office vlan

[VinchenzO]

Такое вопросец можно ли использовать default vlan "1" Для начала построения сети

какие проблемы могут встретиться... ? например при покупки свечей всегда забит 1vlan, могут быть с этим проблемы и т.д

[qwertzy]

Такое вопросец можно ли использовать default vlan "1" Для начала построения сети

Можно, только отравишься. © Спортлото-82

А почему сомнения, и какое понятие в default vlan вы вкладываете? Отстойник для не прошедших авторизацию? Или vid нетегированного пакета?

[vIv]

"VLAN 1 MUST be statically configured and MUST NOT contain any ports" © "Мурзилка"

Правда, это для тех, кто уже знает, как работают сети, - так сказать, правила хорошего тона, чтобы даже случайных ошибок избегать.

[VinchenzO]

хм значит не чего страшного не будет то есть разницы между по примеру 10vlan и 1vlan нету только у 1vlan, все новые оборудования уже идут с завода с 1VID VLAN(ом)

(да он будет тегированный) просто тут были советчики вот и стал сомневаться..

 

цитирую >

>>>НИКОГДА, ПОВТОРЯЮ, НИКОГДА НЕ ИСПОЛЬЗУЙТЕ ДЛЯ УПРАВЛЕНИЯ 1(ДЕФОЛТНЫЙ) ВЛАН"

>>> потому что, он наверно на то и называется по умолчанию, много свичей у народа полегло пока не сказали им что нельзя использовать для управления дефолтный влан.

[terrible]

в чём заключается подвох использования vlan id 1 для управления?

[No_name]

да ни в чем, кто-то постебался, а человек за чистую монету принял ;)

[darkagent]

тут скорее недопонимание сути вопроса - дефолтный влан тут вобще не причем, не рекомендуется использовать настройки по умолчанию для вланов - т.е. надо разводить интерфейс управления и абонентские сети по разным вланам.

[vIv]

в чём заключается подвох использования vlan id 1 для управления?

Кто-то где-то в сети сунет что-то - и увидит всё, что там идёт. Поэтому VLAN 1 должен быть, но должен быть зафильтрован на всех портах. Чтобы даже если по случайности прилетит, например, по GVRP, - всё-равно траффик из него никуда бы не прошёл.

Как следствие из того, что VLAN 1 зафильтрован, вытекает, что управление должно быть в каком-то другом VLAN =)

[terrible]

Если кто-то где-то что-то сунул в сеть так, чтобы попасть в management vlan - это в любом случае будет откровенное гавно, какой бы vlan id там ни был.

Edited April 26, 2011 by terrible

[Negator]

Более того -на длинках порой удобно использовать именно 1 влан для управления.

[No_name]

Если кто-то где-то что-то сунул в сеть так, чтобы попасть в management vlan - это в любом случае будет откровенное гавно, какой бы vlan id там ни был.

ага

Edited April 26, 2011 by Brainiac

[VinchenzO]

не будет 1vlan на всех портах, он нужен как и сказали для управления! зайти на него можно только из за определенной подсети!

[[S]]

Можно и оставить vid 1, только по-дефолту он во все порты untagged, действий для модификаций больше, чем просто грохнуть влан.

Ну и можно порт пропустить.

Вообще, все от дизайна сети зависит, но по мне лучше удалить и не париться, т.к. снижается вероятность ошибки конфигурирования.

[darkagent]

Более того -на длинках порой удобно использовать именно 1 влан для управления.

сразу хочется вспомнить des-3028, у которого был баг в заводской прошивке (та что 1.00-b32, если память не изменяет) с gvrp ingress checking - если ты вдувал с аплинка вланы, которых нет на самом 3028, он тупо дропал вобще все пакеты - даже тех вланов, которые есть на 3028.

Кто-то где-то в сети сунет что-то - и увидит всё, что там идёт.

для этого gvrp ingress checking и нужен. а вобще по хорошему управляющий влан изначально должен существовать только на магистральных портах - на абонентском чистый untag абонентского влана и ingress checking.

[VinchenzO]

ага это правда то что он сразу все порты поднимает, а убирать из запарно, легче создать другой vlan)) спасибо

[darkagent]

есть еще одна фишка, о которой многие, привык к длинкам, забывают напроч - conf vlan XX add forbidden ports...

[[S]]

Фишек много, если сеть - зоопарк - проще делать одно, если структурирована - проще слепить стандартный конфиг\скрипт и проливать им новые девайсы на столе.

Ну если это офис, то надо смотреть, 1 влан пригодится там, где сервер не умеет вланы, например. Ну таких примеров довольно много.

[No_name]

' timestamp='1303829183' post='609169']

... действий для модификаций больше, чем просто грохнуть влан.

Смотря на чем.

В правильном обрудовании все приводится к правильному виду 4мя строчкми, а думается у большинства так.

По-нормальному всегда на свитче находятся не менее 2х вланов, пользовательский и управляющий.

Пример:

2610-24(config)# vlan 10 untagged 1-24
2610-24(config)# vlan 10 tagged 25
2610-24(config)# vlan 1 tagged 25
2610-24(config)# management-vlan 1

Ну и нужно быть дауном чтоб аплинковым кабелем не попасть в 25 порт. Опять же если на другом конце/в цепочке

все правильно сконфигурировано, то никто никуда не попадет какой бы vid не имел управляющий влан.

Edited April 26, 2011 by Brainiac

[[S]]

Ну как бы задача не ясна, вот и размазываем кашу. Я ж не против, просто грохнув 1й влан минимизируется человеческий фактор конфигурирования, монтажа и дальнейшей эксплуатации. Это мое скромное мнение, основанное на опыте, ни больше, ни меньше. :)

[bos9]

на длинках 1й влан не грохается вроде как. А в приведении вланов к человеческому виду главное делать это через консольный порт )

[VinchenzO]

25 порт

де ты нашол то 25порт ))) он же 24x-портовый и 2x SFP

[No_name]

' timestamp='1303830347' post='609177']

.. просто грохнув 1й влан минимизируется человеческий фактор конфигурирования, монтажа и дальнейшей эксплуатации

А, ну да, а если управляющий влан будет в 5 влане то человеческий фактор никак не отразится на нем.

Странная у вас логика. Вы посты не между строчек прочитали :)?

[darkagent]

он же 24x-портовый и 2x SFP

очевидно же - что 2х sfp - 25 и 26 порты.

[VinchenzO]

а все поспишил 25-26 SFP))) sorry

[No_name]

25 порт

де ты нашол то 25порт ))) он же 24x-портовый и 2x SFP

Он - это кто или что? Вот у меня на коммутаторе 26 портов, а где говорилось про 24?