Este es un punto a menudo confuso para las personas nuevas en la red, en particular para las personas que se están acercando a Cisco, debido al énfasis excesivo de Cisco en este punto. Es más o menos una cuestión de terminología. Dejame explicar.
El estándar 802.1q define un método para etiquetar el tráfico entre dos conmutadores para distinguir qué tráfico pertenece a qué VLAN. En términos de Cisco, esto es lo que sucede en un puerto " troncal ". He visto a otros proveedores referirse a esto como un puerto "etiquetado". En este contexto, significa lo mismo: agregar un identificador a las tramas para indicar a qué VLAN pertenece la trama. Dejando a un lado la terminología, lo principal a tener en cuenta es que es necesaria una etiqueta de VLAN, porque a menudo el tráfico que atraviesa dos conmutadores pertenece a varias VLAN, y debe haber una manera de determinar qué 1 y 0 pertenecen a qué VLAN.
Pero, ¿qué sucede si un puerto troncal, que espera recibir tráfico que incluye la etiqueta VLAN, recibe tráfico sin etiqueta? En el predecesor de 802.1q, conocido como ISL (propiedad de Cisco, pero arcaico, ya nadie lo admite, ni siquiera Cisco), el tráfico sin etiquetar en una troncal simplemente se descartaría.
Sin embargo, 802.1q proporcionó una forma no solo de recibir este tráfico, sino también de asociarlo a una VLAN de su elección. Este método se conoce como configurar una VLAN nativa . Efectivamente, configura su puerto troncal con una VLAN nativa, y cualquier tráfico que llegue a ese puerto sin una etiqueta de VLAN existente, se asocia a su VLAN nativa.
Al igual que con todos los elementos de configuración, si no configura algo explícitamente, generalmente existe algún tipo de comportamiento predeterminado. En el caso de Cisco (y la mayoría de los proveedores), la VLAN nativa predeterminada es la VLAN 1. Es decir, si no configura una VLAN nativa explícitamente, el tráfico no etiquetado recibido en un puerto troncal se coloca automáticamente en la VLAN 1.
El puerto troncal es el "opuesto" (más o menos) de lo que se conoce como un puerto de acceso . Un puerto de acceso envía y espera recibir tráfico sin etiqueta VLAN. La forma en que esto puede funcionar es que un puerto de acceso también solo envía y espera recibir tráfico que pertenece a una VLAN . El puerto de acceso está configurado estáticamente para una VLAN particular, y cualquier tráfico recibido en ese puerto está asociado internamente en el Switch como perteneciente a una VLAN particular (a pesar de no etiquetar el tráfico para esa VLAN cuando sale del puerto del switch).
Ahora, para agregar a la mezcla confusa. Los libros de Cisco a menudo se refieren a la "VLAN predeterminada". La VLAN predeterminada es simplemente la VLAN a la que se asignan todos los puertos de acceso hasta que se colocan explícitamente en otra VLAN. En el caso de los conmutadores Cisco (y la mayoría de los otros proveedores), la VLAN predeterminada suele ser la VLAN 1. Por lo general, esta VLAN solo es relevante en un puerto de acceso, que es un puerto que envía y espera recibir tráfico sin una etiqueta de VLAN (también referido a un 'puerto sin etiquetar' por otros proveedores).
Entonces, para resumir:
- La VLAN nativa puede cambiar . Puedes configurarlo para lo que quieras.
- La VLAN del puerto de acceso puede cambiar . Puedes configurarlo para lo que quieras.
- La VLAN nativa predeterminada es siempre 1, esto no se puede cambiar, ya que Cisco lo establece de esa manera
- La VLAN predeterminada siempre es 1, esto no se puede cambiar, ya que Cisco lo configura de esa manera
editar: olvidó sus otras preguntas:
Además, ¿se puede / se debe cambiar?
Esta es en gran medida una pregunta de opinión. Tiendo a estar de acuerdo con esta escuela de pensamiento:
Todos los puertos no utilizados deben estar en una VLAN específica. Todos los puertos activos deben establecerse explícitamente en una VLAN particular. Su conmutador debería evitar que el tráfico atraviese el enlace ascendente hacia el resto de su red si el tráfico pertenece a la VLAN1 o la VLAN que está utilizando para puertos no utilizados. Todo lo demás debe permitirse en el enlace ascendente.
Pero hay muchas teorías diferentes detrás de esto. Además de los diferentes requisitos que evitarían tener una política de conmutación tan restringida (escala, recursos, etc.).
Por ejemplo, si un conmutador va a una parte de una red que es solo una VLAN y no es la VLAN 1, ¿es posible hacer que la VLAN "predeterminada" / nativa en todos los puertos sea una VLAN particular usando un comando global, o es el método preferido para hacer que todos los puertos accedan a los puertos y establecer la VLAN de acceso en 10 en cada uno de ellos?
No puede cambiar las configuraciones predeterminadas de Cisco. Puede usar el "rango de interfaz" para colocar todos los puertos en una VLAN diferente de una sola vez. Realmente no necesita cambiar la VLAN nativa en el enlace troncal de enlace ascendente, siempre que el otro conmutador esté utilizando la misma VLAN nativa. Si realmente desea evitar que el conmutador agregue la etiqueta VLAN, puede ser creativo y hacer lo siguiente (aunque probablemente no sea recomendable).
Deje todos los puertos de acceso en la VLAN1. Deje la VLAN nativa en su valor predeterminado (VLAN1). En el conmutador de enlace ascendente, configure el puerto como puerto troncal. Y configure su VLAN nativa en la VLAN de la que desea que forme parte el interruptor inferior. Dado que el conmutador inferior enviará tráfico al conmutador superior sin etiquetar, el conmutador superior lo recibirá y lo asociará con lo que considera la VLAN nativa.
La VLAN nativa solo es relevante para 802.1q, sí, no está etiquetada de forma predeterminada, pero se puede etiquetar si es necesario. Los puertos se asignarán a la VLAN nativa si no hay otra configuración presente.
Está bien mantenerlo como VLAN 1, pero se puede cambiar, solo debe recordar cerrar los puertos no utilizados. Lo que quiero decir con esto es que si conecto mi malvada computadora portátil hacker en un puerto de trabajo que se dejó como VLAN 1, podría ser capaz de abarcar toda su red, mientras que podría cambiar la VLAN nativa a VLAN 10, y luego no asigne la VLAN 10 a cualquier puerto.
ISL no tiene el concepto de una VLAN nativa.
fuente
Aquí la solución
fuente