(1)ISL和802.1Q概念
通過使用VLAN Trunk鏈路,設備可以通過一條鏈路發送去往多個vlan的流量。為了知道數據幀屬於哪個vlan,發送方會添加原始以太網數據幀的頭部,這個頭部中包含相關VLAN的VLAN ID字段。
ISL會添加新的26字節頭部,以及新的尾部(從而能夠使用新的FCS值),然后封裝整個原始數據幀。使用執行Trunk行為的設備的源地址(SA)來封裝頭部,而不使用原始數據幀的源MAC地址。ISL使用組播目的地址(DA)0100.0C00.0000或0300.0C00.0000。
802. 1Q 會在原始數據幀中(在源地址字段后)插入一個4字節的頭部,稱為標記。原始數據幀的地址保持不變。正常情況下,以太網控制器會希望在源地址字段后,找到以太網類型字段或802.1Q長度字段。對於802.1Q標記,地址字段后的前兩個字節記錄着以太網類型值0x8100,表示數據幀包含802.1Q的頭部。因為802.1Q並不真正封裝原始數據幀,因此通常被稱為數據幀標記
802.1Q有本征vlan的概念,在Trunk鏈路上,802.1Q不標記在本征VLAN中發送的數據幀,並且會將所有收到的未標記的數據幀都分配給本征VLAN。本征VLAN特性允許交換機嘗試在接口上使用802.1Q Trunk,但如果另一台設備不支持Trunk,本征VLAN的流量仍可以通過鏈路發送。默認時,本征VLAN是VLAN1,這也是默認的Access VLAN。Trunk鏈路兩端的本征VLAN必須相同;否則就會出現本征VLAN不匹配,從而導致兩個VLAN合並。為了檢測並盡可能避免本征VLAN不匹配的不良影響,Cisco交換機對PVST+和快速PVST+部署實施了私有化擴展,允許它們檢測並阻塞Trunk鏈路上不匹配的本征VLAN。此擴展將在第3章中進一步描述。Cisco發現協議(Cisco Discovery Protocol,CDP)將檢測並報告本征VLAN不匹配的情況。最佳做法是在每個Trunk鏈路上,將本征VLAN從VLAN1改為其他VLAN,並且不把這個VLAN用於除配置本征VLAN外的其他目的。這就會防止用戶進行VLAN跳轉攻擊,在這種攻擊中,用戶會發送雙標記數據幀,若頂端的標記匹配了Trunk的本征VLAN,Trunk會去除這個頂端標記。
(2)ISL和802.1Q配置
Cisco交換機使用動態Trunk協議(DTP)來動態獲知線纜另一端的設備是否希望使用Trunk,若是,使用哪種Trunk協議。
DTP根據接口上定義的DTP模式來獲知是否執行Trunk。DTP模式有以下這些。
dynamic auto:接口將自動協商接口模式;然而,偏向於成為Access接口。
dynamic desirable:接口將自動協商接口模式;然而,偏向於成為Trunk接口。
dynamic desirable有更高的優先級---如果兩個接口都配置了dynamic,但一個配置為auto,另一個配置為desirable,最終的操作模式將是Trunk。如果兩台中任一台同時支持ISL和802.1Q,DTP也會協商Trunk上的封裝類型。如果兩台設備同時支持兩種Trunk類型,他們將選擇ISL。如果DTP協商失敗,任何使用dynamic模式的接口都將運行為Access接口。
雖然DTP和VTP是獨立的協議,但DTP卻在其消息中承載VTP域名。只有在兩交換機上的VTP域名相同時,或者一台交換機未配置VTP域名時(即使用NULL域名),交換機才能成功協商鏈路的操作模式。使用VTP域名進行DTP協商,其背后的原因是在不同的VTP域中,可能有不同的VLAN集合,並且在每個VTP域中,相同編號的VLAN可以用作不同目的(這就是網絡一開始被划分成幾個VTP域的原因——保證VLAN數據庫分離且獨立)。因此,交換機不應將鏈路啟用為Trunk,因為將VLAN從一個VTP域擴展到另一個VTP域,會導致不良后果。
將DTP模式設置為desirable,它們會動態建立trunk,不過也可以手動配置trunk,並用show驗證,下邊列出一些與trunk相關的命令
下邊這兩個意味着sw1嘗試協商到trunk,
Administrative Mode: dynamic desirable
Administrative Trunking Encapsulation: negotiate
但 Operational Mode: static access 說明協商失敗
Operational Trunking Encapsulation: native 說明不加標記
下邊看配置模式,n-isl 即 negotiated ISL,trunk也支持拓展vlan
下邊列出連接到其它三個交換機的三個trunk
下邊的 show dtp 顯示出全局和單個接口的dtp操作模式
TOS/TAS/TNS --- Trunk Operating/Administrative/Negotiation Status
TOT/TAT/TNT --- Trunk Operating/Administrative/Negotiation Type
①.允許,活躍及修剪的vlan
就像上邊的 show interface trunk顯示了每個類別的vlan,下邊是對這三個類別的解釋
允許的VLAN:每個Trunk默認允許所有的VLAN。然而,工程師可以從允許的VLAN列表中添加或移除VLAN,使用的命令是switchport trunk allowed。
允許且活躍:為了成為活躍VLAN,首先VLAN必須在Trunk的允許列表中(基於Trunk配置),其次VLAN必須在交換機的VLAN配置中,最后VLAN必須為活躍狀態(而不是休眠或本地關閉狀態)。在使用PVST+時,STP實例活躍地運行在Trunk上,Trunk負責承載這個類別中列出的VLAN。
活躍且為修剪:這個類別是“允許且活躍”列表的子集,包含VTP修剪的VLAN,以及PVST+認為是阻塞接口的VLAN。
②.Trunk配置的兼容性
在多數生產網絡中,整個網絡中的交換機Trunk都使用相同的標准配置。例如,與其使用DTP來協商是否使用Trunk,許多工程師會自己配置Trunk接口總是使用Trunk(使用命令switchport mode trunk),而在不應該使用Trunk的接口上禁用DTP。
如果第一列中沒有列出命令switchport nonegotiate的話,默認使用DTP協商(DTP協商是啟用的)。
DTP協商和手動switchport trunk encapsulation 配置trunk類型都可以
為了DTP協商成功,兩台交換機必須都配置相同的VTP域名,或至少有一台交換機未配置VTP域名(即為NULL)