По умолчанию на коммутаторах SNR на портах в режиме Trunk и Hybrid VLAN ID 1 задан как Native VLAN. Запретить изучение нетегированных кадров можно несколькими способами, которые мы рассмотрим в этой статье.
Switchport discard packet untag
Данный способ является рекомендуемым. Запретить прохождение нетегированных кадров на порте можно в режиме конфигурации интерфейса с помощью команды:
switchport discard packet untag
С данной командой весь входящий нетегированный трафик будет отброшен, при этом протоколы LLDP, STP, и т.п. продолжат работать.
Важно!
Нельзя использовать данный функционал одновременно с QinQ.
Важно!
По умолчанию тегированные кадры с тегом, равным native vlan, разрешены. Запретить прохождение тегированного трафика на порте можно командой 'switchport discard packet tag'.
Использование VLAN-заглушки
В случае, если коммутатор не поддерживает функционал 'switchport discard packet untag' либо его использование невозможно - решением будет создание VLAN, неиспользуемого на коммутаторе, и добавление его как native на необходимый интерфейс:
SNR-SWITCH(config)#vlan 4094 SNR-SWITCH(config-vlan4094)#exit SNR-SWITCH(config)#interface ethernet 1/0/X SNR-SWITCH(config-if-ethernet1/0/X)#switchport trunk native vlan 4094
Forbidden VLAN in Hybrid mode
В случае, если вы используете Hybrid mode, VLAN 1 можно исключить в режиме конфигурации интерфейса, указав его как forbidden:
switchport forbidden vlan 1
Важно!
Данный способ не является рекомендуемым, так как при его использовании протоколы LLDP, STP, и т.п. работать не будут!