业务VLAN:太多数vlan属于业务VLAN,所有数据只在本vlan中传输
管理vlan: 除了可以传送传输业务VLAN的信息外,还包括用udp传送的trunk,native vlan,设管理vlan ip(以便可以telnet进去),所有业务vlan都是打标封装的,只有管理vlan是不打标封装的
管理VLAN则无法使用互联网,仅限网络设备管理使用,这样既节省了公网资源,也提高了安全性。一般不建议管理和业务使用相同的VLAN。
管理vlan: cisco交换机默认管理vlan放在vlan1中,管理vlan包括什么呢?
(1)管理ip地址
(2)native vlan
(3)trunk所在端口必须在管理vlan中,如vlan80
管理vlan重点:每个交换机至少要划分一个口给管理vlan, 如每部交换机的第8个口为管理vlan口
配置以s1为例,s2例同:
划分管理vlan:
1.建vlan
s1#en
s1#vlan data
s1#vlan 50 name vlan50
s1#vlan 60 name vlan60
s1#vlan 80 name vlan80
2.划分vlan端口
s1#config
s1(config)#int fa 0/7
s1(config)#switch mode access
s1(config)#witch mode vlan 80
s1(config)#int fa 0/8
s1(config)#switch mode access
s1(config)#witch mode vlan 80
s1(config)#int fa 0/9
s1(config)#switch mode access
s1(config)#witch mode vlan 60
s1(config)#int fa 0/10
s1(config)#switch mode access
s1(config)#witch mode vlan 50
s1(config)#int fa 0/24 -----------------------最重要的地方,交换机二边都用24口----
s1(config)#switch mode access ------------做trunk,如果不划分端口到vlan80-----
s1(config)#witch mode vlan 80-------------会提示mismarch出错。 -----------
3.设置24口为trunk模式
s1(config)#int fa 0/24
s1(config)#switch mode access
s1(config)#witch mode trunk ---------------------
4.native vlan设到管理vlan的vlan 80中
s1(config)#int fa 0/24
s1(config)#switch mode access
s1(config)#switch trunk native vlan 80 ---------
5.删除vlan1设的管理ip
以console线进入超级终端,执行以下命令
s1(config)#itn vlan 1
s1(config)#no ip address
6.设置新的管理vlan 80地址:
s1(config)#itn vlan 80
s1(config)#ip address 192.168.5.253 255.255.255.0
s1(config)#ip default-gateway 192.168.5.1
重点说明:
0.做以上配置前,请不要把二个交换机的24口用物理线路连接,配完后再接上去。
1.二层交换机有多个vlan就可以设多少个vlan ip,但是同时只能有一个vlan被active,也就是说同时只能有一个管理ip,如vlan 80的管理ip是192.168.5.253
2.三层交换每一个端口都可以设ip地址,所以每一个端口只要你允许,都可以telnet到三层交换机
3.二台cisco设备必须用交叉线连接
cisco2950与dlink的二层交换机设为trunk时,注意如下事项:
1.二台cisco 2950连接时,用switch mode trunk就可以了,不用打swtich trunk en dot1q,打了这条命令反而会报错,因为2950默认是用dot1q来封装的,该命令可以省掉
S2(config)#int f0/13
S2(config-if)#switchport trunk encanpsulation dot1q
S2(config-if)#switch mode trunk
(3) 检查 trunk 链路的状态,测试跨交换机、同一 VLAN 主机间的通信
【技术要点】之前介绍说在 Trunk 链路上,数据帧会根据 ISL 或者 802.1Q 被重新封装,然
而如果是 Native VLAN 的数据,是不会被重新封装就在 Trunk 链路上传输。很显然链路两端
的 Native VLAN 是要一样的。如果不一样,交换机会提示出错。
------------------------------DTP 配置理论------------------------------------------------------------------------------
【技术要点】
和 DTP 配置有关的有以下命令,这些命令不能任意组合:
“switchport trunk encapsulation { negotiate | isl | dot1q }:配置 Trunk 链路”
上的封装类型,可以是双方协商确定,也可以是指定的 isl 或者 dot1q
“switchport nonegotiate” :Trunk 链路上不发送协商包,默认是发送的
“switch mode { trunk | dynamic desirable | dynamic auto }”:
trunk: -------------------永远为trunk模式
negotiate:----------------发送协商包
nonegotiate:--------------不发发送协商包
dynamic desirable: --------商口主动变为trunk
dynamic--------------------被动协商
如果想把接口配置为negotiate,使用: ------------主动发送协商包
S1(config-if)#switchport trunk encapsulation { isl | dot1q }
S1(config-if)#switchport mode trunk
S1(config-if)#no switchport negotiate
如果想把接口配置为nonegotiate,使用:------------不主动发送协商包
S1(config-if)#switchport trunk encapsulation { isl | dot1q }
S1(config-if)#switchport mode trunk
S1(config-if)#switchport nonegotiate
如果想把接口配置为desirable,使用: -------------商口主动变为trunk
S1(config-if)#switchport mode dynamic desirable
S1(config-if)#switchport trunk encapsulation { negotiate | isl | dot1q }
如果想把接口配置为auto,使用: ------------------一端用desirable,另一端就应设为auto
S1(config-if)#switchport mode dynamic auto
S1(config-if)#switchport trunk encapsulation { negotiate | isl | dot1q }
------------------------------DTP 配置理论------------------------------------------------------------------------------
8.设置24端口设为trunk后的协商模式:
s1(config)#int fa 0/24
S1(config-if)#switchport mode dynamic desirable --------------配为协商模式
S1(config-if)#switchport trunk encapsulation negotiate
上面一句 = switchport trunk en dot1q
s2(config)#int fa 0/24
S2(config-if)#switchport mode dynamic auto ------------------配为自己模式
S2(config-if)#switchport trunk encapsulation negotiate
上面一句 = switchport trunk en dot1q
9.查看24端品的trunk状态
S1#show interfaces f0/24 trunk
PortModeEncapsulation StatusNative vlan
Fa0/13desirablen-isltrunking1
//可以看到 trunk 已经形成,封装为 n-isl,这里的“n”表示封装类型也是自动协商的。
需要在两端都进行检查,确认两端都形成 Trunk 才行。
10.【提示】由于交换机有缺省配置,进行以上配置后,使用“show running”可能看不到我
们配置的命令。默认时 catalyst 2950 和 3550 的配置是 desirable 模式;而 catalyst 3560
是 auto 模式,所以两台 3560 交换机之间不会自动形成 Trunk,3560 交换机和 2950 交换机
之间却可以形成 Trunk。
DTP
动态中继协议(Dynamic Trunking Protocol),思科技术。
思科动态中继协议(DTP),是 VLAN 协议组中思科专有协议,主要用于协商两台设备间链路上的中
继及中继封装(如 802.1Q)类型。
中继协议有很多不同类型。如果一个端口可以成为 trunk 端口,那么该端口也可能具有自动中继功
能,在某些情况下,甚至具有协商哪种中继类型的功能。这种与其它设备之间进行的协商中继方法的过程
被称之为动态中继技术。
第一个问题是,中继电缆(trunk cable)两端最好都能理解它们是中继端口,否则它们将中继帧视
为正常帧。终端工作站无法理解信息帧头里另外添加的标签信息,其驱动程序栈也无法识别该标签信息,
从而导致终端系统锁定或当机。为解决这个问题,思科推出了用于交换机的协议以实现通信目的。推出的
第一版本是 VTP,即 VLAN 中继协议,它与 ISL 共同工作。最新推出的版本,即动态中继协议 (DTP)
,也可与 802.1q 共同工作。
其次是创建 LAN 。一个交换机的配置 VLAN ,需要做很多工作并且容易引起较多矛盾,如在一台交
换机上 VLAN 100 属于工程部,而在另一台交换机上 VLAN100 可能被配置成属于财务部。这就使在故障
排除工作中引起混乱,也会破坏精心设计的 VLAN 安全模式。该问题可通过 VTP/DTP 解决。在某台交换
机上创建或删除一个 VLAN ,该信息自动传播到相同管理控制区域下的所有交换机上,这些交换机就是一
个 VTP 域。