По умолчанию на коммутаторах SNR на портах в режиме Trunk и Hybrid - VLAN ID 1 задан как Native VLAN. Запретить изучение нетегированных кадров можно несколькими способами, которые мы рассмотрим в этой статье.
Switchport discard packet untag
Данный способ является рекомендуемым. Запретить прохождение нетегированных кадров на порте можно в режиме конфигурации интерфейса с помощью команды:
switchport discard packet untag
С данной командой весь входящий нетегированный трафик будет отброшен, при этом протоколы LLDP, STP, и т.п. продолжат работать.
Важно!
Нельзя использовать данный функционал одновременно с QinQ.
Важно!
По умолчанию тегированные кадры с тегом, равным native vlan, разрешены. Запретить прохождение тегированного трафика на порте можно командой 'switchport discard packet tag'.
Использование VLAN-заглушки (Dummy VLAN)
В случае, если коммутатор не поддерживает функционал 'switchport discard packet untag' либо его использование невозможно - решением будет создание VLAN, неиспользуемого на коммутаторе, и добавление его в качестве Native-VLAN на необходимый интерфейс, так называемый Dummy VLAN:
SNR-SWITCH(config)#vlan 4094 SNR-SWITCH(config-vlan4094)#exit SNR-SWITCH(config)#interface ethernet 1/0/X SNR-SWITCH(config-if-ethernet1/0/X)#switchport trunk native vlan 4094
Примечание!
Если вы встраиваете коммутатор в мультивендорную IP-фабрику, то вы наверняка столкнётесь с проблемой образования колец в Native VLAN. Cisco имеет элегантное решение в виде команды "no switchport", тогда порт становится L3-интерфейсом и обменивается только нетегированным трафиком. Для симуляции такого поведения на коммутаторе SNR вам нужно выделить группу VLAN, где один VLAN отводится на один интерфейс (порт или Port-Channel) в режиме Access, создать Interface VLAN для каждого VLAN с IP-адресом и применить один-к-одному множество VLAN на множество портов в режиме Access, симулирующих L3-интерфейсы.
Но при таком решении Cisco через порт нельзя передать тегированный трафик различных VLAN. Чтобы на коммутаторах SNR была возможность одновременно передать несколько VLAN с тегом и симулировать режим порта в качестве L3 для нетегированного трафика без угроз передаче служебных сообщений в Native-VLAN (такие как STP, LACP, LLDP и прочее), рекомендуется использовать именно способ с VLAN-заглушкой в качестве Native-VLAN!
Выделите группу VLAN, где один VLAN отводится на один интерфейс (порт или Port-Channel) в качестве Native-VLAN (подходит и для портов в режиме Trunk, и для портов в режиме Hybrid), это даст L2-изоляцию нетегированного трафика между портами, и настройте оставшиеся VLAN в режиме передачи с меткой, это позволит оставшемуся трафику беспрепятственно передаваться через порт/Port-Channel с метками VLAN!
Forbidden VLAN in Hybrid mode
В случае, если вы используете Hybrid mode, VLAN 1 можно исключить в режиме конфигурации интерфейса, указав его как forbidden:
switchport forbidden vlan 1
Важно!
Данный способ не является рекомендуемым, так как при его использовании протоколы LLDP, STP и т.п. работать не будут!
Switchport (trunk | hybrid) native-vlan not-forward
Часть серий поддерживает новую команду для режимов Trunk и Hybrid, которая блокирует отправку и приём нетегированного трафика в Native-VLAN.
Важно!
Данный способ является рекомендуемым только в случае, если через порт не передаются и не принимаются служебные сообщения в Native-VLAN, так как при его использовании протоколы LACP, LLDP, STP и т.п. работать не будут!
Если вы включите эту команду на Port-Channel, работающий через согласование протокола LACP, то Port-Channel будет разрушен, т.к. функционал отбросит сообщения LACP!
Если вы включите эту команду на Port-Channel, работающий через согласование протокола LACP, то Port-Channel будет разрушен, т.к. функционал отбросит сообщения LACP!
Для порта, работающего в режиме Trunk, команда применяется в режиме конфигурации порта и выглядит следующим образом:
switchport trunk native-vlan not-forward
Для порта, работающего в режиме Hybrid, команда применяется в режиме конфигурации порта и выглядит следующим образом:
switchport hybrid native-vlan not-forward