По умолчанию на коммутаторах SNR на портах в режиме Trunk и Hybrid - VLAN ID 1 задан как Native VLAN. Запретить изучение нетегированных кадров можно несколькими способами, которые мы рассмотрим в этой статье.
Switchport discard packet untag
Данный способ является рекомендуемым. Запретить прохождение нетегированных кадров на порте можно в режиме конфигурации интерфейса с помощью команды:
| Code Block |
|---|
|
switchport discard packet untag |
С данной командой весь входящий нетегированный трафик будет отброшен, при этом протоколы LLDP, STP, и т.п. продолжат работать.
| Info |
|---|
|
| Нельзя использовать данный функционал одновременно с QinQ. |
| Info |
|---|
|
| По умолчанию тегированные кадры с тегом, равным native vlan, разрешены. Запретить прохождение тегированного трафика на порте можно командой 'switchport discard packet tag'. |
Использование VLAN-заглушки
В случае, если коммутатор не поддерживает функционал 'switchport discard packet untag' либо его использование невозможно - решением будет создание VLAN, неиспользуемого на коммутаторе, и добавление его как native на необходимый интерфейс:
| Code Block |
|---|
|
SNR-SWITCH(config)#vlan 4094
SNR-SWITCH(config-vlan4094)#exit
SNR-SWITCH(config)#interface ethernet 1/0/X
SNR-SWITCH(config-if-ethernet1/0/X)#switchport trunk native vlan 4094 |
Forbidden VLAN in Hybrid mode
В случае, если вы используете Hybrid mode, VLAN 1 можно исключить в режиме конфигурации интерфейса, указав его как forbidden:
| Code Block |
|---|
|
switchport forbidden vlan 1 |
| Info |
|---|
|
| Данный способ не является рекомендуемым, так как при его использовании протоколы LLDP, STP, и т.п. работать не будут! |
