Запретить использование native VLAN

Коллеги, доброго времени суток!
Хочу поинтересоваться, можно ли запретить коммутатору использовать native vlan, т.е. настроить его таким образом, чтобы все vlan-ы имели тег? Помнится где-то видел такой вопрос. Поиском в нете нашел пару команд
dot1q native vlan tagging
и
vlan dot1q tag native
К сожалению, в UNL они не поддерживаются, а живого коммутатора для проверки под руками сейчас нет.
Спасибо!
Тэги темы:

Комментарии

  • Vlad1904 написал:

    Коллеги, доброго времени суток!
    Хочу поинтересоваться, можно ли запретить коммутатору использовать native vlan, т.е. настроить его таким образом, чтобы все vlan-ы имели тег? Помнится где-то видел такой вопрос. Поиском в нете нашел пару команд
    dot1q native vlan tagging
    и
    vlan dot1q tag native
    К сожалению, в UNL они не поддерживаются, а живого коммутатора для проверки под руками сейчас нет.
    Спасибо!

    # vlan dot1q tag native - верная команда
  • vlan dot1q tag native - команда глобальная, хотя логика (моя, как минимум) говорит, что это должно разрешаться и запрещаться per trunk.
  • В коммутаторах таких производителей, как Huawei, HP это настраивается посредством

    switchport mode hybrid
    switchport hybrid allowed vlan [vlan_number] tagged
  • Просто можно сказать тегировать native vlan, а запретить нельзя, тогда будет не понятно, что делать с трафиком, который родился на коммутаторе, а не из под порта.
  • Per port:
    interface e 0/0
    switchport trunk encapsulation dot1q
    switchport trunk native vlan 666
    switchport trunk allowed vlan remove 666
    switchport mode trunk
  • vadim написал:

    Per port:

    interface e 0/0

    switchport trunk encapsulation dot1q

    switchport trunk native vlan 666

    switchport trunk allowed vlan remove 666

    switchport mode trunk

    Фреймы из влана 666 будут всё равно проходить нетегированными через такой транк.
  • Видел заметку на эту тему:
    http://i-ivanov.livejournal.com/15037.html

    Но на IOU L2 не прокатило, на старом 2950 тоже - команд таких не знают.

  • CAT6509sup2t#sh vlan dot1q tag native
    dot1q native vlan tagging is disabled globally

    Per Port Native Vlan Tagging State:
    -------------------------------------------

    Port Operational Native VLAN
    Mode Tagging State
    -------------------------------------------

    Gi1/46 trunk disabled
    Te4/3 trunk disabled
    Te4/4 trunk disabled
    Gi5/1 trunk disabled
    Gi5/3 trunk disabled
    Te6/3 trunk disabled
    Te6/7 trunk disabled
    Po11 trunk disabled
    Po24 trunk disabled
    Po36 trunk disabled

    (config)#vlan dot1q tag native ?


    cat3750E#sh vlan dot1q tag native
    dot1q native vlan tagging is disabled

    На большой железке - пер порт, на маленькой - только глобально.
  • dmfigol написал:

    vadim написал:

    Per port:

    interface e 0/0

    switchport trunk encapsulation dot1q

    switchport trunk native vlan 666

    switchport trunk allowed vlan remove 666

    switchport mode trunk

    Фреймы из влана 666 будут всё равно проходить нетегированными через такой транк.
    Нашел такое:
    http://www.ciscopress.com/articles/article.asp?p=2181837&seqNum=7

    Look at the configuration of port F0/1 on switch S1 as a trunk port. The native VLAN is changed to VLAN 99 and the allowed VLAN list is restricted to 10, 20, and 30. If the native VLAN is not allowed on the trunk link, the trunk will not allow any data traffic for the native VLAN.

    S1(config)# interface fastethernet0/1
    S1(config-if)# switchport mode trunk
    S1(config-if)# switchport trunk native vlan 99
    S1(config-if)# switchport trunk allowed vlan 10,20,30
    S1(config-if)# end

    Специально перепроверил это в UNL: создал interface vlan с номером native vlan, но в список разрешенных его не добавил. Пинг с одного коммутатора на другой не проходит.
  • dmfigol написал:

    vadim написал:

    Per port:

    interface e 0/0

    switchport trunk encapsulation dot1q

    switchport trunk native vlan 666

    switchport trunk allowed vlan remove 666

    switchport mode trunk

    Фреймы из влана 666 будут всё равно проходить нетегированными через такой транк.
    Почему они будут проходить? Нетегированные фреймы будут относится к vlan 666, которого соответственно нету в списке trunk allowed vlan.
  • Yernat написал:

    dmfigol написал:

    vadim написал:

    Per port:

    interface e 0/0

    switchport trunk encapsulation dot1q

    switchport trunk native vlan 666

    switchport trunk allowed vlan remove 666

    switchport mode trunk

    Фреймы из влана 666 будут всё равно проходить нетегированными через такой транк.
    Почему они будут проходить? Нетегированные фреймы будут относится к vlan 666, которого соответственно нету в списке trunk allowed vlan.
    Да, вы правы. Мне почему-то запомнилась эта особенность, когда я тестил раньше. Сейчас проверил - всё работает так, как вы написали.
  • dmfigol написал:

    Yernat написал:

    dmfigol написал:

    vadim написал:

    Per port:

    interface e 0/0

    switchport trunk encapsulation dot1q

    switchport trunk native vlan 666

    switchport trunk allowed vlan remove 666

    switchport mode trunk

    Фреймы из влана 666 будут всё равно проходить нетегированными через такой транк.
    Почему они будут проходить? Нетегированные фреймы будут относится к vlan 666, которого соответственно нету в списке trunk allowed vlan.
    Да, вы правы. Мне почему-то запомнилась эта особенность, когда я тестил раньше. Сейчас проверил - всё работает так, как вы написали.
    trunk allowed , только для транзитного трафика
  • отредактировано Апрель 2016
    husard написал:

    dmfigol написал:

    Yernat написал:

    dmfigol написал:

    vadim написал:

    Per port:

    interface e 0/0

    switchport trunk encapsulation dot1q

    switchport trunk native vlan 666

    switchport trunk allowed vlan remove 666

    switchport mode trunk

    Фреймы из влана 666 будут всё равно проходить нетегированными через такой транк.
    Почему они будут проходить? Нетегированные фреймы будут относится к vlan 666, которого соответственно нету в списке trunk allowed vlan.
    Да, вы правы. Мне почему-то запомнилась эта особенность, когда я тестил раньше. Сейчас проверил - всё работает так, как вы написали.
    trunk allowed , только для транзитного трафика
    только для транзитного?

    sh vlan br
    11: e0/1
    22: e0/2
    33: e0/3
    44: e0/4

    sh run int e0/5
    sw mo trunk
    sw trunk native vlan 33
    sw trun allowed vlan 11,22,44

    работать не будет?
  • Yernat написал:

    husard написал:

    dmfigol написал:

    Yernat написал:

    dmfigol написал:

    vadim написал:

    Per port:

    interface e 0/0

    switchport trunk encapsulation dot1q

    switchport trunk native vlan 666

    switchport trunk allowed vlan remove 666

    switchport mode trunk

    Фреймы из влана 666 будут всё равно проходить нетегированными через такой транк.
    Почему они будут проходить? Нетегированные фреймы будут относится к vlan 666, которого соответственно нету в списке trunk allowed vlan.
    Да, вы правы. Мне почему-то запомнилась эта особенность, когда я тестил раньше. Сейчас проверил - всё работает так, как вы написали.
    trunk allowed , только для транзитного трафика
    только для транзитного?

    sh vlan br
    11: e0/1
    22: e0/2
    33: e0/3
    44: e0/4

    sh run int e0/5
    sw mo trunk
    sw trunk native vlan 33
    sw trun allowed vlan 11,22,44

    работать не будет?
    я все это понял так: не пойдет через транк 33 влан, а так как с ним асоциирован натив влан, то соответственно нетегированного трафика в транке не будет.


  • husard написал:

    dmfigol написал:

    Yernat написал:

    dmfigol написал:

    vadim написал:

    Per port:

    interface e 0/0

    switchport trunk encapsulation dot1q

    switchport trunk native vlan 666

    switchport trunk allowed vlan remove 666

    switchport mode trunk

    Фреймы из влана 666 будут всё равно проходить нетегированными через такой транк.
    Почему они будут проходить? Нетегированные фреймы будут относится к vlan 666, которого соответственно нету в списке trunk allowed vlan.
    Да, вы правы. Мне почему-то запомнилась эта особенность, когда я тестил раньше. Сейчас проверил - всё работает так, как вы написали.
    trunk allowed , только для транзитного трафика
    Что значит только для транзитного трафика?
  • Thus when VLAN 1 is removed of a trunk, only transit data traffic is removed. The control frames as mentioned are still forward with VLAN-ID 1
  • 2husard

    Vlan 1 отличается от любого другого вилана?

    Вопрос, указанный выше пример нерабочий?
  • если между двумя цисками можно еще ISL использовать вместо dot1q :3 если вопрос только в native vlan'е
  • With Cisco IOS Release 12.1(11b)E or later, you can remove VLAN
    1 from a trunk port. Even after removing VLAN 1 from a trunk, the trunk interface continues to send and
    receive management traffic. For example, CDP, VTP, Port Aggregation Protocol (PAgP), and DTP all use
    VLAN 1, regardless of the existence of VLAN 1 on the port.
Войдите или Зарегистрируйтесь чтобы комментировать.