Почему трафик native-vlan не тегируется?

Cynic · November 17, 2011

Если есть два коммутатора Cisco, на первом есть vlan1 и vlan2, и на втором есть vlan1 и vlan2, то между ними можно создать trunk, через который между коммутаторами будет распространяется трафик этих vlan'ов. При этом для некоторой vlan можно установить режим native и тогда весть трафик для выбранной vlan передаваемый через trunk не будет тегироваться. Интересно зачем это сделали? В смысле зачем ввели саму возможность не тегировать трафик некоторой vlan?

Ivan Rostovikov · November 17, 2011

>При этом для некоторой vlan можно установить режим native и тогда весть трафик для выбранной vlan передаваемый через trunk не будет тегироваться

Мне кажется Вы неверно понимаете опцию nativ vlan.

nativ vlan - это тег, которым будут метится нетегированные пакеты.

M-a-x-Z · November 17, 2011

В смысле зачем ввели саму возможность не тегировать трафик некоторой vlan?

Для совместимости со старым оборудованием.

Если через неуправляемый hub к коммутатору на тегированный порт подключены комп. и IP-телефон - комп будет хватать native пакеты, принимать и отправлять их без тэга. Все пакеты с тэгом будут скорее всего обрезаны сетёвкой. IP-телефон при этом будет реагировать только на тэгированные пакеты. Причём роль компа может играть любое тупое устройство, не осведомлённое о 802.11q.

Но так строить сети нельзя - это архиазм. Во все IP-телефоны уже давно встроены мини коммутаторы на 2 порта.

darkagent · November 17, 2011

Интересно зачем это сделали? В смысле зачем ввели саму возможность не тегировать трафик некоторой vlan?

меняйте профессию пока не поздно, пожалейте себя и других.

Cynic · November 17, 2011

Интересно зачем это сделали? В смысле зачем ввели саму возможность не тегировать трафик некоторой vlan?

меняйте профессию пока не поздно, пожалейте себя и других.

Я бы вам посоветовал то же самое!

>При этом для некоторой vlan можно установить режим native и тогда весть трафик для выбранной vlan передаваемый через trunk не будет тегироваться

Мне кажется Вы неверно понимаете опцию nativ vlan.

nativ vlan - это тег, которым будут метится нетегированные пакеты.

Ни чем они не метятся, это обычные Ethernet-фреймы без поля Тег. Запустите сетевой монитор и проверьте сами!

M-a-x-Z · November 17, 2011

Ни чем они не метятся, это обычные Ethernet-фреймы без поля Тег. Запустите сетевой монитор и проверьте сами!

+1 3750 и 2960 формируют пакеты без тэга - проверяли неоднократно.

darkagent · November 17, 2011

Ни чем они не метятся, это обычные Ethernet-фреймы без поля Тег. Запустите сетевой монитор и проверьте сами!

банальный пример:

к порту cisco-коммутатора подключили роутер (допустим pc), на роутере подняли несколько интерфейсов - нетегированный, и кучу тегированных.

на cisco хочется сделать так чтоб то что пришло от роутера нетегированно, завернулось в отдельный тег и ушло дальше, и все что пришло тегированное - тоже ушло дальше. тут то как раз trunk native vlan и помогает.

если рассматривать применение с точки зрения безопасности, то есть неплохая статейка с вполне понятным примером: http://www.networkworld.com/community/node/38732

+1 3750 и 2960 формируют пакеты без тэга - проверяли неоднократно.

чтоб "нетегированный" трафик тегировался принудительно (в том числе тот что с VID=1)

можно применять команду на интерфейсе switchport trunk native vlan tag

или vlan dot1q tag native глобально

Cynic · November 17, 2011

В смысле зачем ввели саму возможность не тегировать трафик некоторой vlan?

Для совместимости со старым оборудованием.

Если через неуправляемый hub к коммутатору на тегированный порт подключены комп. и IP-телефон - комп будет хватать native пакеты, принимать и отправлять их без тэга. Все пакеты с тэгом будут скорее всего обрезаны сетёвкой. IP-телефон при этом будет реагировать только на тэгированные пакеты. Причём роль компа может играть любое тупое устройство, не осведомлённое о 802.11q.

Но так строить сети нельзя - это архиазм. Во все IP-телефоны уже давно встроены мини коммутаторы на 2 порта.

Чё та я не понял! А как тегированные пакеты попадут в сеть с компом и IP-телефоном? Ведь они тегируются только на trunk-портах!!!

Ivan_83 · November 17, 2011

Если есть два коммутатора Cisco, на первом есть vlan1 и vlan2, и на втором есть vlan1 и vlan2, то между ними можно создать trunk, через который между коммутаторами будет распространяется трафик этих vlan'ов. При этом для некоторой vlan можно установить режим native и тогда весть трафик для выбранной vlan передаваемый через trunk не будет тегироваться. Интересно зачем это сделали? В смысле зачем ввели саму возможность не тегировать трафик некоторой vlan?

Прочищайте мозги от цисковой терминологии и смотрите как оно на самом деле. %)

Есть коммутатор, у него порты, внутри управляемый свичинг. Есть некоторая таблица: { порт-влан, тэг: да/нет, приоритет:0-7[, каноникал: да/нет] }

0 влан - считается не тегированным, но он может быть в сети, тк у него может быть выставлен приоритет.

На одном порту может быть только один влан у которого выключен тэг, он называется натив/антаггед/...

Когда пакет приходит на порт, если у него нет тэга то он тэгируется в соотвествии с этой таблицей и идёт дальше с этим тэгом внутри свича.

Свичу совершенно фиолетово сколько там тэгированных вланов ещё привязано к этому порту, потому что не тэгированный может быть только один.

Потом появились ассиметрик влан (длинк), когда несколько вланов антегируются в нейтив, и потом "магически" тегируются обратно (что то типа NAT в IP).

Потом есть mac-based vlan или различные названия на эту тему (Auto Surveillance VLAN), когда {вместо/более приоритетно} port-vid используется mac-vid для тегирования/антегирования.

Транки, как и портбэйседвлан - это отголоски старых технологий. Транк - куча вланов на одном порту, портбэёсед - только один привязанный к порту нэйтивом. Те термины остались, но в железе этого уже нет или почти нет (портбэйсед в дешманских полуправляемых свичах вроде есть).

Ни чем они не метятся, это обычные Ethernet-фреймы без поля Тег. Запустите сетевой монитор и проверьте сами!

Они метятся внутри коммутатора. Всё что прилетает в этот коммутатор с этим вланом будет переправленно на этот порт, но на выходе тэг будет снят. (не всё конечно, это не хаб, только нужное)

Alexandr Ovcharenko · November 17, 2011

Есть другое применение нэйтив-влана. Допустим, есть свич, у него порт настроен транком, принимает пакеты с определенным тегом. А что будет с пакетами, которые приедут в такой порт нетегированными? В зависимости от настроек, свич либо их дропнет, либо примет в нейтив-влан. Зачем это сделано? А затем чтобы хакеры или горе-админы могли попасть в управляющий влан свича "со стороны", если конечно нейтив-влан == управляюий влан (что обычно идет в свичах по-дефолту и игнорируется админами). :)

Ivan_83 · November 17, 2011

А затем чтобы хакеры или горе-админы могли попасть в управляющий влан свича "со стороны", если конечно нейтив-влан == управляюий влан (что обычно идет в свичах по-дефолту и игнорируется админами)

- не у всех управляемых свичей есть management vlan, например серия DGS-1100

- не всегда имеет смысл городить отдельный влан ради 1-3 устройств в офисной сети на 5-40 компов.

Alexandr Ovcharenko · November 17, 2011

А затем чтобы хакеры или горе-админы могли попасть в управляющий влан свича "со стороны", если конечно нейтив-влан == управляюий влан (что обычно идет в свичах по-дефолту и игнорируется админами)

- не у всех управляемых свичей есть management vlan, например серия DGS-1100

- не всегда имеет смысл городить отдельный влан ради 1-3 устройств в офисной сети на 5-40 компов.

Достаточно всего одного компа, чтобы подцепить венерическое заболевание и арп-спуфингом обеспечить гарантированную смерть (ну, или как минимум превращение в тупой хаб) ЛЮБОМУ управляемому свичу, если этот комп окажется в одном влане с управляющим интерфейсом свича. Так что управление свича лучше выносить из абонентских вланов. А также назначать на порты свича нейтив-вланы, отличные от управляющего ;) .

Дегтярев Илья · November 17, 2011

"Достаточно всего одного компа, чтобы подцепить венерическое заболевание и арп-спуфингом обеспечить гарантированную смерть (ну, или как минимум превращение в тупой хаб) ЛЮБОМУ управляемому свичу, если этот комп окажется в одном влане с управляющим интерфейсом свича. Так что управление свича лучше выносить из абонентских вланов. А также назначать на порты свича нейтив-вланы, отличные от управляющего ;) .'"

Мыслить шире не пробовали? На портах в сторону абонентов никаких управляющих вланов быть не может.

А вот на магистрали использовать native vlan=управляющий=1 vlan на оконечных свитчах очень удобно.

У нас на каждую ветку управляющий свой. На свитчах доступа он уже первый.

В результате даже если свитч забудет конфиг (а он при этом не включает абонентские порты), к нему можно обратиться.

У allied телесинов ожно зайти на свитч даже без настроенного ip с любого соседнего.

Да и на свитч можно зайти, воткнув ноут в магистральный порт.

Alexandr Ovcharenko · November 17, 2011

Мыслить шире не пробовали?

Если честно, пробовал. Но после этого меня били розгами и переучивали мыслить узко :) . Но я видел воотчию мыслящих широко настолько, что выводили патчкордик из ящика со свичем наружу. Типа, пришел с ноутом, не надо ящик открывать, порт искать - воткнул в ноут патчкордик и управляй свичем на здоровье. Так что да, нередко еще встречаются широкомыслящие ;) .

На портах в сторону абонентов никаких управляющих вланов быть не может.

Я как раз и писал свои посты о том, что не все админы помнят эту простую вещь. Вы неверно уловили суть моих постов.

pppoetest · November 18, 2011

Но я видел воотчию мыслящих широко настолько, что выводили патчкордик из ящика со свичем наружу. Типа, пришел с ноутом, не надо ящик открывать, порт искать - воткнул в ноут патчкордик и управляй свичем на здоровье. Так что да, нередко еще встречаются широкомыслящие ;) .

:D /me считает, что все же лучше открыть ящик и подконнектицо по rs-232, чем выводить соску с менедж вланом из ящика >:(

Gromozeka · November 18, 2011

>При этом для некоторой vlan можно установить режим native и тогда весть трафик для выбранной vlan передаваемый через trunk не будет тегироваться

Мне кажется Вы неверно понимаете опцию nativ vlan.

nativ vlan - это тег, которым будут метится нетегированные пакеты.

Заблуждение.... в корне.

Нетэгированный это значит в прям не тэгированный. т .е. длина фрейма 1500

и не бита больше и не какой метки.

Так можно из одного Vlana перекинуть на другой Vlan, пример:

Есть два SW у первого SW1 натив Vlan 102 на порту к которому подключен второй SW2

на котором на принимающем порту натив Vlan 202 так вот за(в) вторым SW2 пакет уже будет

в Vlan 202

Дегтярев Илья · November 18, 2011

"Так можно из одного Vlana перекинуть на другой Vlan, пример:

Есть два SW у первого SW1 натив Vlan 102 на порту к которому подключен второй SW2

на котором на принимающем порту натив Vlan 202 так вот за(в) вторым SW2 пакет уже будет

в Vlan 202"

Попрощавшись с cdp и rstp.

Ivan_83 · November 18, 2011

>При этом для некоторой vlan можно установить режим native и тогда весть трафик для выбранной vlan передаваемый через trunk не будет тегироваться

Мне кажется Вы неверно понимаете опцию nativ vlan.

nativ vlan - это тег, которым будут метится нетегированные пакеты.

Заблуждение.... в корне.

Нетэгированный это значит в прям не тэгированный. т .е. длина фрейма 1500

и не бита больше и не какой метки.

1. Перечитайте ещё раз пост и подумайте: на выходе да, пакеты нэйтив влана выходят без тэга, но когда на коммутатор приходят не тегированные пакеты то внутри коммутатора они тэгируются в нэйтив влан, и наоборот, тегированные пакеты выходящие из порта будут только тогда антегированы когда влан пакета = нейтив влан на этом порте.

2. 1500 - это ваша фантазия: длинна фрейма больше, там ещё есть два мак адреса, тип пакета, и crc - которой почти всегда занимается сетевуха. Кроме того есть джамбофреймы.

joesm · November 18, 2011

Если есть два коммутатора Cisco, на первом есть vlan1 и vlan2, и на втором есть vlan1 и vlan2, то между ними можно создать trunk, через который между коммутаторами будет распространяется трафик этих vlan'ов. При этом для некоторой vlan можно установить режим native и тогда весть трафик для выбранной vlan передаваемый через trunk не будет тегироваться. Интересно зачем это сделали? В смысле зачем ввели саму возможность не тегировать трафик некоторой vlan?

Если Вы чего-то в конфиге Cisco не видите, то это не значит, что этого там нет. На всех trunk портах присутствует native vlan.

tartila · November 18, 2011

Если есть два коммутатора Cisco, на первом есть vlan1 и vlan2, и на втором есть vlan1 и vlan2, то между ними можно создать trunk, через который между коммутаторами будет распространяется трафик этих vlan'ов. При этом для некоторой vlan можно установить режим native и тогда весть трафик для выбранной vlan передаваемый через trunk не будет тегироваться. Интересно зачем это сделали? В смысле зачем ввели саму возможность не тегировать трафик некоторой vlan?

Есть в некоторых коммутаторах функция vid-translation, которая позволяет поменять VID на выходе. Там где этого нет, спасет native vlan, с одной стороны он один - с другой другой.

Ы? ;)

Zaqwr · November 19, 2011

Не тэгированный это значит в прям не тэгированный. т .е. длина фрейма 1500

и не бита больше и не какой метки.

скорее длина фрэйма тут не причём, а просто отсутствует поле 802.1Q в заголовке

TCPIP_802.1Q.jpg

Edited November 23, 2011 by Zaqwr

tema421 · November 23, 2011

чтоб "нетегированный" трафик тегировался принудительно (в том числе тот что с VID=1)

можно применять команду на интерфейсе switchport trunk native vlan tag

или vlan dot1q tag native глобально

У меня на WS-C2960-24TC-S таких команд нет...

это наверное на L3 коммутаторах, да?

Zaqwr · November 23, 2011

catos наверное

Sign In

Почему трафик native-vlan не тегируется?

Recommended Posts

Cynic

Ivan Rostovikov

M-a-x-Z

darkagent

Cynic

M-a-x-Z

darkagent

Cynic

Ivan_83

Alexandr Ovcharenko

Ivan_83

Alexandr Ovcharenko

Дегтярев Илья

Alexandr Ovcharenko

pppoetest

Gromozeka

Дегтярев Илья

Ivan_83

joesm

tartila

Zaqwr

tema421

Zaqwr

Join the conversation