我想使用失效的 vLAN 作为中继源上的本机/未标记 vLAN 作为安全最佳实践。中继馈送位于 Cisco 和 Aruba 交换机之间。在 Cisco 交换机上,vLAN 被排除在 vLAN 数据库之外,并且帧不会被转发,从而使其“死亡”。死 vLAN 在 Cisco 中继接口上是本机的。但是,在 Aruba 交换机上,需要先定义 vLAN,然后才能在接口上添加无标记。这让我担心这个 vLAN 会转发帧并可能导致循环或大型广播域。
Aruba 交换机将允许指定“无未标记的 vLAN”。但是,我很确定这会导致与 Cisco 交换机的 vLAN 不匹配,这需要指定本机 vLAN。
在 Aruba/HP 交换机上创建“死角”vLAN 以便不转发流量的最佳方法是什么?
我将您的问题理解为“如何让未标记的帧在中继端口上无处可去?” - 您使用虚拟本地 VLAN 的方法会起作用。但是,正如您所指出的,虚拟 VLAN 可以正常工作,并且可以实际使用或导致问题。
那么,为什么不简单地从这些端口中删除未标记/本机 VLAN?(no vlan <VLID> untagged <port>对于 HPE/Aruba)这样,交换机会立即丢弃所有未标记的流量。如果无法从中继端口中删除本机 VLAN,请确保为每个中继端口使用不同的虚拟 VLAN。这将确保没有不需要的流量。
感谢大家的帮助。我在这个答案中合并了信息。
Aruba OS 不允许在接口上配置未标记的 vLAN。但是,如果接口上没有配置本地 vLAN,Cisco IOS 将默认使用 vLAN 1。vlan dot1q tag native可以在全局配置中的 Cisco 设备上输入,但这将从所有中继接口中删除所有本机 vLAN。如果没有中继接口需要未标记的 vLAN,这是理想的解决方案。
如果在 Cisco 交换机上配置单个接口,则未使用的 vLAN 可用作“死角”vLAN。只要它不在 vLAN 数据库中,它就不应在该 vLAN 内转发帧。这可能会导致本机 vLAN 不匹配错误,但通常不会影响接口的性能,因为所有使用的 vLAN 都已标记。