Le «VLAN par défaut» est-il simplement le VLAN natif (non balisé) par défaut sur toutes les interfaces sans configuration?

14

... ou le "VLAN par défaut" a-t-il une signification plus large?

Peut-il / doit-il également être modifié? Par exemple, si un commutateur entre dans une partie d'un réseau qui n'est qu'un VLAN et qu'il n'est pas VLAN 1, est-il possible de faire du VLAN "par défaut" / natif sur tous les ports un VLAN particulier à l'aide d'une commande globale, ou est-ce le méthode préférée pour que tous les ports accèdent aux ports et définissent le VLAN d'accès à 10 sur chacun d'eux?

Matty Brown
la source

Réponses:

26

C'est un point souvent confus pour les personnes nouvelles dans la mise en réseau, en particulier pour les personnes venant sur la piste Cisco, en raison de l'accent mis par Cisco sur ce point. C'est plus ou moins juste une question de terminologie. Laissez-moi expliquer.

La norme 802.1q définit une méthode de marquage du trafic entre deux commutateurs pour distinguer quel trafic appartient à quels VLAN. En termes Cisco, c'est ce qui se passe sur un port " trunk ". J'ai vu d'autres fournisseurs y faire référence comme un port "balisé". Dans ce contexte, cela signifie la même chose: ajouter un identifiant aux trames pour indiquer à quel VLAN appartient la trame. Outre la terminologie, la principale chose à garder à l'esprit est qu'une balise VLAN est nécessaire, car souvent le trafic traversant deux commutateurs appartient à plusieurs VLAN, et il doit y avoir un moyen de déterminer quels 1 et 0 appartiennent à quel VLAN.

Mais que se passe-t-il si un port de jonction, qui s'attend à recevoir du trafic incluant la balise VLAN, reçoit du trafic sans balise? Dans le prédécesseur de 802.1q, connu sous le nom d'ISL (propriétaire de Cisco, mais archaïque, plus personne ne le prend en charge, pas même Cisco), le trafic non balisé sur un tronc serait simplement abandonné.

802.1q cependant, prévoyait un moyen non seulement de recevoir ce trafic, mais également de l'associer à un VLAN de votre choix. Cette méthode est connue sous le nom de définition d'un VLAN natif . En effet, vous configurez votre port de jonction avec un VLAN natif et tout trafic qui arrive sur ce port sans balise VLAN existante est associé à votre VLAN natif.

Comme pour tous les éléments de configuration, si vous ne configurez pas explicitement quelque chose, il existe généralement une sorte de comportement par défaut. Dans le cas de Cisco (et de la plupart des fournisseurs), le VLAN natif par défaut est le VLAN 1. Autrement dit, si vous ne définissez pas explicitement un VLAN natif, tout trafic non balisé reçu sur un port de jonction est automatiquement placé dans le VLAN 1.

Le port de jonction est le "contraire" (en quelque sorte) de ce que l'on appelle un port d'accès . Un port d'accès envoie et s'attend à recevoir du trafic sans balise VLAN. La façon dont cela peut fonctionner, c'est qu'un port d'accès envoie et s'attend également à recevoir du trafic appartenant à un seul VLAN . Le port d'accès est configuré de manière statique pour un VLAN particulier, et tout trafic reçu sur ce port est associé en interne sur le commutateur lui-même comme appartenant à un VLAN particulier (bien qu'il ne marque pas le trafic pour ce VLAN lorsqu'il quitte le port du commutateur).

Maintenant, pour ajouter au mélange déroutant. Les livres Cisco font souvent référence au "VLAN par défaut". Le VLAN par défaut est simplement le VLAN auquel tous les ports d'accès sont affectés jusqu'à ce qu'ils soient explicitement placés dans un autre VLAN. Dans le cas des commutateurs Cisco (et de la plupart des autres fournisseurs), le VLAN par défaut est généralement le VLAN 1. En règle générale, ce VLAN n'est pertinent que sur un port d'accès, qui est un port qui envoie et s'attend à recevoir du trafic sans balise VLAN (également dénommé «port non balisé» par d'autres fournisseurs).

Donc, pour résumer:

  • Le VLAN natif peut changer . Vous pouvez le régler à votre guise.
  • Le VLAN du port d'accès peut changer . Vous pouvez le régler à votre guise.
  • Le VLAN natif par défaut est toujours 1, cela ne peut pas être modifié, car il est défini de cette façon par Cisco
  • Le VLAN par défaut est toujours 1, cela ne peut pas être modifié, car il est défini de cette façon par Cisco

modifier: oublié vos autres questions:

Peut-il / doit-il également être modifié?

Il s'agit en grande partie d'une question d'opinion. J'ai tendance à être d'accord avec cette école de pensée:

Tous les ports inutilisés doivent se trouver dans un VLAN spécifique. Tous les ports actifs doivent être explicitement définis sur un VLAN particulier. Votre commutateur doit alors empêcher le trafic de traverser la liaison montante vers le reste de votre réseau si le trafic appartient au VLAN1 ou au VLAN que vous utilisez pour les ports inutilisés. Tout le reste devrait être autorisé sur la liaison montante.

Mais il existe de nombreuses théories différentes derrière cela. Ainsi que des exigences différentes qui empêcheraient d'avoir une telle politique de commutation restreinte (échelle, ressources, etc.).

Par exemple, si un commutateur entre dans une partie d'un réseau qui n'est qu'un VLAN et qu'il n'est pas VLAN 1, est-il possible de faire du VLAN "par défaut" / natif sur tous les ports un VLAN particulier à l'aide d'une commande globale, ou est-ce le méthode préférée pour que tous les ports accèdent aux ports et définissent le VLAN d'accès à 10 sur chacun d'eux?

Vous ne pouvez pas modifier les configurations Cisco par défaut. Vous pouvez utiliser la "gamme d'interfaces" pour mettre tous les ports dans un VLAN différent en une seule fois. Vous n'avez pas vraiment besoin de changer le VLAN natif sur le tronc de liaison montante, tant que l'autre commutateur utilise le même VLAN natif. Si vous voulez vraiment éviter que le commutateur ajoute le tag VLAN, vous pouvez faire preuve de créativité et effectuer les opérations suivantes (bien que ce ne soit probablement pas recommandé).

Laissez tous les ports d'accès dans le VLAN1. Laissez le VLAN natif à sa valeur par défaut (VLAN1). Sur le commutateur de liaison montante, définissez le port comme port de jonction. Et définissez son VLAN natif sur le VLAN dont vous souhaitez que le commutateur inférieur fasse partie. Étant donné que le commutateur inférieur enverra le trafic au commutateur supérieur sans étiquette, le commutateur supérieur le recevra et l'associera à ce qu'il considère comme le VLAN natif.

Eddie
la source
3
Excellente réponse, @Eddie. Les gars qui ont configuré nos commutateurs Cisco ont utilisé le VLAN 1 par défaut pour notre LAN de données principal et le VLAN 2 pour notre voix. Nous mettons en place un nouveau site et les deux vont être liés via Ethernet. Le nouveau site utilisera les VLAN 11 et 12. Existe-t-il un moyen d'empêcher le VLAN 1 d'un côté de la liaison de passer de l'autre?
Matty Brown
1
J'ai vu «VLAN par défaut» utilisé comme synonyme de «VLAN natif» dans le passé. En outre, il est considéré comme la meilleure pratique de ne pas utiliser VLAN 1 pour le trafic sur les commutateurs Cisco et de ne pas essayer de le désactiver. Sinon, excellente réponse.
Todd Wilcox
@ToddWilcox C'est ce qui le rend si déroutant. Le VLAN par défaut est 1 Le VLAN natif par défaut .est également 1. D'une certaine manière, le VLAN par défaut est, par défaut, le VLAN natif par défaut. Mais ce n'est pas vraiment la même chose.
Eddie
1

Le VLAN natif n'est pertinent que pour 802.1q, oui, il n'est pas balisé par défaut, mais peut être balisé si nécessaire. Des ports seront attribués au VLAN natif si aucune autre configuration n'est présente.

Il est correct de le conserver en tant que VLAN 1, mais il peut être modifié, il vous suffit de vous rappeler de fermer les ports inutilisés. Ce que je veux dire par là, si j'ai branché mon ordinateur portable pirate maléfique dans un port de travail qui a été laissé comme VLAN 1, je pourrais potentiellement être en mesure de s'étendre sur l'ensemble de votre réseau, tandis que vous pouvez changer le VLAN natif en VLAN 10, puis pas attribuez VLAN 10 à n'importe quel port.

ISL n'a aucun concept de VLAN natif.

psniffer
la source
0

Voici la solution

User Name:cisco
Password:*********


sw-ext#conf t
sw-ext(config)#vlan database
sw-ext(config-vlan)#default-vlan vlan 10
New Default VLAN ID will be active after save configuration and reboot device.
sw-ext(config-vlan)#exit
sw-ext(config)#do show vlan
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN

Vlan       Name           Tagged Ports      UnTagged Ports      Created by
---- ----------------- ------------------ ------------------ ----------------
 1           1                                                      V
 10         10                               gi1-20,Po1-8           D
volga629
la source