Ist das „Standard-VLAN“ einfach das standardmäßige native VLAN (ohne Tags) auf allen Schnittstellen, die keine Konfiguration haben?

14

... oder hat das "Standard-VLAN" eine größere Bedeutung?

Kann / sollte es auch geändert werden? Wenn beispielsweise ein Switch Teil eines Netzwerks ist, bei dem es sich nur um ein VLAN und nicht um VLAN 1 handelt, kann das "standardmäßige" / native VLAN an allen Ports mit einem einzigen globalen Befehl zu einem bestimmten VLAN gemacht werden bevorzugte Methode, um alle Ports auf Ports zuzugreifen und das Zugriffs-VLAN für jeden von ihnen auf 10 zu setzen?

Matty Brown
quelle

Antworten:

26

Dies ist ein häufig verwirrender Punkt für Personen, die noch keine Erfahrung mit dem Networking haben, insbesondere für Personen, die auf dem Weg zu Cisco sind, da Cisco diesen Punkt zu sehr betont. Es ist mehr oder weniger nur eine Terminologiesache. Lassen Sie mich erklären.

Der 802.1q-Standard definiert eine Methode zum Kennzeichnen des Verkehrs zwischen zwei Switches, um zu unterscheiden, welcher Verkehr zu welchen VLANs gehört. In Cisco-Begriffen geschieht dies an einem " Trunk " -Port. Ich habe gesehen, dass andere Anbieter dies als "getaggten" Port bezeichnen. In diesem Zusammenhang bedeutet dies dasselbe: Hinzufügen eines Bezeichners zu Frames, um anzugeben, zu welchem ​​VLAN der Frame gehört. Abgesehen von der Terminologie muss vor allem ein VLAN-Tag beachtet werden, da der Datenverkehr, der zwei Switches durchläuft, häufig mehreren VLANs angehört und es eine Möglichkeit geben muss, zu bestimmen, welche Einsen und Nullen zu welchem ​​VLAN gehören.

Was passiert jedoch, wenn ein Trunk-Port, der Datenverkehr mit dem VLAN-Tag erwartet, Datenverkehr ohne Tag empfängt? Im Vorgänger von 802.1q, bekannt als ISL (Cisco proprietär, aber archaisch, niemand unterstützt es mehr, nicht einmal Cisco), würde unmarkierter Datenverkehr auf einem Trunk einfach verworfen.

802.1q bot jedoch die Möglichkeit, diesen Datenverkehr nicht nur zu empfangen, sondern auch einem VLAN Ihrer Wahl zuzuordnen. Diese Methode wird als Festlegen eines nativen VLAN bezeichnet . Tatsächlich konfigurieren Sie Ihren Trunk-Port mit einem nativen VLAN, und der Datenverkehr, der auf diesem Port ohne ein vorhandenes VLAN-Tag eingeht, wird Ihrem nativen VLAN zugeordnet.

Wie bei allen Konfigurationselementen gibt es normalerweise eine Art Standardverhalten, wenn Sie etwas nicht explizit konfigurieren. Bei Cisco (und den meisten Anbietern) lautet das standardmäßige native VLAN VLAN 1. Wenn Sie also kein natives VLAN explizit festlegen, wird auf einem Trunk-Port empfangener Datenverkehr ohne Tags automatisch in VLAN 1 platziert.

Der Trunk-Port ist das "Gegenteil" zu dem, was als Access-Port bezeichnet wird . Ein Access-Port sendet und erwartet Datenverkehr ohne VLAN-Tag. Dies kann so funktionieren, dass ein Access-Port auch immer nur Daten sendet und den Empfang von Daten erwartet, die zu einem VLAN gehören . Der Access-Port ist statisch für ein bestimmtes VLAN konfiguriert, und der an diesem Port empfangene Datenverkehr wird intern auf dem Switch selbst als zu einem bestimmten VLAN gehörend zugeordnet (obwohl der Datenverkehr für dieses VLAN nicht markiert wird, wenn er den Switch-Port verlässt).

Nun zur verwirrenden Mischung hinzufügen. In Cisco-Büchern wird häufig auf das "Standard-VLAN" verwiesen. Das Standard-VLAN ist einfach das VLAN, dem alle Access Ports zugewiesen sind, bis sie explizit in einem anderen VLAN platziert werden. Bei Cisco-Switches (und den meisten anderen Anbietern) ist das Standard-VLAN in der Regel VLAN 1. In der Regel ist dieses VLAN nur für einen Access-Port relevant, bei dem es sich um einen Port handelt, der Datenverkehr ohne VLAN-Tag sendet und erwartet (auch) von anderen Anbietern als "Port ohne Tags" bezeichnet).

Also, um zusammenzufassen:

  • Das native VLAN kann sich ändern . Sie können es auf jeden beliebigen Wert einstellen.
  • Das Access Port VLAN kann sich ändern . Sie können es auf jeden beliebigen Wert einstellen.
  • Das standardmäßige native VLAN ist immer 1, dies kann nicht geändert werden, da es von Cisco so festgelegt wurde
  • Das Standard-VLAN ist immer 1, dies kann nicht geändert werden, da es von Cisco so eingestellt wird

edit: habe deine anderen Fragen vergessen:

Kann / sollte es auch geändert werden?

Dies ist größtenteils eine Meinungsfrage. Ich stimme dieser Denkrichtung eher zu:

Alle nicht verwendeten Ports sollten sich in einem bestimmten VLAN befinden. Alle aktiven Ports sollten explizit auf ein bestimmtes VLAN festgelegt werden. Ihr Switch sollte dann verhindern, dass der Datenverkehr über den Uplink in den Rest Ihres Netzwerks gelangt, wenn der Datenverkehr zu VLAN1 gehört oder zu dem VLAN, das Sie für nicht verwendete Ports verwenden. Alles andere sollte im Uplink erlaubt sein.

Aber dahinter stecken viele verschiedene Theorien. Sowie unterschiedliche Anforderungen, die eine solche eingeschränkte Vermittlungspolitik verhindern würden (Umfang, Ressourcen usw.).

Wenn beispielsweise ein Switch Teil eines Netzwerks ist, bei dem es sich nur um ein VLAN und nicht um VLAN 1 handelt, kann das "standardmäßige" / native VLAN an allen Ports mit einem einzigen globalen Befehl zu einem bestimmten VLAN gemacht werden bevorzugte Methode, um alle Ports auf Ports zuzugreifen und das Zugriffs-VLAN für jeden von ihnen auf 10 zu setzen?

Sie können die Standardkonfigurationen von Cisco nicht ändern. Sie können den "Schnittstellenbereich" verwenden, um alle Ports auf einmal in ein anderes VLAN zu verschieben. Sie müssen das native VLAN im Uplink-Trunk nicht wirklich ändern, solange der andere Switch dasselbe native VLAN verwendet. Wenn Sie wirklich den Switch vom Hinzufügen des VLAN-Tags verschonen möchten, können Sie kreativ werden und Folgendes tun (obwohl dies wahrscheinlich nicht empfohlen wird).

Belassen Sie alle Zugangsports im VLAN1. Übernehmen Sie für das native VLAN den Standardwert (VLAN1). Stellen Sie den Port am Uplink-Switch als Trunk-Port ein. Stellen Sie das native VLAN auf das VLAN ein, zu dem der untere Switch gehören soll. Da der untere Switch Datenverkehr ohne Tags an den oberen Switch sendet, empfängt der obere Switch den Datenverkehr und ordnet ihn dem Native VLAN zu.

Eddie
quelle
3
Tolle Antwort, @Eddie. Die Leute, die unsere Cisco-Switches eingerichtet haben, haben das Standard-VLAN 1 für unser Hauptdaten-LAN und VLAN 2 für unsere Stimme verwendet. Wir richten eine neue Site ein und die beiden werden über Ethernet verbunden. Auf der neuen Site werden VLANs 11 und 12 verwendet. Kann auf irgendeine Weise verhindert werden, dass VLAN 1 auf einer Seite des Links auf die andere wechselt?
Matty Brown
1
Ich habe gesehen, dass "Standard-VLAN" in der Vergangenheit als Synonym für "natives VLAN" verwendet wurde. Außerdem wird empfohlen, VLAN 1 nicht für den Datenverkehr auf Cisco-Switches zu verwenden und es nicht zu deaktivieren. Ansonsten sehr gute Antwort.
Todd Wilcox
@ToddWilcox Das macht es so verwirrend. Das Standard-VLAN ist 1. Das Standard-Native-VLAN ist auch 1. Das Standard-VLAN ist also standardmäßig das Standard-Native-VLAN. Aber sie sind nicht wirklich dasselbe.
Eddie
1

Das native VLAN ist nur für 802.1q relevant. Ja, es ist standardmäßig nicht mit Tags versehen, kann jedoch bei Bedarf mit Tags versehen werden. Ports werden dem nativen VLAN zugewiesen, wenn keine andere Konfiguration vorhanden ist.

Es ist in Ordnung, es als VLAN 1 beizubehalten, aber es kann geändert werden. Sie müssen nur daran denken, nicht verwendete Ports herunterzufahren. Was ich damit meine, wenn ich meinen bösen Hacker-Laptop an einen funktionierenden Port anschloss, der als VLAN 1 belassen wurde, könnte ich möglicherweise Ihr gesamtes Netzwerk abdecken, während Sie das native VLAN in VLAN 10 ändern könnten, und dann nicht Weisen Sie allen Ports VLAN 10 zu.

ISL hat kein Konzept für ein natives VLAN.

psniffer
quelle
0

Hier die Lösung

User Name:cisco
Password:*********


sw-ext#conf t
sw-ext(config)#vlan database
sw-ext(config-vlan)#default-vlan vlan 10
New Default VLAN ID will be active after save configuration and reboot device.
sw-ext(config-vlan)#exit
sw-ext(config)#do show vlan
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN

Vlan       Name           Tagged Ports      UnTagged Ports      Created by
---- ----------------- ------------------ ------------------ ----------------
 1           1                                                      V
 10         10                               gi1-20,Po1-8           D
volga629
quelle