Чи "VLAN за замовчуванням" просто стандартна (без тегів) VLAN у всіх інтерфейсах, що не мають конфігурації?

15

... чи має "VLAN за замовчуванням" якесь більш широке значення?

Також, чи можна це / слід змінити? Наприклад, якщо комутатор переходить у частину мережі, яка є лише однією VLAN, і це не VLAN 1, чи можливо зробити "стандартну" / рідну VLAN на всіх портах певної VLAN за допомогою однієї глобальної команди, або це кращий спосіб зробити всі порти доступу до портів і встановити VLAN доступу 10 на кожному з них?

cisco  vlan 
Матті Браун
джерело

Відповіді:

27

Це часто заплутаний момент для людей, які не знайомі з Мережею, зокрема для людей, які виходять на трек Cisco, через сильний акцент Cisco на цьому питанні. Це більш-менш просто термінологічна річ. Дозволь пояснити.

Стандарт 802.1q визначає метод розмітки трафіку між двома комутаторами, щоб визначити, який трафік належить до яких VLAN. З точки зору Cisco, це те, що відбувається на порту " багажник ". Я бачив, як інші постачальники посилаються на це як на "позначений" порт. У цьому контексті це означає те саме: додавання ідентифікатора до кадрів, щоб вказати, до якої VLAN належить кадр. Термінологія, окрім цього, головне, що потрібно пам’ятати, - тег VLAN необхідний, оскільки часто трафік, який проходить два комутатори, належить до декількох VLAN, і повинен бути спосіб визначити, які 1 та 0 належать до якої VLAN.

Але що станеться, якщо порт магістралі, який очікує отримання трафіку, що включає тег VLAN, отримує трафік без тегів? У попереднику 802.1q, відомому як ISL (фірмовий cisco, але архаїчний, його ніхто більше не підтримує, навіть Cisco), безтегічний трафік на магістралі просто буде скинутий.

802.1q, однак, передбачав спосіб не тільки отримувати цей трафік, але і асоціювати його з VLAN на ваш вибір. Цей метод відомий як встановлення Native VLAN . Ефективно, ви налаштовуєте свій порт магістралі за допомогою Native VLAN, і який би трафік не надходив на цей порт без наявного тегу VLAN, він асоціюється з вашою Native VLAN.

Як і у всіх елементах конфігурації, якщо ви явно щось не налаштовуєте, зазвичай існує певна поведінка за замовчуванням. У разі Cisco (і більшість виробників), то по замовчуванням Native VLAN є VLAN 1. Що сказати, якщо ви не встановили Native VLAN в явному вигляді, будь немаркований трафік , отриманий на магістральний порт автоматично поміщається в VLAN 1.

Порт магістралі є "протилежним" (подібним) до того, що відомо як " Порт доступу" . Порт доступу надсилає та очікує отримання трафіку без тегів VLAN. Як це може працювати, це те, що порт доступу також лише коли-небудь надсилає та очікує отримання трафіку, що належить одній VLAN . Порт доступу є статично налаштованим для певної VLAN, і будь-який трафік, отриманий на цьому порту, внутрішньо пов'язаний на самому комутаторі як належність до певної VLAN (незважаючи на те, що трафік для цієї VLAN не маркується, коли він залишає порт комутатора).

Тепер додати до заплутаної суміші. Книги Cisco часто посилаються на "VLAN за замовчуванням". За замовчуванням VLAN це просто VLAN , які все порти доступу призначені , поки вони не будуть явно поміщені в інший VLAN. Що стосується комутаторів Cisco (та більшості інших постачальників), VLAN за замовчуванням зазвичай VLAN 1. Як правило, ця VLAN актуальна лише на порту доступу, який є портом, який надсилає та очікує отримання трафіку без тегів VLAN (також інших постачальників).

Отже, підсумовуючи:

  • Native VLAN може змінитися . Ви можете встановити його на все, що завгодно.
  • Access Port VLAN може змінитися . Ви можете встановити його на все, що завгодно.
  • За замовчуванням Native VLAN завжди 1, це не може бути змінений, так як його встановити , що спосіб , з допомогою Cisco
  • За замовчуванням VLAN завжди 1, це не може бути змінений, так як встановлено , що шлях від Cisco

редагувати: забули ваші інші питання:

Також, чи можна це / слід змінити?

Це багато в чому питання думки. Я схильний погоджуватися з цією школою думки:

Усі невикористані порти повинні знаходитися у певній VLAN. Усі активні порти повинні бути явно налаштовані на певну VLAN. Потім ваш комутатор повинен запобігати проходженню трафіку висхідної лінії до іншої мережі, якщо трафік належить на VLAN1 або VLAN, який ви використовуєте для невикористаних портів. Все інше повинно бути дозволено вгору по висхідній лінії зв'язку.

Але за цим стоїть багато різних теорій. А також різні вимоги, які заважали б мати таку політику обмеженого переключення (масштаб, ресурси тощо).

Наприклад, якщо комутатор переходить у частину мережі, яка є лише однією VLAN, і це не VLAN 1, чи можливо зробити "стандартну" / рідну VLAN на всіх портах певної VLAN за допомогою однієї глобальної команди, або це кращий спосіб зробити всі порти доступу до портів і встановити VLAN доступу 10 на кожному з них?

Ви не можете змінити конфігурації Cisco за замовчуванням. Ви можете використовувати "діапазон інтерфейсів", щоб розмістити всі порти в іншій VLAN за один раз. Вам дійсно не потрібно змінювати Native VLAN на магістралі висхідної лінії, доки інший комутатор використовує ту ж Native VLAN. Якщо ви дійсно хочете пощадити комутатор від додавання тегу VLAN, ви можете проявити творчість і зробити наступне (хоча, мабуть, це не рекомендується).

Залиште всі порти доступу у VLAN1. Залиште Native VLAN за замовчуванням (VLAN1). На комутаторі висхідної лінії зв'язку встановіть порт як порт магістралі. І встановіть свою Native VLAN на VLAN, до якого ви хочете, щоб нижній комутатор був частиною. Оскільки нижній комутатор буде надсилати трафік до верхнього вимикача без тегів, верхній перемикач отримає його та асоціює його з тим, що вважає Native VLAN.

Едді
джерело
3
Чудова відповідь, @Eddie. Хлопці, які встановлювали наші комутатори Cisco, використовували стандартну мережу VLAN 1 за нашою основною локальною мережею даних та VLAN 2 для нашого голосу. Ми створюємо новий сайт, і два будуть пов’язані через Ethernet. Новий сайт використовуватиме VLAN 11 та 12. Чи є спосіб запобігти переходу VLAN 1 з одного боку посилання на інший?
Матті Браун
1
У минулому я бачив "VLAN за замовчуванням", який використовувався як синонім "рідної VLAN" у минулому. Також найкращою практикою вважається не використовувати VLAN 1 для трафіку на комутаторах Cisco, а також не намагатися відключити його. Інакше відмінна відповідь.
Тодд Вілкокс
@ToddWilcox Саме це робить його таким заплутаним. За замовчуванням VLAN 1 по замовчуванням Native VLAN .а також 1. Отже , в путь, за замовчуванням VLAN, за замовчуванням, за замовчуванням Native VLAN. Але вони насправді не те саме.
Едді
1

Нативна VLAN стосується лише 802.1q, так, вона за замовчуванням не позначена, але при необхідності може бути позначена тегами. Порти будуть призначені нативній VLAN, якщо немає інших конфігурацій.

Це нормально тримати його як VLAN 1, але його можна змінити, просто потрібно пам’ятати, щоб закрити невикористані порти. Що я маю на увазі під цим, якщо я підключив свій злий хакерський ноутбук у робочий порт, який залишився як VLAN 1, я потенційно міг би перейти на всю вашу мережу, тоді як ви можете змінити нативну VLAN на VLAN 10, а потім не призначити VLAN 10 будь-яким портам.

ISL не має поняття рідної VLAN.

psniffer
джерело
0

Тут рішення

User Name:cisco
Password:*********


sw-ext#conf t
sw-ext(config)#vlan database
sw-ext(config-vlan)#default-vlan vlan 10
New Default VLAN ID will be active after save configuration and reboot device.
sw-ext(config-vlan)#exit
sw-ext(config)#do show vlan
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN

Vlan       Name           Tagged Ports      UnTagged Ports      Created by
---- ----------------- ------------------ ------------------ ----------------
 1           1                                                      V
 10         10                               gi1-20,Po1-8           D
волга629
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.