Tilda Publishing
Привет, любопытный друг. Да, это Tilda. Потому что мы хотим быстро внедрять и управлять решением, а не ждать
в очереди разработчика. Контроль, предсказуемость и отказоустойчивость — наша главная идея.
Подберём типовое или произведем на заказ серверное оборудование, предоставим расчёт и поможем интегрировать в систему.

Заполните форму запроса слева или отправьте описание вашей задачи на почту get@work-system.ru

При отправке письма на почту укажите номер телефона вашего специалиста для обсуждения аналогов оборудования в случае необходимости

Настройка VLAN на коммутаторе Cisco: полное руководство (Access, Trunk, проверка, удаление)

Обновлено: Декабрь 2025

Важно: Команды могут отличаться на NX-OS и платформах с поддержкой только 802.1Q
Эта инструкция поможет создать VLAN, назначить порты доступа, настроить trunk-каналы, проверить работу и безопасно внедрить изменения без потери связи.

Оглавление

Быстрый старт: создать VLAN, назначить Access-порт, поднять Trunk и проверить (минимальный рабочий сценарий)

Начнём с готовой конфигурации, которая решает типовую задачу: разделить пользовательский трафик (VLAN 10) и серверный (VLAN 20), настроить access-порт для устройства и trunk для связи с соседним коммутатором.
enable
configure terminal
 
! Создаём VLAN 10 и 20
vlan 10
 name USERS
exit
vlan 20
 name SERVERS
exit
 
! Назначаем порт Gi1/0/3 в VLAN 10 (access)
interface GigabitEthernet1/0/3
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit
 
! Настраиваем trunk на Gi1/0/48 к соседнему коммутатору
interface GigabitEthernet1/0/48
 switchport mode trunk
 switchport trunk allowed vlan 10,20
exit
 
! Сохраняем изменения
end
write memory
 
! Проверяем результат
show vlan brief
show interfaces trunk
Пояснение по шагам:
  1. vlan 10 и vlan 20 создают записи VLAN в базе коммутатора
  2. switchport mode access фиксирует порт Gi1/0/3 в режиме доступа для одной VLAN
  3. switchport access vlan 10 назначает порт в конкретную VLAN
  4. spanning-tree portfast ускоряет переход порта в forwarding (только для портов к конечным устройствам)
  5. switchport mode trunk переводит Gi1/0/48 в режим trunk для передачи нескольких VLAN
  6. switchport trunk allowed vlan 10,20 ограничивает список разрешённых VLAN (минимизирует атаку через лишние VLAN)
  7. write memory сохраняет конфигурацию в NVRAM
Перед изменениями:
Выполните резервное копирование текущей конфигурации (copy running-config startup-config или на внешний сервер), убедитесь в наличии доступа по консольному кабелю и согласуйте окно работ. При потере связи по сети консольный доступ позволит откатить изменения.

Что такое VLAN на коммутаторе Cisco: ID, диапазоны и VLAN 1 по умолчанию

VLAN (Virtual Local Area Network) — виртуальная сеть внутри физического коммутатора, которая изолирует broadcast-трафик и делит устройства на логические группы. Каждая VLAN имеет уникальный идентификатор (VLAN ID) в диапазоне от 1 до 4094 по стандарту IEEE 802.1Q.

На коммутаторах Cisco все порты изначально находятся в VLAN 1 — дефолтная VLAN для управления и служебных протоколов (CDP, VTP, STP). VLAN 1 нельзя удалить, и она используется для базовой связи устройств при загрузке. Трафик разных VLAN не смешивается на канальном уровне (L2), что обеспечивает изоляцию без маршрутизатора.
Диапазон
Название
Где используется
Особенности/ограничения
1
Default VLAN
Управление, все порты по умолчанию
Нельзя удалить; присутствует на всех коммутаторах
2–1001
Normal Range (Ethernet)
Пользовательские VLAN, передача VTP v1/v2/v3
Сохраняются в vlan.dat или running-config (зависит от VTP)
1002–1005
Reserved (FDDI/Token Ring)
Устаревшие протоколы
Зарезервированы автоматически, нельзя удалить
1006–4094
Extended Range (Ethernet)
Дополнительные VLAN для масштабных сетей
VTP v1/v2 не передают; требуется IOS 12.2(52)SE+
0, 4095
Reserved
Системное использование (приоритет без VID)
Недоступны для создания
Риски использования VLAN 1:
По умолчанию все порты находятся в VLAN 1, что делает её целью для атак типа VLAN hopping (двойная тегировка с native VLAN 1 позволяет пробросить трафик в другие VLAN). Рекомендация Cisco — выносить управление в отдельную VLAN и не использовать VLAN 1 для пользовательского трафика. Опираясь на лучшие практики безопасности Cisco (Cisco Best Practices For Switches, packetpassers.com, 2023), создавайте отдельный management VLAN и назначайте неиспользуемые порты в "dead-end" VLAN без DHCP.

Подключение к коммутатору и вход в режим конфигурации (подготовка перед VLAN)

Доступ (Console/SSH), привилегированный режим и сохранение изменений
Перед настройкой VLAN подключитесь к коммутатору по консольному кабелю (COM/USB) или через SSH. Рекомендуем использовать настройку коммутатора Cisco для базовой подготовки устройства перед работой с VLAN и доступом. После входа вы попадёте в режим User EXEC (символ >), где доступны только команды просмотра.
Переход в привилегированный режим:
enable
Символ изменится на # — это Privileged EXEC (уровень 15), где доступны все команды, включая изменение конфигурации. Для входа в режим глобальной конфигурации выполните:
configure terminal
Символ изменится на (config)#. Здесь вы создаёте VLAN, настраиваете интерфейсы и применяете политики.
Сохранение изменений:
После настройки обязательно сохраните конфигурацию в энергонезависимую память:
end
write memory
Или альтернативная команда:
copy running-config startup-config
Без сохранения все изменения пропадут после перезагрузки коммутатора.
Схема режимов Cisco IOS:
 
User EXEC (>)
	↓ enable
Privileged EXEC (#)
	↓ configure terminal
Global Config (config)#
	↓ interface gi1/0/1
Interface Config (config-if)#
	↓ exit / end
Ключевые команды переходов: enable (в привилегированный), configure terminal (в глобальную конфигурацию), interface <имя> (в конфигурацию интерфейса), exit (выход на уровень выше), end (выход в Privileged EXEC).
Перед стартом: что нужно собрать (план адресации и список VLAN)
Прежде чем создавать VLAN и назначать порты, подготовьте следующие данные:
Чек-лист подготовки:
  • VLAN ID и имена — список VLAN (например, VLAN 10 USERS, VLAN 20 SERVERS, VLAN 99 MGMT)
  • Назначение портов — какие физические порты будут access (один VLAN) и какие trunk (несколько VLAN)
  • Native VLAN — номер VLAN для нетегированного трафика на trunk (рекомендуется отличный от 1 и не используемый для устройств)
  • Allowed VLAN на trunk — список разрешённых VLAN на магистральных портах (минимизируйте для безопасности)
  • IP-адресация для SVI — если планируется маршрутизация между VLAN (L3), укажите IP-адресацию коммутатора для интерфейсов VLAN
  • Voice VLAN — номер VLAN для IP-телефонов (если используется)
  • DHCP/шлюз — настройки DHCP и default gateway для каждой VLAN
Типовые причины аварий при настройке VLAN:
  1. Перепутанный native VLAN на концах trunk — приводит к Native VLAN mismatch, блокировке трафика STP и VLAN hopping
  2. Забытый allowed list — trunk пропускает все VLAN по умолчанию, что открывает доступ к лишним сетям
  3. Не сохранена конфигурация — после перезагрузки все VLAN исчезают
  4. Порт err-disabled — при включении PortFast на порту, где обнаружен STP BPDU (например, подключён другой коммутатор)
Документируйте план до внедрения и проверяйте каждое изменение командами show.

Как создать и настроить VLAN на коммутаторе Cisco: пошаговая инструкция

Создание VLAN выполняется в режиме глобальной конфигурации командой vlan <id>, за которой следует присвоение имени через name <имя>. Это добавляет запись в базу данных VLAN коммутатора.
Пример создания VLAN 2, VLAN 10 и VLAN 20 с именованием:
configure terminal
vlan 10
 name USERS
exit
vlan 20
 name SERVERS
exit
vlan 2
 name MGMT
exit
end
После выполнения команд VLAN добавляются в конфигурацию. На платформах Cisco Catalyst (IOS/IOS XE) нормальные VLAN (1–1005) сохраняются в файле vlan.dat или в running-config в зависимости от режима VTP. Extended-range VLAN (1006–4094) всегда сохраняются в running-config.
Проверка созданных VLAN:
show vlan brief
Вывод покажет список VLAN, их статус (active), имена и назначенные порты. Если VLAN отсутствует в списке, проверьте режим VTP (команда show vtp status) и убедитесь, что коммутатор не работает в режиме VTP Client, который не позволяет создавать VLAN локально.
Создание нескольких VLAN одной командой:
Для массового создания VLAN используйте диапазоны или списки через запятую:
configure terminal
vlan 100,102,105-107
exit
Эта команда создаст VLAN с идентификаторами 100, 102, 105, 106 и 107.
Пример CLI: создание VLAN 2, VLAN 10 и VLAN 20 + именование
Полная последовательность команд для создания трёх VLAN с присвоением имён:
enable
configure terminal
 
vlan 2
 name MGMT
exit
 
vlan 10
 name USERS
exit
 
vlan 20
 name SERVERS
exit
 
end
write memory
show vlan brief
Пояснение:
  • vlan 2 создаёт VLAN с ID 2
  • name MGMT присваивает имя для удобства идентификации
  • exit выходит из режима конфигурации VLAN
  • write memory сохраняет изменения в NVRAM (для normal-range VLAN сохранение в vlan.dat происходит автоматически, но рекомендуется явное сохранение)
Примечание о совместимости:
На некоторых платформах Cisco (например, Nexus) или при работе с VTP режим сохранения VLAN может отличаться. В режиме VTP Transparent extended-range VLAN сохраняются в startup-config, а не в vlan.dat. Проверяйте режим VTP командой show vtp status перед массовым созданием VLAN.

Настройка Access портов: добавление порта в VLAN

Access-порт — это интерфейс коммутатора, передающий трафик только одной VLAN без тегов 802.1Q. Устройства, подключённые к access-порту (ПК, принтеры, точки доступа), не видят VLAN-тег — коммутатор снимает его при передаче.

Для настройки access-порта необходимо:
  1. Перевести интерфейс в режим access
  2. Назначить конкретный VLAN ID
  3. (Опционально) Включить PortFast для ускорения подключения конечных устройств
Команды настройки access-порта:
configure terminal
interface GigabitEthernet1/0/3
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit
end
Обязательные ключи в описании:
  • Режим access фиксирует порт для передачи одной VLAN без согласования trunk через DTP
  • Команда switchport управляет параметрами L2-интерфейса
  • Назначение портов в конкретный VLAN изолирует трафик устройства от других VLAN
  • К порту применяются политики безопасности и QoS на уровне интерфейса

Дополнительная информация по режимам и безопасности портов доступна в настройке портов коммутатора.
Один порт (порт доступа) в конкретный VLAN
Назначение одного физического порта в VLAN выполняется в три шага: выбор интерфейса, перевод в access и указание VLAN ID.
Пример для порта Gi1/0/3 в VLAN 10:
configure terminal
interface GigabitEthernet1/0/3
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit
end
Пояснение команд:
  • interface GigabitEthernet1/0/3 — вход в конфигурацию интерфейса
  • switchport mode access — фиксирует порт в режиме доступа (отключает DTP negotiation)
  • switchport access vlan 10 — назначает порт в VLAN 10 (VLAN должен быть создан заранее)
  • spanning-tree portfast — ускоряет переход порта в forwarding (пропускает listening/learning)
Когда НЕ использовать PortFast:
PortFast следует применять только на портах, подключённых к конечным устройствам (ПК, принтеры, серверы). Если включить PortFast на порту к другому коммутатору, возможны петли STP и broadcast-штормы. Для защиты от случайного подключения коммутаторов используйте spanning-tree bpduguard enable вместе с PortFast.
Массовое назначение портов (interface range) и "автоматический режим порта"
Для настройки группы портов используйте команду interface range, которая применяет конфигурацию сразу к диапазону интерфейсов.
Пример массового назначения портов Gi1/0/1–12 в VLAN 10:
configure terminal
interface range GigabitEthernet1/0/1 - 12
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit
end
Важно: Обязателен пробел перед и после дефиса (1 - 12), иначе команда не выполнится.
Почему явно задавать switchport mode access:
По умолчанию многие порты Cisco находятся в режиме dynamic auto или dynamic desirable, что позволяет автоматически согласовывать trunk через протокол DTP (Dynamic Trunking Protocol). Это создаёт риск атаки Switch Spoofing, когда злоумышленник отправляет DTP-пакеты и заставляет порт перейти в trunk, получая доступ ко всем VLAN.

Рекомендация: Всегда фиксируйте режим порта командой switchport mode access на пользовательских интерфейсах.
Команда
Что делает
Когда применять
Риски/заметки
switchport mode access
Фиксирует порт в режиме доступа
На всех портах к конечным устройствам
Без этого порт может перейти в trunk через DTP
switchport access vlan X
Назначает порт в конкретный VLAN
После создания VLAN
VLAN должен существовать, иначе порт не активируется
interface range
Применяет команды к диапазону портов
Для массовой настройки
Пробел обязателен: gi1/0/1 - 12
spanning-tree portfast
Ускоряет переход в forwarding
Только на портах к хостам
Не использовать на портах к коммутаторам
ПК + IP-телефон: Data VLAN и Voice VLAN на одном порту
На одном физическом порту можно передавать трафик двух VLAN: один для данных ПК (data VLAN, нетегированный) и второй для голосового трафика IP-телефона (voice VLAN, тегированный 802.1Q).
Механизм работы:
IP-телефон содержит встроенный 3-портовый мини-коммутатор:
  1. Один порт подключён к свитчу (uplink)
  2. Второй порт передаёт данные ПК (passthrough)
  3. Третий порт обслуживает голосовой трафик телефона

Телефон принимает от коммутатора информацию о voice VLAN через CDP или LLDP-MED и начинает тегировать свой трафик 802.1Q. Трафик ПК остаётся нетегированным и относится к access VLAN (PVID). На uplink между коммутатором и телефоном голосовые фреймы идут с тегом voice VLAN, а данные ПК — без тега (native/data VLAN).
Команды настройки:
configure terminal
interface GigabitEthernet1/0/5
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 50
 spanning-tree portfast
exit
end
Пояснение:
  • switchport access vlan 10 — data VLAN для ПК (нетегированный трафик)
  • switchport voice vlan 50 — voice VLAN для IP-телефона (тегированный трафик)
  • Телефон получает информацию о VLAN 50 через CDP/LLDP и применяет 802.1Q тег к голосовым пакетам
Схема работы: Switch ↔ IP Phone (voice VLAN 50 tagged) ↔ PC (data VLAN 10 untagged)
На uplink между коммутатором и телефоном передаются оба VLAN: VLAN 10 как native (без тега) и VLAN 50 с 802.1Q тегом. QoS-приоритет для голосового трафика обычно устанавливается автоматически (CoS 5 / DSCP 46).
Практическая рекомендация:
Фиксируйте порты в access (switchport mode access), проверяйте CDP/LLDP командой show cdp neighbors или show lldp neighbors. При проблемах с телефонией убедитесь, что VLAN 50 существует и разрешён на trunk-портах до вышестоящего коммутатора.

Настройка Trunk порта, тегирование и список разрешённых VLAN

Trunk-порт — это интерфейс, передающий трафик нескольких VLAN одновременно с использованием тегов 802.1Q (стандарт IEEE). Trunk используется для соединения коммутаторов между собой, подключения маршрутизаторов для Inter-VLAN routing и связи с серверами виртуализации.
Основные параметры trunk:
  • Режим trunk — фиксированный режим передачи тегированного трафика
  • Encapsulation — метод тегирования (dot1q или ISL; современные коммутаторы поддерживают только dot1q)
  • Native VLAN — VLAN для нетегированного трафика на trunk (по умолчанию VLAN 1)
  • Allowed VLAN — список разрешённых VLAN на trunk (по умолчанию все 1–4094)
Включение режима trunk и 802.1Q (dot1q)
Для настройки trunk-порта переведите интерфейс в режим trunk и (при необходимости) укажите инкапсуляцию dot1q.
Команды для trunk на Gi1/0/48 к соседнему коммутатору:
configure terminal
interface GigabitEthernet1/0/48
 switchport mode trunk
 switchport trunk allowed vlan 10,20,50
exit
end
Пояснение:
  • switchport mode trunk — переводит порт в режим trunk
  • switchport trunk allowed vlan 10,20,50 — ограничивает список передаваемых VLAN
Платформо-зависимые различия:
На коммутаторах Cisco Catalyst 2960 и C9300 команда switchport trunk encapsulation dot1q недоступна — инкапсуляция dot1q устанавливается автоматически. На старых моделях (3560, 3750) с поддержкой ISL команда обязательна перед switchport mode trunk.
Фильтрация трафика: список разрешённых VLAN (allowed vlan)
По умолчанию trunk-порт пропускает все VLAN (1–4094), что создаёт риск несанкционированного доступа и VLAN hopping. Рекомендуется ограничивать список разрешённых VLAN до минимально необходимых.
Команды управления allowed VLAN:
! Полная перезапись списка
switchport trunk allowed vlan 10,20,50
 
! Добавление VLAN к существующему списку
switchport trunk allowed vlan add 100
 
! Удаление VLAN из списка
switchport trunk allowed vlan remove 50
Сценарий
Allowed VLAN
Почему
Между access-коммутаторами
VLAN пользователей + management
Ограничивает распространение broadcast и защищает от hopping
К серверному коммутатору
VLAN серверов + backup
Изолирует production-трафик от пользовательских сетей
К маршрутизатору (Router-on-a-Stick)
Все VLAN, требующие маршрутизации
Минимизирует список для безопасности
Проверка allowed VLAN:
show interfaces trunk
Вывод показывает три списка:
  • Vlans allowed on trunk — сконфигурированный список
  • Vlans allowed and active — пересечение allowed и существующих VLAN
  • Vlans in spanning tree forwarding state — VLAN, реально передающие трафик (не заблокированные STP)
Native VLAN и "родительский vlan": best practices и совместимость
Native VLAN — это VLAN для нетегированного трафика на trunk-порту. По умолчанию native VLAN = 1. Кадры, принадлежащие native VLAN, передаются без 802.1Q тега (untagged).
Настройка native VLAN:
interface GigabitEthernet1/0/48
 switchport trunk native vlan 99
exit
Best practices:
  1. Не используйте VLAN 1 как native — VLAN 1 по умолчанию известна атакующим и применяется для VLAN hopping через double tagging
  2. Одинаковый native на обеих сторонах trunk — несовпадение (mismatch) вызывает блокировку STP и утечки трафика
  3. Документируйте native VLAN — в крупных сетях несовпадение трудно диагностировать без схем
Предупреждение: Native VLAN mismatch
Несовпадение native VLAN на концах trunk приводит к:
  • Блокировке трафика mismatched VLAN протоколом STP (PVST+ BPDU)
  • Логированию ошибок CDP-4-NATIVE_VLAN_MISMATCH и SPANTREE-2-BLOCK_PVID
  • VLAN hopping и утечкам данных (трафик одной VLAN попадает в другую)
Проверка native VLAN:
show interfaces trunk
Поле Native vlan покажет настроенный VLAN. Убедитесь, что значение одинаково на обеих сторонах trunk.
DTP (Dynamic Trunking Protocol): режимы и безопасное отключение
DTP — проприетарный протокол Cisco для автоматического согласования режима trunk между коммутаторами. По умолчанию включён на многих платформах, что создаёт риск атаки Switch Spoofing.

dynamic auto vs dynamic desirable — где встречается и почему опасно по умолчанию
Режим
Что делает
Риск
Рекомендация
dynamic auto
Пассивно ждёт DTP от соседа; trunk формируется при trunk/desirable
Порт становится trunk при DTP от атакующего
Отключать на production
dynamic desirable
Активно инициирует trunk; формируется при auto/desirable/trunk
Порт может стать trunk без явной настройки
Отключать на production
trunk
Фиксированный trunk, отправляет DTP
Trunk стабилен, но DTP включён
Добавить nonegotiate
access
Фиксированный access, не отправляет DTP
Безопасно для пользовательских портов
Рекомендуется везде, где не нужен trunk
Отключение согласования: switchport nonegotiate (когда уместно)
Команда switchport nonegotiate отключает отправку DTP-пакетов на trunk-порту. Используйте её на всех production trunk для защиты от Switch Spoofing.
Пример безопасной настройки trunk:
interface GigabitEthernet1/0/48
 switchport mode trunk
 switchport trunk allowed vlan 10,20,50
 switchport trunk native vlan 99
 switchport nonegotiate
exit
Когда НЕ применять nonegotiate:
  • При подключении устройств сторонних вендоров, требующих DTP для автонастройки (редкий сценарий)
  • В лабораториях с динамической топологией
  • В production всегда фиксируйте режим (trunk или access) и отключайте DTP.

Как посмотреть настроенные VLAN и транковые интерфейсы на Cisco

Диагностика VLAN и trunk выполняется командами семейства show. Основные команды: show vlan brief (список VLAN и портов), show interfaces trunk (статус trunk и allowed VLAN), show running-config (текущая конфигурация).
Cheatsheet команд show + как читать вывод
Команда show vlan brief:

Показывает перечень VLAN, их статус (active/suspend), имена и назначенные access-порты.
show vlan brief
Пример вывода:
VLAN Name                         	Status	Ports
---- -------------------------------- --------- -------------------------------
1	default                      	active	Gi1/0/4, Gi1/0/6-47
10   USERS                        	active	Gi1/0/1-3
20   SERVERS                      	active	Gi1/0/5
99   MGMT                         	active	
Что проверять:
  • Status: active — VLAN активен и может передавать трафик
  • Ports — список access-портов в данной VLAN (trunk-порты здесь не отображаются)
Команда show interfaces trunk:

Показывает список trunk-портов, native VLAN, allowed VLAN и VLAN в состоянии forwarding.
show interfaces trunk
Пример вывода:
Port        Mode     	Encapsulation  Status        Native vlan
Gi1/0/48	on       	802.1q     	trunking  	99
 
Port    	Vlans allowed on trunk
Gi1/0/48	10,20,50
 
Port    	Vlans allowed and active in management domain
Gi1/0/48	10,20,50
 
Port    	Vlans in spanning tree forwarding state and not pruned
Gi1/0/48    10,20,50
Ключевые поля:

  1. Mode: on — trunk настроен статически (не dynamic)
  2. Native vlan: 99 — нетегированный трафик относится к VLAN 99
  3. Vlans allowed on trunk — сконфигурированный список (команда switchport trunk allowed vlan)
  4. Vlans allowed and active — пересечение allowed и существующих VLAN
  5. Vlans in spanning tree forwarding state — VLAN, реально передающие данные (не заблокированные STP)
Что проверять:

  • Совпадение native VLAN на обоих концах trunk
  • Наличие нужных VLAN в списке allowed and active
  • Отсутствие лишних VLAN в allowed (минимизируйте для безопасности)
Команда show running-config:

Показывает текущую активную конфигурацию (running-config) коммутатора.
show running-config | section vlan
show running-config interface GigabitEthernet1/0/48
Назначение:

  • Проверка созданных VLAN (в секции vlan)
  • Проверка настроек конкретного интерфейса
Команда show interfaces switchport:

Показывает детальную информацию о L2-параметрах интерфейса: административный и операционный режим, access/native VLAN, trunk encapsulation.
show interfaces GigabitEthernet1/0/3 switchport
Пример вывода:
Name: Gi1/0/3
Switchport: Enabled
Administrative Mode: access
Operational Mode: access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Access Mode VLAN: 10 (USERS)
Что проверять:

  • Operational Mode — реальный режим порта (access/trunk)
  • Access Mode VLAN — назначенный VLAN для access-порта
Эта команда показывает "истину" по порту, независимо от команд в конфигурации.

Как удалить VLAN или очистить настройки порта

Удаление VLAN выполняется командой no vlan <id> в режиме глобальной конфигурации. Удаление VLAN не приводит к автоматическому изменению настроек портов — порты, назначенные в удалённую VLAN, перестают передавать трафик до повторного назначения.
Команды удаления VLAN и "отвязки" порта (пример для VLAN 99)
Удаление VLAN 99:
configure terminal
no vlan 99
exit
Очистка настроек порта (возврат в default VLAN 1):
interface GigabitEthernet1/0/3
 no switchport access vlan
exit
default interface GigabitEthernet1/0/3
Предупреждение об impact:
Удаление VLAN приводит к потере связи у всех устройств, подключённых к портам этой VLAN. Выполняйте операцию в согласованное окно работ и имейте резервный доступ по консольному кабелю для отката изменений.

Сохранение, бэкап и перенос конфигурации (чтобы VLAN не пропали после перезагрузки)

Сохранить конфигурацию и проверить, что изменения записаны
После настройки VLAN обязательно сохраните конфигурацию в энергонезависимую память (NVRAM). Без сохранения все изменения пропадут при перезагрузке.
Команды сохранения:
end
write memory
Или альтернативная команда:
copy running-config startup-config
Проверка сохранения:
show startup-config | include vlan
show startup-config | section interface

Troubleshooting VLAN/Trunk: быстрые симптомы → причины → команды проверки

Устройство не в сети после назначения VLAN (access)
Симптом: Устройство, подключённое к access-порту, не получает IP-адрес или теряет связь после изменения VLAN.
Причина
Команда проверки
Решение
VLAN не создан
show vlan brief
Создать VLAN командой vlan <id>
Неверный VLAN ID в конфигурации порта
show interfaces switchport
Проверить Access Mode VLAN и исправить
Порт в состоянии err-disabled
show interfaces status
Проверить причину (show errdisable recovery), исправить и включить порт
VLAN не разрешён на trunk между коммутаторами
show interfaces trunk
Добавить VLAN в switchport trunk allowed vlan
Trunk не поднимается или VLAN не проходят между коммутаторами
Симптом: Trunk-порт не переходит в состояние trunking или трафик определённых VLAN не проходит между коммутаторами.
Причина
Команда проверки
Решение
Несоответствие trunk mode
show interfaces switchport
Установить switchport mode trunk на обоих концах
Native VLAN mismatch
show interfaces trunk
Настроить одинаковый native VLAN
Allowed list не включает нужные VLAN
show interfaces trunk
Добавить VLAN в switchport trunk allowed vlan
STP блокирует порт
show spanning-tree interface
Проверить topology, исправить петли

Безопасность и лучшие практики VLAN (hardening)

Информация носит общий характер и не заменяет консультацию специалиста.
VLAN Hopping: как атакуют и как защититься
VLAN Hopping — это атака, позволяющая злоумышленнику получить доступ к трафику других VLAN, не имея физического подключения к ним. Существуют два основных метода: Switch Spoofing и Double Tagging.
Угроза
Защита
Команды
Switch Spoofing (DTP)
Фиксировать режим access/trunk + отключить DTP
switchport mode access
switchport nonegotiate
Double Tagging
Изменить native VLAN на неиспользуемый, не использовать VLAN 1
switchport trunk native vlan 999
Лишние VLAN на trunk
Ограничить allowed list минимальным набором
switchport trunk allowed vlan 10,20
Чек-лист перед продакшном (L2/L3/Voice)
Проверка перед внедрением:
  • Native VLAN одинаков на обеих сторонах trunk
  • Allowed VLAN минимизирован (только необходимые)
  • DTP отключён на пользовательских портах (switchport nonegotiate на trunk)
  • PortFast включён только на портах к конечным устройствам
  • BPDU Guard настроен на PortFast-портах
  • VLAN созданы на всех коммутаторах топологии
  • Конфигурация сохранена (write memory)
  • Резервная копия конфигурации на внешнем сервере
  • Проверка show vlan brief, show interfaces trunk, show spanning-tree

FAQ — частые вопросы по VLAN на Cisco (коротко и по делу)