VLAN-Trunk-VTP

2019-07-26 14:26发布

一、VLAN的作用
在二层交换机上控制广播包的泛洪。其他如安全性的考虑都是基于这一点。
二、VLAN的分类
1、end-to-end端到端的VLAN
2、local本地VLAN
两者的区别在于汇聚层与核心层之间用的是二层技术还是三层技术。
如果汇聚层与核心层之间用的是二层技术或者说是在整个园区网中具有全局意义的话,那它就是end-to-end的VLAN。
如果汇聚层与核心层之间用的是三层技术,那么端到端VLAN的实施将会受到限制,更多的将会采用本地VLAN。
三、划分VLAN的方法
1、静态手工划分、动态VMPS
2、按接口、按MAC、按IP地址
四、配置VLAN
1.命令
SW5#sh vtp status
SW5(config)#vlan 2
SW5(config-vlan)#name vlan2
SW5(config)#interface f0/0
SW5(config-if)#switchport mode access
SW5(config-if)#switchport access vlan 2
或者是如此动态分配
SW1(config)#vmps server 10.1.1.1
SW1(config)#interface range f0/1 ,f0/2 -10
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport access vlan dynamic
2、注意:必须在非VTP客户端才可以配置VLAN,在进VLAN database里配置的时候还必须加一个exit或者apply。
五、Trunk
1、性质:二层技术,不能配置IP;
2、实质:在二层链路上区分三层不同VLAN的数据包
3、作用:在同一条物理链路上传输多个VLAN的数据包
4、点到点的概念,一般不用于实现多路访问(802.1Q好像可以支持点到多点哦)
5、实现:802.1Q/ISL
6、端口模式:
(1)dynamic desirable/tuto 默认为DD。靠DTP(动态trunk协议)自动进行协商。
(2)trunk
(3)access
7、DTP 动态Trunk自动协商
接口Trunk模式:
off----------------access模式下该接口的trunk模式即为off
on-----------------强制为trunk模式,可以加上不协商的参数
nonnegotiate-------不进行协商
dynamic desirable--主动协商
dynamic auto-------被动协商
trunk口学习到的对方的MAC会加入本地cam表
trunk口会针对每一个VLAN学一次对方接口的地址,故mac-address-table表里一个接口会有多个表项.
建议将不用的接口全部shut down掉或者是接入不存在的VLAN.
8、ISL和802.1q
实现方式:ISL为封装,802.1Q为打标记;
协议相关:ISL独立于协议,802.1q对协议有一定的依赖性;
9、ISL的报文头部
(1)ISL总共增加了30个字节,包括头部26个字节和尾部的4个字节的CRC,用ASIC硬件电路来实现。
(2)报文格式:
DA:目标地址,为二层组播地址:01000c0000或者是03000c0000;
Type:说明封装的内容。如果封装的是以太帧,则为0000;如果是令牌环,则是0001;FDDI为0010;ATM为0011;
User:4个bit,后三个bit用来作优先级;
SA:发出数据帧的源MAC地址;
Len:16bit;
AAAA03(SNAP标准子网访问协议) :标识LLC层的东西;
HSA:SA的前三字节,制造商标识;
VLAN号:15个bit,思科用了低位的10位;
BPDU:在这条trunk链路上传递的可能不只是VLAN信息,还会有CDP/STP/VTP信息,1个bit;
INDX:索引;
RES:16bit,保留给令牌环和FDDI。
10、802.1Q
(1)支持点到点和点到多点的实现方式;
(2)TAG:4个字节;
(3)原始帧尾部的FCS得重新做;
(4)tag字段
Ethertype:0x8100;
PRI:优先级,3bit,用来做QOS;
令牌环封装签:通过置0;
VLAN ID:12位.
11、Native vlan
(1)概念:不进行标记的VLAN;
(2)目的:少打一次标记,提高效率;
(3)实现:原本在802.1q中提出,现也能用于思科交换机的isl中;
(4)默认:native vlan默认为vlan 1;
(5)修改:SW1(config-if)#switchport trunk native vlan 2;
(6)注意:trunk两端的native vlan必须一致,否则可能导致桥接环路,而且可能导致潜在的安全威胁,如vlan跳跃攻击。
12、控制trunk链路上的vlan数目
SW1(config-if)#switchport trunk allowed vlan ?
WORD VLAN IDs of the allowed VLANs when this port is in trunking mode
add add VLANs to the current list
all all VLANs
except all VLANs except the following
remove remove VLANs from the current list
13、验证
SW1#show interfaces f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Disabled
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 2 ((Inactive))
Trunking VLANs Enabled: ALL
Trunking VLANs Active: 1
Priority for untagged frames: 0
Override vlan tag priority: FALSE
Voice VLAN: none
Appliance trust: none
在三层交换机上用这条命令查看二层接口信息
no switchport将二层口变为三层口
六、VTP自动VLAN配置
1、实质:VTP只传VLAN,但接口属于哪个VLAN则还需要在每个交换机上配置;
2、条件:一,同一个vtp域;二,必须要有trunk;
3、架构:C-S客户端服务器模式;
4、实现:在服务器端配置VLAN,然后通过Trunk链路进行传输。客户端在接收到VLAN信息后手工决定接口属于哪个VLAN
5、三个模式:
(1)客户端模式:不有创建、修改、删除VLAN;转发VTP通告;同步vlan配置;不保存配置信息;
(2)服务端模式:创建、修改、删除VLAN;发送、转发VTP通告;同步VLAN配置(通过配置版本号);保存在NVRAM里面
(3)透明模式:创建、修改、删除本地VLAN,转发域内的VLAN信息,不同步VALN信息,保存自己的VLAN配置信息。
6、同步:决定同步与否取决于配置版本号,而非交换机角 {MOD}。
7、加入:加入一台新交换机必须在连接之前将它改为透明模式,以将配置版本号清0。
8、修剪:
(1)本质:让特定的vlan流量只走特定的trunk链路。
(2)作用:减少了trunk链路上不必要的流量
(3)性质:逻辑上的修剪,只针对某一个VLAN
(4)恢复:如果被修剪的路由器下游又出现了该VLAN的客户,则会向上发join请求信息,以消除修剪。
(5)配置:SW1(config)#vtp prunning (默认是关闭的)
SW1(config-if)#switchport trunk prunning vlan 10 在接口下做
9、更新:周期更新和触发更新,发的是组播包。VTP通告每五分钟发一次
10、配置:
(1)vtp domain
(2)vtp mode
(3)vtp password
11、验证
SW1#show vtp status
SW1#show vtp counters
友情提示: 此问题已得到解决,问题已经关闭,关闭后问题禁止继续编辑,回答。