Dies ist ein häufig verwirrender Punkt für Personen, die noch keine Erfahrung mit dem Networking haben, insbesondere für Personen, die auf dem Weg zu Cisco sind, da Cisco diesen Punkt zu sehr betont. Es ist mehr oder weniger nur eine Terminologiesache. Lassen Sie mich erklären.
Der 802.1q-Standard definiert eine Methode zum Kennzeichnen des Verkehrs zwischen zwei Switches, um zu unterscheiden, welcher Verkehr zu welchen VLANs gehört. In Cisco-Begriffen geschieht dies an einem " Trunk " -Port. Ich habe gesehen, dass andere Anbieter dies als "getaggten" Port bezeichnen. In diesem Zusammenhang bedeutet dies dasselbe: Hinzufügen eines Bezeichners zu Frames, um anzugeben, zu welchem VLAN der Frame gehört. Abgesehen von der Terminologie muss vor allem ein VLAN-Tag beachtet werden, da der Datenverkehr, der zwei Switches durchläuft, häufig mehreren VLANs angehört und es eine Möglichkeit geben muss, zu bestimmen, welche Einsen und Nullen zu welchem VLAN gehören.
Was passiert jedoch, wenn ein Trunk-Port, der Datenverkehr mit dem VLAN-Tag erwartet, Datenverkehr ohne Tag empfängt? Im Vorgänger von 802.1q, bekannt als ISL (Cisco proprietär, aber archaisch, niemand unterstützt es mehr, nicht einmal Cisco), würde unmarkierter Datenverkehr auf einem Trunk einfach verworfen.
802.1q bot jedoch die Möglichkeit, diesen Datenverkehr nicht nur zu empfangen, sondern auch einem VLAN Ihrer Wahl zuzuordnen. Diese Methode wird als Festlegen eines nativen VLAN bezeichnet . Tatsächlich konfigurieren Sie Ihren Trunk-Port mit einem nativen VLAN, und der Datenverkehr, der auf diesem Port ohne ein vorhandenes VLAN-Tag eingeht, wird Ihrem nativen VLAN zugeordnet.
Wie bei allen Konfigurationselementen gibt es normalerweise eine Art Standardverhalten, wenn Sie etwas nicht explizit konfigurieren. Bei Cisco (und den meisten Anbietern) lautet das standardmäßige native VLAN VLAN 1. Wenn Sie also kein natives VLAN explizit festlegen, wird auf einem Trunk-Port empfangener Datenverkehr ohne Tags automatisch in VLAN 1 platziert.
Der Trunk-Port ist das "Gegenteil" zu dem, was als Access-Port bezeichnet wird . Ein Access-Port sendet und erwartet Datenverkehr ohne VLAN-Tag. Dies kann so funktionieren, dass ein Access-Port auch immer nur Daten sendet und den Empfang von Daten erwartet, die zu einem VLAN gehören . Der Access-Port ist statisch für ein bestimmtes VLAN konfiguriert, und der an diesem Port empfangene Datenverkehr wird intern auf dem Switch selbst als zu einem bestimmten VLAN gehörend zugeordnet (obwohl der Datenverkehr für dieses VLAN nicht markiert wird, wenn er den Switch-Port verlässt).
Nun zur verwirrenden Mischung hinzufügen. In Cisco-Büchern wird häufig auf das "Standard-VLAN" verwiesen. Das Standard-VLAN ist einfach das VLAN, dem alle Access Ports zugewiesen sind, bis sie explizit in einem anderen VLAN platziert werden. Bei Cisco-Switches (und den meisten anderen Anbietern) ist das Standard-VLAN in der Regel VLAN 1. In der Regel ist dieses VLAN nur für einen Access-Port relevant, bei dem es sich um einen Port handelt, der Datenverkehr ohne VLAN-Tag sendet und erwartet (auch) von anderen Anbietern als "Port ohne Tags" bezeichnet).
Also, um zusammenzufassen:
- Das native VLAN kann sich ändern . Sie können es auf jeden beliebigen Wert einstellen.
- Das Access Port VLAN kann sich ändern . Sie können es auf jeden beliebigen Wert einstellen.
- Das standardmäßige native VLAN ist immer 1, dies kann nicht geändert werden, da es von Cisco so festgelegt wurde
- Das Standard-VLAN ist immer 1, dies kann nicht geändert werden, da es von Cisco so eingestellt wird
edit: habe deine anderen Fragen vergessen:
Kann / sollte es auch geändert werden?
Dies ist größtenteils eine Meinungsfrage. Ich stimme dieser Denkrichtung eher zu:
Alle nicht verwendeten Ports sollten sich in einem bestimmten VLAN befinden. Alle aktiven Ports sollten explizit auf ein bestimmtes VLAN festgelegt werden. Ihr Switch sollte dann verhindern, dass der Datenverkehr über den Uplink in den Rest Ihres Netzwerks gelangt, wenn der Datenverkehr zu VLAN1 gehört oder zu dem VLAN, das Sie für nicht verwendete Ports verwenden. Alles andere sollte im Uplink erlaubt sein.
Aber dahinter stecken viele verschiedene Theorien. Sowie unterschiedliche Anforderungen, die eine solche eingeschränkte Vermittlungspolitik verhindern würden (Umfang, Ressourcen usw.).
Wenn beispielsweise ein Switch Teil eines Netzwerks ist, bei dem es sich nur um ein VLAN und nicht um VLAN 1 handelt, kann das "standardmäßige" / native VLAN an allen Ports mit einem einzigen globalen Befehl zu einem bestimmten VLAN gemacht werden bevorzugte Methode, um alle Ports auf Ports zuzugreifen und das Zugriffs-VLAN für jeden von ihnen auf 10 zu setzen?
Sie können die Standardkonfigurationen von Cisco nicht ändern. Sie können den "Schnittstellenbereich" verwenden, um alle Ports auf einmal in ein anderes VLAN zu verschieben. Sie müssen das native VLAN im Uplink-Trunk nicht wirklich ändern, solange der andere Switch dasselbe native VLAN verwendet. Wenn Sie wirklich den Switch vom Hinzufügen des VLAN-Tags verschonen möchten, können Sie kreativ werden und Folgendes tun (obwohl dies wahrscheinlich nicht empfohlen wird).
Belassen Sie alle Zugangsports im VLAN1. Übernehmen Sie für das native VLAN den Standardwert (VLAN1). Stellen Sie den Port am Uplink-Switch als Trunk-Port ein. Stellen Sie das native VLAN auf das VLAN ein, zu dem der untere Switch gehören soll. Da der untere Switch Datenverkehr ohne Tags an den oberen Switch sendet, empfängt der obere Switch den Datenverkehr und ordnet ihn dem Native VLAN zu.
Das native VLAN ist nur für 802.1q relevant. Ja, es ist standardmäßig nicht mit Tags versehen, kann jedoch bei Bedarf mit Tags versehen werden. Ports werden dem nativen VLAN zugewiesen, wenn keine andere Konfiguration vorhanden ist.
Es ist in Ordnung, es als VLAN 1 beizubehalten, aber es kann geändert werden. Sie müssen nur daran denken, nicht verwendete Ports herunterzufahren. Was ich damit meine, wenn ich meinen bösen Hacker-Laptop an einen funktionierenden Port anschloss, der als VLAN 1 belassen wurde, könnte ich möglicherweise Ihr gesamtes Netzwerk abdecken, während Sie das native VLAN in VLAN 10 ändern könnten, und dann nicht Weisen Sie allen Ports VLAN 10 zu.
ISL hat kein Konzept für ein natives VLAN.
quelle
Hier die Lösung
quelle