迷彩 潜伏 隐蔽 伪装
分类:
2012-11-21 16:35:50
原文地址:Cisco VLAN and VLAN Trunk 作者:net527127
1,概述:
首先,要说明一点switch 与hub的区别是:通过hub的所有都将在同冲突域,而是端口对应一个冲突域,这样,就划分了冲突域,但是呢,所有的端口都是属于同一个广播域。
要解决广播域的问题,VLAN就诞生了。VLAN是主要用来在一个交换性的网络里面,分割广播域。VLAN是不受到任何物理连接的限制,是对端口的逻辑分组,用vlan来创建更小的广播域,默认情况下,VLAN之间是不能通信的,适用路由器可以进行通信。
2,VLAN的一些特点:
逻辑上讲,一个VLAN就是一个subnet,每一个subnet都拥有自己的广播域,广播域都只是在自己的subnet内部传播。
4,VLAN 的Scalability性
VLAN是一个逻辑上的连接,用户可以在交换机网络上的任何地方访问,但是仍然属于同一个VLAN。如果你让一个用户移动到另外一个相同网络的交换机上,用户仍然保持它自己的VLAN。
下表是Cisco2950交换机对vlan的支持数量
Switch Model | Software Revision | Number fo VLANs |
2950 |
IOS Standard Image(SI) |
64 |
2950 |
IOS Enhanced Image(EI) |
250 |
手动由管理员分配端口划分的VLAN叫静态VLAN(static VLAN);使用智能管理软件,动态划分VLAN的叫动态VLAN(dynamic VLAN)。
Dynamic VLANs:动态VLAN可以基于MAC地址,IP地址,甚至目录directory information来创建。Cisco设备管理员可以使用VLAN管理策略服务器(VLAN Management Policy Server,VMPS)来创建和管理VLAN。动态VLAN比静态VLAN主要的优势就在于:动态VLAN支持plug-and-play。如果你移动 一个机器从交换机A到交换机B,并且使用的是动态vlan,那交换机B的端口会自动配置VLAN。需要说明的是:1900和2950系列的交换机都不支持 动态VLAN,其它的交换机,比如Catalyst 6500,就支持动态VLAN。
Static VLAN:静态VLAN有叫做port-based VLANs。手动划分端口给VLAN,灵活性没有动态VLAN那么高,但是安全性相对高一点。(小弟主要是讨论一下静态VLAN的配置)。
有两种连接方式:
Access link(接入连接):指的是只属于一个VLAN,且仅向这个VLAN发送数据帧的端口,也叫做native vlan。
Trunk Link:最常用的一种vlan链接。是一种能转发多个不同vlan通信的端口,trunk link只能使用100Mbps以上的端口来进行点对点的连接。Trunk通过修改原来的帧来传输VLAN的信息,修改的帧,通常叫做tagging,由 ASICs(application-specific integrated circuits)来处理,帧鉴别方法,主要是通过VLANID来判断。Trunk一次最多可以携带1005个VLAN的信息,如果交换机没有使用 trunk连接,那么,只有VLAN1通过trunk传播,VLAN1默认为管理VLAN。Trunk的连接通常在交换机之间,交换机与路由器之间,或者 交换机与file server之间进行连接。
Trunk主要有四种方式:
1, ISL(InterSwitch Link):Cisco专有的
2, IEEE802.Q就是dot1q
3, LANE for ATM
4, 802.10 for FDDI(Cisco)
主要是讨论第一种(ISL)和第二种方式(dot1q)。
ISL是Cisco公司专有的,可以使用在以太网和令牌环网。大多数Cisco的设备都支持ISL,但是,一些老的设备,比如Catalyst 4000就只支持dot1q,Cisco1900只支持ISL,2950只支持dot1q。特别说明的是,ISL的端口必须是100Mbps的速 度。 ISL的封装帧:主要是增加了26-byte的头和4-byte的CRC校验。
下表是ISL帧
ISL Header | Encapsulated Frame | CRC |
下表是ISL Header的内容:
DA | Type | User | SA | Length | AAAA03 | HAS | VLAN | BPDU | Index | Res |
Dot1q是IEEE创建的,在Cisco和非Cisco设备之间,就只有使用dot1q来解决trunk问题,不同于ISL,dot1q的 VLAN识别 信息是加在源来帧的MAC地址与类型字符段之间的,这样就修改了原来的帧,但是呢,dot1q的帧比ISL的帧要小的多,这也是ISL为什么使用 100Mbps的原因之一。
下表是dot1q帧的处理过程:
DA MAC | Source MAC | Length of Type | Data | Original FCS |
DA MAC | Source MAC | TAG | Length of type | Data | New FCS |
Type | Priority | Token Ring Encapsulation | VLAN ID |
ISL与dot1q的区别:ISL不修改原来帧,在数据的安全性上面,比dot1q好;dot1q的帧比ISL要小,这样在传输上比ISL有优势。