VLAN 技术笔记
VLAN相关:vlan vtp trunk vlan间路由
----------------------------------------------------------------------------------------------
>VLAN的概念:
》划分广播域,限制广播域的范围;
》同一个vlan==同一个广播域==同一个网段
>两种VLAN的部署方式:(结合PPT第一张的两幅vlan结构图分析)
》端到端vlan:
#特点:
园区网内,vlan号相同的所有主机都属于同一个广播域;
都是用二层的交换设备,所有交换机之间都是用trunk链路;
#优点:
不同地 理位置同一部门的主机可以直接通过二层互访;
相同部门的主机部署不受地理位置的限制;
#缺点:
每台交换机上都要求vlan信息都必须同步:
随着vlan的扩展,广播域不断变大--------一台交换机支持多少个vlan呢???
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
example:vlan信息不同步会怎样?:
PC1(vlan10)-----SW1------------SW2-----------SW3-----PC2(vlan10)
trunk trunk
拓扑说明:SW1和SW3上都有创建vlan,但SW2上没有vlan10;
交换机间链路都是trunk链路,PC1和PC2都属于vlan10;
问题:PC1和PC2是否能够正常通信;
PC1和PC2是无法通信的===》如果交换机上没有相应得vlan,那么这台交换机上的trunk链路
是不会对这个vlan的流量进行放行的;
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
分别查看二层和三层交换机所支持的vlan数:show vtp status
》本地vlan:
#特点:
不同区域用三层交换机相连,二层交换机和三层交换机之间是trunk链路,不同交换机间三层链路;
不同三层交换机上vlan号相同的vlan之间是没有关系的;
地理位置不同,所属vlan不同;
#优点:
不同三层交换机上vlan进行通信都通过三层路由,广播域不会因为部门的扩张而变大;
交换机上不要求同步所有网络的vlan信息;
==》
端到端vlan一般适用于不断扩大的中小型网络;
本地vlan适用于大型的园区网;
他们都遵从802.1Q的标准;
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
############################################################################################################
VLAN的基本配置:
>VLAN的创建:
config)#vlan 10
#vlan database
#vlan 10 name sovand
#apply or exit
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
vlan-id的范围:
0和4095 仅仅限于系统使用 用户不能查看和使用
1 正常 cisco默认的vlan,用户可以使用但是不能删除
2--1001 正常 用于以太网的VLAN,用户可以创建。使用。删除。
1002--1005 正常 用于FDDI和令牌环的CISCO默认VLAN,用户不能删除
1006--1024 保留 仅仅限于系统使用。用户不能查看和使用。
1025--4094 扩展 仅仅用于以太网VLAN
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
扩展vlan必须在vtp的透明模式下才能配 vtp mode tans;
透明模式下,SW会将vlan.dat的信息copy配置文件中,show run可以查看到;
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
show vlan
show vtp status
show run 是看不到vlan信息的;
dir
路由器的配置是保存在NVRAM中的,交换机的是保存在内存flash中的;
交换机配置文件保存在config.txt,而vlan信息保存在vlan.dat中;
delete vlan.dat后,show vlan还是存在,因为vlan.dat的信息被加载在了RAM中,删除RAM中的命令用NO;
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
>交换机接口类型:
》access:
---静态,手动绑定:
创建相应vlan;
定义接口的模式为access;
将接口和vlan关联起来;
if)#switchport mode access
if)#switchport access vlan 10
以上是静态地绑定vlan;
---动态,服务器指定:
VMPS:
if)# switchport access vlan dynamic
config)#vmps server 1.1.1.1
---server根据mac和vlan的绑定表来换分vlan;
除VMPS外,还可以用ACS服务器还根据用户名和密码来动态划分VLAN;
数据被放在access口传输的时候是不打标记的,对于access口来说,区分不同vlan是根据逻辑上隔离来实现的,在
交换矩阵的层面,不同vlan有着不同的逻辑;
交换机的access口如果收到一个打了标记的帧,它会查看tag的vlan-id是否和自己接口相绑定的是否一致,如果一致,
它将拆除tag,然后转发,如果tag和自己接口绑定的不一致,则丢弃该帧;
》trunk:
if)#switchport trunk encapsulation dot1q
=》cisco的二层交换机默认已封装过dot1q,三层交换机要手动封装;
if)#switchport mode trunk allowed 3,5,20
连接交换机,来传送多个vlan的数据信息;
在接口封装802.1Q或ISL协议;
配成trunk模式;
#交换机能够转发相应vlan数据的前提是:SWITCH上要有该vlan的信息;
#################################################################################################################
#802.1Q和ISL:
-----------------------------------------------------------------------------
》 帧结构:
|<目的MAC地址48>|<源MAC地址48>|<TYPE/LEN16>|<DATA>|<FCS16>|
-----------------------------------------------------------------------------
》ISL:
由三部分组成:原始帧、ISL头部和FCS;
ISL格式:
|<DA-40>|<TYPE-4>|<USER-4>|<SA-48>|<LEN-16>|<AAA03-24>|<HSA-24>|<VLAN-15>|<BPDU-1>|<INDEX-16>|<RES-16>|<DATA>|<FCS-32>|
DA----指ISL封装特有的帧地址,一个多播地址,告诉接收交换机这是一个ISL数据帧;
TYPE---指承载封装帧所用的技术;
USER--指明用户帧被分配的优先级;
SA----指交换机接口地址,这个地址并不是交换机设置的MAC,而是思科交换机端口标识地址;
LEN--被封装帧的长度,不包括ISL头部和ISL FCS的长度;
AAA03--恒定值域;
HSA---源地址的高位比特必须是0x00-00-0c;ISL是cisco的私有协议,cisco的OUI是0x00-00-0c;
VLAN---15比特域,用来指示vlan成员;
BPDU---如果封装帧是802.1D STP数据单元的话就置1;
INDEX---包括传送数据包的交换机的端口索引;
RES---为令牌环和FDDI封装帧保留的域;
DATA---交换机入口接收到的完全未更改的原始数据帧;
FCS---ISL帧校验;
》802.1Q:
IEEE 802.1Q使用了在原始以太网帧的SA和Type/Length字段中间插入一个4字节标志字段的机制。
由于帧被修改过了,所以干线设备[trunking device]要重新计算被修改过的帧的FCS值。)
示意图:
|<目的MAC地址-48>|<原MAC地址-48>|<TYPE/LEN-16>|<DATA>|<FCS-16>|
| |
|<TAG-32>| |<新FCS-16>|
TAG结构:
|<TPID-16>|<PRORITY-3>|<CFI-1>|<VID-12>|
TPID---Tag协议标识,是一个16位的字段。它被设置成0x8100这个值,为了说明这个帧是一个IEEE 802.1Q标志帧;
PRORITY---优先级,这是一个3位的字段用于指示IEEE 802.1!Q的优先级。这个字段批出了帧在传输过程中的优选次序。
这个字段可以被声明成8个级别[从0到7]);
CFI---规范格式指示符,是是一个1位的字段。如果该值被设置成1,那么MAC地址是非规范格式。如果该值被设置成0,
那么MAC地址是规范格式;
VID---VLAN标识符,是一个12位的字段,它唯一的指出帧属于哪个VLAN,这个字段的任可以是从0到4095中的一个。
---------------------------------------------------------------------------------------------------------------------------------
》 802.1Q和ISL的区别:
---ISL是cisco私有协议,802.1Q是标准协议;
---封装方式:
ISL是完全封装,未对原来帧结构改动,处理速度快,但有效信息的承载率低;
802.1Q改动了原始帧的结构,在原MAC地址的后面加了32位的tag,承载率高;
---支持vlan号:
ISLvlan号的位数是10,可以最多区分1024个vlan;
802.1Q标识vlan的位数为12,可以区分4096个vlan;
---本征vlan:802.1Q有定义了nativeVLAN的概念;
*********************************************************************************************************************************
关于本征vlan:
802.1Q中定义,默认情况下为vlan 1,在trunk链路上,本征vlan默认是不打tag的,就是说,默认情况下,没有tag
的数据都认为是本征vlan的;这种情况下,会存在安全漏洞,比如说vlan的跳跃攻击(双tag攻击):
(vlan 10)PC1------SW1(native vlan 10)--------------(native vlan 10)SW2------PC2(vlan 20)
PC1发一个有两层tag,里层是vlan 20的,外层是vlan 10的,这样,SW1收到后,发现此帧的tag是vlan10,和自己
接口所绑定vlan是一致的,而且是native vlan,就不对其处理,直接将它转发到trunk链路,SW2收到后,查看tag,发现
是vlan 20的,就把它发给了vlan 20的主机,这就造成了跨vlan的访问;
==》所以一般情况下, trunk链路的两端native vlan要一致,尽量不要让native vlan来承载数据;另外,也可以给native vlan打 上tag:
config)#vlan dot1Q tag native
修改native vlan的命令:
if)#switchport trunk native vlan 10
**********************************************************************************************************************************
trunk口的配置:
if)#switchport trunk encapsulation ?
dot1q ---------------802.1Q;
isl----------思科私有;
negotiation----协商,对方是802.1Q就用802.1Q,对方用isl本接口就用isl;
############################################################################################################
>DTP协议:
DTP是cisco专有的协议,它只能用于交换机之间建立trunk链路,不能用于交换机和路由器之间;一般情况下trunk链路每隔30s发送
一次DTP帧,来告诉其它交换机自己的状态;
以太网的trunk模式:
On---------手动配置为trunk模式;
Off--------手动配置非trunk模式;
Desirable--让端口主动去协商为trunk模式,如果邻居被配位On,Desiable或Auto,则该端口可以成为trunk;
Auto-------让端口被动等待对端的协商包,如果对端是On或Desirable时,该端口可以成为trunk口;
Nonegotiate-端口永久设为Trunk模式,但不生成DTP帧,必须手工地把相邻端口配置为Trunk端口来建立一条trunk链路;
-------------------------------------------------------------------------------------------------------------------
配置:
---DTP模式的定义
if)#switchport trunk encapsulation negotiate/isl/dot1q
if)#switchport mode trunk/dynamic desirable/dynamic auto
---关闭协商
if)#switchport nonegotiate
--------------------------------------------------------------------------------------------------------------------
*注意:
----交换机catalyst 2950和3550接口默认是desirable模式的,而catalyst 3560交换机接口是auto模式的,所以2950或3550
交换机的接口可以自动协商成trunk,而3560的不会;
----当接口的被强制配为on模式时,交换接口间还是会发送DTP协商帧的,所以这个时候,我们一般用命令switchport nonegotiate
来关闭协商,因为on模式的DTP协商帧已经没有意义了。
###########################################################################################################
>VTP:
vtp有3个版本,v1、v2、v3,v2是使用最广泛的;
vtp domain cisco
vtp mode server/client/trans
vtp passwork sovand
vtp同步成功的条件是domain相同,password相同;
vtp修订号低的向高的同步vlan信息;不一定是client向server同步;
》VTP修剪:
config)#vtp pruning
##########################################################################################################
三层交换机:
普通的二层交换机环境中,为了实现跨vlan的访问,必须要加一个路由器;
而如果是三层交换机,就没必要加路由器了,可以直接用三层交换机来实现;
PT演示===》二层交换机+路由器==三层交换机
路由器和路由器之间的互联;三层交换和路由器相连,三层交换机和三层交换机之间相连;