Apakah "VLAN default" hanyalah VLAN asli bawaan (tidak ditandai) pada semua antarmuka yang tidak memiliki konfigurasi?

14

... atau apakah "VLAN default" memiliki makna yang lebih luas?

Juga, bisakah / haruskah itu diubah? Misalnya, jika sebuah saklar masuk ke bagian jaringan yang hanya satu VLAN dan itu bukan VLAN 1, apakah mungkin untuk membuat "default" / VLAN asli pada semua port VLAN tertentu menggunakan satu perintah global, atau apakah metode yang disukai untuk membuat semua port mengakses port dan mengatur akses VLAN ke 10 pada masing-masing porta?

Matty Brown
sumber

Jawaban:

26

Ini adalah titik yang sering membingungkan bagi orang-orang yang baru mengenal Networking, khususnya bagi orang-orang yang muncul di jalur Cisco, karena Cisco terlalu menekankan pada titik ini. Ini kurang lebih hanya istilah terminologi. Biarkan saya jelaskan.

Standar 802.1q mendefinisikan metode penandaan lalu lintas antara dua sakelar untuk membedakan lalu lintas mana yang menjadi milik VLAN mana. Dalam istilah Cisco, inilah yang terjadi pada port " trunk ". Saya telah melihat vendor lain menyebut ini sebagai port "yang ditandai". Dalam konteks ini, artinya sama: menambahkan pengenal ke bingkai untuk menunjukkan apa VLAN bingkai milik. Selain terminologi, hal utama yang perlu diingat adalah tag VLAN diperlukan, karena seringkali lalu lintas yang melintasi dua sakelar milik beberapa VLAN, dan harus ada cara untuk menentukan 1 dan 0 milik VLAN mana.

Tetapi apa yang terjadi jika port trunk, yang mengharapkan untuk menerima lalu lintas yang mencakup tag VLAN, menerima lalu lintas tanpa tag? Dalam pendahulunya ke 802.1q, yang dikenal sebagai ISL (hak milik cisco, tetapi kuno, tidak ada yang mendukungnya lagi, bahkan Cisco), lalu lintas yang tidak ditandai pada bagasi hanya akan dijatuhkan.

802.1q Namun, disediakan cara untuk tidak hanya menerima lalu lintas ini, tetapi juga mengaitkannya dengan VLAN yang Anda pilih. Metode ini dikenal sebagai pengaturan VLAN Asli . Secara efektif, Anda mengonfigurasi port trunk Anda dengan NLAN VLAN, dan lalu lintas apa pun yang tiba di port tersebut tanpa tag VLAN yang ada, akan dikaitkan dengan NLAN VLAN Anda.

Seperti semua item konfigurasi, jika Anda tidak secara eksplisit mengkonfigurasi sesuatu, biasanya ada semacam perilaku default. Dalam kasus Cisco (dan sebagian besar vendor), Default Native VLAN adalah VLAN 1. Artinya, jika Anda tidak mengatur Native VLAN secara eksplisit, lalu lintas tanpa tanda apa pun yang diterima pada port trunk secara otomatis ditempatkan di VLAN 1.

Port trunk adalah "lawan" (semacam) dari apa yang dikenal sebagai Access Port . Port akses mengirim dan berharap untuk menerima lalu lintas tanpa tag VLAN. Cara ini dapat bekerja, adalah bahwa port akses juga hanya mengirim dan mengharapkan untuk menerima lalu lintas milik satu VLAN . Port akses dikonfigurasikan secara statis untuk VLAN tertentu, dan lalu lintas apa pun yang diterima pada port tersebut secara internal dikaitkan pada Switch itu sendiri sebagai milik VLAN tertentu (meskipun tidak menandai traffic untuk VLAN itu ketika meninggalkan port switch).

Sekarang, untuk menambah campuran yang membingungkan. Buku-buku Cisco akan sering merujuk ke "VLAN default". The default VLAN hanyalah VLAN mana semua Ports Akses ditugaskan untuk sampai mereka secara eksplisit ditempatkan di VLAN lain. Dalam kasus switch Cisco (dan sebagian besar Vendor lainnya), VLAN Default biasanya VLAN 1. Biasanya, VLAN ini hanya relevan pada port Access, yang merupakan port yang mengirim dan mengharapkan untuk menerima lalu lintas tanpa tag VLAN (juga dirujuk ke 'pelabuhan tanpa tanda' oleh vendor lain).

Jadi, untuk meringkas:

  • The asli VLAN dapat berubah . Anda dapat mengaturnya ke apa pun yang Anda suka.
  • The Port Akses VLAN dapat berubah . Anda dapat mengaturnya ke apa pun yang Anda suka.
  • The default asli VLAN selalu 1, ini tidak dapat berubah, karena set yang cara dengan Cisco
  • The VLAN default selalu 1, ini tidak dapat diubah, karena sudah diatur bahwa cara oleh Cisco

edit: lupa pertanyaan Anda yang lain:

Juga, bisakah / haruskah itu diubah?

Ini sebagian besar merupakan pertanyaan pendapat. Saya cenderung setuju dengan aliran pemikiran ini:

Semua port yang tidak digunakan harus dalam VLAN tertentu. Semua port aktif harus secara eksplisit diatur ke VLAN tertentu. Switch Anda kemudian harus mencegah lalu lintas dari melintasi uplink ke seluruh jaringan Anda jika lalu lintas milik VLAN1, atau VLAN yang Anda gunakan untuk port yang tidak digunakan. Yang lainnya harus diizinkan uplink.

Tetapi ada banyak teori berbeda di balik ini. Serta persyaratan yang berbeda yang akan mencegah memiliki kebijakan saklar terbatas (skala, sumber daya, dll).

Misalnya, jika sebuah saklar masuk ke bagian jaringan yang hanya satu VLAN dan itu bukan VLAN 1, apakah mungkin untuk membuat "default" / VLAN asli pada semua port VLAN tertentu menggunakan satu perintah global, atau apakah metode yang disukai untuk membuat semua port mengakses port dan mengatur akses VLAN ke 10 pada masing-masing porta?

Anda tidak dapat mengubah konfigurasi default Cisco. Anda dapat menggunakan "rentang antarmuka" untuk meletakkan semua port dalam VLAN yang berbeda sekaligus. Anda tidak benar-benar perlu mengubah NLAN VLAN pada trunk uplink, selama sakelar lain menggunakan NLAN VLAN yang sama. Jika Anda benar-benar ingin membuat switch tidak menambahkan Tag VLAN, Anda bisa berkreasi dan melakukan hal berikut (walaupun, mungkin tidak disarankan).

Tinggalkan semua port akses di VLAN1. Biarkan VLAN Asli pada pengaturan standar (VLAN1). Pada sakelar uplink, atur port sebagai port trunk. Dan atur VLAN Asli ke VLAN yang Anda inginkan agar sakelar bawah menjadi bagiannya. Karena sakelar bawah akan mengirimkan lalu lintas ke sakelar atas tanpa tag, sakelar atas akan menerimanya dan mengaitkannya dengan apa yang dianggap sebagai VLAN Asli.

Eddie
sumber
3
Jawaban yang bagus, @Eddie. Orang-orang yang mengatur switch Cisco kami menggunakan VLAN 1 default untuk LAN data utama kami dan VLAN 2 untuk suara kami. Kami sedang menyiapkan situs baru dan keduanya akan ditautkan melalui Ethernet. Situs baru akan menggunakan VLAN 11 dan 12. Apakah ada cara untuk mencegah VLAN 1 di satu sisi tautan agar tidak menyeberang ke sisi lain?
Matty Brown
1
Saya telah melihat "VLAN default" yang digunakan sebagai sinonim untuk "VLAN asli" di masa lalu. Juga, itu dianggap praktik terbaik untuk tidak menggunakan VLAN 1 untuk lalu lintas di switch Cisco, dan juga untuk tidak mencoba menonaktifkannya. Kalau tidak, jawabannya luar biasa.
Todd Wilcox
@ToddWilcox Itulah yang membuatnya sangat membingungkan. The VLAN default adalah 1 yang standar asli VLAN .is juga 1. Jadi dengan cara, default VLAN adalah, secara default, default asli VLAN. Tetapi mereka tidak benar-benar sama.
Eddie
1

VLAN asli hanya relevan dengan 802.1q, ya itu tidak ditandai secara default, tetapi dapat ditandai jika diperlukan. Port akan ditetapkan ke VLAN asli jika tidak ada konfigurasi lain.

Tidak apa-apa untuk menyimpannya sebagai VLAN 1, tetapi dapat diubah, Anda hanya perlu ingat untuk mematikan port yang tidak digunakan. Apa yang saya maksudkan dengan ini, jika saya menghubungkan laptop hacker jahat saya ke port yang berfungsi sebagai VLAN 1, saya berpotensi dapat menjangkau seluruh jaringan Anda, sedangkan Anda dapat mengubah VLAN asli ke VLAN 10, dan kemudian tidak tetapkan VLAN 10 ke port apa saja.

ISL tidak memiliki konsep VLAN asli.

psniffer
sumber
0

Di sini solusinya

User Name:cisco
Password:*********


sw-ext#conf t
sw-ext(config)#vlan database
sw-ext(config-vlan)#default-vlan vlan 10
New Default VLAN ID will be active after save configuration and reboot device.
sw-ext(config-vlan)#exit
sw-ext(config)#do show vlan
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN

Vlan       Name           Tagged Ports      UnTagged Ports      Created by
---- ----------------- ------------------ ------------------ ----------------
 1           1                                                      V
 10         10                               gi1-20,Po1-8           D
volga629
sumber