Как работает Cisco Native VLAN

Немного непонятен по поводу того, как 1 влан переходит в св2 и уходит на компы уже 100 натив вланом

Все понятно и доходчиво, спасибо!

@@zadobro7793 На втором коммутаторе нативный влан 100, когда на порт приходит нетегированный фрейм, он его в 100 влан помещает и далее он же в 100 влане и уходит. Нативным можно сделать любой влан на транке. От этого номер влана не меняется на конкретном коммутаторе. Нативный влан - это свойство влана на конкретном транковом порту. На разных транковых портах одного и того же коммутатора нативный влан может быть разный.

Коллега, запишите текст на бумаге и читай с бумаги, частенько указываете на один узел а называете при этом другой! Ну и вообще не торопитесь! Информация полезная, обычно люди просто пишут не трогать Натив и никогда не использовать влан1. Но никто особо не объясняет или не знает почему. Спасибо за ролик!

@@user-qm9rb8lb1s спасибо. Всегда стараюсь записать в один проход. Очень много времени уходит на подготовку. Стараюсь очень доходчиво подать материал. Иногда сбивчиво, конечно. Все меньше времени на моё хобби.

Ролик готов )

Спасибо

рад, что понравилось, а следующее видео - это продолжение - тегирование нативного влана, уже опубликовал

Спасибо, попробую появляться почаще

и еще одно появилось ) Спасибо за коментарий!

Спасибо!

Спасибо! Да, я хочу чтобы мои видео приносили реальные плоды в работе и помогали продвигаться в профессии ИТ специалиста! Учиться, учиться, учиться )

Спасибо, скоро выложу, через пару деньков

Спасибо

Спасибо. Важно было сделать это видео именно таким, простым для понимания!

Спасибо большое за столь ценный комментарий. Среди теории много и практики. Ей я посвящаю выделенные ролики! Рад что находите полезным!

Рад что помог, дальше продвигайтесь смело, не останавливайтесь на достигнутом!

Так много позитивных сообщений. Спасибо.

Скоро скоро новый

Для простых лаб это быстро очень настраивается. Лучше самим воспроизвести.

Трудно сказать, можно ли сделать один ролик. Я думаю, что понимание самих технологий настройки позволит защищать сеть. Делая свои видео, в каждом пытался так или иначе обозначить важность самого топика, ведь именно понимание как работает та или иная технология позволяет определить ее сильные и слабы места. Согласны? Там же и STP, и понимания как транки работают, как вланы, как порты в различных режимах, зачем нужны различные механизмы защиты и фильтрации в STP, почему нужно использовать LACP в транках, где нам поможет DTP, а где его лучше выключить. Другой вопрос, что сейчас нужно использовать дополнительные средства автоматизации для безопасности сети, например Cisco ISE отличный пример этому. Он позволяет использовать различные сценарии применения и все это в целях сделать корпоративные сети более безопасными и устойчивыми.

Вот несколько полезных ссылок, которые смогут помочь
www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180416-tsa18-106a
blogs.cisco.com/security/best-practices-device-hardening-and-recommendations
Можно также загуглить тему Hardening Cisco router или Switch, Best practice Hardening Cisco

Согласен...Спасибо. Оч. хотелось бы от Вас увидеть ролик про обучение...куда расти сетевому инженеру, что будет востребовано...

@@alexeyd4599 выберите направления которые Вам больше нравиться. Найтите на сайте производителя трек для обучения и мтадийно пиодвигайтесь. Года через 2-3 достигните приличного или даже больше. Несколько лет практики и продолжения обучения сделают из Вас настоящего профи. Главное никогда не сдаваться. Желаю Вам успешной карьеры.

Благодарю за позитивный отзыв ) Спасибо!

спасибо за коментарий!

Хороший комментарий, спасибо! Сейчас это легко сделать прямо в GNS3, думаю каждый сможет просто нажатием кнопки собрать логи. Раньше это было бы более актуально.

Спасибо

) рад, что приношу пользу

Не то слово! Ccna ещё не получил, но ап по двоим видео свое дело сделал!

Спасибо! Есть новый ролик )

Пожалуй ASA уже не актуально: все переходит на Cisco FirePower. Но, этот ролик и следующий тесно связаны с контентом по безопасности.

@@NetworkerChannel Надо видео по лицензиям что зачем покупать ! по Cisco FirePower

Уж больше года как собираюсь сделать )

Интересная идея, спасибо!

Добрый день! Спасибо за комментарий. На портах Trunk номера нативных Vlan совпадают. Мы говорим не об опереторских возможных вариантах QinQ, там где можно с метками делать все что угодно. В "обычной" жизни оргмнизации, нативный влан должен совпадать.

@@NetworkerChannel Хорошо, спасибо большое за ответ! ^^

Пример. Влан 20 на порту доступа, потом нативный Алан 20 на транке между св1 и 2, и между 2 и 3 нативный Алан 777. В этом случае, влан 20 при выходе из 2 в 3 будет с тегом и быть таким будет до выхода из акцесс порта в компьютер назначения. На выходе из акцес порта тег снимается

@@NetworkerChannel а почему? Ты же в ролике говорил, что натив влан в транке не маркируется?

@@w1tcherj пакет немаркированным идет только на участке транка. На выходе смотрим: тэг нативный? Да! Тогда убираем, и отправили дальше. Теперь он пришел без тэга, на входе смотрим: есть тэг? Нету! Ставим нативный, передаем дальше. На выходе смотрим: тэг нативный? Нет! (стоит 20, а наш нативный 777). Ничего не трогаем, просто дальше отправляем.

Использовались образы IUO, для связи нескольких коммутаторов, скорее всего нужно для транка настроить энкапсуляцию dot1q. Сейчас IOSv доступен, правда более тяжелый, чем IOU_L2. Последний довольно неплохо работает, хотя есть ограничения и нужны были танцы с бубнами по выбору более стабильного релиза. Все было найдено на просторах Интернета. Уже не помню какая версия была.

@@NetworkerChannel спасибо, я уже разобрался)

На порту доступа так ставится на входящий трафик, снимается на исходящий. Если фрейм с этим тегом попадает в транковый порт и нативный влан не тегируется в транке (отключено по умолчанию), то тег будет снят для передачи в транк, принимающий коммутатор примет этот тег как нативный влад и "запомнить" его в том нативном влане, который у него прописан на транке (входящий трафик). в случае если этот фрейм нужно передать на порт доступа, то тег будет помечен и передан на порт доступа, после чего на выходе из порта доступа тег будет снят.

Да, точно так.

Конечно. На порту команда no CDP enable

или no logging console или terminal no monitor

Конечно нужно задавать вопросы!

Спасибо! возможно! нужно будет пересмотреть.

Не уверен, что мысленно с вами. Предпочитаю вслух это даже не произносить.

Не совсем, на гибридный порт можно повесить несколько антегэд вланов (типо акцесс). Дальше про длинк написано но походу у ХП такая же штука, и у хуавей наверно тоже. Например у вас на свиче 5 портов. 1 порт - акцес 10й влан, 2й - акцес 20й влан, 3й - акцес 30й влан, 4й - акцес 40й влан, а 5й порт настроен как гибрид и там несколько антегед(акцес) и транк (тагед), пусть 10, 20, 30 влан будут антегед, а 40й тагед тогда кадры полученные с портов 1, 2 и 3 уйдут с пятого порта без тега, а кадр с четвертого порта уйдет с тегом 40. Делается это типо для того, если допустим сервер за четвертым портом не поддерживает dot1q, или для разграничения подсетей, хотя нормально это все делается на роутере. Тогда пк на портах 1 2 и 3 смогут смогут достучаться к серваку и в то же время не смогут общаться между собой. У длинка есть тема с асиметричными вланами. В общем муть полнейшая. Вот тут дальше написано, там PVID решает gnom-virtuoz.livejournal.com/66406.html.

образы уже и не помню, дааавно то было, какие-то IOU. Но, да, транк обычно ругается если натив вланы не совпадают на обоих концах транка. Но, можно попрбовать отключить VTP, DTP, CDP, настроить транк руками и посмотрать, будет ли ругаться. VTP не выключается до версии 3. Просто нужно, чтобы коммутатор не учавтсовал в домене VTP или был в режиме транспарент. Так кажется. Оставляю это на долю пытливых умов)))

А какая маска сети/подсети?

@@NetworkerChannel извините, возможно вопросы глупые - я только учусь. это имеет значение? 255.255.255.0 (но могу и другую назначить) маршрутизатор Cisco SF300-24 (2/3 уровень)

@@NetworkerChannel извините, я не правильно указал ip второго пк 192.168.20.15:4300 , поправил

@@DmitriyKomyagin чтобы правильно ответить на этот вопрос, желательно посмотреть мои ролики про планы и три варианта маршрутизации между влан. Прочитайте о правилах ip адресации. В Вашем вопросе примерно на 3 часа ответов. Вам нужен маршрутизатор или коммутатор с маршрутизацией, в зависимости от дизайна. Внутри сети это должен быть коммутатор 3 уровня.

@@DmitriyKomyagin маска имеет определяющее значение. Именно по ней маршрутизатор определяет нужно или нет маршрутизтровать пакет. Начните с самых азов. Это поможет Вам быстро продвинуться. Разберитесь как работает ip адресация. Очень хорошо прочитайте про модель ISO - OSI. Потом коммутация, а потом маршрутизация. Это поможет Вам пройтись и закрепить знания и практику от первого до 4 уровней модели OSI. Также как и понять как работает траублшутинг. Шаг за шагом и не пропускайте темы. Желаю удачи на этом пути.

конечно появится, и транк будет флапать. Но! при определенной конфигурации скорее всего это заработает. Например, при соединение оборудования разных производителей.

@@NetworkerChannel почему будет флапать? Ведь тега нет.

@@farakhsuleiman7082 сначала транк заработает, потом система определит, что разные native vlan на разных концах транка и переведет транк в выключенное состояние, потом транк опять согласуется и так далее. Попробуйте в эмуляторе типа GNS3, картинка будет яснее.

Точно такой же вопрос у меня возник.

Акцесс влан (data vlan) - это влан который назначается на порт доступа. Понятие акцесс влан не верное. Так как влан в принципе создаётся, чтобы назначить его на порт доступа. Влан на акцесс порту (data vlan) может быть только один , если только это не voice vlan. Голосовой влан это специальный тип влана, который назначается на акцесс порт вместе с влан для подключения компьютера - data vlan. Трафик поступающий на акцесс порт будет тегироваться номером дата влан, назначенного на порт. А влан назначенный как нативный на транковом порту снимет тег с фрейма, так как трафик нативного влан передается не тегированным.

Я так понимаю в нативе метка влана снимается при выходе с транкого порта и обратно вставится при входе но уже с другим вланом например 100

@@ziaz5341 на выходе из другого транка, если он там не нативный. Коммутатор не передаёт знания о своем нативном влаге другому коммутатору или между своими транками. Любой влан, чей номер указан нативным на конкретном транковом порту не будет тегирован

Тэг снимается, если он является нативным. А если нет тэга вообще - ставится нативный. Если уже стоит какой-то другой тэг - его не трогают. Можно сказать что по отношению к нативному влану, транковый порт ведет себя как access порт.

я вроде бы проверил, у меня на компьютере нормально, приглушен немного, но слышно хорошо. У всех плохой звук?

@@NetworkerChannel та нармалды усё лаборОчка НЕ душная и звук нормас, ток надо аннотацию под видосом поправить "Это видео рассказывает о том, как *anytext*. "

Да, звук по сравнению с предыдущими видео намного тише)

Вы не первый спросили. Обязательно напишу подробнее. Действительно, мудрено сказал.

@@NetworkerChannel Вот есть, к примеру, HP свитч. На 24 порт приходят транком 30 влан (телефон), 50 влан (пользовательские ПК), и влан 1 (он же не тегируемый Нэйтив как я понимаю). С первого порта идет кабель на телефон Елинк Т19 (который не подерживает войсвлан), через него подключен пользовательский ПК. У меня есть выбор как подать на первом порте ВЛАНы. Но я делаю так, на первом порту НР подаю 30 влан БЕЗ тега, 50 влан с ТЕГОМ. Телефон ловит правильный IP, захожу его вэб морду и на его втором порте(PC) устанавливаю влан 50. Тем самым телефон получает пакет с меткой, и отдает его без метки на PC порт, ПК пользователя схватывает так же правильный адрес. Вопрос: Что тут Нэйтив Влан?

@@NetworkerChannel Как я понимаю на 1 порту будет 30 влан Нэйтивом, а на 24 порту ВЛАН 1 будет Нэйтивом. Правильно? А так же Вы говорите(и другие) что от нэйтива влана надо избавляться, как в моей ситуации избавиться, когда через телефон подключен ПК, и телефон НЕ поддерживает технологию войсвлана (и кстати HP тоже не поддерживает)?

Что то ступил, Второй вопрос снят, Просто подать на первый порт 30 и 50 влан Тегируемым, и распределить на телефоне.

@@user-po9sp4kv4n классные вопросы. Спасибо. Сначала на второй вопрос отвечу. Нативным считается влан который не тегируется на транковом поту. Само определение нативного влана относится только к транку. Тут вы правы.

Добрый день, спасибо за коментарий, попробую ответить на Ваши вопросы по очереди, как я их понял. 1) Когда коммутатор производят, на нем настроен только один vlan и он называется Defaul Vlan, в подавляющем большинестве производителей - это vlan 1. По-умолчанию, весь трафик vlan 1 не тегируется. 2) Нативный vlan - это влан, чей трафик внутри транкового trunk 802.1Q порта передается без тега. По умолчанию, в транках нативных vlan является vlan 1. Однако, мы можем изменить нативный влан на транке, указав тот, который нам нужен. 3) Если ранее трафик влана тегировался, например трафик vlan 100, то при передаче внутри транкового интерфейса, на котором в качестве нативного настроен сотый влан, тег будет снят. 4) PVID относится к портам типа general, там нет понятия нативный vlan, оно заменено на понятие PVID. Логика работы порта genetral отличается от логики работы порта trunk, поэтому сравнивать их не будет правильно. 5) в современных коммутаторах есть возможность тегировать нативный влан (опять же -нативный влан - это влан назначенный таким на транковом порту и только, на конкретном транковом порту конкретного коммутатора. На разных транковых портах могут быть назначены в качестве нативных разные вланы). Мое второе видео как раз о том, как тегируются нативные вланы.