlan [nomor]” di port yang lo mau (yang kehubung ke Hub)
 dari trunk, kita bisa mem-filter vlan mana saja yang bisa lewat di “jembatan” itu…lewat kata kunci “switchport
trunk allowed vlan [nomor vlan - nomor vlan]“
 mode trunk:

jadi kalo SwitchLt2 port fa0/1 yang terhubung ke switchLt1 port fa0/5 adalah Dynamic Desirable dan ketemu
dengan Dynamic Auto…hasilnya akan jadi trunk (di kedua switch)

VLAN Summary
 secara default…ketika switch menerima unknown frame…frame itu akan di broadcast, untuk itu di create
VLAN untuk memisahkan broadcast
 1 VLAN = 1 Network…jadi komputer-komputer yang berada di satu network yang sama bisa saling
berhubungan/ping2an (dengan catatan IP nya harus satu network juga) , komputer di VLAN yang berbeda
walaupun satu Network tidak akan bisa di PING (kecuali di implementasikan inter-VLAN)
==========================================================

Konfigurasi Inter-VLAN
 Penjelasan:

 beda vlan berarti beda network….untuk menghubungkan network yang berbeda diperlukan alat yang
namanya ROUTER (atau multilayer switch)
 konfigurasi dengan design yang diatas adalah konfigurasi “router on stick” alias 1 kabel fisik tapi terdapat
banyak kabel logical (subinterface), menghemat kabel berarti menghemat cost alias biaya (drawback nya ??
bottleneck..semua lewat sini soalnya)
 interface fa0/0 nya hanya di no shutdown alias di hidupkan saja, TIDAK dikasi ip address
 interface fa0/0.10 maksudnya adalah interface logical nomor 10 (penomoran bebas…tapi diusahakan sama
dengan nomor vlan, biar mudah membaca konfigurasi ketika troubleshooting)
 encapsulation dot1q 10 maksudnya adalah dikabel logikal ini dipasang encapsulasi802.1q alias trunking
untuk vlan 10, trunking ada juga ISL (inter switch link) tapi uda ga dipake karena bit nya besar….makanya
dipake dot1q alias .1q alias 802.1q
 baru dikasi ip address…JANGAN LUPA setting encapsulation nya dulu…baru ip address nya….
 di switch lantai 1 port fastethernet 0/6 juga harus dikasi switchport mode trunk !!!
nah…diatas adalah configurasi using Router, sekarang kita ga pake Router…tapi Switch Layer 3 (multilayer
switch)

jadi ya VLAN disitu…ya Routing disitu…ya Inter-VLAN Routing disitu…

 Penjelasan:

 asosiasikan port FastEthernet 0/1 ke VLAN 10 dan FastEthernet 0/2 ke VLAN 20

 create SVI (Switch Virtual Interface) untuk masing2 VLAN (biasanya kan lo buat cuma interface vlan 1 ato
vlan 99 kan??? buat management /administrasi aja)
 SVI ini dalam inter-vlan via switch dipergunakan seperti kek sub-interface nya Router…(that’s why this is
important)
 bikin DHCP (gw males setting ke PC nya soalnya) supaya masing2 PC dapet IP dari switch (ya…Switch
Layer 3 bisa jadi DHCP server)
 last but The Very Important One !!! ketik ip routing
 secara default…multilayer switch ini adalah Switch BIASA (fitur Routing nya ga aktif)…ketika kita ketik IP
Routing…fitur Routing nya baru aktif (dan untuk Inter-VLAN memang ini yang dibutuhkan)
hal2 penting seputar SVI & DHCP diatas

1. “Virtual“ Interface Vlan di switch akan SELALU DOWN(walaupun uda kita ketik no shutdown, tapi
protocolnya tetep down), kecuali:
o ada port/interface (fisik tentunya) yang sudah di asosiasikan dengan VLAN tersebut atau
o ada port/interface fisik di switch yang sudah dijadikan trunk dan ada VLAN tersebut
didalamnya (Vlan tersebut di-allow di trunk – switchport allowed vlan [nomor vlan])
2. PC 1 dan 2 dapet konfig IP (DHCP) dari Switch berdasarkan tempat port dimana mereka terhubung, contoh:
karena PC 1 terhubung ke port yang diasosiasikan ke VLAN 10 plus ada interface virtual untuk vlan 10…maka
switch akan ngirim konfigurasi IP lewat VLAN 10 dimana switch akan mencocokkan IP Interface VLAN 10
dengan config DHCP nya….ya ga mungkin lah interface VLAN IP-nya 192.168.10.1 trus ama switch dikasi
DHCP untuk 192.168.20.0…beda network cui
3. nah…interface VLAN itu berfungsi sebagai gateway nya si masing2 PC (cek di bagian dhcp…default-
router), mirip fungsinya kayak sub-interface yang ada di Router
nah…..silahken di ping….

menurut gw sih…router buat konek ke WAN aja…setting VLAN, inter-vlan, vtp, stp, dll…di switch aja

============================

nah..gw punya soal…klo kek gini gimana ?!?

coba bikin dulu…trus isng2 konfig…klo ga bisa nih jawabannya

==========================================================================

Konfigurasi VTP (VLAN Trunking Protocol)

buat apa fitur ini ?? kalao lo punya switch 50…masi mau ga lo nambah2in vlan satu persatu di masing2 switch
?!?!?…ini gunanya VTP…kita create 1 switch buat jadi server…sisanya ngambil vlan database dari dia
 Caption 5. konfig VTP switch lantai 1

Caption 6. konfig VTP switch lantai 2 & 3

Penjelasan:

 vtp mode itu ada 3: server, client, dan transparent

o Server = create, delete, modif vlan
o Client = nerima konfigurasi vlan trus diterapkan ke diri dia sendiri
o Transparent = nerima konfigurasi trus dikasi ke switch lain TANPA menerapkan ke diri dia sendiri
(transparan -_-;)
 vtp domain maksudnya adalah untuk menerima vtp advertisement dari vtp server HARUS 1 domain
 vtp password untuk secure lahhhhh
 vtp version:
o version 1 – the first vtp
o version 2 – menyebarkan vlan token ring (itu loh…vlan 1005,1006, dst), klo di version 1 transparent switch
ngecek domainnya dulu (kalo sama di pass…klo beda di tolak/drop), klo version 2 uda engga
o version 3 – uda bisa menyebarkan private vlan (diajarin di CCNP switch)
 DAN JANGAN LUPA…koneksi antar switch dijadikan TRUNK !!! (namanya juga VLANTrunking Protocol)
Verifikasi VTP:
 penjelasan:

 Version…VTP version
 Configuration Revision: tiap kita nambah,delete, modif vlan…revisinya selalu nambah 1 (+1)…incremental
 kalau Client revisinya lebih tinggi dari Server, maka Client tidak akan mengupdate dirinya sendiri dengan VTP
advertisement dari switch server
 kalau Server configuration revisi nya lebih rendah dari switch Server yang lain…maka yang lebih rendah
akan mengupdate dari server yang lebih tinggi…BE CAREFUL !!
 untuk liat vtp password bisa pake show vtp password
take a look at the picture above…”configuration last modified by X.X.X.X”, ini arti nya konfigurasi VTP didapat
dari ip X.X.X.X

kok 0.0.0.0 diatas ?? iya..gw lupa create interface vlan di masing2 switch T__T
P-VLAN (Private VLAN)
wokeh guys…sebenernya gw mo bahas IPv4…uda setengah jalan malah gw ngetik materinya

tapi gw lagi training CCNP, materinya CCNP-switch…tentang VLAN lebih lanjut….

yaitu Private VLAN (P-VLAN)….

—————————————————————————————————-

apa itu P-VLAN ??

P-VLAN adalah teknik untuk membatasi hubungan/konektivitas antara end devices dalam 1 VLAN
contoh : di VLAN 20 itu ada HOST A,B, dan C, lalu ada Server MAIL dan Server WEB (di tempatkan di lantai
yang sama misalnya)

lalu….HOST A dan B hanya bisa akses MAIL, dan HOST C dapat mengakses WEB

P-VLAN hanya bisa di configure di Multilayer Switch seperti Cisco Switch 3560 (3550 mesti di upgrade
IOS-nya katanya) ,walaupun “switchport protected” itu adalah contoh simple dari PVLAN (bisa di konfig di
2960 switch, cuma ya gitu..cuma bisa fungsi protected aja)
contoh gambar lain dari P-VLAN (untuk lebih ngerti lagi)
 Example of private VLAN port types on the switch

 Promiscuous port (P-Port): The switch port connects to a router, firewall or other common gateway device.
Port ini dapat berkomunikasi dengan port2 baik di primary maupun secondary VLAN. In other words, it is a
type of a port that is allowed to send and receive frames from any other port on the VLAN.
 Isolated Port (I-Port): port yang di isolasi alias “tersingkirkan” (karena P-Port bisa berhubungan ke semua
port, port yang terisolasi pun bisa terhubung ke Isolated Port)
 Community Port(C-Port): ini nih tipe port yang sebenernya terisolasi…hanya saja di kelompokkan kedalam
satu “daerah” isolasi, jadi port2 dalam C-port bisa berhubungan dengan sesama C-Port yang tergabung di
“daerah” mereka dan berkomunikasi dengan P-Port
kita bisa ibaratkan seperti ini : *orang miskin A,B,C datang ke kota…kebetulan di kota itu hanya ada
pemukiman orang2 kaya dengan 1 ketua RT…nah, orang miskin A,B,C dijauhi oleh komunitas orang2
kaya….maka mereka bermukim di tempat tersendiri yang MASIH di pemukiman itu…orang miskin A terkena
penyakit menular…maka dia dijauhi oleh orang miskin B dan C
nah…PEMUKIMAN orang2 di kota bisa di ibaratkan sebuah VLAN
komunitas orang2 kaya bisa kita katakan community port (sebuah VLAN didalam VLAN)
komunitas orang2 miskin juga kita bisa katakan community port (sebuah VLAN didalam VLAN)
orang miskin A yang terkena penyakit menular bisa kita katakan isolated port
SEMUA komunitas di kota itu bisa terhubung ke KETUA RT yang bisa kita sebut denganpromiscuous port
(yaaa…contoh yg gw kasi terlalu ektrim kali ya..tapi intinya lo dapet kan ?? wkwkwk)
 from RouterJockey.com

contoh nyata penggunaan Private VLAN adalah seperti gambar dibawah ini
 gw lupa ini ngambil darimana (for anyone to find this pic offensive...fell free to PM me)

P-port diusahakan adalah port2 untuk terhubung ke network luar / routing

C-Port diusahakan adalah port2 tempat data2 / farm server yang memang harus terhubung dengan PORT2
TERTENTU

I-Port diusahakan hanya port2 yang tidak perlu terhubung ke C-Port yang ada data2 penting / farm server /
dll…tapi MASIH bisa atau dirasa PERLU terkoneksi ke network luar

salah satu kegunaan dari PVLAN adalah kita bisa memisahkan port2 satu dengan yang lainTANPA harus
mengganti IP subnet mask / network address!!
ingat…host2 dalam satu VLAN bisa saling terkomunikasi…asal dalam IP subnet yang sama (network
address yang sama)
nah…untuk memisahkan port satu dengan yang lain TANPA harus ngutak-atik IP dan subnet mask nya…kita
bisa memakai PVLAN
——————————————————————————————————-

berikut ini kita akan bahas configurasi dari masing2 I,C, dan P port

Isolated Port Configuration

sebelum liat gambar2 contoh konfigurasi dibawah…gw akan jelasin logika untuk mengkonfigurasi PVLAN
(agak bingung klo lo langsung liat gambar)
1. lo harus punya bayangan mo bikin P-VLAN apa aja dan mode port nya apa aja (kek mo bikin VLAN
aja…lo harus punya bayangan mo bikin VLAN apa aja, dan port berapa aja yang di masukin ke VLAN)

2. setelah lo punya bayangan P-VLAN, gw SARANIN lo tulis dulu di kertas / notepad…

3. kenapa gw suru lo tulis di kertas/notepad ??? karena lo akan konfig P-VLAN dulu…baru VLAN nya…agak
bingung pasti klo lo “slow learner” kek gw *lol

4. PVLAN HARUS dikonfigurasi dalam VTP transparent mode

5. create PVLAN lalu tempatin PVLAN ini di mode port apa ?? I,C, atau P

6. setelah PVLAN ditempatkan dalam mode port yang sudah di rancang…create / masuklah ke konfigurasi
VLAN..inget ..VLAN !! bukan PVLAN

7. karena PVLAN adalah secondary…VLAN adalah primary…maka kita harus ketik kata “primary” ini untuk
“memberitahu” switch bahwa kita akan menempatkan / mengasosiasikan sebuah PVLAN kedalamnya
8. asosiasikan PVLAN ini dengan VLAN

9. setelah diasosiasikan, masuk ke interface port (kayak di VLAN)

10. setting port itu dengan mode private vlan BESERTA mode port (i,c,p) nya ke VLAN dan PVLAN yang
bersangkutan (port nya di mapping dulu)

dibawah ini adalah contoh PVLAN configuration (isolated), yang laen sama aja….cuma beda PVLAN
numbernya, port mode, dan asosiasi+mappingnya (ganti2 aja)
sw2(config)#interface RANGE fastethernet 0/1-2 disini maksudnya adalah kita setting interface dari
fastEthernet 0/1 DAN 0/2 (memakai kata kunci “range”)…kita juga bisa setting beebrapa interface port
sekaligus dengan konfigurasi yang sama dengan memakai kata kunci range (bayangin klo konfigurasi
sama…lo mesti setting 1-1….ada 24 port pula…24x donk ?…wkwkkw)
—————————————————————————————————————————–

Private VLAN Trunk

PVLAN ini juga bisa digunakan untuk trunking, tapi karena VTP tidak support PVLAN (thats why it must be
configured as transparent, one of the reason), makanya configurasi PVLAN nya harus dikonfigurasi secara
manual di masing2 switch yang terhubung.
encapsulasi yang disupport untuk PVLAN adalah 802.1

Isolated trunk port memungkinkan kita untuk mengkombine traffic bagi semua secondary ports melalui trunk

Promiscuous trunk port memungkinkan kita untuk mengkombine multiple promiscuous ports yang membawa
multiple primary VLAN

The following are some guidelines for using the Private VLAN trunk feature:
 Use isolated Private VLAN trunk ports when you anticipate the use of Private VLAN isolated host ports to
carry multiple VLANs, either normal VLANs or for multiple Private VLAN domains. This makes it useful for
connecting a downstream switch that does not support Private VLANs. (jujur gw kurang ngerti maksudnya
apa…cuma klo Isolated..berarti dia bawa data2 VLAN dan PVLAN saja ke switch2 yang LAIN, terutama yang
ga support PVLAN)
 Use promiscuous Private VLAN trunks ports where a Private VLAN promiscuous host port is normally used
but where it is necessary to carry multiple VLANs, either normal VLANs or for multiple Private VLAN domains.
This makes it useful for connecting an upstream router that does not support Private VLANs. (sama
nih…cuma klo promiscuous…berarti dia bawa PVLAN dan VLAN ke router / host2 yg diakses semua
donk???…inget fungsi P-Port !!)
contoh PVLAN Trunking

1. memberitahu si switch bahwa interface port 5/2 ingin dijadikan PVLAN trunk

2. setting Native VLAN (contoh disini adalah vlan 10)

3. VLAN yang diperbolehkan masuk/keluar dari trunk link fa5/2 adalah vlan 3,10,301, dan 302

4. dan 5, dari VLAN 3 yang dikirim…akan dikirim PVLAN 301 dan 302 juga melalui trunk link

—————————————————————————————————————————–

eh bro…klo blok2 gini…kita juga bisa pake ACL kan (access list) ?? ember ^_^V
oh iya…dalam 1 VLAN….HANYA BOLEH ADA 1 Isolated PVLAN (walaupun dalam isolated PVLAN ini
ada 1 atau lebih port yang di isolasi)….(C-port bisa lebih, sedangkan P-port cuma bisa 1..sebagai KETUA
RT nya para PVLAN2 ini…kwkwkwk)
nih…gw nemu link bagus buat belajar PVLAN…klo ga salah orang2 CCIE semua disini

cekidot…LINK
wokeh guys….sampai disini dulu…gw kasi materi PVLAN…gw masi harus lanjut belajar CCNP-Switch…blum
lagi Router dan T-Shoot nya, klo ada yg berharga….pasti gw kasih ke elo2 pada ^_^
P-VLAN Configuration
November 27, 2012
Miftah Rahman Config Switch Access Switch, community port, Distribution
Switch, isolated port, P-VLAN, promiscuous port, Protected Mode, Switchport
Protected,switchport trunk encapsulation Leave a comment
Pertama2 kita tes P-VLAN Edge alias Protected Port dulu yuks…

Network Design yang gw buat kira2 seperti ini (sebenernya harusnya Core Switchnya ada 2, berhubung
keterbatasan alat, ehehehe)

Physical Design nya seperti ini (wakakakakak)

acak2an mas berooo….maklum *jadi malu*

Initial Design
seperti yang kita ketahui dari teori P-VLAN…bahwa Fitur ini adalah versi upgrade nya dariswitchport
protected mode, dimana protected mode hanya berlaku lokal alias di switch yang sama (bukan inter-switch)
mari kita Tes fitur protected ini…2 end user (1 PC 1 Laptop) mau berhubungan

di ping dari PC yang di port fa0/24..bisa

tapi ketika kita pindahin PC ke fa0/8..trus ping ke Fa0/7 (Laptop) yang sudah kita setting di switch…kaga bisa
trus kita pindahin kabel Laptop ke DSW1 port fa0/3 (tadinya di ASW fa0/7) dan kita kasi protected mode…ping
dari PC yang uda kita pindahin portnya (Fa0/8 yang protected)

disinilah kekurangan switchport protected…hanya bisa melindungi dari port di switch lokal aja…giliran
koneksi inter-switch, itu protected ga ngaruh
==================================================

maap…gw tes dulu Switch-nya…kadang ada yang ga ada P-VLAN nya walaupun Switch 3000 series
juga T___T
(cara tes nya…cek di interface mode nya, pas lagi sw mo ? … ada command buat private-vlan ga?)
==================================================

Create Isolated Group (Isolated VLAN)

Penjelasan:
 P-VLAN harus dalam VTP mode Transparent
 kita create P-VLAN 201 dan define ini P-VLAN untuk dijadiin Isolated Group/VLAN
 lalu kita create VLAN 100 dan assosiasikan VLAN 100 ini dengan “anak”nya yaitu 201
 trus bikin de assosiasi port nya ke VLAN dan P-VLAN yang bersangkutan (disini gw bikinFa0/23 -
24 jadi isolated port)
tes dulu…dari PC ke Laptop (masing2 gw pindahin kabelnya ke Fa0/23 – 24 di DSW1)

nah sekarang…gw pindahin kabel PC ke Fa0/22 di DSW1

kok ga bisa ya ?!?

ehehhe….lupa bikin port promiscuous nya gw (GOBLOK BANGET SIH LU MAN !!)

Penjelasan:

 kita buat interface Fa0/22 menjadi port promiscuous

untuk Isolated Group/VLAN 201
nah…klo protected port itu efeknya local (di switch itu sendiri)…ketika (contoh) switch A fa0/1 yang protected
ketemu dengan switch B fa0/2 yang protected…hasilnya masih bisa ping2an…padahal protected, jadi ga ngaru
klo ke switch lain, klo di P-VLAN hal ini ga akan terjadi

Kita setting di DSW2 untuk isolated juga

 maap…ga bisa pake Putty (colokannya cuma atu, gw pake telnet de dari PC)…*curhat*
di ping dari Fa0/24 DSW1 punya PC (isolated) ke Laptop yang port nya gw pindahin ke DSW2 Fa0/13 (yang
gw set jadi isolated juga)

tetep ga bisa kan ???

coba kita pindah port PC ke Fa0/22 (Promiscuous)

==================================================

Create Community Port

Penjelasan:

 masih dalam Konfigurasi yang sama dan Switch yang sama dari konfigurasi Isolated Group diatas (vtp mo
trans)
 create vlan 202 dan define dia jadi P-VLAN community
 assosiasikan group/vlan tersebut ke VLAN 100
 assosiasikan port Fa0/13 untuk group community VLAN 202
lalu kita coba buat di DSW2 (configurasinya sama persis dengan DSW1)…bisa ngomong ga ??? (jangan lupa
dijadiin switchport mode trunk !!! di port yang terkoneksi ke switch lainnya)

pake command switchmode trunk encapsulation dot1q…baru bisa sw mo tr

lalu kita assosiasikan ke port Fa5/0/24 punya DSW2 (di DSW1 community-nya taro aja di Fa16 – 17)
done !! selese….

eh…trus Promiscuous gimana ??? uda tadi diatas…liat yang Isolated deh…
==================================================

Verifikasi P-VLAN

WHOOOOPPPSSSSS…..VLAN 100 sampe 202 ada…port nya mana ?!?!? perasaan uda di
assign/assosiasikan de…

nah….commandnya adalah show vlan private-vlan…baru nongol dah tu port

eh…di show private-vlan diatas Fa0/22 punya DSW1 tipe nya isolated kan ?? bukannya Fa0/22 adalah
promiscuous ya??

cek aja pake show interface fa0/22 switchport

yups…..emang promiscuous

sekian dan terima kasih…^_^V