本征VLAN
(Native Vlan)分配给802.Q中继端口支持来自多个VLAN的流量(有标记流量),也支持来自VLAN以外的流量(无标记流量)。802.1Q中继端口会将无标记流量发送到
本征VLAN
。如果交换机端口配置了
本征VLAN
,则连接到该端口的计算机将产生无标记流量。
本征VLAN
在IEEE 802.1Q规范中说明,其作用是向下兼容传统LAN方案中的无标记流量。对我们来说,
本征VLAN
的目的是充当中继链路两端的公共标识
。最佳做法是使用VLAN 1 以外作为
本征VLAN。
目录
本征VLAN:
中继链路两端的
本征VLAN
可以不同,但两台交换机都将把有关不匹配的错误消息写入日志,且可以不能正确地在这两个
本征VLAN
之间传输数据流。
本征VLAN
不匹配是通过交换CDP消息发现的,而不是通过检查中继链路本身发现的。另外,
本征VLAN
的配置是独立与中间封装的,因此即使端口使用的是ISL封装,也可能出现
本征VLAN
不匹配的情形,在这种情况下,
本征VLAN
不匹配不会导致中继问题。
本征VLAN(native VLAN):
在802.1Q中继链路上,根本不对与本征VLAN相关联的帧进行标记。
dotlq:
使用IEEE 802.1Q标准协议在每帧中标记VLAN。唯一的例外是
本征VLAN
,它被正常发送,不进行标记。
negotiate(默认设置):
通过协议选择中都支持的ISL或IEEE 802.1Q。
如果两端都支持这两种类型,就优先选择ISL(Catalyst 2950 交换机不支持ISL)。
如果中继线使用IEEE 802.1Q 应使用命令
switchport trunk native vlan
配置
本征VLAN
,使用
vlan-id(1~4096)
指定不需要标记的
本征VLAN
号。默认情况下,802.1Q将VLAN 1设置成
本征VLAN
。如果中继线使用的是ISL,该命令就没有任何影响,因为ISL不支持不标记的VLAN
使用以太信道捆绑端口
以太信道束最多包含8个以太网介质类型和速度相同的物理端口。存在一些配置限制,以确保只能捆绑配置相似的链路。
通常,所有的捆绑端口必须属于同一个
本征VLAN
且穿越同一组VLAN,每个端口还必须有相同的速度和双工设置;捆绑的端口的生成树设置必须相同。
以太信道故障排除
在交换机内部,仅当所有成员端口的配置一致时才能建立以太信道。每个端口必须有相同的交换模式(接入或中继)、
本征VLAN
、中继的VLAN、端口速度和端口双工模式。
per-VLAN 生成树增强版(PVST+)
cisco还有另一个专用的STP版本,让设备能够相同PVST和CST互操作。per-VLAN生成树增强版(per-VLAN Spanning Tree Plus,PVST+)在相同一个园区网中支持以下3组STP操作:
- 运行PVST的Catalyst交换机;
- 运行PVST+的Catalsys交换机;
- 通过802.1Q运行CST的交换机。
下表总结了这3种STP类型及其其本功能。
STP类型 | 功能 |
CST |
一个STP案例,在 本征VLAN 上运行:基于802.1Q |
PVST | 每个VLSN一个STP案例:基于Cisco ISL |
PVST+ | 提供CST和PVST之间的互操作性:基于802.1Q和Cisco ISL |
为实现互操作,PVST+充当CST交换组和PVST交换组之间的转换器。PVST+可以使用ISL中继线直接与PVST通信。然而,为和CST通信,PCST+通过
本征VLAN
以不带标记的帧形式与CST交换BPDU。来自其他STP案例(VLAN)的BPDU通过隧道穿过网络的CST部分。PVST+使用唯一的组播地址发送这些BPDU,这样CST交换机将把BPDU转发给下游邻居,而无需首先解释它们。最终,BPDU将通过隧道到达能够理解它们的其他PVAT+交换机。
多生成树(MST)协议
IEEE 802.1Q和PVST+两种生成树实现,它们都基于802.1D STP,这是网络中生成树操作的两种极端情况。
-
802.1Q——单个STP实例用于所有VLAN。即使有500个VLAN,也只有一个STP实例在运行。这被称为通用生成树(CST),运行在中继的
本征VLAN
上。
语音VLAN的配置
虽然可以将IP电话的上行链路配置为中继链路非中继链路,但实际考虑的因素应是然如何封装语音数据流。语言分组必须通过独立的语音VLAN(被称为语音VLAN ID或VVID)或通过常规数据VLAN(被称为
本征VLAN
或端口VLAN ID,PVID)传输。语音分组的QoS信息也需要传输。
要配置IP电话的上行链路,只需配置它连接的交换机端口。交换机将指示话机采用它选择的模式。另外要使用802.1Q中继,则动态中继协议(DTP)和CDP将协商一条特殊的中继链路
用下面的接口配置命令选择要使用的语音VLAN模式:
Switch(config-if)switchport voice vlan {vlan-id | untagged | none }
下图说明了4种不同的语音VLAN配置。
上图Cisco IP 电话的语音VLAN配置
下表描述了这4种不同的语音VLAN配置。
关键字 | 上图种对应部分 | 本征VLAN(不标记) | 语音VLAN | 语音Qos(cos 位) |
vlan-id | A | PC数据 | VLAN vlan-id | 802.1p |
dot1p | B | PC数据 |
VLAN 0 |
802.1p |
Untagged | C | PC数据/语音 | —— | —— |
None(默认) | D | PC数据/语音 | —— | —— |
每个交换机端口的默认设置为none,即不使用中继链路。除none外的所有模式都用特殊的802.1Q中继链路。模式dot1p和untagged的唯一区别在于用于语音数据流封装,dot1p模式将用于分组放置在VLAN 0 中,这需要一个VLAN ID(不是
本征VLAN
),但不需要创建一个独立的语音VLAN;Untagged模式将用于分组放在
本征VLAN
中,即需要VLAN ID,也不需要独立的语音VLAN。
功能最强大的模式使用vlan-id, 如图14.2 的A部分所示。在这种模式下,语音和用户数据通过不同的VLAN传输。语音VLAN中的VoIP分组在802.1p中继链路封装字段中包含CoS位。
注意,特殊802.1Q中继链路自动被启用,这是通过在交换机和IP电话之间交换CDP信息完成的。甚至是在IP电话没有与交换机端口连接时。该链路传输两个VLAN的数据流:语音VLAN (标记的VVID)和数据VLAN。交换机端口的接入VLAN被用作数据VLAN,它传输来自和前往PC的分组,该PC与电话的PC端口相连。
如果IP电话被拆除,并将PC连接到IP电话连接的交换机端口,那么PC仍能够正常
通信,因为数据VLAN仍为接入VLAN,虽然此时没有启用特殊的中继链路。
查看语音VLAN的运行情况
例如,假设在交换机端口上配置了接入VLAN10、语音VLAN 110和本征
VLAN 99
,示例显示了该交换机端口的配置以及它处于接入模式下的STP信息。
确保交换机安全的最佳实践
确保CDP的使用安全
——默认情况下,在每个交换机端口上间隔60秒发送一个CDP通告。虽然CDP是一个非常方便的邻接Cisco设备的邻接Cisco设备发现工具,但不应让CDP将有关交换机的不必要信息通告给监听的攻击者。
例如,在CDP通告中,以明文方式发送下面的信息。攻击者可能根据设备ID找到交换机的物理位置·,使用设备的IP地址来发起Tlenet或SNMP攻击,或使用本征VLAN和交换机端口ID来发起VLAN跨越(hopping)攻击。
只应在连接到可信的Cisco 设备的交换机端口上启用CDP。别忘了,在连接Cisco IP
电话的交换机端口上必须启用CDP,CDP消息到达IP电话后,不会被转发到其数据端口
连接的PC。要在端口上禁用CDP,可使用接口配置命令no cdp enable。