本征vlan

  • Post author:
  • Post category:其他




本征VLAN

(Native Vlan)分配给802.Q中继端口支持来自多个VLAN的流量(有标记流量),也支持来自VLAN以外的流量(无标记流量)。802.1Q中继端口会将无标记流量发送到

本征VLAN

。如果交换机端口配置了

本征VLAN

,则连接到该端口的计算机将产生无标记流量。

本征VLAN

在IEEE 802.1Q规范中说明,其作用是向下兼容传统LAN方案中的无标记流量。对我们来说,

本征VLAN


的目的是充当中继链路两端的公共标识

。最佳做法是使用VLAN 1 以外作为

本征VLAN。



目录


本征VLAN:


本征VLAN(native VLAN):


dotlq:


negotiate(默认设置):


使用以太信道捆绑端口


以太信道故障排除


多生成树(MST)协议


语音VLAN的配置


查看语音VLAN的运行情况


确保交换机安全的最佳实践


本征VLAN:

中继链路两端的

本征VLAN

可以不同,但两台交换机都将把有关不匹配的错误消息写入日志,且可以不能正确地在这两个

本征VLAN

之间传输数据流。

本征VLAN

不匹配是通过交换CDP消息发现的,而不是通过检查中继链路本身发现的。另外,

本征VLAN

的配置是独立与中间封装的,因此即使端口使用的是ISL封装,也可能出现

本征VLAN

不匹配的情形,在这种情况下,

本征VLAN

不匹配不会导致中继问题。

本征VLAN(native VLAN):

在802.1Q中继链路上,根本不对与本征VLAN相关联的帧进行标记。

dotlq:

使用IEEE 802.1Q标准协议在每帧中标记VLAN。唯一的例外是

本征VLAN

,它被正常发送,不进行标记。

negotiate(默认设置):

通过协议选择中都支持的ISL或IEEE 802.1Q。

如果两端都支持这两种类型,就优先选择ISL(Catalyst 2950 交换机不支持ISL)。

如果中继线使用IEEE 802.1Q 应使用命令

switchport trunk native vlan

配置

本征VLAN

,使用

vlan-id(1~4096)

指定不需要标记的

本征VLAN

号。默认情况下,802.1Q将VLAN 1设置成

本征VLAN

。如果中继线使用的是ISL,该命令就没有任何影响,因为ISL不支持不标记的VLAN

使用以太信道捆绑端口

以太信道束最多包含8个以太网介质类型和速度相同的物理端口。存在一些配置限制,以确保只能捆绑配置相似的链路。

通常,所有的捆绑端口必须属于同一个

本征VLAN

且穿越同一组VLAN,每个端口还必须有相同的速度和双工设置;捆绑的端口的生成树设置必须相同。

以太信道故障排除

在交换机内部,仅当所有成员端口的配置一致时才能建立以太信道。每个端口必须有相同的交换模式(接入或中继)、

本征VLAN

、中继的VLAN、端口速度和端口双工模式。

per-VLAN 生成树增强版(PVST+)

cisco还有另一个专用的STP版本,让设备能够相同PVST和CST互操作。per-VLAN生成树增强版(per-VLAN Spanning Tree Plus,PVST+)在相同一个园区网中支持以下3组STP操作:

  • 运行PVST的Catalyst交换机;
  • 运行PVST+的Catalsys交换机;
  • 通过802.1Q运行CST的交换机。

下表总结了这3种STP类型及其其本功能。

STP类型 功能
CST 一个STP案例,在

本征VLAN

上运行:基于802.1Q
PVST 每个VLSN一个STP案例:基于Cisco ISL
PVST+ 提供CST和PVST之间的互操作性:基于802.1Q和Cisco ISL

为实现互操作,PVST+充当CST交换组和PVST交换组之间的转换器。PVST+可以使用ISL中继线直接与PVST通信。然而,为和CST通信,PCST+通过

本征VLAN

以不带标记的帧形式与CST交换BPDU。来自其他STP案例(VLAN)的BPDU通过隧道穿过网络的CST部分。PVST+使用唯一的组播地址发送这些BPDU,这样CST交换机将把BPDU转发给下游邻居,而无需首先解释它们。最终,BPDU将通过隧道到达能够理解它们的其他PVAT+交换机。

多生成树(MST)协议

IEEE 802.1Q和PVST+两种生成树实现,它们都基于802.1D STP,这是网络中生成树操作的两种极端情况。

  1. 802.1Q——单个STP实例用于所有VLAN。即使有500个VLAN,也只有一个STP实例在运行。这被称为通用生成树(CST),运行在中继的

    本征VLAN

    上。

语音VLAN的配置

虽然可以将IP电话的上行链路配置为中继链路非中继链路,但实际考虑的因素应是然如何封装语音数据流。语言分组必须通过独立的语音VLAN(被称为语音VLAN ID或VVID)或通过常规数据VLAN(被称为

本征VLAN

或端口VLAN ID,PVID)传输。语音分组的QoS信息也需要传输。

要配置IP电话的上行链路,只需配置它连接的交换机端口。交换机将指示话机采用它选择的模式。另外要使用802.1Q中继,则动态中继协议(DTP)和CDP将协商一条特殊的中继链路

用下面的接口配置命令选择要使用的语音VLAN模式:

Switch(config-if)switchport voice vlan {vlan-id | untagged | none }

下图说明了4种不同的语音VLAN配置。

上图Cisco IP 电话的语音VLAN配置

下表描述了这4种不同的语音VLAN配置。

关键字 上图种对应部分 本征VLAN(不标记) 语音VLAN 语音Qos(cos 位)
vlan-id A PC数据 VLAN vlan-id 802.1p
dot1p B PC数据

VLAN 0

802.1p
Untagged C PC数据/语音 —— ——
None(默认) D PC数据/语音 —— ——

每个交换机端口的默认设置为none,即不使用中继链路。除none外的所有模式都用特殊的802.1Q中继链路。模式dot1p和untagged的唯一区别在于用于语音数据流封装,dot1p模式将用于分组放置在VLAN 0 中,这需要一个VLAN ID(不是

本征VLAN

),但不需要创建一个独立的语音VLAN;Untagged模式将用于分组放在

本征VLAN

中,即需要VLAN ID,也不需要独立的语音VLAN。

功能最强大的模式使用vlan-id, 如图14.2 的A部分所示。在这种模式下,语音和用户数据通过不同的VLAN传输。语音VLAN中的VoIP分组在802.1p中继链路封装字段中包含CoS位。

注意,特殊802.1Q中继链路自动被启用,这是通过在交换机和IP电话之间交换CDP信息完成的。甚至是在IP电话没有与交换机端口连接时。该链路传输两个VLAN的数据流:语音VLAN (标记的VVID)和数据VLAN。交换机端口的接入VLAN被用作数据VLAN,它传输来自和前往PC的分组,该PC与电话的PC端口相连。

如果IP电话被拆除,并将PC连接到IP电话连接的交换机端口,那么PC仍能够正常

通信,因为数据VLAN仍为接入VLAN,虽然此时没有启用特殊的中继链路。

查看语音VLAN的运行情况

例如,假设在交换机端口上配置了接入VLAN10、语音VLAN 110和本征

VLAN 99

,示例显示了该交换机端口的配置以及它处于接入模式下的STP信息。

确保交换机安全的最佳实践


确保CDP的使用安全

——默认情况下,在每个交换机端口上间隔60秒发送一个CDP通告。虽然CDP是一个非常方便的邻接Cisco设备的邻接Cisco设备发现工具,但不应让CDP将有关交换机的不必要信息通告给监听的攻击者。

例如,在CDP通告中,以明文方式发送下面的信息。攻击者可能根据设备ID找到交换机的物理位置·,使用设备的IP地址来发起Tlenet或SNMP攻击,或使用本征VLAN和交换机端口ID来发起VLAN跨越(hopping)攻击。

只应在连接到可信的Cisco 设备的交换机端口上启用CDP。别忘了,在连接Cisco IP

电话的交换机端口上必须启用CDP,CDP消息到达IP电话后,不会被转发到其数据端口

连接的PC。要在端口上禁用CDP,可使用接口配置命令no cdp enable。



版权声明:本文为m0_61703913原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。