Konfigurasi Allowed VLAN Cisco untuk Membatasi VLAN pada Trunking Port


Ada sebuah fitur terkait trunking port pada switch cisco yang memungkinkan kita hanya mengizinkan atau menolak traffic dari vlan id tertentu. Yaitu allowed VLAN.

Topologi yang kita gunakan adalah topologi materi sebelumnya Topologi VLAN 2 dan sudah dikonfigurasi juga seperti materi sebelumnya.

Gambar 1 - Topologi VLAN 2 Switch

Penerapan allowed VLAN seperti ini: bagaimana jika kita hanya ingin mengizinkan VLAN tertentu yang melewati suatu trunking port. Kalau dalam topologi di atas, kita akan membuat hanya VLAN 20 dan 30 yang bisa melintasi trunking port, jadi PC VLAN 10 yang beda switch tidak bisa saling terhubung walaupun VLAN-nya sama.

Cara kerja allowed VLAN: Seperti yang sudah dijelaskan di materi terkait trunking port. Setiap traffic VLAN yang melalui trunking port, pada Ethernet Frame-nya akan ditambahkan 802.1Q Tag Header. Ketika ada paket dengan VLAN ID 10, yang mana VLAN 10 kita block. Maka, switch tidak akan menambahkan 802.1Q Tag Header. Jadi paket tersebut tidak bisa melintas ke switch lain. Artinya: hanya bisa berkomunikasi dengan komputer dengan VLAN yang sama pada Switch yang sama.

Baiklah, langsung saja ke cara konfigurasinya. Konfigurasi ini cukup dilakukan pada salah satu switch saja yang mau kita "batasi" VLAN-nya", sesuakan dengan kebutuhan, di sini saya ambil contoh pada SWITCH-2.

Kita masuk ke mode interface configuration sesuai interface yang dijadikan trunking port command-nya: interface name_interface biasa saya singkat int name_interface. Mode interface ditandai dengan tulisan config-if seperti ini: SWITCH-2(config-if)#.

Ada beberapa metode untuk mengkonfigurasi allowed vlan atau "vlan yang diizinkan". Metode ini dipilih mana yang paling efektif sesuai rule atau aturan yang kita inginkan.

1. Izinkan semua VLAN tanpa terkecuali
Ini yang secara default aktif, trunking port akan mengizinkan semua VLAN (1-1005). Jika teman-teman sebelumnya sudah menolak vlan terus ingin mengembalikan ke dafault bisa menggunakan cara ini:

SWITCH-2(config-if)#switchport trunk allowed vlan all
Untuk mengeceknya seperti biasa menggunakan command: show interfaces trunk. Ini adalah default rule.
SWITCH-2(config-if)#do show interfaces trunk
Port        Mode         Encapsulation  Status        Native vlan
Gig0/1      on           802.1q         trunking      1

Port        Vlans allowed on trunk
Gig0/1      1-1005

2. Tolak semua VLAN, izinkan beberapa.
Metode ini direkomendasikan dipakai ketika jumlah VLAN yang diizinkan lebih sedikit daripada VLAN yang ditolak.

SWITCH-2(config-if)#switchport trunk allowed vlan 20

Atau jika ada beberapa vlan bisa dipisahkan dengan koma.
Catatan: penulisannya dari VLAN ID yang tertinggi ke yang terendah ya, saat ini saya mengalami masalah saat menulisnya dari yang terendah. Jika ada yang tau solusinya, silakan komentar.
SWITCH-2(config-if)#switchport trunk allowed vlan 30,20

Semua VLAN ditolak kecuali VLAN 20 dan 30
SWITCH-2(config-if)#do show interfaces trunk
Port        Mode         Encapsulation  Status        Native vlan
Gig0/1      on           802.1q         trunking      1

Port        Vlans allowed on trunk
Gig0/1      30,20

3. Izinkan semua VLAN, tolak satu VLAN.
Metode ini direkomendasikan dipakai jika jumlah VLAN yang diizinkan lebih banyak daripada VLAN yang ditolak.

SWITCH-2(config-if)#switchport trunk allowed vlan except 10

Semua VLAN diizinkan kecuali VLAN 10
SWITCH-2(config-if)#do show interfaces trunk
Port        Mode         Encapsulation  Status        Native vlan
Gig0/1      on           802.1q         trunking      1

Port        Vlans allowed on trunk
Gig0/1      1-9,11-1005

5. Tolak semua VLAN tanpa terkecuali.
Yaa, ini jika kamu ingin trunking port tersebut tidak dilalui semua VLAN.

SWITCH-2(config-if)#switchport trunk allowed vlan none

Semua VLAN ditolak.
SWITCH-2(config-if)#do show interfaces trunk
Port        Mode         Encapsulation  Status        Native vlan
Gig0/1      on           802.1q         trunking      1

Port        Vlans allowed on trunk
Gig0/1      

Port        Vlans allowed and active in management domain
Gig0/1      none

Port        Vlans in spanning tree forwarding state and not pruned
Gig0/1      none

6. Tambahkan VLAN ke daftar saat ini
Metode ini digunakan jika teman-teman sudah pernah membuat rule tetapi kemudian ingin menambahkan satu atau lebih VLAN ke daftar VLAN yang diizinkan saat ini.

SWITCH-2(config-if)#switchport trunk allowed vlan add 10

Silakan teman-teman pilih sesuai kebutuhan. Saya pribadi lebih sering menggunakan yang nomor 2 karena menurut saya lebih mudah pengelolaan ke depannya. Jadi saya gunakan command:

SWITCH-2(config-if)#switchport trunk allowed vlan 30,20

Jika sudah coba cek koneksi apakah PC pada VLAN yang sama tapi beda switch bisa terhubung? Harusnya masih bisa terhubung, kecuali VLAN 10.

Gambar 2 - Uji Coba VLAN 2.4

Oke, itu dia materi tentang allowed VLAN, semoga bisa dipahami. Form komentar terbuka bagi teman-teman yang mau diskusi, sampai jumpa di materi berikutnya.

Disqus Comments