VLAN

VLAN基础

 VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接通信,从而将广播报文限制在一个VLAN内。最形象的理解就是把不同部门的人划分到一个网络区域(网络地址段)。
 native vlan:端口配置native vlan时不会对native vlan发来的数据帧打标签。交换机在收到一个未打标签的数据帧时会认为属于native vlan,所以会把数据帧转发到native vlan中。 vlan部署:
 1. end-to-end vlan 不论地理位置,同部门在同一vlan下,二层交换机即可完成。代价小,但是广播域大。
 2. local vlan 每个区域有自己的vlan,需要vlan间通信技术,用三层交换机。代价大,但是安全。推荐使用local vlan。

VLAN安全

  • vlan hopping***
    1. vlan spoofing 利用DTP,***发送DTP包和交换机建立Trunk连接,可以发送不同vlan包获得交换机所连设备信息,监听arp广播包。 预防:关掉不必要的端口;连接终端用access port;禁用DTP(由于电脑和交换机的不同,配置Trunk需要在交换机上进行,禁用DTP后,交换机不会对DTP响应。
    2. Double Tagging:默认不同vlan无法交流,伪造一个包含其他vlan标签的数据帧,利用nativa vlan,在伪造数据帧上打native vlan标志,对不同vlan终端***(DOS) 预防:修改默认native vlan不为1。

Access、Trunk

 交换机开机未配置vlan时,所有端口默认属于vlan1,vlan1和1006-4096属于系统内定,平常用2-1005号vlan。vlan的存在是为了在广播域减少交换机广播压力,相当于对终端进行分组,vlan id相当于组号。
 在此之上设立了access port和trunk port。 access port:不在数据帧上打标签,默认属于vlan 1 trunk port:在数据帧上打标签,表明数据包属于哪个vlan。 一般终端和交换机之间用access port,交换机之间用trunk port。 划分access port和trunk port可以帮助交换机转发帧时更快找到目标终端。
 access port发送数据帧不会打标签(在帧上加PVID)。 trunk port会对数据帧加标签,并且在发给主机时去掉标签。 在旧的交换机配置turnk有可能会失败,因为使用ISL思科私有帧头,所以使用switchport trunk encapsulation dot1q命令,改成802.1q封装方式。 配置Trunk有两种方式:DTP(Dynamic Trunk Protocol)和非DTP。生产环境一般用非DTP模式,因为事先知道要配置Trunk,所以不需要浪费带宽协商。 交换机双方采用DTP协议时,根据配置的DTP方式不同,会有不同的协商结果。
[CCNA学习笔记] VLAN、Access和Trunk、VTP_第1张图片

VTP

 在一个局域网时,需要配置很多vlan,手动太麻烦,所以出现了VTP(VLAN Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议,VTP是思科私有协议。 VTP有1,2,3版本。 VTP分为服务器、客户端和Transparent,服务器可以创建、修改和删除vlan,指定配置参数。客户端不能进行上述 操作。 Transparent模式(透明模式),不会通告它本身的vlan配置但是在版本2中会同他服务器的vlan配置,并且它本身的vlan修改不会影响到其他设备。 Revision:对vlan的增加、修改和删除会使它自增1。 配置VTP要求交换机之间是Trunk。 生产环境不建议用VTP,对服务器修改失误会影响整个网络,版本2有BUG。
[CCNA学习笔记] VLAN、Access和Trunk、VTP_第2张图片