У меня есть точки беспроводного доступа с одним интерфейсом Ethernet.
На этом интерфейсе он имеет IP-адрес управления (немаркированный) и может создавать несколько SSID, каждый из которых может быть подключен к его собственной VLAN.
Насколько я понимаю, это разновидность гибридного порта с немаркированной собственной VLAN и тегированными кадрами.
Я настроил коммутатор Cisco Catalyst для своих 4 точек доступа следующим образом (VLAN 15 подключается к немаркированному интерфейсу управления AP, VLAN 30 является частной, а VLAN 300 - гостевой):
interface range GigabitEthernet1/0/1-4
switchport trunk native vlan 15
switchport trunk allowed vlan 30,15,300
switchport mode trunk
spanning-tree portfast
spanning-tree bpduguard enable
!
Точки доступа могут нормально отправлять помеченные кадры, и кажется, что они пересылаются правильно.
Однако я обнаружил, что могу общаться через интерфейс управления, я должен включить управляющую VLAN в разрешенный список vlan, по какой причине?
Причина, по которой я спрашиваю, что видел другие конфигурации на форумах, заключается в том, что они не включали собственный VLAN в список разрешенных VLAN, я видел в нескольких местах и хотел проверить, нет ли опечатки.
Заранее спасибо.
Причина, по которой я спрашиваю, что видел другие конфигурации на форумах, заключается в том, что они не включали собственный VLAN в список разрешенных VLAN, я видел в нескольких местах и хотел проверить, нет ли опечатки.
Одна из основных причин не включать собственную VLAN - это список разрешенных VLAN, поскольку собственная VLAN представляет собой угрозу безопасности. В настоящее время рекомендуется не включать собственный VLAN в разрешенные VLAN на магистрали и не использовать VLAN 1 ни для чего. Существует заблуждение, что у вас должна быть собственная VLAN на транке.
Локальные для ссылки протоколы, которые отправляют кадры без тегов, по-прежнему будут работать. Они действительно не являются частью VLAN, собственной или какой-либо иной.
Акцент мой:
По умолчанию магистральный порт отправляет трафик и получает трафик от всех VLAN. Все идентификаторы VLAN разрешены для каждой магистрали. Однако вы можете удалить VLAN из этого всеобъемлющего списка, чтобы запретить прохождение трафика из указанных VLAN через магистраль. Позже вы можете добавить любые конкретные VLAN, для которых магистраль будет передавать трафик обратно в список.
И позже:
switch(config-if)# switchport trunk allowed vlan { *vlan-list* all | none [ add |except | none | remove { *vlan-list* }]}Устанавливает разрешенные VLAN для магистрального интерфейса.
Короче говоря, как только вы поставите switch trunk allowed vlan команды на интерфейсе, вы запрещаете все VLAN на этом интерфейсе, кроме тех, которые специально разрешены в команде.
Если вы видели в сети конфиги, где якобы работает иначе, и это определенно оборудование Cisco, вероятно, это ошибка или опечатка. Я не работал буквально со всеми операционными системами Cisco, но все те, что я видел (а их много / большинство), работают одинаково.
ИСХОДНАЯ VLAN НЕ ДОЛЖНА быть включена в список «switch allowed vlan». Однако ИСХОДНАЯ VLAN НЕ ДОЛЖНА использоваться НИКОГДА. Если у вас есть vlan, определенный для любого устройства / порта доступа, тогда эта VLAN должна быть разрешена на магистральном порте и НЕ должна использоваться для NATIVE VLAN.