Является ли «VLAN по умолчанию» просто собственной (без тега) VLAN по умолчанию на всех интерфейсах, которые не имеют конфигурации?

14

... или "VLAN по умолчанию" имеет более широкое значение?

Кроме того, это может / должно быть изменено? Например, если коммутатор входит в часть сети, которая состоит только из одной VLAN и не является VLAN 1, возможно ли сделать «стандартную» / собственную VLAN на всех портах конкретной VLAN с помощью одной глобальной команды или предпочтительный способ сделать все порты доступа к портам и установить VLAN доступа на 10 на каждом из них?

Мэтти Браун
источник

Ответы:

26

Это часто запутанный вопрос для людей, плохо знакомых с Сетью, в особенности для людей, идущих на путь Cisco, из-за чрезмерного акцента Cisco на этом пункте. Это более или менее просто терминологическая вещь. Позволь мне объяснить.

Стандарт 802.1q определяет метод маркировки трафика между двумя коммутаторами, чтобы различать, какой трафик принадлежит каким VLAN. С точки зрения Cisco, это то, что происходит на « магистральном » порту. Я видел, что другие поставщики называют этот порт «теговым». В этом контексте это означает то же самое: добавление идентификатора к кадрам, чтобы указать, к какой VLAN принадлежит кадр. Помимо терминологии, главное, что нужно иметь в виду, является наличие тега VLAN, поскольку часто трафик, проходящий через два коммутатора, принадлежит нескольким VLAN, и должен быть способ определить, какие 1 и 0 принадлежат какой VLAN.

Но что произойдет, если магистральный порт, который ожидает получать трафик, включающий тег VLAN, получает трафик без тега? В предшественнике 802.1q, известном как ISL (проприетарный cisco, но архаичный, никто его больше не поддерживает, даже Cisco), немаркированный трафик в магистрали будет просто отброшен.

802.1q, однако, предоставил способ не только получать этот трафик, но и связывать его с VLAN по вашему выбору. Этот метод известен как настройка собственной VLAN . Фактически вы настраиваете свой магистральный порт с собственной VLAN, и любой трафик, поступающий на этот порт без существующего тега VLAN, связывается с вашей собственной VLAN.

Как и во всех элементах конфигурации, если вы явно не настраиваете что-то, обычно существует какое-то поведение по умолчанию. В случае Cisco (и большинства поставщиков) Собственной VLAN по умолчанию является VLAN 1. То есть, если вы не устанавливаете Собственную VLAN явно, любой немаркированный трафик, полученный на магистральном порту, автоматически помещается в VLAN 1.

Магистральный порт является «противоположным» (своего рода) от того, что известно как Порт доступа . Порт доступа отправляет и ожидает получения трафика без тега VLAN. Способ, которым это может работать, состоит в том, что порт доступа также только когда-либо отправляет и ожидает получить трафик, принадлежащий одной VLAN . Порт доступа статически настроен для конкретной VLAN, и любой трафик, полученный на этом порту, внутренне связан на самом коммутаторе как принадлежащий определенной VLAN (несмотря на то, что он не помечает трафик для этой VLAN, когда он покидает порт коммутатора).

Теперь, чтобы добавить в запутанную смесь. В книгах Cisco часто упоминается «VLAN по умолчанию». По умолчанию VLAN это просто VLAN , которые все порты доступа назначены , пока они не будут явно помещены в другой VLAN. В случае коммутаторов Cisco (и большинства других поставщиков) VLAN по умолчанию обычно представляет собой VLAN 1. Обычно эта VLAN относится только к порту доступа, который является портом, который отправляет и ожидает получать трафик без тега VLAN (также упоминается как «порт без тегов» других поставщиков).

Итак, подведем итог:

  • Native VLAN может измениться . Вы можете установить его на что угодно.
  • Access Port VLAN может измениться . Вы можете установить его на что угодно.
  • По умолчанию Native VLAN всегда 1, это не может быть изменен, так как его установить , что способ , с помощью Cisco
  • По умолчанию VLAN всегда 1, это не может быть изменен, так как установлено , что путь от Cisco

редактировать: забыл ваши другие вопросы:

Кроме того, это может / должно быть изменено?

Это во многом вопрос мнения. Я склонен согласиться с этой школой мысли:

Все неиспользуемые порты должны быть в определенной VLAN. Все активные порты должны быть явно настроены на конкретную VLAN. Затем ваш коммутатор должен предотвращать прохождение трафика по восходящей линии связи в остальную часть вашей сети, если трафик принадлежит VLAN1 или той VLAN, которую вы используете для неиспользуемых портов. Все остальное должно быть разрешено до восходящей линии связи.

Но есть много разных теорий за этим. А также различные требования, которые могут помешать такой ограниченной политике переключения (масштаб, ресурсы и т. Д.).

Например, если коммутатор входит в часть сети, которая состоит только из одной VLAN и не является VLAN 1, возможно ли сделать «стандартную» / собственную VLAN на всех портах конкретной VLAN с помощью одной глобальной команды или предпочтительный способ сделать все порты доступа к портам и установить VLAN доступа на 10 на каждом из них?

Вы не можете изменить конфигурации Cisco по умолчанию. Вы можете использовать «диапазон интерфейса», чтобы все порты в другой VLAN были размещены за один раз. На самом деле вам не нужно менять Native VLAN на магистрали восходящей линии связи, если другой коммутатор использует ту же Native VLAN. Если вы действительно хотите избавить коммутатор от добавления тега VLAN, вы можете проявить изобретательность и сделать следующее (хотя, вероятно, это не рекомендуется).

Оставьте все порты доступа в VLAN1. Оставьте собственную VLAN по умолчанию (VLAN1). На коммутаторе восходящей линии установите порт в качестве магистрального порта. И установите его Native VLAN на VLAN, частью которой должен быть нижний коммутатор. Поскольку нижний коммутатор будет отправлять трафик на верхний коммутатор без тегов, верхний коммутатор получит его и свяжет с тем, что он считает Native VLAN.

Эдди
источник
3
Отличный ответ, @ Эдди. Ребята, которые настраивали наши коммутаторы Cisco, использовали VLAN 1 по умолчанию для нашей основной сети передачи данных и VLAN 2 для нашего голоса. Мы создаем новый сайт, и оба будут связаны через Ethernet. Новый сайт будет использовать VLAN 11 и 12. Есть ли какой-нибудь способ предотвратить переход VLAN 1 с одной стороны канала на другую?
Мэтти Браун
1
Я видел «VLAN по умолчанию», использовавшуюся как синоним «родной VLAN» в прошлом. Кроме того, рекомендуется не использовать VLAN 1 для трафика на коммутаторах Cisco, а также не пытаться отключить его. В противном случае отличный ответ.
Тодд Уилкокс
@ToddWilcox Вот что так запутывает. По умолчанию VLAN 1 по умолчанию Native VLAN .а также 1. Итак , в путь, по умолчанию VLAN, по умолчанию, по умолчанию Native VLAN. Но они на самом деле не одно и то же.
Эдди
1

Собственная VLAN относится только к 802.1q, да, по умолчанию она не имеет тегов, но при необходимости может быть помечена. Порты будут назначены собственной VLAN, если нет других настроек.

Можно сохранить его как VLAN 1, но его можно изменить, просто не забудьте отключить неиспользуемые порты. Что я подразумеваю под этим, если я подключу свой злой хакерский ноутбук к рабочему порту, который оставлен как VLAN 1, я потенциально смог бы охватить всю вашу сеть, тогда как вы могли бы изменить собственный VLAN на VLAN 10, а затем не назначьте VLAN 10 на любые порты.

ISL не имеет понятия собственной VLAN.

psniffer
источник
0

Здесь решение

User Name:cisco
Password:*********


sw-ext#conf t
sw-ext(config)#vlan database
sw-ext(config-vlan)#default-vlan vlan 10
New Default VLAN ID will be active after save configuration and reboot device.
sw-ext(config-vlan)#exit
sw-ext(config)#do show vlan
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN

Vlan       Name           Tagged Ports      UnTagged Ports      Created by
---- ----------------- ------------------ ------------------ ----------------
 1           1                                                      V
 10         10                               gi1-20,Po1-8           D
volga629
источник