در برخی از مواقع جداسازی پایگاه‌های داده و یا سرورهای اصلی سازمان یک ضرورت است و این کار با روش‌های مختلفی قابل انجام است. یکی از این روش‌ها استفاده از تکنیک Private VLAN است. شرکت سیسکو تکنیک Private Vlan یا همان VLANهای خصوصی را روشی برای ایزوله سازی یا تفکیک پورت‌های یکسان موجود در یک محدوده Broadcast همسان می‌داند. تکنیک Private Vlan دارای انواع متفاوتی است. در این مقاله به تشریح چگونگی ایجاد VLAN های خصوصی در میزبان ESXi می‌پردازم.

استفاده از تکنیک Private VLAN در سوئیچ‌های توزیع شده مجازی کاملا پشتیبانی می‌شود. شما می‌توانید یک VLAN خصوصی از نوع Primary در سوئیچ توزیع شده مجازی تعریف نماید که همزمان امکان استفاده از آن در سوئیچ‌های واقعی شبکه نیز وجود داشته باشد. با این کار ترافیک ورودی به سوئیچ واقعی که از آن VLAN خاص استفاده می‌کند، به سوئیچ توزیع شده مجازی متصل خواهد شد و پس از آن بایستی یک VLAN خصوصی از نوع Secondary تعریف کنید تا بتوانید ترافیک شبکه را هر چه بیشتر تفکیک نماید. با انجام این مراحل با رسیدن ترافیک به میزبان ESXi سوئیچ توزیع شده مجازی با استفاده از VLANهای خصوصی Secondary که در ذیل به سه حالت‌ آن اشاره خواهیم کرد به جداسازی مجدد ترافیک دریافتی اقدام می‌کند.

حالت‌ Promiscuous (بی قاعده) در این شرایط این پورت قادر به برقراری ارتباط با تمامی کانال‌های ارتباطی از جمله پورت‌های Isolated و پورت‌های Community در داخل یک VLAN خصوصی است و عموما دستگاه‌ها و یا سرویس‌هایی را که تمامی ماشین‌های مجازی یا کامپیوترهای شبکه بایستی به آن دسترسی داشته باشند در این حالت تنظیم می‌شوند.

حالت‌ Isoltaed (ایزوله شده) این پورت از تمامی پورت‌های دیگر که در VLAN خصوصی لایه 2 قرار دارند تفکیک یا ایزوله می‌شود و تنها پورت‌های Promiscuous امکان دسترسی به آن را دارند. با استفاده از این VLAN خصوصی تمامی ترافیک شبکه به پورت Isolated بسته می‌شود و تنها به درخواست‌هایی که از پورت Promiscuous ارسال شده باشد پاسخ داده خواهد شد.

حالت‌ Community (دسته‌ای) در این حالت VLANهای خصوصی دسته‌ای یا گروهی ایجاد می‌شوند یعنی گروهی از ماشین‌های مجازی که به صورت دسته ای یا Community تنظیم شده‌اند با یکدیگر ارتباط برقرار می‌کنند و امکان دسترسی آنها به ماشین‌های مجازی که از پورت‌های Promiscuous نیز استفاده می‌کنند امکان پذیر است. این روش نیز مانند سایر روش‌های ذکر شده در بالا در لایه 2 اقدام به جدا سازی ترافیک کرده و اطلاعات را از دیگر کارت‌های شبکه که بر روی یک VLAN خصوصی قرار دارند تفکیک می‌کند.

هر ماشین مجازی که در VLAN خصوصی از نوع Promiscuous قرار داشته باشد حتی قادر است تا با سایر ماشین‌های مجازی که در VLANهای خصوصی دیگر قرار دارند ارتباط داشته باشد. ماشین‌های مجازیی که در یک VLAN خصوصی از حالت‌ Community قرار دارند می‌توانند با دیگر ماشین‌هایی که در این دسته و ماشین‌های موجود در VLAN خصوصی Promiscuous قرار دارند ارتباط داشته باشد. اما ماشین‌های مجازی موجود در VLAN خصوصی Isolated قادر به برقراری ارتباط با دیگر ماشین‌های مجازی از نوع Isolated یا Community نمی‌باشند و تنها می‌توانند با ماشین‌های مجازی موجود در VLAN خصوصی Promiscuous ارتباط برقرار کنند.

برای تعریف شناسه VLAN خصوصی (PVLAN) بر روی عنوان [Enter a private VLAN ID here] کلیک کنید. مقدار این شناسه بایستی به صورت عدد وارد شود. پس از وارد نمودن شناسه بایستی نوع VLAN خصوصی را با استفاده از جعبه کرکره‌ای موجود در مقابل قسمت PVLAN ID انتخاب کنید.

پس از تعریف VLANهای خصوصی بر روی سوئیچ توزیع شده بایستی در بخش پورت گروهی توزیع شده (dvPortGroup) VLAN خصوصی مورد نظر را انتخاب کنید. به یاد داشته باشید یک پورت گروهی که در اینجا یک پورت گروهی توزیع شده است مکانی است که ماشین‌های مجازی به یک سوئیچ توزیع شده متصل می‌شوند.

با کلیک راست بر روی سوئیچ توزیع شده مجازی و انتخاب گزینه New Port Group می‌توانید یک پورت گروهی از نوع توزیع شده بر روی سوئیچ توزیع شده مجازی ایجاد کنید.