Private VLANs (PVLANs)são como VLANs dentro de VLANs. Basicamente dividem um domínio em múltiplos subdomínios de broadcast separados, limitando portanto o tamanho do domínio de broadcast. Assim como as VLANs, as PVLANs precisam de um router (ou qualquer dispositivo L3) para poderem se comunicar, entretanto existe uma diferença. VLANs geralmente separam subredes, porém quando usamos PVLANs, os hosts pertencem à mesma rede. Pensando nisto podemos observar que toda a troca de informação entre hosts de uma mesma rede, deve passar por um dispositivo L3, assim pode-se fazer um controle superior neste dispositivo, utilizando acls ou configurando um firewall.
Uma porta de um switch que faz parte de uma PVLAN pode ser configurada de 3 maneiras:
- Configurada como promíscua, encaminhando o tráfego vindo de qualquer porta na mesma PVLAN. É a porta onde plugamos o router.
- Configurada em modo community, encaminando o tráfego para a porta promíscua do switch ou para outras portas na mesma community.
- Configurada em modo isolated, podendo apenas encaminhar seu tráfego para a porta promíscua do switch.
Um servidor conectado numa porta configurado em modo isolated, pode apenas se comunicar com seu default gateway (porta promíscua). Já um servidor conectado numa porta configurada em modo community poderá se comunicar com outra porta em mesmo modo, e como seu default gateway (porta promíscua).
A porta promíscua é chamada de primary VLAN, enquanto a em modo community e isolated são chamadas de secondary VLAN. Uma PVLAN tem apenas uma primary VLAN, e várias secondary VLANs.
Um exemplo do uso do modo community, pode ser duas máquinas num mesmo segmento de rede que precisam se comunicar constantemente. Já o uso do modo isolated é encontrado em ambientes onde o acesso é compartilhado, mas precisamos de um separamento do tráfego em L2 entre o hosts. Como por exemplo, para separar o tráfego de broadcast entre clientes de um ISP.
Exemplo de configuração PVLAN em um Switch Cisco:
! Setando as VLANs
vlan 100 private-vlan primary
vlan 101 private-vlan isolated
vlan 102 private-vlan community
! Associando
vlan 100 private-vlan assoc 101,102
! Configurando uma porta x/y em modo Isolated
interface FastEthernet x/y
switchport mode private-vlan host
switchport private-vlan host association 100 101
! Configurando range x/y - z em modo Community
interface range FastEthernet x/y - z
switchport mode private-vlan host
switchport private-vlan host-association 100 102
! Porta modo promíscua, router
interface FastEthernet x/y
switchport mode private-vlan promisc
switchport private-vlan mapping 100 add 101,102
