Czy „domyślna sieć VLAN” jest po prostu domyślną macierzystą (nieoznaczoną) siecią VLAN na wszystkich interfejsach, które nie mają konfiguracji?


15

... czy „domyślna sieć VLAN” ma szersze znaczenie?

Czy można / należy to zmienić? Na przykład, jeśli przełącznik wchodzi w część sieci, która jest tylko jedną VLAN, a nie VLAN 1, czy możliwe jest ustawienie „domyślnej” / natywnej sieci VLAN na wszystkich portach jako konkretną sieć VLAN za pomocą jednego globalnego polecenia, czy też preferowana metoda, aby wszystkie porty miały dostęp do portów i ustawić VLAN dostępu na 10 na każdym z nich?

Odpowiedzi:


27

Jest to często mylony punkt dla osób początkujących w sieci, w szczególności dla osób wchodzących na ścieżkę Cisco, ze względu na nadmierny nacisk Cisco na ten punkt. To mniej więcej terminologia. Pozwól mi wyjaśnić.

Standard 802.1q definiuje metodę oznaczania ruchu między dwoma przełącznikami w celu rozróżnienia, który ruch należy do których sieci VLAN. W kategoriach Cisco dzieje się tak na porcie „ trunk ”. Widziałem, jak inni dostawcy określają to jako „otagowany” port. W tym kontekście oznacza to to samo: dodanie identyfikatora do ramek w celu wskazania, do jakiej sieci VLAN należy ramka. Pomijając terminologię, najważniejsze jest, aby pamiętać, że znacznik VLAN jest konieczny, ponieważ często ruch przechodzący przez dwa przełączniki należy do wielu sieci VLAN i musi istnieć sposób na określenie, które jedynki i zera należą do której sieci VLAN.

Ale co się stanie, jeśli port trunkingowy, który oczekuje na ruch zawierający tag VLAN, odbiera ruch bez tagu? W poprzedniku 802.1q, znanym jako ISL (zastrzeżony, ale archaiczny cisco, nikt już go nie obsługuje, nawet Cisco), nieoznakowany ruch na pniu zostałby po prostu odrzucony.

802.1q zapewniło jednak sposób nie tylko odbierania tego ruchu, ale także kojarzenia go z wybraną siecią VLAN. Ta metoda jest znana jako ustawienie Natywnej sieci VLAN . W efekcie konfigurujesz port trunk z Natywną VLAN, a wszelki ruch przychodzący do tego portu bez istniejącego znacznika VLAN zostaje powiązany z Twoją Natywną VLAN.

Podobnie jak w przypadku wszystkich elementów konfiguracji, jeśli czegoś nie skonfigurujesz jawnie, zwykle istnieje jakieś domyślne zachowanie. W przypadku Cisco (i większości dostawców) domyślną natywną siecią VLAN jest VLAN 1. Oznacza to, że jeśli nie ustawisz wyraźnie natywnej sieci VLAN, wszelki nieoznaczony ruch odbierany przez port magistralny jest automatycznie umieszczany w sieci VLAN 1.

Port trunk jest „przeciwny” (w pewnym sensie) od tak zwanego portu dostępu . Port dostępu wysyła i oczekuje na ruch bez tagu VLAN. Może to działać w ten sposób, że port dostępowy również zawsze wysyła i oczekuje na ruch należący do jednej sieci VLAN . Port dostępu jest statycznie skonfigurowany dla konkretnej sieci VLAN, a wszelki ruch odbierany na tym porcie jest wewnętrznie powiązany z samym przełącznikiem jako należący do określonej sieci VLAN (pomimo braku tagowania ruchu dla tej sieci VLAN, gdy opuszcza port przełącznika).

Teraz, aby dodać do mylącego miksu. Książki Cisco często będą odnosić się do „domyślnej sieci VLAN”. Domyślnie VLAN jest po prostu VLAN którym wszystkie porty dostępowe są przypisane, dopóki nie zostaną wyraźnie umieszczone w innej sieci VLAN. W przypadku przełączników Cisco (i większości innych dostawców) domyślną siecią VLAN jest zazwyczaj sieć VLAN 1. Zazwyczaj ta sieć VLAN ma zastosowanie tylko do portu dostępu, który jest portem, który wysyła i oczekuje na ruch bez znacznika VLAN (również określane przez innych dostawców jako „nieoznaczony port”).

Podsumowując:

  • Native VLAN można zmienić . Możesz ustawić to, co chcesz.
  • Sieć VLAN portu dostępu może się zmienić . Możesz ustawić to, co chcesz.
  • Domyślnie Native VLAN jest zawsze 1, nie może to być zmiana, ponieważ jego zestaw ten sposób przez Cisco
  • Domyślnie VLAN jest zawsze 1, nie może być zmieniony, ponieważ jest on ustawiony w ten sposób przez Cisco

edytuj: zapomniałeś innych pytań:

Czy można / należy to zmienić?

To w dużej mierze pytanie opinii. Zwykle zgadzam się z tą szkołą myślenia:

Wszystkie nieużywane porty powinny znajdować się w określonej sieci VLAN. Wszystkie aktywne porty powinny być jawnie ustawione na konkretną sieć VLAN. Twój przełącznik powinien następnie uniemożliwić ruchowi przechodzenie przez łącze zwrotne do reszty sieci, jeśli ruch należy do sieci VLAN1 lub sieci VLAN, której używasz dla nieużywanych portów. Wszystko inne powinno być dozwolone na łączu w górę.

Ale kryje się za tym wiele różnych teorii. Jak również różne wymagania, które uniemożliwiałyby takie ograniczenie polityki przełączania (skala, zasoby itp.).

Na przykład, jeśli przełącznik wchodzi w część sieci, która jest tylko jedną VLAN, a nie VLAN 1, czy możliwe jest ustawienie „domyślnej” / natywnej sieci VLAN na wszystkich portach jako konkretną sieć VLAN za pomocą jednego globalnego polecenia, czy też preferowana metoda, aby wszystkie porty miały dostęp do portów i ustawić VLAN dostępu na 10 na każdym z nich?

Nie można zmienić domyślnych konfiguracji Cisco. Możesz użyć „zakresu interfejsu”, aby za jednym razem umieścić wszystkie porty w innej sieci VLAN. Tak naprawdę nie trzeba zmieniać natywnej sieci VLAN na łączu uplink, o ile drugi przełącznik używa tej samej natywnej sieci VLAN. Jeśli naprawdę chcesz zrezygnować z dodawania tagu VLAN, możesz być kreatywny i wykonać następujące czynności (choć prawdopodobnie nie jest to zalecane).

Pozostaw wszystkie porty dostępu w sieci VLAN1. Pozostaw macierzystą sieć VLAN w ustawieniach domyślnych (VLAN1). Na przełączniku łącza zwrotnego ustaw port jako port magistrali. I ustaw Natywną sieć VLAN na VLAN, w której dolny przełącznik ma być częścią. Ponieważ dolny przełącznik wyśle ​​ruch do górnego przełącznika nieoznaczony, górny przełącznik odbierze go i powiąże z tym , co uważa za macierzystą sieć VLAN.


3
Świetna odpowiedź, @Eddie. Faceci, którzy konfigurowali nasze przełączniki Cisco, używali domyślnej sieci VLAN 1 dla naszej głównej sieci LAN danych i VLAN 2 dla naszego głosu. Tworzymy nową stronę, a obie będą połączone przez Ethernet. Nowa strona będzie korzystać z sieci VLAN 11 i 12. Czy istnieje jakiś sposób na zapobieganie przechodzeniu przez VLAN 1 po jednej stronie łącza do drugiej?
Matty Brown

1
W przeszłości widziałem „domyślną sieć VLAN” jako synonim „rodzimej sieci VLAN”. Ponadto za najlepszą praktykę uważa się, aby nie używać sieci VLAN 1 do ruchu na przełącznikach Cisco, a także nie próbować jej wyłączać. W przeciwnym razie doskonała odpowiedź.
Todd Wilcox

@ToddWilcox To sprawia, że ​​jest to tak mylące. Domyślne VLAN jest 1 domyślny Native VLAN .is także 1. Tak więc w sposób domyślny VLAN jest domyślnie domyślny Native VLAN. Ale tak naprawdę to nie to samo.
Eddie

1

Natywna sieć VLAN dotyczy tylko 802.1q, tak, domyślnie nie jest oznaczona, ale w razie potrzeby można ją oznaczyć. Porty zostaną przypisane do natywnej sieci VLAN, jeśli nie ma innej konfiguracji.

Można zachować go jako VLAN 1, ale można go zmienić, wystarczy pamiętać, aby zamknąć nieużywane porty. Co mam przez to na myśli, jeśli podłączyłem laptopa zła hakera do działającego portu, który został pozostawiony jako VLAN 1, mógłbym potencjalnie być w stanie rozciągać się na całą sieć, podczas gdy ty mógłbyś zmienić natywną VLAN na VLAN 10, a następnie nie przypisz VLAN 10 do dowolnych portów.

ISL nie ma pojęcia natywnej sieci VLAN.


0

Oto rozwiązanie

User Name:cisco
Password:*********


sw-ext#conf t
sw-ext(config)#vlan database
sw-ext(config-vlan)#default-vlan vlan 10
New Default VLAN ID will be active after save configuration and reboot device.
sw-ext(config-vlan)#exit
sw-ext(config)#do show vlan
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN

Vlan       Name           Tagged Ports      UnTagged Ports      Created by
---- ----------------- ------------------ ------------------ ----------------
 1           1                                                      V
 10         10                               gi1-20,Po1-8           D
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.