Является ли «виртуальная локальная сеть» VLAN просто встроенной (немаркированной) VLAN по умолчанию на всех интерфейсах, которые не имеют конфигурации?

... или имеет ли «стандартная VLAN» более широкое значение?

Кроме того, может ли он /должен быть изменен? Например, если коммутатор входит в состав сети, которая является только одной VLAN, и это не VLAN 1, возможно ли сделать «стандартную» /собственную VLAN на всех портах определенной VLAN с помощью одной глобальной команды или предпочтительный способ сделать все порты доступа к портам и установить для VLAN доступа 10 на каждом из них?

11 голосов | спросил Matty Brown 22 J0000006Europe/Moscow 2015, 00:10:04

2 ответа


17

Это часто путают точки для людей, новых для Networking, в частности для людей, идущих по пути Cisco, из-за чрезмерного внимания Cisco к этому вопросу. Это более или менее просто терминология. Позвольте мне объяснить.

Стандарт 802.1q определяет метод маркировки трафика между два переключателя для определения того, какой трафик принадлежит VLAN. В терминах Cisco это происходит на « соединительной линии ". Я видел, что другие производители ссылаются на это как на «помеченный» порт. В этом контексте это означает то же самое: добавление идентификатора в кадры для указания того, к какой VLAN принадлежит фрейм. Терминология в сторону, главное думать, что нужно иметь в виду тег VLAN, потому что часто трафик, проходящий по двум коммутаторам, относится к нескольким VLAN, и должен быть способ определить, какие 1 и 0 принадлежат той VLAN.

Но что произойдет, если порт соединительной линии, ожидающий получать трафик, который включает тег VLAN, получает трафик без тега? В предшественнике 802.1q, известном как ISL (проприетарный, но архаичный cisco, никто больше его не поддерживает, даже не Cisco), непомеченный трафик на багажнике просто будет удален.

802.1q, однако, предоставил возможность не только получить этот трафик, но и связать его с VLAN по вашему выбору. Этот метод известен как установка Собственной VLAN . Фактически, вы настраиваете свой соединительный порт с помощью собственной VLAN, и любой трафик, поступающий на этот порт без существующего тега VLAN, привязывается к вашей собственной VLAN.

Как и во всех элементах конфигурации, если вы явно не настроили что-то, обычно существует какое-то поведение по умолчанию. В случае с Cisco (и большинством вендоров) VLAN по умолчанию Native - это VLAN 1. Что означает, что если вы не устанавливаете собственную VLAN явно, любой немаркированный трафик, полученный на порту внешней линии, автоматически помещается в VLAN 1.

Порт соединительной линии является «противоположным» (вроде) из так называемого Порт доступа . Порт доступа отправляет и ожидает получения трафика без тега VLAN. Способ, которым это может работать, заключается в том, что порт доступа также только отправляет и ожидает получения трафика , принадлежащего одной VLAN . Порт доступа статически сконфигурирован для конкретной VLAN, и любой трафик, полученный на этом порту, внутренне связан с самим коммутатором как принадлежащий к определенной VLAN (несмотря на то, что не трассирует трафик для этой VLAN, когда он покидает порт коммутатора).

Теперь добавьте к запутанному миксу. В книгах Cisco часто упоминается «VLAN по умолчанию». VLAN по умолчанию - это просто VLAN, которой назначены все порты доступа, пока они явно не будут помещены в другую VLAN. В случае коммутаторов Cisco (и большинства других поставщиков) VLAN по умолчанию обычно является VLAN 1. Обычно эта VLAN имеет значение только для порта доступа, который является портом, который отправляет и ожидает получать трафик без тега VLAN (также ссылается на «немаркированный порт» других поставщиков).

Итак, суммируем:

  • Изменить Собственная VLAN . Вы можете настроить его на все, что вам нравится.
  • Доступ к VLAN может измениться . Вы можете настроить его на все, что вам нравится.
  • Основная VLAN VLAN всегда 1, это не может быть изменено,потому что он установлен таким образом Cisco
  • VLAN по умолчанию всегда 1, это невозможно изменить, поскольку она установлена ​​таким образом Cisco

edit: забыли другие вопросы:

  

Кроме того, может ли он /должен быть изменен?

В основном это вопрос мнения. Я склонен согласиться с этой школой мысли:

Все неиспользуемые порты должны находиться в определенной VLAN. Все активные порты должны быть явно настроены на определенную VLAN. Затем ваш коммутатор запрещает трафику перемещаться по восходящей линии связи в остальную часть вашей сети, если трафик принадлежит VLAN1 или VLAN, которую вы используете для неиспользуемых портов. Все остальное должно быть разрешено по восходящей линии.

Но за этим стоит много разных теорий. Также, как и другие требования, которые не позволяли бы иметь такую ​​ограниченную политику переключения (масштаб, ресурсы и т. Д.).

  

Например, если коммутатор входит в часть сети, которая только   одна VLAN и это не VLAN 1, возможно ли сделать «по умолчанию» /   встроенная VLAN на всех портах, определенная VLAN, используя одну глобальную команду,   или является предпочтительным способом сделать все порты доступа к портам и установить   доступ к VLAN до 10 на каждом из них?

Вы не можете изменить конфигурации Cisco по умолчанию. Вы можете использовать «диапазон интерфейса», чтобы поместить все порты в другую VLAN за один раз. Вам не нужно менять собственную VLAN в соединительной линии восходящей линии связи, если другой коммутатор использует ту же собственную VLAN. Если вы действительно хотите избавить коммутатор от добавления тега VLAN, вы можете стать творческим и сделать следующее (хотя, вероятно, не рекомендуется).

Оставьте все порты доступа в VLAN1. Оставьте Native VLAN по умолчанию (VLAN1). В коммутаторе восходящей линии установите порт как порт соединительной линии. И установите свою собственную VLAN в VLAN, в которую вы хотите включить нижний переключатель. Поскольку нижний коммутатор отправит трафик на верхний переключатель без тегов, верхний коммутатор получит его и свяжет его с тем, что он считает собственной VLAN.

ответил Eddie 22 J0000006Europe/Moscow 2015, 05:54:41
1

Собственная VLAN применима только к 802.1q, да по умолчанию она не помечена, но при необходимости может быть помечена. Порты будут назначены на родную VLAN, если нет другой конфигурации.

Это нормально, чтобы сохранить его как VLAN 1, но его можно изменить, вам просто нужно запомнить, чтобы отключить неиспользуемые порты. Что я подразумеваю под этим, если бы я подключил свой злой хакерский ноутбук к рабочему порту, который остался как VLAN 1, я мог бы потенциально охватить всю вашу сеть, тогда как вы могли бы изменить собственную VLAN на VLAN 10, а затем не назначьте VLAN 10 на любые порты.

ISL не имеет понятия собственной VLAN.

ответил psniffer 22 J0000006Europe/Moscow 2015, 02:47:38

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132