本征vlan与关于本征

简介: 本征VLAN(Native Vlan)分配给802.Q中继端口支持来自多个VLAN的流量(有标记流量),也支持来自VLAN以外的流量(无标记流量)。802.1Q中继端口会将无标记流量发送到本征VLAN。如果交换机端口配置了本征VLAN,则连接到该端口的计算机将产生无标记流量。本征VLAN在IEEE 802.1Q规范中说明,其作用是向下兼容传统LAN方案中的无标记流量。对我们来说,本征VLAN的目的是充当中继链路两端的公共标识。最佳做法是使用VLAN 1 以外作为本征VLAN。

本征VLAN:

       中继链路两端的本征VLAN可以不同,但两台交换机都将把有关不匹配的错误消息写入日志,且可以不能正确地在这两个本征VLAN之间传输数据流。本征VLAN不匹配是通过交换CDP消息发现的,而不是通过检查中继链路本身发现的。另外,本征VLAN的配置是独立与中间封装的,因此即使端口使用的是ISL封装,也可能出现本征VLAN不匹配的情形,在这种情况下,本征VLAN不匹配不会导致中继问题。

本征VLAN(native VLAN):

在802.1Q中继链路上,根本不对与本征VLAN相关联的帧进行标记。

dotlq:

使用IEEE 802.1Q标准协议在每帧中标记VLAN。唯一的例外是本征VLAN,它被正常发送,不进行标记。

negotiate(默认设置):

通过协议选择中都支持的ISL或IEEE 802.1Q。

如果两端都支持这两种类型,就优先选择ISL(Catalyst 2950 交换机不支持ISL)。

       如果中继线使用IEEE 802.1Q 应使用命令switchport trunk native vlan 配置本征VLAN,使用vlan-id(1~4096)指定不需要标记的本征VLAN号。默认情况下,802.1Q将VLAN 1设置成本征VLAN。如果中继线使用的是ISL,该命令就没有任何影响,因为ISL不支持不标记的VLAN

使用以太信道捆绑端口

       以太信道束最多包含8个以太网介质类型和速度相同的物理端口。存在一些配置限制,以确保只能捆绑配置相似的链路。

       通常,所有的捆绑端口必须属于同一个本征VLAN且穿越同一组VLAN,每个端口还必须有相同的速度和双工设置;捆绑的端口的生成树设置必须相同。

以太信道故障排除

       在交换机内部,仅当所有成员端口的配置一致时才能建立以太信道。每个端口必须有相同的交换模式(接入或中继)、本征VLAN、中继的VLAN、端口速度和端口双工模式。

per-VLAN 生成树增强版(PVST+)

       cisco还有另一个专用的STP版本,让设备能够相同PVST和CST互操作。per-VLAN生成树增强版(per-VLAN Spanning Tree Plus,PVST+)在相同一个园区网中支持以下3组STP操作:

运行PVST的Catalyst交换机;

运行PVST+的Catalsys交换机;

通过802.1Q运行CST的交换机。

下表总结了这3种STP类型及其其本功能。

STP类型 功能
CST 一个STP案例,在本征VLAN上运行:基于802.1Q
PVST 每个VLSN一个STP案例:基于Cisco ISL
PVST+ 提供CST和PVST之间的互操作性:基于802.1Q和Cisco ISL


  为实现互操作,PVST+充当CST交换组和PVST交换组之间的转换器。PVST+可以使用ISL中继线直接与PVST通信。然而,为和CST通信,PCST+通过本征VLAN以不带标记的帧形式与CST交换BPDU。来自其他STP案例(VLAN)的BPDU通过隧道穿过网络的CST部分。PVST+使用唯一的组播地址发送这些BPDU,这样CST交换机将把BPDU转发给下游邻居,而无需首先解释它们。最终,BPDU将通过隧道到达能够理解它们的其他PVAT+交换机。

多生成树(MST)协议

       IEEE 802.1Q和PVST+两种生成树实现,它们都基于802.1D STP,这是网络中生成树操作的两种极端情况。

802.1Q——单个STP实例用于所有VLAN。即使有500个VLAN,也只有一个STP实例在运行。这被称为通用生成树(CST),运行在中继的本征VLAN上。

语音VLAN的配置

       虽然可以将IP电话的上行链路配置为中继链路非中继链路,但实际考虑的因素应是然如何封装语音数据流。语言分组必须通过独立的语音VLAN(被称为语音VLAN ID或VVID)或通过常规数据VLAN(被称为本征VLAN或端口VLAN ID,PVID)传输。语音分组的QoS信息也需要传输。

       要配置IP电话的上行链路,只需配置它连接的交换机端口。交换机将指示话机采用它选择的模式。另外要使用802.1Q中继,则动态中继协议(DTP)和CDP将协商一条特殊的中继链路

       用下面的接口配置命令选择要使用的语音VLAN模式:

        Switch(config-if)switchport voice vlan {vlan-id | untagged | none }

       下图说明了4种不同的语音VLAN配置。


上图Cisco IP 电话的语音VLAN配置  

下表描述了这4种不同的语音VLAN配置。

关键字 上图种对应部分 本征VLAN(不标记) 语音VLAN 语音Qos(cos 位)
vlan-id A PC数据 VLAN vlan-id 802.1p
dot1p B PC数据

VLAN 0

802.1p
Untagged C PC数据/语音 —— ——
None(默认) D PC数据/语音 —— ——

 每个交换机端口的默认设置为none,即不使用中继链路。除none外的所有模式都用特殊的802.1Q中继链路。模式dot1p和untagged的唯一区别在于用于语音数据流封装,dot1p模式将用于分组放置在VLAN 0 中,这需要一个VLAN ID(不是本征VLAN),但不需要创建一个独立的语音VLAN;Untagged模式将用于分组放在本征VLAN中,即需要VLAN ID,也不需要独立的语音VLAN。

       功能最强大的模式使用vlan-id, 如图14.2 的A部分所示。在这种模式下,语音和用户数据通过不同的VLAN传输。语音VLAN中的VoIP分组在802.1p中继链路封装字段中包含CoS位。

       注意,特殊802.1Q中继链路自动被启用,这是通过在交换机和IP电话之间交换CDP信息完成的。甚至是在IP电话没有与交换机端口连接时。该链路传输两个VLAN的数据流:语音VLAN (标记的VVID)和数据VLAN。交换机端口的接入VLAN被用作数据VLAN,它传输来自和前往PC的分组,该PC与电话的PC端口相连。

       如果IP电话被拆除,并将PC连接到IP电话连接的交换机端口,那么PC仍能够正常

通信,因为数据VLAN仍为接入VLAN,虽然此时没有启用特殊的中继链路。

查看语音VLAN的运行情况

       例如,假设在交换机端口上配置了接入VLAN10、语音VLAN 110和本征VLAN 99,示例显示了该交换机端口的配置以及它处于接入模式下的STP信息。


确保交换机安全的最佳实践

      确保CDP的使用安全——默认情况下,在每个交换机端口上间隔60秒发送一个CDP通告。虽然CDP是一个非常方便的邻接Cisco设备的邻接Cisco设备发现工具,但不应让CDP将有关交换机的不必要信息通告给监听的攻击者。

       例如,在CDP通告中,以明文方式发送下面的信息。攻击者可能根据设备ID找到交换机的物理位置·,使用设备的IP地址来发起Tlenet或SNMP攻击,或使用本征VLAN和交换机端口ID来发起VLAN跨越(hopping)攻击。



只应在连接到可信的Cisco 设备的交换机端口上启用CDP。别忘了,在连接Cisco IP

电话的交换机端口上必须启用CDP,CDP消息到达IP电话后,不会被转发到其数据端口

连接的PC。要在端口上禁用CDP,可使用接口配置命令no cdp enable。

目录
相关文章
|
安全 网络协议 网络虚拟化
[ 网络协议篇 ] vlan 详解之 vlan if 详解
[ 网络协议篇 ] vlan 详解之 vlan if 详解
2549 0
[ 网络协议篇 ] vlan 详解之 vlan if 详解
|
网络架构
交换机与路由器技术-11-VLAN Trunk
交换机与路由器技术-11-VLAN Trunk
68 0
|
网络虚拟化 网络架构
vlan的配置
vlan的配置
139 0
|
安全 网络虚拟化 网络架构
VLAN 虚拟局域网
access:用于交换机和主机相连或者主机和路由器相连时需要的类型,access接口只能属于一个vlan Trunk:用于交换机和交换机相连的类型(连接两端需要相同配置),trunk不属于任何vlan,它是一条公有链路,用来在单条链路上承载不同的vlan流量让其通过 vlan工作原理:一个VLAN=一个广播域=逻辑网段(子网)
|
安全 网络虚拟化 网络架构
什么是vlan
什么是vlan
242 0
什么是vlan
|
Shell 网络虚拟化 数据安全/隐私保护
VLAN与三层交换机
1、VLAN的概念与优势 2、VLAN的种类 3、静态VLAN的配置 4、Trunk介绍and配置 5、三层交换机原理 6、hybrid
|
网络虚拟化 网络架构 数据安全/隐私保护
|
网络虚拟化
|
网络虚拟化
|
网络虚拟化