我有一个带有单个以太网接口的无线接入点。
在此接口上,它有一个管理 IP 地址(未标记),并且可以创建多个 SSID,每个 SSID 都可以桥接到其自己的 VLAN。
据我了解,这是一种具有未标记的本机 VLAN 和标记的帧的混合端口形式。
我已经为我的 4 个 AP 设置了具有以下内容的 Cisco Catalyst 交换机(VLAN 15 连接到 AP 的未标记管理接口,VLAN 30 为私有,VLAN 300 为来宾):
interface range GigabitEthernet1/0/1-4
switchport trunk native vlan 15
switchport trunk allowed vlan 30,15,300
switchport mode trunk
spanning-tree portfast
spanning-tree bpduguard enable
!
AP 可以正常发送标记帧,并且这些帧似乎被正确转发。
但是我发现为了能够在管理接口上通信,我必须将管理 VLAN 包含在允许的 VLAN 列表中,这背后有什么原因吗?
我询问的原因是,我在论坛中看到其他配置,它们没有在允许的 VLAN 列表中包含本机 VLAN,我在几个地方看到了这个配置,想检查是否有拼写错误。
提前致谢。
答案1
重点是我的:
默认情况下,Trunk 端口会向所有 VLAN 发送流量并接收来自所有 VLAN 的流量。每个 VLAN ID 都允许使用。但是,您可以从此包含列表中删除 VLAN,以阻止来自指定 VLAN 的流量通过中继。稍后,您可以添加任何希望中继承载流量的特定 VLAN 到列表中。
然后:
switch(config-if)# switchport trunk allowed vlan { *vlan-list* all | none [ add |except | none | remove { *vlan-list* }]}设置中继接口允许的 VLAN。
简而言之,一旦您switch trunk allowed vlan在接口上输入命令,您就会拒绝该接口上的所有 VLAN,除了命令中特别允许的 VLAN。
如果您在网上看到配置据称工作方式不同,而且它肯定是思科设备,那么这可能是一个错误或打字错误。我并没有使用过每个思科操作系统,但我见过的所有操作系统(其中很多/大多数)的工作方式都相同。
答案2
我询问的原因是,我在论坛中看到其他配置,它们没有在允许的 VLAN 列表中包含本机 VLAN,我在几个地方看到了这个配置,想检查是否有拼写错误。
不将本机 VLAN 包含在允许的 VLAN 列表中的一个重要原因是本机 VLAN 存在安全风险。当前的最佳做法是不要将本机 VLAN 包含在中继上的允许 VLAN 中,并且不要将 VLAN 1 用于任何用途。有一种误解认为中继上必须有本机 VLAN。
发送不带标签的帧的本地链路协议仍将起作用。它们实际上不是 VLAN 的一部分,无论是本地 VLAN 还是其他 VLAN。
答案3
NATIVE VLAN 不应包含在“交换机允许的 VLAN”列表中。但是,NATIVE VLAN 也不应用于任何其他用途。如果您为任何设备/访问端口定义了 VLAN,则必须在中继端口上允许该 VLAN,并且不应将其用于 NATIVE VLAN。
答案4
将本机 VLAN 视为您希望流量流经的桥接器,并将标记流量(允许的 VLAN)视为驶过桥接器的车辆。中继两端的两个接口上的本机 VLAN 必须相同。
停止使用 VLAN 15 作为桥接器(本机 VLAN),它显然是一种车辆。