“Varsayılan VLAN”, yapılandırması olmayan tüm arabirimlerdeki varsayılan yerel (etiketsiz) VLAN mı?

15

... veya "varsayılan VLAN" ın daha geniş bir anlamı var mı?

Ayrıca değiştirilebilir / değiştirilmelidir mi? Örneğin, bir anahtar yalnızca bir VLAN olan ve VLAN 1 olmayan bir ağın içine giriyorsa, tek bir global komut kullanarak tüm bağlantı noktalarında "varsayılan" / yerel VLAN'ı belirli bir VLAN yapmak veya bağlantı noktalarına erişim bağlantı noktaları yapmak ve erişim VLAN'ını her birinde 10 olarak ayarlamak için tercih edilen yöntem?

cisco vlan

— Matty Brown
kaynak

27

Bu, Cisco'nun bu noktaya aşırı vurgu yapması nedeniyle, Ağa yeni katılan insanlar için, özellikle de Cisco parçasına gelen insanlar için genellikle karışık bir noktadır. Az çok bir terminoloji meselesi. Açıklamama izin ver.

802.1q standardı, hangi trafiğin hangi VLAN'lara ait olduğunu ayırt etmek için iki anahtar arasındaki trafiği etiketleme yöntemini tanımlar . Cisco terimleriyle, bir " ana " bağlantı noktasında olan budur. Diğer satıcıların buna "etiketli" bağlantı noktası olarak başvurduklarını gördüm. Bu bağlamda, aynı anlama gelir: çerçevenin hangi VLAN'a ait olduğunu belirtmek için çerçevelere bir tanımlayıcı eklemek . Terminoloji bir yana, akılda tutulması gereken en önemli şey bir VLAN etiketi gereklidir, çünkü genellikle iki anahtarı geçen trafik birden fazla VLAN'a aittir ve hangi V'lerin ve 1'lerin hangi VLAN'a ait olduğunu belirlemenin bir yolu olmalıdır.

Ancak, VLAN etiketini içeren trafiği almayı bekleyen bir bağlantı noktası, etiketi olmayan trafik alırsa ne olur? ISL (cisco tescilli, ancak arkaik) olarak bilinen 802.1q'nin selefinde, artık kimse onu desteklemiyor, Cisco bile değil), bir bagajdaki etiketsiz trafik basitçe düşecekti.

Ancak 802.1q, yalnızca bu trafiği almakla kalmaz, aynı zamanda onu seçtiğiniz bir VLAN ile de ilişkilendirir. Bu yöntem, Yerel VLAN ayarı olarak bilinir . Etkili bir şekilde, ana bağlantı noktanızı bir Yerel VLAN ile yapılandırırsınız ve varolan bir VLAN etiketi olmadan o bağlantı noktasına gelen trafik, Yerel VLAN'ınızla ilişkilendirilir.

Tüm yapılandırma öğelerinde olduğu gibi, bir şeyi açıkça yapılandırmazsanız, genellikle bir tür varsayılan davranış vardır. Cisco (ve çoğu satıcı) durumunda, Varsayılan Yerel VLAN VLAN 1'dir. Bir başka deyişle, bir Yerel VLAN'ı açıkça ayarlamazsanız , bir bagaj bağlantı noktasına alınan etiketsiz trafik otomatik olarak VLAN 1'e yerleştirilir.

Ana bağlantı noktası, bir Erişim Bağlantı Noktası olarak bilinenin "tersidir" (bir çeşit) . Bir erişim portu VLAN etiketi olmadan trafik gönderir ve almayı bekler. Bunun çalışabilmesinin yolu, bir erişim bağlantı noktasının yalnızca bir VLAN'a ait trafiği göndermesi ve almayı beklemesidir . Erişim bağlantı noktası belirli bir VLAN için statik olarak yapılandırılmıştır ve bu bağlantı noktasında alınan herhangi bir trafik, Switch'in kendisinde dahili olarak belirli bir VLAN'a ait olarak ilişkilendirilir (anahtar bağlantı noktasından ayrıldığında o VLAN için trafiği etiketlemese de).

Şimdi, kafa karıştırıcı karışıma eklemek için. Cisco kitapları genellikle "varsayılan VLAN" ı belirtir. Standart VLAN basitçe bütün Erişim Noktaları onlar açıkça başka bir VLAN yerleştirilir kadar atanan VLAN'dır. Cisco anahtarları (ve diğer Satıcıların çoğu) durumunda, Varsayılan VLAN genellikle VLAN 1'dir. Genellikle, bu VLAN yalnızca bir VLAN etiketi olmadan trafik gönderen ve almayı bekleyen bir bağlantı noktası olan bir Erişim bağlantı noktasında (ayrıca diğer satıcılar tarafından 'etiketlenmemiş bir bağlantı noktasına' atıfta bulunur).

Özetlemek gerekirse:

Yerli VLAN değiştirebilir . İstediğiniz herhangi bir şeye ayarlayabilirsiniz.
Erişim Liman VLAN değiştirebilir . İstediğiniz herhangi bir şeye ayarlayabilirsiniz.
Yerli VLAN Standart her zaman 1'dir, bu, değişim olamaz, çünkü onun kümesi olduğunu Cisco tarafından yolu
Standart VLAN o Cisco tarafından yol olduğunu ayarlandığı için, bu değiştirilemez, her zaman 1'dir

edit: diğer sorularınızı unuttum:

Ayrıca değiştirilebilir / değiştirilmelidir mi?

Bu büyük ölçüde bir fikir sorusudur. Bu düşünce okuluna katılma eğilimindeyim:

Kullanılmayan tüm bağlantı noktaları belirli bir VLAN'da olmalıdır. Tüm etkin bağlantı noktaları açıkça belirli bir VLAN'a ayarlanmalıdır. Daha sonra anahtarınız, trafik VLAN1 veya kullanılmayan bağlantı noktaları için kullandığınız VLAN'a aitse, trafiğin yukarı bağlantıyı ağınızın geri kalanına geçirmesini engellemelidir. Diğer her şeyin yukarı bağlantıya izin vermesi gerekir.

Ancak bunun arkasında birçok farklı teori var. Bu tür sınırlı bir anahtar politikasının (ölçek, kaynaklar, vb.) Olmasını engelleyecek farklı gereksinimlerin yanı sıra.

Örneğin, bir anahtar yalnızca bir VLAN olan ve VLAN 1 olmayan bir ağın içine giriyorsa, tek bir global komut kullanarak tüm bağlantı noktalarında "varsayılan" / yerel VLAN'ı belirli bir VLAN yapmak veya bağlantı noktalarına erişim bağlantı noktaları yapmak ve erişim VLAN'ını her birinde 10 olarak ayarlamak için tercih edilen yöntem?

Varsayılan Cisco yapılandırmalarını değiştiremezsiniz. Tüm bağlantı noktalarını tek seferde farklı bir VLAN'a yerleştirmek için "arabirim aralığını" kullanabilirsiniz. Diğer anahtar aynı Yerel VLAN'ı kullandığı sürece, yer-uydu hattı gövdesindeki Yerel VLAN'ı değiştirmeniz gerekmez. Anahtarı gerçekten VLAN Etiketi eklemekten yedeklemek istiyorsanız, yaratıcı olabilir ve aşağıdakileri yapabilirsiniz (muhtemelen önerilmez).

VLAN1'deki tüm erişim bağlantı noktalarını bırakın. Yerel VLAN'ı varsayılan olarak bırakın (VLAN1). Yukarı bağlantı anahtarında bağlantı noktasını bir devre bağlantı noktası olarak ayarlayın. Yerel VLAN'ını, alt anahtarın parçası olmasını istediğiniz VLAN'a ayarlayın. Alt anahtar, üst anahtara etiketsiz trafik göndereceğinden, üst anahtar onu alır ve Yerel VLAN olarak değerlendirdiği şeyle ilişkilendirir .

— Eddie
kaynak

3

Harika cevap, @Eddie. Cisco anahtarlarımızı kuran çocuklar, ana veri LAN'ımız için varsayılan VLAN 1'i ve sesimiz için VLAN 2'yi kullandı. Yeni bir site kuruyoruz ve ikisi Ethernet üzerinden bağlanacak. Yeni site VLAN 11 ve 12'yi kullanacak. Bağlantının bir tarafındaki VLAN 1'in diğerine geçmesini önlemenin bir yolu var mı?

— Matty Brown

1

Geçmişte "yerel VLAN" ile eşanlamlı olarak kullanılan "varsayılan VLAN" ı gördüm. Ayrıca, Cisco anahtarlarında trafik için VLAN 1 kullanmamak ve ayrıca devre dışı bırakmaya çalışmak en iyi uygulama olarak kabul edilir. Aksi takdirde, mükemmel cevap.

— Todd Wilcox

@ToddWilcox Bu kadar kafa karıştırıcı yapan şey budur. Varsayılan VLAN 1'dir Yerli VLAN varsayılan varsayılan olarak bir bakıma da 1. So sının, VLAN varsayılan, varsayılan Yerli VLAN. Ama aslında aynı şey değiller.

— Eddie

1

Yerel VLAN yalnızca 802.1q ile ilgilidir, evet varsayılan olarak etiketsizdir, ancak gerekirse etiketlenebilir. Başka yapılandırma yoksa, bağlantı noktaları yerel VLAN'a atanacaktır.

VLAN 1 olarak saklamak uygun, ancak değiştirilebilir, sadece kullanılmayan bağlantı noktalarını kapatmayı hatırlamanız gerekir. Bununla ne demek istediğim, kötü hacker dizüstü bilgisayarımı VLAN 1 olarak bırakılan bir çalışma bağlantı noktasına takarsam, potansiyel olarak tüm ağınıza yayılabilirim, oysa yerel VLAN'ı VLAN 10 olarak değiştirebilir ve herhangi bir bağlantı noktasına VLAN 10 atayın.

ISL'nin yerel bir VLAN konsepti yoktur.

— psniffer
kaynak

0

İşte çözüm

User Name:cisco
Password:*********


sw-ext#conf t
sw-ext(config)#vlan database
sw-ext(config-vlan)#default-vlan vlan 10
New Default VLAN ID will be active after save configuration and reboot device.
sw-ext(config-vlan)#exit
sw-ext(config)#do show vlan
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN

Vlan       Name           Tagged Ports      UnTagged Ports      Created by
---- ----------------- ------------------ ------------------ ----------------
 1           1                                                      V
 10         10                               gi1-20,Po1-8           D

— volga629
kaynak