Switch에 많은 고객들이 연결되었다고 가정해보자. 각 포트 당 VLAN을 할당 하거나 모든 고객에게 동일한 VLAN을 할당해야될 것이다.

하지만 두 가지 모두 문제가 발생한다.
각 포트당 VLAN을 부여하면, VLAN 부족 현상이 발생할 수 있으며, 각 VLAN마다 별도의 IP를 할당해야되기 때문에 IP 낭비가 심각해질 수 있다.
그렇다고 모든 고객에게 동일한 VLAN을 부여해도 트래픽 차단을 할 수 없어 대역폭이 낭비될 수 있고, 보안에도 취약해진다.

이런 문제를 해결해주는 것이 사설 VLAN이다.

사설 VLAN 포트의 종류

• Promiscuous Port (프로미스큐어스 포트)
  Isolated Port 와 Community Port에 접속된 장비들과 외부의 연결을 위한 포트이다. 여기에 할당되는 VLAN이 Primary VLAN이 된다.
• Isolated Port (독립 포트)
  동일한 VLAN에 소속되지만 독립 포트끼리 서로 통신할 수 없다.
  동일한 GW, 동일한 Subnet을 사용한다. 외부와 통신할 수 있다.
  사설 VLAN 하나에 무조건 하나의 Isolated VLAN만 가질 수 있으며, 하나의 Isolated VLAN에는 여러 물리 포트를 할당할 수 있다.
• Community Port (커뮤니티 포트)
  동일 VLAN에 소속된 커뮤니티 포트 간 통신할 수 있다.
  독립 포트와 달리 사설 VLAN 하나에 여러 Community VLAN을 가질 수 있다. 다른 VLAN의 Communtiy VLAN과 통신할 수 없다.

그럼, Isolated 포트와 Community 포트는 서로 통신 할 수 있을까?
L3 라우팅을 하면 통신할 수 있다고 한다.
(참고: Juniper – Private VLANs)

사설 VLAN의 특징

• 사설 VLAN Port들은 Access Port 이다.
• Trunk Port는 일반/사설 VLAN 트래픽 모두 전송한다.
• 사설 VLAN의 Primary VLAN(Promiscuous VLAN)은 오직 하나이다. 물론, 포트는 여러개 할당할 수 있고, 사설 VLAN 내 모든 포트는 Primary VLAN의 멤버이다.
• L3 게이트웨이는 Promiscuous Port를 통해 연결한다.
• Primary VLAN SVI에 IP를 부여하면, 전체 사설 VLAN의 Subnet이 된다.

사설 VLAN 설정 시 주의사항

• 사설 VLAN은 VTP Transparent Mode에서만 가능하다. 사설 VLAN을 설정한 후에는 VTP Mode를 변경할 수 없다.
• 사설 VLAN에 대한 정보는 vlan.dat가 아닌 running-config에 저장된다.
• 전체 사설 VLAN에서 하나의 STP만 동작한다.
• Ether-channel Port를 사설 VLAN Port로 설정하면 Ether-channel이 비활성화된다.