BCMSN——VLAN TRUNK VTP DTP SVI

BCMSN学习第一天

主要内容：VLAN TRUNK VTP DTP SVI

企业3层架构：拓扑，核心词汇——冗余

冗余：线路冗余，设备冗余，网关冗余，电源冗余

Access 接入层----提供端口密度，用于用户接入；MAC acl、qos、stp、vlan、trunk、vtp

Distribute 汇聚层（分布层）-----流量的聚合，策略规划；实施QOS和安全策略；需要支持三层功能；

Core 核心层-----提供数据的高速转发，路由----NAT

三层交换机可扮演网关，与路由器同跑路由协议

广播域：洪泛的流量能否收到，洪泛范围

VLAN：虚拟局域网，配置思路

• 交换机上创建VLAN

• 交换机上不同接口划入VLAN

• trunk干道——SW-SW，SW-Router

• VLAN间通讯——路由器子接口-单臂路由

注：广播域的切割必须靠设备来完成，子网划分的作用是对不同广播域标记

若一台交换机上没有创建某个VLAN，那么它不转发该VLAN流量；

创建VLAN：

编号——标准/扩展（VTP透明）

成员关系——静态VLAN（接口固定） / 动态VLAN

end to end ：不跨越3层，仅仅使用二层链路通信—在同一交换网络内的同一vlanID

Local VLAN：需要跨越3层通信

sw1(config)#vlan 2-10,15 批量创建

sw1(config-vlan)#exit

sw1(config)#no vlan 2-10,15 批量删除

sw1(config)#vlan 2

sw1(config-vlan)#name classroom1 定义名称，便于区分

接口划入VLAN：

sw1(config)#interface fastEthernet 0/1

sw1(config-if)#switchport mode access 先修改接口模式

sw1(config-if)#switchport access vlan 2 再将其划入某个VLAN

sw1(config)#interface range fastEthernet 0/2 -10 , fastEthernet 0/15 -21 同时进入对个接口

sw1(config-if)#switchport mode access

sw1(config-if)#switchport access vlan 2

注：在删除一个VLAN时，若该VLAN内存在接口，那么这些接口将被逻辑关闭

TRUNK干道：

特征：不属于任何一个VLAN，承载所有VLAN的流量传输，区分和标记不同VLAN的流量

Cisco的二层交换机仅支持802.1q的技术；只有cisco的三层以上交换机才支持ISL

配置：

• trunnk建立

手动建立

二层交换机仅支持802.1q，故可以直接配置为trunk干道

sw1(config)#interface fastEthernet 0/24

sw1(config-if)#switchport mode trunk

由于多层交换机支持多种封装方式，故在配置为trunk干道前需要先修改封装类型
core(config)#interface f0/20
core(config-if)#switchport trunk encapsulation ?
  dot1q      Interface uses only 802.1q trunking encapsulation when trunking
  isl        Interface uses only ISL trunking encapsulation when trunking
  negotiate  Device will negotiate trunking encapsulation with peer on interface
core(config-if)#switchport trunk encapsulation dot1q 
core(config-if)#switchport mode trunk 


自动建立
DTP（Cisco私有）动态trunk协议，交换机之间自动协商成为trunk干道，该协议在Cisco产品中默认开启
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport mode dynamic ?
  auto       Set trunking mode dynamic negotiation parameter to AUTO
  desirable  Set trunking mode dynamic negotiation parameter to DESIRABLE
  auto       被动----默认45以上系列交换机
  desirable  主动--默认45以下不含45，手动==主动
 
被动---被动    不能形成trunk干道
主动---被动    形成
主动---主动    形成
以上所有模式同access接口相遇，必然不能形成
           

查看trunk干道信息：

Switch#show interfaces trunk

为避免PC与交换机建立成为Trunk干道，出现网络安全风险，建议将与PC连接的接口更改成access接口

• 在802.1Q中存在native VLAN
默认为VLAN1，独一无二，在trunk干道上默认对native VLAN的流量不标记
一般用于大流量VLAN的需求
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk native vlan 2 修改默认nativeVLAN，链路两端必须一致；
 
默认native对流量不进行标记，但也可以对其进行标记
core#show vlan dot1q tag native 
dot1q native vlan tagging is disabled  //默认不进行标记
 
core(config)#vlan dot1q tag native 修改为标记
           

• 附属VLAN----在ip phone下，常常需要电话和电脑在不同VLAN，电话一般为native VLAN，且使用QOS优先转发

Switch(config)#int f0/1
Switch(config-if)#switchport mode access 
Switch(config-if)#switchport access vlan 2  PC所在VLAN
Switch(config-if)#switchport voice vlan 1   附属VLAN，ip phone
 
Switch#show interfaces fastEthernet 0/1 switchport 

• 配置trunk干道允许列表，默认trunk干道允许所有VLAN通过
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk allowed vlan 1-10,13-20 仅允许这些VLAN流量通过
Switch(config-if)#switchport trunk allowed vlan remove 2 从允许列表中排除某个VLAN
           

默认cisco要求若一台交换机没有创建某个VLAN，将不转发该VLAN流量，个别厂商有这个要求

VTP:VLAN TRUNK协议

• 作用：集中管理和分发VLAN信息  在交换机上创建VLAN，其他交换机学习；
VTP协议是承载于在trunk干道之上，默认每5min向外广播一次vlan.dat文件；若vlan发生变化时也会自动进行触发更新；
 
sw1#delete flash:config.text  删除交换机和路由器的配置文档，重启后生效
但VLAN和trunk/ vtp信息均存储vlan.dat
sw1#delete flash:vlan.dat
 
sw1(config)#vtp ?
  domain    Set the name of the VTP administrative domain.
  mode      Configure VTP device mode
  password  Set the password for the VTP administrative domain
  version   Set the adminstrative domain to VTP version

• 配置：
domain  域          所有交换机必须在同一域
sw1(config)#vtp domain ccie
当一台交换机没有加域时，那么会自动加入广播过来的第一个域名


mode  模式
sw1(config)#vtp mode ?
 client       Set the device to client mode.  客户端
server       Set the device to server mode. 服务端
transparent  Set the device to transparent mode. 透明

注：
Client  可以被同步，可以同步别人         不能创建、修改、删除VLAN信息
Server  可以被同步，可以同步别人          能
 Transparent    不能                       能

password 加密
sw1(config)#vtp password cisco  同一域内所有设备密码必须一致

version 版本  -----版本必须一致

同步规则：client和server模式才会存在同步；谁同步谁由配置版本号决定
sw1#show vtp status 
VTP Version                     : 2
Configuration Revision             : 3
每修改、删除、创建一次VLAN，配置版本号加1；
谁的配置版本号高，就可以同步其他人

• VTP的同步条件：
版本相同
Domain相同
Password相同
配置版本号高同步低的
非透明模式
必须为trunk干道


• VTP修剪：
修改不必要的扩散流量，减少资源的占用；仅仅在server模式下可以生效
sw1(config)#vtp pruning   全局开启，宏观修剪

sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport trunk pruning vlan 10 在该trunk干道上，专门针对某个VLAN的流量进行修剪
           

SVI：管理VLAN

• 交换机需要被远程登录管理，真实的二层接口不能配置ip地址；故只能使用SVI虚接口；

虚接口的MAC地址从背板地址池中获取（二层交换机仅存在一个SVI虚接口，多层交换机多个）

又交换机上存在VLAN 的概念；该SVI虚接口处于哪个VLAN中，这个VLAN就成为管理VLAN；默认该接口处于VLAN1中

• 配置：SVI
sw1(config)#interface vlan 1
sw1(config-if)#ip address 192.168.1.1 255.255.255.0
sw1(config-if)#no shutdown 
将该SVI转移到其他的VLAN中
sw1(config)#interface vlan 2
sw1(config-if)#ip address 192.168.2.1 255.255.255.0
sw1(config-if)#no shutdown 
二层交换机仅存在一个SVI，故开启某个VLAN的SVI口后，其他的SVI口自动被关闭
多层交换机可以存在多个SVI；

若该交换机需要被其他广播域访问，需要定义网关地址
Switch(config)#ip default-gateway 192.168.1.1
           

• SVI双up的条件：1、该交换机上存在该VLAN 2、该VLAN中存在活动用户（双up）；或存在活动trunk干道