Почему VLAN "создалась", но порты не появились в ней?

Команда vlan только создаёт запись в базе VLAN. Порты нужно назначить вручную через switchport access vlan .

Чем отличается Access от Trunk простыми словами?

Access = 1 VLAN (без тегов) для подключения конечных устройств. Trunk = много VLAN (с тегами 802.1Q) для связи между коммутаторами.

Как быстро понять, какие VLAN реально проходят по trunk?

Команда show interfaces trunk, смотрите поле "Vlans in spanning tree forwarding state".

Нужно ли создавать VLAN на обоих коммутаторах?

Да, создавайте VLAN на всех коммутаторах, через которые должен проходить трафик этой VLAN. Проверка: show interfaces trunk — VLAN должен быть в allowed and active.

Tilda Publishing

Привет, любопытный друг. Да, это Tilda. Потому что мы хотим быстро внедрять и управлять решением, а не ждать
в очереди разработчика. Контроль, предсказуемость и отказоустойчивость — наша главная идея.

Для запросов и ТЗ

с 9:30 до 18:00

get@work-system.ru
Для запросов и ТЗ

+7 495 108-54-54
с 9:30 до 18:00

Заказать звонок

Получить КП

[{"lid":"1631794322839","ls":"10","loff":"","li_parent_id":"","li_type":"em","li_ph":" ","li_title":"\u0423\u043a\u0430\u0436\u0438\u0442\u0435 \u0432\u0430\u0448\u0443 \u044d\u043b. \u043f\u043e\u0447\u0442\u0443","li_name":"email","li_req":"y","li_nm":"email"},{"lid":"1631794322840","ls":"20","loff":"","li_parent_id":"","li_type":"ph","li_ph":" +7","li_title":"\u0412\u0430\u0448 \u043d\u043e\u043c\u0435\u0440 \u0442\u0435\u043b\u0435\u0444\u043e\u043d\u0430","li_name":"phone","li_masktype":"a","li_maskcountry":"RU","li_req":"y","li_nm":"phone"},{"lid":"1631794322841","ls":"30","loff":"","li_parent_id":"","li_type":"nm","li_ph":" ","li_title":"\u041a\u0430\u043a \u0432\u0430\u0441 \u0437\u043e\u0432\u0443\u0442?","li_name":"name","li_nm":"name"},{"lid":"1631794322843","ls":"40","loff":"","li_parent_id":"","li_type":"sb","li_title":"\u0412 \u0447\u0435\u043c \u043d\u0443\u0436\u043d\u0430 \u043f\u043e\u043c\u043e\u0449\u044c?","li_variants":"\u041a\u043e\u043d\u0441\u0443\u043b\u044c\u0442\u0430\u0446\u0438\u044f \u0441 \u043f\u043e\u0434\u0431\u043e\u0440\u043e\u043c \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u044f\n\u041f\u043e\u043c\u043e\u0449\u044c \u0432 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u0438 \u0422\u0417 \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0438 \u0441 44-\u0424\u0417 \u0438 223-\u0424\u0417\n\u0417\u0430\u043a\u0443\u043f\u043a\u0430 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u043e\u0433\u043e \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u044f\n\u0417\u0430\u043a\u0443\u043f\u043a\u0430 \u0438\u043c\u043f\u043e\u0440\u0442\u043d\u044b\u0445 \u0440\u0435\u0448\u0435\u043d\u0438\u0439\n\u041f\u0440\u0438\u0433\u043b\u0430\u0448\u0435\u043d\u0438\u0435 \u0432 \u0442\u0435\u043d\u0434\u0435\u0440\/\u043a\u043e\u043d\u043a\u0443\u0440\u0441","li_name":"type","li_nm":"type"},{"lid":"1631794322844","ls":"50","loff":"","li_parent_id":"","li_type":"uw","li_uwkey":"dropbox-975ea70dd556b2b055c263","li_title":"\u0424\u0430\u0439\u043b\u044b","li_name":"file","li_multiupl":"y","li_nm":"file"},{"lid":"1631794322845","ls":"60","loff":"","li_parent_id":"","li_type":"ta","li_ph":"\u0423\u043a\u0430\u0436\u0438\u0442\u0435 \u0441\u0440\u043e\u043a\u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430, \u0434\u043e\u0431\u0430\u0432\u043e\u0447\u043d\u044b\u0439 \u043d\u043e\u043c\u0435\u0440 \u0442\u0435\u043b\u0435\u0444\u043e\u043d\u0430 \u0438 \u043b\u044e\u0431\u044b\u0435 \u0434\u0440\u0443\u0433\u0438\u0435 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0438","li_rows":"4","li_name":"comment","li_nm":"comment"},{"lid":"1761695496708","ls":"70","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u0414\u0430\u044e \u0441\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443 \u043c\u043e\u0438\u0445 <a href=\"\/privacy\" style=\"color: rgb(0, 0, 0); border-bottom: 1px solid rgb(0, 0, 0); box-shadow: none; text-decoration: none;\">\u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445<\/a>","li_name":"checkbox","li_req":"y","li_nm":"checkbox"},{"lid":"1761695518561","ls":"80","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u0414\u0430\u044e \u0441\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 <a href=\"\/mailing\" style=\"color: rgb(0, 0, 0); border-bottom: 1px solid rgb(0, 0, 0); box-shadow: none; text-decoration: none;\">E-mail \u0440\u0430\u0441\u0441\u044b\u043b\u043e\u043a<\/a>","li_name":"mailing","li_req":"y","li_nm":"mailing"}]

Подберём типовое или произведем на заказ серверное оборудование, предоставим расчёт и поможем интегрировать в систему.

Заполните форму запроса слева или отправьте описание вашей задачи на почту get@work-system.ru

При отправке письма на почту укажите номер телефона вашего специалиста для обсуждения аналогов оборудования в случае необходимости

Настройка VLAN на коммутаторе Cisco: полное руководство (Access, Trunk, проверка, удаление)

Name: WORK SYSTEM
Address: Варшавское шоссе, д. 1, стр. 6, офис А107, БЦ W Plaza-2, Москва, Москва, 117105, RU
Telephone: +7 495 108-54-54

Обновлено: Декабрь 2025

Важно: Команды могут отличаться на NX-OS и платформах с поддержкой только 802.1Q

Эта инструкция поможет создать VLAN, назначить порты доступа, настроить trunk-каналы, проверить работу и безопасно внедрить изменения без потери связи.

Быстрый старт: создать VLAN, назначить Access-порт, поднять Trunk и проверить (минимальный рабочий сценарий)

Начнём с готовой конфигурации, которая решает типовую задачу: разделить пользовательский трафик (VLAN 10) и серверный (VLAN 20), настроить access-порт для устройства и trunk для связи с соседним коммутатором.

enable
configure terminal
 
! Создаём VLAN 10 и 20
vlan 10
 name USERS
exit
vlan 20
 name SERVERS
exit
 
! Назначаем порт Gi1/0/3 в VLAN 10 (access)
interface GigabitEthernet1/0/3
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit
 
! Настраиваем trunk на Gi1/0/48 к соседнему коммутатору
interface GigabitEthernet1/0/48
 switchport mode trunk
 switchport trunk allowed vlan 10,20
exit
 
! Сохраняем изменения
end
write memory
 
! Проверяем результат
show vlan brief
show interfaces trunk

Пояснение по шагам:

vlan 10 и vlan 20 создают записи VLAN в базе коммутатора
switchport mode access фиксирует порт Gi1/0/3 в режиме доступа для одной VLAN
switchport access vlan 10 назначает порт в конкретную VLAN
spanning-tree portfast ускоряет переход порта в forwarding (только для портов к конечным устройствам)
switchport mode trunk переводит Gi1/0/48 в режим trunk для передачи нескольких VLAN
switchport trunk allowed vlan 10,20 ограничивает список разрешённых VLAN (минимизирует атаку через лишние VLAN)
write memory сохраняет конфигурацию в NVRAM

Перед изменениями:
Выполните резервное копирование текущей конфигурации (copy running-config startup-config или на внешний сервер), убедитесь в наличии доступа по консольному кабелю и согласуйте окно работ. При потере связи по сети консольный доступ позволит откатить изменения.

Что такое VLAN на коммутаторе Cisco: ID, диапазоны и VLAN 1 по умолчанию

VLAN (Virtual Local Area Network) — виртуальная сеть внутри физического коммутатора, которая изолирует broadcast-трафик и делит устройства на логические группы. Каждая VLAN имеет уникальный идентификатор (VLAN ID) в диапазоне от 1 до 4094 по стандарту IEEE 802.1Q.

На коммутаторах Cisco все порты изначально находятся в VLAN 1 — дефолтная VLAN для управления и служебных протоколов (CDP, VTP, STP). VLAN 1 нельзя удалить, и она используется для базовой связи устройств при загрузке. Трафик разных VLAN не смешивается на канальном уровне (L2), что обеспечивает изоляцию без маршрутизатора.

Default VLAN

Управление, все порты по умолчанию

Нельзя удалить; присутствует на всех коммутаторах

2–1001

Normal Range (Ethernet)

Пользовательские VLAN, передача VTP v1/v2/v3

Сохраняются в vlan.dat или running-config (зависит от VTP)

1002–1005

Reserved (FDDI/Token Ring)

Устаревшие протоколы

Зарезервированы автоматически, нельзя удалить

1006–4094

Extended Range (Ethernet)

Дополнительные VLAN для масштабных сетей

VTP v1/v2 не передают; требуется IOS 12.2(52)SE+

0, 4095

Reserved

Системное использование (приоритет без VID)

Недоступны для создания

Риски использования VLAN 1:
По умолчанию все порты находятся в VLAN 1, что делает её целью для атак типа VLAN hopping (двойная тегировка с native VLAN 1 позволяет пробросить трафик в другие VLAN). Рекомендация Cisco — выносить управление в отдельную VLAN и не использовать VLAN 1 для пользовательского трафика. Опираясь на лучшие практики безопасности Cisco (Cisco Best Practices For Switches, packetpassers.com, 2023), создавайте отдельный management VLAN и назначайте неиспользуемые порты в "dead-end" VLAN без DHCP.

Подключение к коммутатору и вход в режим конфигурации (подготовка перед VLAN)

Доступ (Console/SSH), привилегированный режим и сохранение изменений

Перед настройкой VLAN подключитесь к коммутатору по консольному кабелю (COM/USB) или через SSH. Рекомендуем использовать настройку коммутатора Cisco для базовой подготовки устройства перед работой с VLAN и доступом. После входа вы попадёте в режим User EXEC (символ >), где доступны только команды просмотра.

Переход в привилегированный режим:

enable

Символ изменится на # — это Privileged EXEC (уровень 15), где доступны все команды, включая изменение конфигурации. Для входа в режим глобальной конфигурации выполните:

configure terminal

Символ изменится на (config)#. Здесь вы создаёте VLAN, настраиваете интерфейсы и применяете политики.

Сохранение изменений:

После настройки обязательно сохраните конфигурацию в энергонезависимую память:

end
write memory

Или альтернативная команда:

copy running-config startup-config

Без сохранения все изменения пропадут после перезагрузки коммутатора.

Схема режимов Cisco IOS:
 
User EXEC (>)
	↓ enable
Privileged EXEC (#)
	↓ configure terminal
Global Config (config)#
	↓ interface gi1/0/1
Interface Config (config-if)#
	↓ exit / end

Ключевые команды переходов: enable (в привилегированный), configure terminal (в глобальную конфигурацию), interface <имя> (в конфигурацию интерфейса), exit (выход на уровень выше), end (выход в Privileged EXEC).

Перед стартом: что нужно собрать (план адресации и список VLAN)

Прежде чем создавать VLAN и назначать порты, подготовьте следующие данные:

Чек-лист подготовки:

VLAN ID и имена — список VLAN (например, VLAN 10 USERS, VLAN 20 SERVERS, VLAN 99 MGMT)
Назначение портов — какие физические порты будут access (один VLAN) и какие trunk (несколько VLAN)
Native VLAN — номер VLAN для нетегированного трафика на trunk (рекомендуется отличный от 1 и не используемый для устройств)
Allowed VLAN на trunk — список разрешённых VLAN на магистральных портах (минимизируйте для безопасности)
IP-адресация для SVI — если планируется маршрутизация между VLAN (L3), укажите IP-адресацию коммутатора для интерфейсов VLAN
Voice VLAN — номер VLAN для IP-телефонов (если используется)
DHCP/шлюз — настройки DHCP и default gateway для каждой VLAN

Типовые причины аварий при настройке VLAN:

Перепутанный native VLAN на концах trunk — приводит к Native VLAN mismatch, блокировке трафика STP и VLAN hopping
Забытый allowed list — trunk пропускает все VLAN по умолчанию, что открывает доступ к лишним сетям
Не сохранена конфигурация — после перезагрузки все VLAN исчезают
Порт err-disabled — при включении PortFast на порту, где обнаружен STP BPDU (например, подключён другой коммутатор)

Документируйте план до внедрения и проверяйте каждое изменение командами show.

Как создать и настроить VLAN на коммутаторе Cisco: пошаговая инструкция

Создание VLAN выполняется в режиме глобальной конфигурации командой vlan <id>, за которой следует присвоение имени через name <имя>. Это добавляет запись в базу данных VLAN коммутатора.

Пример создания VLAN 2, VLAN 10 и VLAN 20 с именованием:

configure terminal
vlan 10
 name USERS
exit
vlan 20
 name SERVERS
exit
vlan 2
 name MGMT
exit
end

После выполнения команд VLAN добавляются в конфигурацию. На платформах Cisco Catalyst (IOS/IOS XE) нормальные VLAN (1–1005) сохраняются в файле vlan.dat или в running-config в зависимости от режима VTP. Extended-range VLAN (1006–4094) всегда сохраняются в running-config.

Проверка созданных VLAN:

show vlan brief

Вывод покажет список VLAN, их статус (active), имена и назначенные порты. Если VLAN отсутствует в списке, проверьте режим VTP (команда show vtp status) и убедитесь, что коммутатор не работает в режиме VTP Client, который не позволяет создавать VLAN локально.

Создание нескольких VLAN одной командой:

Для массового создания VLAN используйте диапазоны или списки через запятую:

configure terminal
vlan 100,102,105-107
exit

Эта команда создаст VLAN с идентификаторами 100, 102, 105, 106 и 107.

Пример CLI: создание VLAN 2, VLAN 10 и VLAN 20 + именование

Полная последовательность команд для создания трёх VLAN с присвоением имён:

enable
configure terminal
 
vlan 2
 name MGMT
exit
 
vlan 10
 name USERS
exit
 
vlan 20
 name SERVERS
exit
 
end
write memory
show vlan brief

Пояснение:

vlan 2 создаёт VLAN с ID 2
name MGMT присваивает имя для удобства идентификации
exit выходит из режима конфигурации VLAN
write memory сохраняет изменения в NVRAM (для normal-range VLAN сохранение в vlan.dat происходит автоматически, но рекомендуется явное сохранение)

Примечание о совместимости:
На некоторых платформах Cisco (например, Nexus) или при работе с VTP режим сохранения VLAN может отличаться. В режиме VTP Transparent extended-range VLAN сохраняются в startup-config, а не в vlan.dat. Проверяйте режим VTP командой show vtp status перед массовым созданием VLAN.

Настройка Access портов: добавление порта в VLAN

Access-порт — это интерфейс коммутатора, передающий трафик только одной VLAN без тегов 802.1Q. Устройства, подключённые к access-порту (ПК, принтеры, точки доступа), не видят VLAN-тег — коммутатор снимает его при передаче.

Для настройки access-порта необходимо:

Перевести интерфейс в режим access
Назначить конкретный VLAN ID
(Опционально) Включить PortFast для ускорения подключения конечных устройств

Команды настройки access-порта:

configure terminal
interface GigabitEthernet1/0/3
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit
end

Обязательные ключи в описании:

Режим access фиксирует порт для передачи одной VLAN без согласования trunk через DTP
Команда switchport управляет параметрами L2-интерфейса
Назначение портов в конкретный VLAN изолирует трафик устройства от других VLAN
К порту применяются политики безопасности и QoS на уровне интерфейса

Дополнительная информация по режимам и безопасности портов доступна в настройке портов коммутатора.

Один порт (порт доступа) в конкретный VLAN

Назначение одного физического порта в VLAN выполняется в три шага: выбор интерфейса, перевод в access и указание VLAN ID.

Пример для порта Gi1/0/3 в VLAN 10:

configure terminal
interface GigabitEthernet1/0/3
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit
end

Пояснение команд:

interface GigabitEthernet1/0/3 — вход в конфигурацию интерфейса
switchport mode access — фиксирует порт в режиме доступа (отключает DTP negotiation)
switchport access vlan 10 — назначает порт в VLAN 10 (VLAN должен быть создан заранее)
spanning-tree portfast — ускоряет переход порта в forwarding (пропускает listening/learning)

Когда НЕ использовать PortFast:
PortFast следует применять только на портах, подключённых к конечным устройствам (ПК, принтеры, серверы). Если включить PortFast на порту к другому коммутатору, возможны петли STP и broadcast-штормы. Для защиты от случайного подключения коммутаторов используйте spanning-tree bpduguard enable вместе с PortFast.

Массовое назначение портов (interface range) и "автоматический режим порта"

Для настройки группы портов используйте команду interface range, которая применяет конфигурацию сразу к диапазону интерфейсов.

Пример массового назначения портов Gi1/0/1–12 в VLAN 10:

configure terminal
interface range GigabitEthernet1/0/1 - 12
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit
end

Важно: Обязателен пробел перед и после дефиса (1 - 12), иначе команда не выполнится.

Почему явно задавать switchport mode access:
По умолчанию многие порты Cisco находятся в режиме dynamic auto или dynamic desirable, что позволяет автоматически согласовывать trunk через протокол DTP (Dynamic Trunking Protocol). Это создаёт риск атаки Switch Spoofing, когда злоумышленник отправляет DTP-пакеты и заставляет порт перейти в trunk, получая доступ ко всем VLAN.

Рекомендация: Всегда фиксируйте режим порта командой switchport mode access на пользовательских интерфейсах.

switchport mode access

Фиксирует порт в режиме доступа

На всех портах к конечным устройствам

Без этого порт может перейти в trunk через DTP

switchport access vlan X

Назначает порт в конкретный VLAN

После создания VLAN

VLAN должен существовать, иначе порт не активируется

interface range

Применяет команды к диапазону портов

Для массовой настройки

Пробел обязателен: gi1/0/1 - 12

spanning-tree portfast

Ускоряет переход в forwarding

Только на портах к хостам

Не использовать на портах к коммутаторам

ПК + IP-телефон: Data VLAN и Voice VLAN на одном порту

На одном физическом порту можно передавать трафик двух VLAN: один для данных ПК (data VLAN, нетегированный) и второй для голосового трафика IP-телефона (voice VLAN, тегированный 802.1Q).

Механизм работы:
IP-телефон содержит встроенный 3-портовый мини-коммутатор:

Один порт подключён к свитчу (uplink)
Второй порт передаёт данные ПК (passthrough)
Третий порт обслуживает голосовой трафик телефона

Телефон принимает от коммутатора информацию о voice VLAN через CDP или LLDP-MED и начинает тегировать свой трафик 802.1Q. Трафик ПК остаётся нетегированным и относится к access VLAN (PVID). На uplink между коммутатором и телефоном голосовые фреймы идут с тегом voice VLAN, а данные ПК — без тега (native/data VLAN).

Команды настройки:

configure terminal
interface GigabitEthernet1/0/5
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 50
 spanning-tree portfast
exit
end

Пояснение:

switchport access vlan 10 — data VLAN для ПК (нетегированный трафик)
switchport voice vlan 50 — voice VLAN для IP-телефона (тегированный трафик)
Телефон получает информацию о VLAN 50 через CDP/LLDP и применяет 802.1Q тег к голосовым пакетам

Схема работы: Switch ↔ IP Phone (voice VLAN 50 tagged) ↔ PC (data VLAN 10 untagged)

На uplink между коммутатором и телефоном передаются оба VLAN: VLAN 10 как native (без тега) и VLAN 50 с 802.1Q тегом. QoS-приоритет для голосового трафика обычно устанавливается автоматически (CoS 5 / DSCP 46).

Практическая рекомендация:
Фиксируйте порты в access (switchport mode access), проверяйте CDP/LLDP командой show cdp neighbors или show lldp neighbors. При проблемах с телефонией убедитесь, что VLAN 50 существует и разрешён на trunk-портах до вышестоящего коммутатора.

Настройка Trunk порта, тегирование и список разрешённых VLAN

Trunk-порт — это интерфейс, передающий трафик нескольких VLAN одновременно с использованием тегов 802.1Q (стандарт IEEE). Trunk используется для соединения коммутаторов между собой, подключения маршрутизаторов для Inter-VLAN routing и связи с серверами виртуализации.

Основные параметры trunk:

Режим trunk — фиксированный режим передачи тегированного трафика
Encapsulation — метод тегирования (dot1q или ISL; современные коммутаторы поддерживают только dot1q)
Native VLAN — VLAN для нетегированного трафика на trunk (по умолчанию VLAN 1)
Allowed VLAN — список разрешённых VLAN на trunk (по умолчанию все 1–4094)

Включение режима trunk и 802.1Q (dot1q)

Для настройки trunk-порта переведите интерфейс в режим trunk и (при необходимости) укажите инкапсуляцию dot1q.

Команды для trunk на Gi1/0/48 к соседнему коммутатору:

configure terminal
interface GigabitEthernet1/0/48
 switchport mode trunk
 switchport trunk allowed vlan 10,20,50
exit
end

Пояснение:

switchport mode trunk — переводит порт в режим trunk
switchport trunk allowed vlan 10,20,50 — ограничивает список передаваемых VLAN

Платформо-зависимые различия:
На коммутаторах Cisco Catalyst 2960 и C9300 команда switchport trunk encapsulation dot1q недоступна — инкапсуляция dot1q устанавливается автоматически. На старых моделях (3560, 3750) с поддержкой ISL команда обязательна перед switchport mode trunk.

Фильтрация трафика: список разрешённых VLAN (allowed vlan)

По умолчанию trunk-порт пропускает все VLAN (1–4094), что создаёт риск несанкционированного доступа и VLAN hopping. Рекомендуется ограничивать список разрешённых VLAN до минимально необходимых.

Команды управления allowed VLAN:

! Полная перезапись списка
switchport trunk allowed vlan 10,20,50
 
! Добавление VLAN к существующему списку
switchport trunk allowed vlan add 100
 
! Удаление VLAN из списка
switchport trunk allowed vlan remove 50

Между access-коммутаторами

VLAN пользователей + management

Ограничивает распространение broadcast и защищает от hopping

К серверному коммутатору

VLAN серверов + backup

Изолирует production-трафик от пользовательских сетей

К маршрутизатору (Router-on-a-Stick)

Все VLAN, требующие маршрутизации

Минимизирует список для безопасности

Проверка allowed VLAN:

show interfaces trunk

Вывод показывает три списка:

Vlans allowed on trunk — сконфигурированный список
Vlans allowed and active — пересечение allowed и существующих VLAN
Vlans in spanning tree forwarding state — VLAN, реально передающие трафик (не заблокированные STP)

Native VLAN и "родительский vlan": best practices и совместимость

Native VLAN — это VLAN для нетегированного трафика на trunk-порту. По умолчанию native VLAN = 1. Кадры, принадлежащие native VLAN, передаются без 802.1Q тега (untagged).

Настройка native VLAN:

interface GigabitEthernet1/0/48
 switchport trunk native vlan 99
exit

Best practices:

Не используйте VLAN 1 как native — VLAN 1 по умолчанию известна атакующим и применяется для VLAN hopping через double tagging
Одинаковый native на обеих сторонах trunk — несовпадение (mismatch) вызывает блокировку STP и утечки трафика
Документируйте native VLAN — в крупных сетях несовпадение трудно диагностировать без схем

Предупреждение: Native VLAN mismatch
Несовпадение native VLAN на концах trunk приводит к:

Блокировке трафика mismatched VLAN протоколом STP (PVST+ BPDU)
Логированию ошибок CDP-4-NATIVE_VLAN_MISMATCH и SPANTREE-2-BLOCK_PVID
VLAN hopping и утечкам данных (трафик одной VLAN попадает в другую)

Проверка native VLAN:

show interfaces trunk

Поле Native vlan покажет настроенный VLAN. Убедитесь, что значение одинаково на обеих сторонах trunk.

DTP (Dynamic Trunking Protocol): режимы и безопасное отключение

DTP — проприетарный протокол Cisco для автоматического согласования режима trunk между коммутаторами. По умолчанию включён на многих платформах, что создаёт риск атаки Switch Spoofing.

dynamic auto vs dynamic desirable — где встречается и почему опасно по умолчанию

dynamic auto

Пассивно ждёт DTP от соседа; trunk формируется при trunk/desirable

Порт становится trunk при DTP от атакующего

Отключать на production

dynamic desirable

Активно инициирует trunk; формируется при auto/desirable/trunk

Порт может стать trunk без явной настройки

Отключать на production

trunk

Фиксированный trunk, отправляет DTP

Trunk стабилен, но DTP включён

Добавить nonegotiate

access

Фиксированный access, не отправляет DTP

Безопасно для пользовательских портов

Рекомендуется везде, где не нужен trunk

Отключение согласования: switchport nonegotiate (когда уместно)

Команда switchport nonegotiate отключает отправку DTP-пакетов на trunk-порту. Используйте её на всех production trunk для защиты от Switch Spoofing.

Пример безопасной настройки trunk:

interface GigabitEthernet1/0/48
 switchport mode trunk
 switchport trunk allowed vlan 10,20,50
 switchport trunk native vlan 99
 switchport nonegotiate
exit

Когда НЕ применять nonegotiate:

При подключении устройств сторонних вендоров, требующих DTP для автонастройки (редкий сценарий)
В лабораториях с динамической топологией
В production всегда фиксируйте режим (trunk или access) и отключайте DTP.

Как посмотреть настроенные VLAN и транковые интерфейсы на Cisco

Диагностика VLAN и trunk выполняется командами семейства show. Основные команды: show vlan brief (список VLAN и портов), show interfaces trunk (статус trunk и allowed VLAN), show running-config (текущая конфигурация).

Cheatsheet команд show + как читать вывод

Команда show vlan brief:

Показывает перечень VLAN, их статус (active/suspend), имена и назначенные access-порты.

show vlan brief

Пример вывода:

VLAN Name                         	Status	Ports
---- -------------------------------- --------- -------------------------------
1	default                      	active	Gi1/0/4, Gi1/0/6-47
10   USERS                        	active	Gi1/0/1-3
20   SERVERS                      	active	Gi1/0/5
99   MGMT                         	active

Что проверять:

Status: active — VLAN активен и может передавать трафик
Ports — список access-портов в данной VLAN (trunk-порты здесь не отображаются)

Команда show interfaces trunk:

Показывает список trunk-портов, native VLAN, allowed VLAN и VLAN в состоянии forwarding.

show interfaces trunk

Пример вывода:

Port        Mode     	Encapsulation  Status        Native vlan
Gi1/0/48	on       	802.1q     	trunking  	99
 
Port    	Vlans allowed on trunk
Gi1/0/48	10,20,50
 
Port    	Vlans allowed and active in management domain
Gi1/0/48	10,20,50
 
Port    	Vlans in spanning tree forwarding state and not pruned
Gi1/0/48    10,20,50

Ключевые поля:

Mode: on — trunk настроен статически (не dynamic)
Native vlan: 99 — нетегированный трафик относится к VLAN 99
Vlans allowed on trunk — сконфигурированный список (команда switchport trunk allowed vlan)
Vlans allowed and active — пересечение allowed и существующих VLAN
Vlans in spanning tree forwarding state — VLAN, реально передающие данные (не заблокированные STP)

Что проверять:

Совпадение native VLAN на обоих концах trunk
Наличие нужных VLAN в списке allowed and active
Отсутствие лишних VLAN в allowed (минимизируйте для безопасности)

Команда show running-config:

Показывает текущую активную конфигурацию (running-config) коммутатора.

show running-config | section vlan
show running-config interface GigabitEthernet1/0/48

Назначение:

Проверка созданных VLAN (в секции vlan)
Проверка настроек конкретного интерфейса

Команда show interfaces switchport:

Показывает детальную информацию о L2-параметрах интерфейса: административный и операционный режим, access/native VLAN, trunk encapsulation.

show interfaces GigabitEthernet1/0/3 switchport

Пример вывода:

Name: Gi1/0/3
Switchport: Enabled
Administrative Mode: access
Operational Mode: access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Access Mode VLAN: 10 (USERS)

Что проверять:

Operational Mode — реальный режим порта (access/trunk)
Access Mode VLAN — назначенный VLAN для access-порта

Эта команда показывает "истину" по порту, независимо от команд в конфигурации.

Как удалить VLAN или очистить настройки порта

Удаление VLAN выполняется командой no vlan <id> в режиме глобальной конфигурации. Удаление VLAN не приводит к автоматическому изменению настроек портов — порты, назначенные в удалённую VLAN, перестают передавать трафик до повторного назначения.

Команды удаления VLAN и "отвязки" порта (пример для VLAN 99)

Удаление VLAN 99:

configure terminal
no vlan 99
exit

Очистка настроек порта (возврат в default VLAN 1):

interface GigabitEthernet1/0/3
 no switchport access vlan
exit

Или полный сброс интерфейса к дефолтным настройкам:

default interface GigabitEthernet1/0/3

Предупреждение об impact:
Удаление VLAN приводит к потере связи у всех устройств, подключённых к портам этой VLAN. Выполняйте операцию в согласованное окно работ и имейте резервный доступ по консольному кабелю для отката изменений.

Сохранение, бэкап и перенос конфигурации (чтобы VLAN не пропали после перезагрузки)

Сохранить конфигурацию и проверить, что изменения записаны

После настройки VLAN обязательно сохраните конфигурацию в энергонезависимую память (NVRAM). Без сохранения все изменения пропадут при перезагрузке.

Команды сохранения:

end
write memory

Или альтернативная команда:

copy running-config startup-config

Проверка сохранения:

show startup-config | include vlan
show startup-config | section interface

Troubleshooting VLAN/Trunk: быстрые симптомы → причины → команды проверки

Устройство не в сети после назначения VLAN (access)

Симптом: Устройство, подключённое к access-порту, не получает IP-адрес или теряет связь после изменения VLAN.

VLAN не создан

show vlan brief

Создать VLAN командой vlan <id>

Неверный VLAN ID в конфигурации порта

show interfaces switchport

Проверить Access Mode VLAN и исправить

Порт в состоянии err-disabled

show interfaces status

Проверить причину (show errdisable recovery), исправить и включить порт

VLAN не разрешён на trunk между коммутаторами

show interfaces trunk

Добавить VLAN в switchport trunk allowed vlan

Trunk не поднимается или VLAN не проходят между коммутаторами

Симптом: Trunk-порт не переходит в состояние trunking или трафик определённых VLAN не проходит между коммутаторами.

Несоответствие trunk mode

show interfaces switchport

Установить switchport mode trunk на обоих концах

Native VLAN mismatch

show interfaces trunk

Настроить одинаковый native VLAN

Allowed list не включает нужные VLAN

show interfaces trunk

Добавить VLAN в switchport trunk allowed vlan

STP блокирует порт

show spanning-tree interface

Проверить topology, исправить петли

Безопасность и лучшие практики VLAN (hardening)

Информация носит общий характер и не заменяет консультацию специалиста.

VLAN Hopping: как атакуют и как защититься

VLAN Hopping — это атака, позволяющая злоумышленнику получить доступ к трафику других VLAN, не имея физического подключения к ним. Существуют два основных метода: Switch Spoofing и Double Tagging.

Switch Spoofing (DTP)

Фиксировать режим access/trunk + отключить DTP

switchport mode access
switchport nonegotiate

Double Tagging

Изменить native VLAN на неиспользуемый, не использовать VLAN 1

switchport trunk native vlan 999

Лишние VLAN на trunk

Ограничить allowed list минимальным набором

switchport trunk allowed vlan 10,20

Чек-лист перед продакшном (L2/L3/Voice)

Проверка перед внедрением:

Native VLAN одинаков на обеих сторонах trunk
Allowed VLAN минимизирован (только необходимые)
DTP отключён на пользовательских портах (switchport nonegotiate на trunk)
PortFast включён только на портах к конечным устройствам
BPDU Guard настроен на PortFast-портах
VLAN созданы на всех коммутаторах топологии
Конфигурация сохранена (write memory)
Резервная копия конфигурации на внешнем сервере
Проверка show vlan brief, show interfaces trunk, show spanning-tree

Настройка VLAN на коммутаторе Cisco: полное руководство (Access, Trunk, проверка, удаление)

Оглавление

Быстрый старт: создать VLAN, назначить Access-порт, поднять Trunk и проверить (минимальный рабочий сценарий)

Что такое VLAN на коммутаторе Cisco: ID, диапазоны и VLAN 1 по умолчанию

Подключение к коммутатору и вход в режим конфигурации (подготовка перед VLAN)

Как создать и настроить VLAN на коммутаторе Cisco: пошаговая инструкция

Настройка Access портов: добавление порта в VLAN

Настройка Trunk порта, тегирование и список разрешённых VLAN

Как посмотреть настроенные VLAN и транковые интерфейсы на Cisco

Как удалить VLAN или очистить настройки порта

Сохранение, бэкап и перенос конфигурации (чтобы VLAN не пропали после перезагрузки)

Troubleshooting VLAN/Trunk: быстрые симптомы → причины → команды проверки

Безопасность и лучшие практики VLAN (hardening)

FAQ — частые вопросы по VLAN на Cisco (коротко и по делу)