[CCNA学习笔记] VLAN、Access和Trunk、VTP

VLAN

VLAN基础

　VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。最形象的理解就是把不同部门的人划分到一个网络区域(网络地址段)。
　native vlan：端口配置native vlan时不会对native vlan发来的数据帧打标签。交换机在收到一个未打标签的数据帧时会认为属于native vlan，所以会把数据帧转发到native vlan中。 vlan部署：
　1. end-to-end vlan 不论地理位置，同部门在同一vlan下，二层交换机即可完成。代价小，但是广播域大。
　2. local vlan 每个区域有自己的vlan，需要vlan间通信技术，用三层交换机。代价大，但是安全。推荐使用local vlan。

VLAN安全

• vlan hopping***
  1. vlan spoofing 利用DTP，***发送DTP包和交换机建立Trunk连接，可以发送不同vlan包获得交换机所连设备信息，监听arp广播包。 预防：关掉不必要的端口；连接终端用access port；禁用DTP（由于电脑和交换机的不同，配置Trunk需要在交换机上进行，禁用DTP后，交换机不会对DTP响应。
  2. Double Tagging：默认不同vlan无法交流，伪造一个包含其他vlan标签的数据帧，利用nativa vlan，在伪造数据帧上打native vlan标志，对不同vlan终端***(DOS) 预防：修改默认native vlan不为1。

---

Access、Trunk

　交换机开机未配置vlan时，所有端口默认属于vlan1，vlan1和1006-4096属于系统内定，平常用2-1005号vlan。vlan的存在是为了在广播域减少交换机广播压力，相当于对终端进行分组，vlan id相当于组号。
　在此之上设立了access port和trunk port。 access port：不在数据帧上打标签，默认属于vlan 1 trunk port：在数据帧上打标签，表明数据包属于哪个vlan。 一般终端和交换机之间用access port，交换机之间用trunk port。 划分access port和trunk port可以帮助交换机转发帧时更快找到目标终端。
　access port发送数据帧不会打标签(在帧上加PVID)。 trunk port会对数据帧加标签，并且在发给主机时去掉标签。 在旧的交换机配置turnk有可能会失败，因为使用ISL思科私有帧头，所以使用switchport trunk encapsulation dot1q命令，改成802.1q封装方式。 配置Trunk有两种方式：DTP(Dynamic Trunk Protocol)和非DTP。生产环境一般用非DTP模式，因为事先知道要配置Trunk，所以不需要浪费带宽协商。 交换机双方采用DTP协议时，根据配置的DTP方式不同，会有不同的协商结果。

VTP

　在一个局域网时，需要配置很多vlan，手动太麻烦，所以出现了VTP（VLAN Trunking Protocol）：是VLAN中继协议，也被称为虚拟局域网干道协议，VTP是思科私有协议。 VTP有1，2，3版本。 VTP分为服务器、客户端和Transparent，服务器可以创建、修改和删除vlan，指定配置参数。客户端不能进行上述 操作。 Transparent模式(透明模式)，不会通告它本身的vlan配置但是在版本2中会同他服务器的vlan配置，并且它本身的vlan修改不会影响到其他设备。 Revision：对vlan的增加、修改和删除会使它自增1。 配置VTP要求交换机之间是Trunk。 生产环境不建议用VTP，对服务器修改失误会影响整个网络，版本2有BUG。