...还是“默认VLAN”具有更广泛的含义?

还可以/应该更改吗?例如,如果一台交换机进入仅属于一个VLAN而不属于VLAN 1的网络的一部分,则可以使用一个全局命令将所有端口上的“默认” /本机VLAN设置为特定VLAN,或者使所有端口都访问端口并将每个端口的访问VLAN设置为10的首选方法?

评论

对于交换机:配置三个VLAN并将IPv4分配给接口。两个VLAN用于数据,一个用于管理。不要使用默认VLAN。 将端口分配给正确的VLAN。 配置中继到路由器,应在棒状配置上将其设置为路由器

#1 楼

对于刚接触网络的人们来说,这通常是一个困惑的点,特别是对于那些走上思科轨道的人们来说,这是由于思科过分强调这一点。它或多或少只是一个术语。让我解释一下。

802.1q标准定义了一种标记两台交换机之间流量的方法,以区分哪些流量属于哪个VLAN。用思科的术语来说,这就是在“中继”端口上发生的情况。我已经看到其他供应商将其称为“标记”端口。在这种情况下,其含义相同:在帧中添加标识符以指示帧所属的VLAN。除了术语外,要记住的主要事情是VLAN标记是必需的,因为穿越两个交换机的流量通常属于多个VLAN,并且必须有一种方法来确定哪个1和0属于哪个VLAN。
但是,如果希望接收包含VLAN标记的流量的中继端口接收没有标记的流量,会发生什么情况呢?在802.1q的前身,即ISL(思科专有,但过时,没有人支持它,甚至Cisco也没有),干线中未标记的流量将被简单丢弃。提供了一种不仅可以接收此流量,还可以将其关联到您选择的VLAN的方法。此方法称为设置本机VLAN。有效地,您为中继端口配置了本机VLAN,并且任何没有现有VLAN标记到达该端口的流量都将与本机VLAN关联。

和所有配置项一样,如果不显式配置某些内容,通常会存在某种默认行为。对于思科(和大多数供应商),默认本机VLAN为VLAN1。也就是说,如果未明确设置本机VLAN,则中继端口上收到的所有未标记流量都会自动放置在VLAN 1中。 br />
中继端口与所谓的访问端口“相对”(某种)。接入端口发送并希望接收没有VLAN标签的流量。这种工作方式是,访问端口也只会发送并希望接收属于一个VLAN的流量。接入端口是为特定VLAN静态配置的,并且在该端口上接收的任何流量在交换机本身内部都属于特定VLAN(尽管在离开交换机端口时未为该VLAN标记流量)。

现在,添加到令人困惑的组合中。思科书籍通常会引用“默认VLAN”。默认VLAN就是所有访问端口都分配到的VLAN,直到将它们明确地放置在另一个VLAN中为止。对于Cisco交换机(和大多数其他供应商),默认VLAN通常为VLAN1。通常,此VLAN仅与访问端口相关,该端口是发送并希望接收不带VLAN标签的流量的端口(也包括因此,归纳起来:本机VLAN可能会发生变化。


本机VLAN可能会发生变化。您可以将其设置为任何喜欢的内容。

访问端口VLAN可以更改。您可以将其设置为任何您喜欢的。
默认本地VLAN始终为1,这不能更改,因为它是由Cisco设置的
默认VLAN始终为1,这不能更改,因为它是由Cisco设置的。


编辑:忘记了其他问题:


另外,可以/应该更改吗?


这主要是一个意见问题。我倾向于同意这种思想流派:

所有未使用的端口应位于特定的VLAN中。所有活动端口均应明确设置为特定VLAN。如果流量属于VLAN1或用于未使用端口的VLAN,则交换机应阻止流量将上行链路穿越到网络的其余部分。所有其他内容都应允许在上行链路上使用。

但背后有许多不同的理论。以及不同的要求(这些要求会阻止这种受限的交换策略(规模,资源等))。例如,如果某个交换器进入仅属于网络的一部分,
一个VLAN而不是VLAN 1,是否可以使用一个全局命令将所有端口上的“ default” /
本机VLAN设置为特定VLAN,
还是首选的所有端口都访问端口,并将每个端口上的
访问VLAN设置为10?


您不能更改默认的Cisco配置。您可以使用“接口范围”将所有端口一次性放入不同的VLAN中。您实际上并不需要更改上行链路中继上的本机VLAN,只要另一台交换机使用相同的本机VLAN。如果您确实想避免交换机添加VLAN标记,则可以发挥创意并执行以下操作(尽管可能不建议这样做)。

将所有访问端口保留在VLAN1中。将本机VLAN保留为默认值(VLAN1)。在上行链路交换机上,将该端口设置为中继端口。并将其本机VLAN设置为您希望下层交换机成为其一部分的VLAN。由于下层交换机将不加标签地将流量发送到上层交换机,因此上层交换机将接收流量并将其与本机VLAN关联。

评论

好答案,@ Eddie。设置我们的思科交换机的人使用默认VLAN 1作为我们的主数据LAN,使用VLAN 2作为我们的语音。我们正在建立一个新站点,这两个站点将通过以太网链接。新站点将使用VLAN 11和12。是否有某种方法可以防止链路一侧的VLAN 1穿越另一侧?

–马蒂·布朗(Matty Brown)
15年6月22日在10:27
我曾经看到过“默认VLAN”用作“本地VLAN”的同义词。同样,不使用VLAN 1进行Cisco交换机上的流量,也不尝试禁用VLAN 1被认为是最佳实践。否则,很好的答案。

– Todd Wilcox
2015年6月22日14:50


@ToddWilcox这就是让它如此混乱的原因。默认VLAN为1。默认Native VLAN也是1。因此,默认情况下,默认VLAN为默认Native VLAN。但是它们并不是一回事。

–艾迪
2015年6月23日在3:13


这非常有帮助。但是,由于此CISCO文章(它说您可以),我陷入了无法更改默认VLAN的困境:cisco.com/c/en/us/support/docs/smb/switches/…

–Usagi
20-11-30在5:07


@Usagi这是思科内部与自己的条款不一致的一个很好的例子。我完全理解您的困惑!在这里,默认默认VLAN为1(这是Cisco在实际软件中设置的。但是,它们允许您通过设置新的默认VLAN来更改所有访问端口所属的初始VLAN。老实说,他们应该将默认VLAN用于不变的是第二个,而初始VLAN是第二个。很遗憾,我当时不在会议上,那是决定的=)

–艾迪
20/12/2在18:28

#2 楼

本机VLAN仅与802.1q相关,是的,默认情况下未标记,但可以根据需要标记。如果没有其他配置,则将端口分配给本机VLAN。

可以将其保留为VLAN 1,但是可以更改它,您只需要记住关闭未使用的端口即可。我的意思是,如果我将邪恶的黑客笔记本电脑插入保留为VLAN 1的工作端口,则可能可以跨整个网络,而您可以将本地VLAN更改为VLAN 10,然后将VLAN 10分配给任何端口。

ISL没有本机VLAN的概念。

#3 楼

这里的解决方案

User Name:cisco
Password:*********


sw-ext#conf t
sw-ext(config)#vlan database
sw-ext(config-vlan)#default-vlan vlan 10
New Default VLAN ID will be active after save configuration and reboot device.
sw-ext(config-vlan)#exit
sw-ext(config)#do show vlan
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN

Vlan       Name           Tagged Ports      UnTagged Ports      Created by
---- ----------------- ------------------ ------------------ ----------------
 1           1                                                      V
 10         10                               gi1-20,Po1-8           D


评论

没有回答这个问题...

– Zac67
20年6月23日在11:30