什么是本地 VLAN？

正如你在上一課中記得的那樣，中繼端口發(fā)送和接收帶有 IEEE 802.1q VLAN 標(biāo)簽的以太網(wǎng)幀. 這背后的主要想法是能夠通過交換機(jī)之間的單個(gè)物理鏈路傳輸來自多個(gè) VLAN 的幀。這意味著主干的兩端將始終接收標(biāo)記幀，如圖 1 所示。

但總是這樣嗎？如果途中有集線器或任何其他第 1 層設(shè)備怎么辦？如果一個(gè)未標(biāo)記的幀以某種方式進(jìn)入中繼鏈路會發(fā)生什么？已引入本機(jī) VLAN 來解決此特定場景。

圖 1. 通過中繼線轉(zhuǎn)發(fā)幀

本地 VLAN 是為每個(gè)中繼端口配置的，它在本地很重要 ，它會告訴交換機(jī) - “如果您在此端口接收到未標(biāo)記的數(shù)據(jù)，請將其轉(zhuǎn)發(fā)為本地 VLAN 編號的一部分”。例如，如果我們將中繼上的本地 VLAN 配置為 20，如果沒有 IEEE 802.1q 標(biāo)頭的數(shù)據(jù)進(jìn)入該端口，它將在 VLAN 20 中轉(zhuǎn)發(fā)。您可以在圖 2 中看到一個(gè)示例。PC7 不知何故連接到中繼并正在發(fā)送未標(biāo)記的幀。當(dāng)它們在鏈路的兩端都被接收到時(shí)，它們被轉(zhuǎn)發(fā)到 VLAN 20（Native VLAN）。

默認(rèn)情況下，Cisco 交換機(jī)上所有中繼端口的本地 VLAN 都分配給 VLAN 1，但它可以是任何有效的 VLAN 編號。

圖 2. 圖 2. 來自中繼鏈路的未標(biāo)記幀

這個(gè)概念還有另一個(gè)非常重要的角度。交換機(jī)不僅將接收到的未標(biāo)記數(shù)據(jù)放入本地 VLAN，而且還在本地 VLAN 中 發(fā)送未標(biāo)記數(shù)據(jù)。請看圖 3 中的示例，來自 VLAN 10 的幀通過帶有 802.1q 標(biāo)頭的中繼傳輸，但來自 VLAN20 的幀通過未標(biāo)記傳輸，因?yàn)?VLAN20 是中繼端口的本地 VLAN。所有控制平面消息，如 CDP、VTP 和 DTP 也通過本地 VLAN 發(fā)送，即未標(biāo)記。

圖 3. 幀在 Native VLAN 中未標(biāo)記，但在所有其他 VLAN 中均已標(biāo)記

在 Trunk 端口上配置和驗(yàn)證 Native VLAN

讓我們首先看看如何使用命令show interface switchport檢查任何中繼端口上的操作模式和本機(jī) VLAN 。

可以看到默認(rèn)情況下，VLAN 1 配置為 Native。讓我們將其更改為另一個(gè)值。這是在接口配置模式下使用switchport trunk native vlan命令完成的。永遠(yuǎn)記住此配置在本地很重要，必須手動(dòng)配置以匹配中繼鏈路的兩側(cè)否則會出現(xiàn)故障狀態(tài)。

本機(jī) VLAN 不匹配

接口中繼配置在 本地很重要。這意味著一個(gè)交換機(jī)端口上的中繼設(shè)置不必與鏈路另一側(cè)的設(shè)置完全匹配。因此，您可以在單個(gè)中繼鏈路的一側(cè)配置本地 VLAN 10，在另一側(cè)配置 VLAN 20。這會導(dǎo)致稱為Native VLAN mismatch的危險(xiǎn)錯(cuò)誤狀態(tài)。Cisco 專有協(xié)議CDP 可以檢測到這種錯(cuò)誤配置并報(bào)告錯(cuò)誤消息，如下所示。 請注意，如果鏈路上禁用了 CDP，則交換機(jī)無法自動(dòng)檢測到這一點(diǎn)。

本機(jī) VLAN 不匹配可能會導(dǎo)致一些重大問題和安全隱患，例如：

• 誤導(dǎo)的流量 - 源自配置為本機(jī)的 VLAN 的幀通過中繼發(fā)送未標(biāo)記。在鏈路的另一端接收時(shí)，它們會在不同的 VLAN 中轉(zhuǎn)發(fā)，因?yàn)閮啥说闹欣^設(shè)置不匹配。

• VLAN 跳躍- 惡意流量可以跨越 VLAN 邊界。

中繼端口上允許的 VLAN

默認(rèn)情況下，在 Cisco 交換機(jī)上，來自所有 VLAN 的幀都通過中繼鏈路傳輸。但是，有一種方法可以準(zhǔn)確指定允許攜帶哪些 VLAN 編號。在很多情況下，您只想指定某些 VLAN，而不是從所有 VLAN 發(fā)送幀。如果我們以圖 4 為例，左邊的交換機(jī)有四個(gè) VLAN 10、20、30 和 40，而右邊的交換機(jī)有 VLAN 10、20、50 和 60。所以您可能只想發(fā)送流量10 和 20 通過中繼鏈路。這可以使用 switchport trunk allowed vlan功能進(jìn)行配置。讓我們將圖 4 中的鏈路配置為僅傳送來自 vlan 10 和 20 的幀。

圖 4. 具有允許 VLAN 的中繼鏈路示例

首先，讓我們驗(yàn)證在 SW1 和 SW2 上配置了多少個(gè)虛擬 LAN。

請注意，如果我們查看 SW1 上的show interface trunk輸出，則會顯示 VLAN 1 - 1005 在中繼上是允許的。這意味著所有的都是允許的

在 SW2 上也可以看到相同的情況。

我們只想配置 10 和 20 被允許。讓我們在 SW1 和 SW2 上配置中繼鏈路。兩臺交換機(jī)的配置相同，因此我們只需看一個(gè)示例。

相同的配置應(yīng)用于兩臺交換機(jī)。現(xiàn)在讓我們看看中繼端口。

在一個(gè)組織擁有的交換機(jī)連接到另一個(gè)外部交換機(jī)的情況下，使用此功能非常常見。通常，有一個(gè)協(xié)議可以在一個(gè) VLAN 中交換數(shù)據(jù)，因此您可能希望過濾掉所有其他 VLAN。

概括

• 入站：在中繼端口上接收到的未標(biāo)記幀被轉(zhuǎn)發(fā)到配置為本地的 VLAN。

• Outbound：來自配置為 Native 的 VLAN 的幀以無標(biāo)記方式轉(zhuǎn)發(fā)。

• 諸如DTP 和 BPDU之類的控制平面消息以 未標(biāo)記的方式發(fā)送出去。

• 如果 Native VLAN 為 ? ? ?1，則CDP 和 VTP等控制平面消息將不加標(biāo)簽地發(fā)送出去，否則將使用 VLAN1 進(jìn)行標(biāo)記。

• 本地 VLAN 是為每個(gè)中繼端口配置的，并且在本地很重要。因此，可以在單個(gè)中繼鏈路的兩側(cè)配置不同的 VLAN 號，從而導(dǎo)致本地 VLAN 不匹配。

• 本地 VLAN 不匹配會導(dǎo)致流量被誤導(dǎo)，并且是一種安全隱患。

• 可以使用switchport trunk allowed ? ? ?vlan命令在任何中繼端口上指定允許的 VLAN。