Layer2-3 VLAN和DTP
VLAN virtual LAN虚拟局域网,用于L2层中分割广播域。
一、vlan编号0~4095,系统保留的vlan0和vlan4095,其余飞系统保留的vlan分为三类:
1、保留vlan,编号vlan1、1002~1005 交换机自己创建好的,用做以太网、FDDI光纤网、令牌环等网中的默认vlan编号,可以show vlan brief 查看到,表示为default字样的
2、标准vlan,编号vlan1~1001 可以在VTP Server模式和VTP transparent透明模式下创建
3、扩展vlan,编号vlan1006~4094 只能在VTP transparent透明模式下创建
二、VLAN对于用户端的用作
1、透明:vlan在用户端是透明的,SW判断一个数据包或者叫数据帧是哪个vlan的依据是SW的接口!vlan的编号是在sw的接口上面定义的,其功能应该包含在硬件芯片ASCII中。用户发送数据是一个标准的以太网数据包,L2L3L4Data这样的封装格式,其中并没有vlan信息,而sw在收到这个包后会根据接收的端口所属的vlan来判断这个数据包属于哪个vlan。
2、vlan转发前提依旧是CAM表项:前面说了SW转发数据是根据CAM表转发,查看其中的MAC地址来转发。那么创建了多个vlan就是将一个CAM表分成了多个CAM表,每一个分CAM表中对应一个vlan,比如有N个vlan,其中vlan2和vlan3在没有连接L3层路由设备的情况下是不能通信的,隔离了广播域。当vlan2中的一个PC通过交换机想要把数据要发送给vlan3中的PC时,SW会查看vlan2对应的CAM2表,发现没有vlan3中PC的MAC地址(因为vlan3中PC的MAC地址在vlan3对应的CAM表3中),那么将这个包在vlan2内flood,然而vlan2中的PC受到这包自然是丢弃的。vlan2中的PC与vlan3中的PC通信就失败了(有路由的另算)。
三、多个L2层交换机中的相同vlan之间的相互通信
先看一个实验,SW1:e0/1-vlan2,e0/0-vlan2 ------access-------SW2:e0/0-vlan3
SW1-e0/1-------access------pc1(192.168.1.1)
SW2-e0/1-------access------pc2(192.168.1.2),e0/2-----access----pc3(192.168.1.3)
上面的拓扑是L2层之间vlan通信问题,两台2层交换机SW1、SW2分别连接了PC1-3三台主机,三台主机都是一个网段的。在sw1中配置了vlan2,vlan3并将连接pc1的e0/1接口划分到vlan2中,在sw2中配置了vlan2,vlan3并将连接pc2的e0/1接口划分到vlan2中,将连接pc3的e0/2接口划分到vlan3中。sw1与sw2通过access模式连接,并且sw1的e0/0口在自己的vlan2中,而sw2的e0/0口在自己的vlan3中。
此时pc1分别去发送数据给pc2、pc3,使用ping的结果是:1、在sw1和sw2没有配置vlan前全部互通
2、在完成上述拓扑后,pc1与pc3可以通信,而pc1与pc2无法通信。下面看一下数据转发过程:
首先、pc1发送一个数据包给pc3,第一个包L2目的mac没有封装失败,启动arp封装OK发出去,到达了sw1的e0/1口,sw1查看e0/1属于vlan2的,所以pc1发来的arp-request就被标记成vlan2,sw1记录完PC1的MAC到vlan和e0/1后查看vlan2对应的CAM表,没有找到pc3的目的mac,那就在vlan2里面flood,连接sw2的e0/0也是vlan2的收到flood的arp包后发给了sw2,整个发送过程没有修改过arp数据包的L2层吧,从e0/0出去的arp包还是一个以太网标准格式的包,传到sw2后,sw2先记录pc1的mac地址到CAM里面(对应vlan3和e0/0口),然后查看arp包中的目的MAC地址,由于是从自己的e0/0收到的,sw2查看了e0/0属于vlan3,所以应该是查看vlan3对应的CAM表,一看目的vlan3对应的CAM表中有arp包要给的目的MAC地址,是pc3的(因为pc3也是vlan3的,所以vlan3对应的CAM是可以学到pc3的MAC地址的,而学不到pc2的MAC地址),那么就把这个包通过e0/2口转发给了pc3,pc3记录pc1的arp表项后给pc1回复arp-reply相应,完成了pc1与pc3的通信。
因为pc2在sw2自己的vlan2中,所以sw2在转发的时候不会把自己vlan3的数据包flood或者单播到自己vlan2里面去的,所以pc2无法收到pc1发来的数据包。
但是如何让sw1的vlan2与sw2的vlan2通信呢:1、sw1连接sw2的口和sw2连接sw1的口都划分到vlan2中
2、让sw1与sw2相连的网线可以承载多个vlan信息,达到不同设备中的同一vlan相互通信,不同vlan不能通信的目的
第一种方法不可取的原因在于,如果有20以上的vlan,那么交换机端口不够用。
第二种方法是目前所使用的方法trunk(干道)技术,用于一根物理介质上(实际上是交换机端口,因为交换机看vlan信息只看流量进入的端口做确认,和网线、终端半毛钱关系都没有)承载多个vlan信息。
1、cisco交换机端口分类:分为二层端口和三层端口以及虚拟端口,其中二层端口又分为一下三个类型:
access类型:默认只能属于一个vlan
trunk类型:承载多个vlan信息,使用ISL协议或802.1Q协议来封装数据帧达到对多vlan的区分(协议见图)
QinQ类型:dot1q in dot1q ,double vlan技术是指将用户私网VLAN标签封装在公网VLAN标签中,使报文带着两层VLAN标签穿 越运营商的骨干网络,在公网中只根据外层VLAN标签传播,私网VLAN标签被屏蔽
trunk中的ISL协议:此协议是cisco私有,封装后原本的以太网帧加了30byte,大小可想而知!封装费劲转发慢
trunk中的802.1q协议:公有的,所有厂商的都支持。
OK,可以看到两个协议封装方式完全不同,ISL采用加头部的封装方式,802.1q采用中间插入tag位(2个都有尾部的FCS),但是802.1q所插入的tag一共是3Byte,而ISL是30Byte,相差10倍,封装速率和解封装速率可想而知,而且支持的vlan数量也是802.1q的多。(一半都采用802.1q协议来封装trunk)
这样交换机的互联的接口都被配置成trunk后就可以在一根网线中承载多个vlan信息了,交换机会根据封装的vlan ID信息区分vlan的编号。
这里有个区别:ISL协议,将所有的vlan都打上标记,没有特殊。
802.1q协议,将除了vlan1以外的vlan都打上标记,特殊vlan1不打标记(还是标准以太网帧)。
这个是ISL和802.1q最大的区别。在802.1q中vlan1又叫做本征vlan。
交换机相关配置命令:
1、接口access模式配置
SW1(config)#interface e0/3
SW1(config-if)#switchport mode access 配置接口access模式
SW1(config-if)#switchport access vlan 3 将接口加入vlan3
SW1(config-if)#end
SW1#show vlan brief 查看vlan对应的接口信息,没有的接口都在trunk中
2、接口trunk模式配置
SW1(config)#interface e0/2
SW1(config-if)#switchport trunk encapsulation dot1q 为trunk封装802.1q协议
SW1(config-if)#switchport mode trunk 配置为trunk模式
SW1(config-if)#end
SW1#show interfaces trunk 查看trunk接口信息,trunk口show vlan brief 看不到
Port Mode Encapsulation Status Native vlan
Et0/2 on 802.1q trunking 1
session 2 DTP协议
DTP全名dynamic trunk protocol动态trunk协议,是cisco私有的协议,此协议可以让Cisco交换机自动协商指定交换机之间的链路是否形成Trunk。非cisco交换机是没有DTP协议的,当cisco收不到DTP时,cisco交换机就认为是access模式,这个端口就被设置为access口。 下面具体说一下各种情况:拓扑为 SW1:e0/0---------连接----------e0/0:SW2
接口下:两端都采用sw2(config-if)#switchport trunk encapsulation negotiate 协商成ISL
其中一边设置了sw1(config-if)#switchport trunk encapsulation dot1q 协商为802.1q
其中一边设置了sw1(config-if)#switchport trunk encapsulation isl 协商为isl
而下面是双方都开启了协商模式都使用了sw2(config-if)#switchport trunk encapsulation negotiate命令后,接口的模式可以进行自动协商的配置,如果不配置接口的模式则按照上面的三种情况执行,如果接口配置了动态协商模式的话就按照下表执行:结果对照表和动态端口配置如下
sw1(config-if)#switchport mode dynamic ?
auto Set trunking mode dynamic negotiation parameter to AUTO
desirable Set trunking mode dynamic negotiation parameter to DESIRABLE
一般实际中都是直接人为制定了接口的模式和trunk的封装协议,这样做网络稳定安全,动态的协商基本用不到。而且考虑到安全性一般都关闭接口的DTP协议,关闭方法就是把接口access、trunk、shutdown自动就关闭了。
session 3 native本征vlan
dot1q协议里面规定的,在ISL中没有定义本征vlan一说都打标机,但是在dot1q中native vlan 1是不打tag的。
1、如果想让dot1q和isl对所有vlan包括native vlan 1也打标记的话,可以在交换机配置:
sw1(config)#vlan dot1q tag nativ 给本征vlan也打tag,这个需要交换机IOS支持,一般3550以上的都支持
2、可以在接口中修改native vlan的号
sw2(config-if)#switchport trunk native vlan 2 将vlan2改为native vlan
修改的只针对于当前接口生效,比如native vlan 是vlan2,那么在接口是access vlan3的接口上配置native vlan2没什么意义的。而当前接口时trunk或者就是vlan2的话就有意义,从这个接口出去的vlan2(现在是本征vlan)的数据帧将不会被封装dot1q协议,也就是说只要是vlan2的数据就不会有tag标记,而其余vlan会有tag的标记。(通过trunk通道的时候也一样,没有tag标记)。
实验:SW1中的vlan2是native vlan和SW2中的vlan3是native vlan可以L2层通信(PC都在一个网段),根据vlantag只看接口属于哪个vlan的原理来判断,如果不通那么是STP影响的,关闭STP就可以实验成功。
重点:vlan接口access、QinQ等在发的时候不打tag,只有收数据的时候才打tag