## Solusi VLAN Terblokir di Jaringan: Panduan Santai Buat Gen Z Admin
Kalau tiba-tiba user di satu lantai nggak bisa internet atau server antar-segmen nggak saling “nyapa”, sering banget penyebabnya adalah VLAN yang “ke-blokir”. Tenang, bukan berarti jaringannya rusak total. Biasanya ini cuma masalah konfigurasi yang nyangkut di trunk, STP yang ngambek, atau VLAN yang belum “dikenal” di salah satu switch. Di artikel ini, kita bahas cara cek cepat, penyebab umum, sampai langkah fix yang praktis dan bisa langsung kamu coba.
### Kenapa VLAN Bisa Ke-Blok?
Beberapa biang kerok yang paling sering:
– VLAN belum dibuat di switch tertentu (ghost VLAN).
– Trunk antar-switch nggak nge-allow VLAN tersebut.
– Native VLAN mismatch (beda native di dua sisi link).
– STP (Spanning Tree) nge-block port karena loop.
– VTP domain/version beda atau pruning yang terlalu agresif.
– Access port salah VLAN atau salah mode (access vs trunk).
– EtherChannel (LAG) nggak konsisten konfigurasi di kedua sisi.
– ACL/Firewall atau private VLAN nge-blok broadcast/ARP atau inter-VLAN.
– Interface err-disabled karena BPDU Guard, UDLD, atau storm-control.
– Di host virtualisasi (VMware/Hyper-V), tagging/untagging VLAN salah set.
### Gejalanya Kayak Apa?
– Satu VLAN doang yang “mati”, VLAN lain aman.
– Broadcast/ARP nggak tembus, IP konflik atau “Resolving host…” terus.
– Ping gateway VLAN time-out, tapi ping device lain di VLAN yang sama bisa/balik lagi.
– Port trunk up tapi VLAN itu nggak kelihatan di daftar allowed.
– MAC address nggak muncul di tabel switch untuk VLAN tersebut.
## Checklist 5 Menit (Quick Win)
Sebelum deep dive, cobain ini:
1. Cek apakah VLAN tersebut memang ada di semua switch jalur trafiknya.
2. Lihat trunk antar-switch: sudah mode trunk dan allow VLAN yang benar?
3. Samakan native VLAN di dua sisi link trunk.
4. Cek STP: port-nya forwarding atau keblok?
5. Lihat apakah interface masuk err-disabled (BPDU Guard, loop, dll).
6. Periksa ACL/Firewall/Private VLAN yang mungkin ngeblok layer 2/3.
7. Di server/VM host, pastikan NIC/vSwitch tagging VLAN-nya bener.
## Langkah-Langkah Troubleshooting
### 1) Validasi VLAN Eksis di Semua Titik
– Pastikan VLAN sudah di-create di setiap switch yang dilewati trafik.
– Di beberapa vendor, VLAN tidak “auto-propagate” kecuali pakai VTP/EVPN. Jika tidak, buat manual di seluruh path.
Tip: Kalau pakai VTP, cek domain, mode, dan revisi. Jangan sampai switch baru dengan revision counter besar “menghapus” database VLAN.
### 2) Audit Trunk dan Daftar Allowed
– Pastikan port antar-switch benar-benar trunk, bukan access.
– Cek daftar VLAN yang di-allow. Banyak kejadian VLAN baru belum ditambah ke allow list, jadi drop di tengah jalan.
Catatan: Sesuaikan juga di link EtherChannel. Allowed list harus konsisten di semua member port.
### 3) Native VLAN Mismatch
– Kalau native VLAN beda, paket untagged bisa kebaca di VLAN yang salah atau dianggap tidak valid.
– Solusinya simpel: samakan native VLAN di kedua sisi trunk, atau gunakan VLAN khusus sebagai native yang disepakati.
### 4) Spanning Tree (STP) Nge-Block
– Lihat status STP per VLAN. Bisa jadi port lagi blocking atau alternate.
– Cek juga ada nggak perubahan topologi atau flapping link.
– Kalau ini link ke endpoint (bukan switch), aktifkan PortFast sesuai best practice. Hati-hati di trunk: gunakan trunk PortFast hanya untuk perangkat yang memang endpoint (seperti host virtualisasi), jangan antar-switch.
### 5) Err-Disabled dan Guard Features
– BPDU Guard bisa matiin port kalau dapat BPDU di PortFast.
– UDLD/Loop Guard bisa matiin kalau deteksi anomali.
– Solusinya: perbaiki akar masalah, lalu recovery port (manual atau tunggu auto-recovery jika aktif).
### 6) Cek Access Port dan Assignment VLAN
– Pastikan port user/server berada di VLAN yang bener.
– Untuk perangkat yang butuh tagging (misalnya trunk ke hypervisor), jangan set ke access.
### 7) Periksa Layer 3 (SVI/Router on a Stick)
– SVI (interface VLAN) up? Gateway reachable?
– Pastikan IP, mask, HSRP/VRRP, dan routing antarzona benar.
– Untuk inter-VLAN, pastikan ACL tidak memblokir arah tertentu.
### 8) Telusuri Path dan MAC/ARP
– Cek MAC address table per VLAN. Apakah MAC si host muncul dan di port yang wajar?
– ARP di gateway lengkap? Kalau ARP nggak ada, berarti broadcast/ARP mungkin keblok.
– Trace hop per hop: dari host ke switch access, ke distribution, sampai core.
### 9) Virtualisasi dan Akses ke Server
– Di VMware: pilih mode VLAN tagging yang sesuai (VST/EST/VGT). Jangan sampai double-tag atau untagged padahal butuh tagged.
– Di NIC bonding/teaming: konsisten mode LACP/Static di switch dan host.
### 10) Edge Case yang Suka Kelewat
– MTU jumbo di satu sisi tapi tidak di sisi lain (bisa bikin drop aneh).
– QinQ (802.1ad) vs tagging biasa (802.1Q).
– VLAN pruning dinamis (VTP pruning) memotong VLAN yang dianggap “nggak lewat” tapi ternyata perlu.
– Private VLAN mencegah komunikasi antar-host dalam VLAN yang sama.
## Contoh Perintah Cek Cepat (Vendor-agnostic, sesuaikan)
– Lihat VLAN: show vlan brief
– Lihat trunk: show interfaces trunk
– Allowed VLAN: show interfaces switchport
– STP status: show spanning-tree vlan X
– MAC table: show mac address-table vlan X
– Err-disable: show interfaces status err-disabled
– ACL: show access-lists / show running-config | include access-list
Di perangkat layer 3:
– SVI: show ip interface brief | include Vlan
– ARP: show ip arp vlan X
– Routing: show ip route | include X
## Studi Kasus Mini
– Kasus 1: VLAN 30 nggak bisa akses gateway.
– Cek: VLAN 30 belum dibuat di switch distribution. Hasil: traffic drop di trunk karena VLAN unknown.
– Fix: create VLAN 30 di distribution, tambah ke allowed list trunk, verify STP forwarding.
– Kasus 2: Native mismatch.
– Gejala: paket “aneh”, satu sisi baca VLAN 10, sisi lain treat untagged di VLAN 1.
– Fix: samakan native VLAN di kedua sisi, audit semua trunk jalur itu.
– Kasus 3: VM nggak bisa komunikasi antar-host satu VLAN.
– Ternyata vSwitch host A tagging VLAN, vSwitch host B untagged.
– Fix: samakan mode tagging di keduanya, cek port trunk ke host.
## Best Practice Biar Nggak Keulang
– Standarisasi native VLAN (misalnya VLAN 999) dan jangan dipakai untuk user.
– Dokumentasi allowed VLAN per trunk. Pakai template atau automation.
– Aktifkan BPDU Guard + PortFast di access port; tapi jangan asal di trunk antar-switch.
– Gunakan deskripsi port yang jelas: role, VLAN, device.
– Monitoring STP events dan err-disable dengan alerting.
– Review VTP/EVPN/automation agar perubahan VLAN terkontrol.
– Uji koneksi setiap kali ada VLAN baru: ping gateway, cek ARP, cek MAC table.
## FAQ Singkat
– Perlu reboot switch? Jarang. Biasanya cukup perbaiki config dan re-enable port kalau err-disabled.
– Bisa nggak VLAN “mati” di satu link doang? Bisa, kalau allowed list atau pruning beda di satu trunk.
– Kenapa ping IP beda VLAN gagal padahal VLAN hidup? Cek SVI, routing, dan ACL inter-VLAN.
## Penutup
VLAN terblokir itu klasik tapi solvable. Kuncinya: cek eksistensi VLAN, trunk/allowed list, native VLAN, STP, dan akses layer 3/ACL. Dengan checklist dan langkah di atas, kamu bisa cepat narrowing down root cause dan balikkin trafik tanpa panik. Simpan artikel ini jadi SOP mini, dan tiap selesai incident, update dokumentasi biar besok-besok tinggal gas, bukan tebak-tebakan lagi.
