A “VLAN padrão” é simplesmente a VLAN nativa (sem marcação) padrão em todas as interfaces que não possuem configuração?

14

... ou a "VLAN padrão" tem algum significado mais amplo?

Além disso, pode / deve ser alterado? Por exemplo, se um comutador estiver entrando em parte de uma rede que é apenas uma VLAN e não é a VLAN 1, é possível tornar a VLAN "padrão" / nativa em todas as portas uma VLAN específica usando um comando global ou é o método preferido para fazer com que todas as portas acessem portas e defina a VLAN de acesso como 10 em cada uma delas?

Matty Brown
fonte

Respostas:

26

Este é um ponto frequentemente confuso para pessoas novas na rede, em particular para as pessoas que estão no caminho da Cisco, devido à ênfase excessiva da Cisco nesse ponto. É mais ou menos apenas uma coisa terminológica. Deixe-me explicar.

O padrão 802.1q define um método de identificação de tráfego entre dois comutadores para distinguir qual tráfego pertence a quais VLANs. Nos termos da Cisco, é o que acontece em uma porta " tronco ". Vi outros fornecedores se referirem a isso como uma porta "marcada". Nesse contexto, significa o mesmo: adicionar um identificador aos quadros para indicar a que VLAN o quadro pertence. Terminologia à parte, o principal a se lembrar é que uma tag VLAN é necessária, porque geralmente o tráfego que atravessa dois switches pertence a várias VLANs e deve haver uma maneira de determinar quais 1 e 0 pertencem a qual VLAN.

Mas o que acontece se uma porta de tronco, que espera receber tráfego que inclui a tag VLAN, recebe tráfego sem tag? No antecessor do 802.1q, conhecido como ISL (proprietário da Cisco, mas arcaico, ninguém mais suporta, nem mesmo a Cisco), o tráfego não marcado em um tronco seria simplesmente descartado.

O 802.1q, no entanto, previa uma maneira de não apenas receber esse tráfego, mas também associá-lo a uma VLAN de sua escolha. Esse método é conhecido como configuração de uma VLAN nativa . Efetivamente, você configura sua porta de tronco com uma VLAN nativa e qualquer tráfego que chegue nessa porta sem uma tag VLAN existente é associado à sua VLAN nativa.

Como em todos os itens de configuração, se você não configurar algo explicitamente, geralmente existe algum tipo de comportamento padrão. No caso da Cisco (ea maioria dos fornecedores), o padrão Native VLAN é VLAN 1. O que quer dizer, se você não definir um nativo VLAN explicitamente, qualquer untagged tráfego recebido em uma porta de tronco é automaticamente colocado na VLAN 1.

A porta de tronco é o "oposto" (mais ou menos) do que é conhecido como Porta de Acesso . Uma porta de acesso envia e espera receber tráfego sem etiqueta de VLAN. A maneira como isso pode funcionar é que uma porta de acesso também apenas envia e espera receber tráfego pertencente a uma VLAN . A porta de acesso é configurada estaticamente para uma VLAN específica e qualquer tráfego recebido nessa porta é associado internamente no próprio Switch como pertencendo a uma VLAN específica (apesar de não marcar o tráfego dessa VLAN quando ela sai da porta do switch).

Agora, para adicionar à mistura confusa. Os livros da Cisco geralmente se referem à "VLAN padrão". A VLAN padrão é simplesmente a VLAN à qual todas as portas de acesso são atribuídas até serem explicitamente colocadas em outra VLAN. No caso dos comutadores Cisco (e da maioria dos outros fornecedores), a VLAN padrão geralmente é a VLAN 1. Normalmente, essa VLAN é relevante apenas em uma porta de acesso, que é uma porta que envia e espera receber tráfego sem uma etiqueta VLAN (também referido como 'porta não identificada' por outros fornecedores).

Então, para resumir:

  • A VLAN nativa pode mudar . Você pode configurá-lo como quiser.
  • A porta de acesso VLAN pode mudar . Você pode configurá-lo como quiser.
  • A VLAN nativa padrão é sempre 1, isso não pode ser alterado, porque é definido dessa maneira pelo Cisco
  • A VLAN padrão é sempre 1, isso não pode ser alterado, porque é definido dessa maneira pelo Cisco

edit: esqueceu suas outras perguntas:

Além disso, pode / deve ser alterado?

Esta é em grande parte uma questão de opinião. Costumo concordar com esta escola de pensamento:

Todas as portas não utilizadas devem estar em uma VLAN específica. Todas as portas ativas devem ser explicitamente definidas para uma VLAN específica. Seu switch deve impedir o tráfego de atravessar o uplink para o restante da sua rede se o tráfego pertencer à VLAN1 ou à VLAN que você está usando para portas não utilizadas. Todo o resto deve ter permissão para subir a ligação.

Mas existem muitas teorias diferentes por trás disso. Bem como requisitos diferentes que impediriam ter uma política de troca restrita (escala, recursos, etc.).

Por exemplo, se um comutador estiver entrando em parte de uma rede que é apenas uma VLAN e não é a VLAN 1, é possível tornar a VLAN "padrão" / nativa em todas as portas uma VLAN específica usando um comando global ou é o método preferido para fazer com que todas as portas acessem portas e defina a VLAN de acesso como 10 em cada uma delas?

Você não pode alterar as configurações padrão da Cisco. Você pode usar o "intervalo de interface" para colocar todas as portas em uma VLAN diferente de uma só vez. Você realmente não precisa alterar a VLAN nativa no tronco de uplink, desde que o outro comutador esteja usando a mesma VLAN nativa. Se você realmente deseja poupar o switch de adicionar a tag VLAN, você pode ser criativo e fazer o seguinte (embora provavelmente não seja recomendado).

Deixe todas as portas de acesso na VLAN1. Deixe a VLAN nativa no padrão (VLAN1). No comutador de ligação ascendente, defina a porta como uma porta de tronco. E defina sua VLAN nativa como a VLAN da qual você deseja que o comutador inferior faça parte. Como o switch inferior envia o tráfego para o switch superior sem marcação, o switch superior o recebe e o associa ao que considera a VLAN nativa.

Eddie
fonte
3
Ótima resposta, @ Eddie. O pessoal que configurou nossos switches Cisco usou a VLAN 1 padrão para nossa LAN de dados principal e a VLAN 2 para nossa voz. Estamos montando um novo site e os dois serão vinculados via Ethernet. O novo site usará VLANs 11 e 12. Existe alguma maneira de impedir que a VLAN 1 de um lado do link seja transferida para o outro?
precisa
1
Eu já vi "VLAN padrão" usado como sinônimo de "VLAN nativa" no passado. Além disso, é uma prática recomendada não usar a VLAN 1 para tráfego nos comutadores Cisco e também não tentar desativá-la. Caso contrário, excelente resposta.
Todd Wilcox
@ToddWilcox Isso é o que a torna tão confusa. A VLAN padrão é 1. A VLAN nativa padrão também é 1. Por isso, a VLAN padrão é, por padrão, a VLAN nativa padrão. Mas eles não são realmente a mesma coisa.
Eddie
1

A VLAN nativa é relevante apenas para o 802.1q; sim, é desmarcada por padrão, mas pode ser etiquetada, se necessário. As portas serão atribuídas à VLAN nativa se nenhuma outra configuração estiver presente.

Não há problema em mantê-lo como VLAN 1, mas pode ser alterado, basta lembrar de desligar as portas não utilizadas. O que quero dizer com isso, se eu conectasse meu laptop hacker maligno a uma porta de trabalho deixada como VLAN 1, eu poderia potencialmente atravessar toda a sua rede, enquanto você poderia alterar a VLAN nativa para VLAN 10 e, em seguida, não atribua a VLAN 10 a qualquer porta.

O ISL não tem conceito de uma VLAN nativa.

psniffer
fonte
0

Aqui a solução

User Name:cisco
Password:*********


sw-ext#conf t
sw-ext(config)#vlan database
sw-ext(config-vlan)#default-vlan vlan 10
New Default VLAN ID will be active after save configuration and reboot device.
sw-ext(config-vlan)#exit
sw-ext(config)#do show vlan
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN

Vlan       Name           Tagged Ports      UnTagged Ports      Created by
---- ----------------- ------------------ ------------------ ----------------
 1           1                                                      V
 10         10                               gi1-20,Po1-8           D
volga629
fonte