智能物聯未來必將按行業劃分，比如傳統的【農、林、牧、副、漁】，隨著科技進步催生的新業態如：智能穿戴、智能家居、智能交通、智慧醫療，最終的匯聚，智慧城市...；但在智慧城市集中管理中，必然的發展過程是行業智慧管理、控制的先驅成熟！任重道遠...，還是從網路的構架和管理來築見「金字塔」的基礎吧！VLAN技術的誕生，為網路劃分、流量控制、端到端網路透傳、網路安全都創造了新的標準、網路劃分和管理！

一、什麼是VLAN

VLAN（Virtual Local Area Network）又稱虛擬區域網，是指在交換區域網的基礎上，採用網路管理軟體構建的可跨越不同網段、不同網路的端到端的邏輯網路。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網路設備，允許處於不同地理位置的網路用戶加入到一個邏輯子網中。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，VLAN之間的通信是通過第3層的路由器來完成的。

我們先複習一下廣播域的概念。廣播域，指的是廣播幀（目標MAC地址全部為1）所能傳遞到的範圍，亦即能夠直接通信的範圍。嚴格地說，並不僅僅是廣播幀，多播幀（MulticastFrame）和目標不明的單播幀（Unknown Unicast Frame）也能在同一個廣播域中暢行無阻。嚴重佔用網路帶寬和家中設備運行負載；本來，二層交換機只能構建單一的廣播域，不過使用VLAN功能後，它能夠將網路分割成多個廣播域。

如果僅有一個廣播域，有可能會影響到網路整體的傳輸性能。請參看附圖加深理解。

圖中，是一個由5台二層交換機（交換機1～5）連接了大量客戶機構成的網路。假設這時，計算機A需要與計算機B通信。在基於乙太網的通信中，必須在數據幀中指定目標MAC地址才能正常通信，因此計算機A必須先廣播「ARP請求（ARP Request）信息」，來嘗試獲取計算機B的MAC地址。 交換機1收到廣播幀（ARP請求）後，會將它轉發給除接收埠外的其他所有埠，也就是Flooding(泛洪)了。接著，交換機2收到廣播幀後也會Flooding。交換機3、4、5也還會Flooding。最終ARP請求會被轉發到同一網路中的所有客戶機上。

請大家注意一下，這個ARP請求原本是為了獲得計算機B的MAC地址而發出的。也就是說：只要計算機B能收到就萬事大吉了。可是事實上，數據幀卻傳遍整個網路，導致所有的計算機都收到了它。如此一來，一方面廣播信息消耗了網路整體的帶寬，另一方面，收到廣播信息的計算機還要消耗一部分CPU時間來對它進行處理。造成了網路帶寬和CPU運算能力的大量無謂消耗。

廣播信息是那麼經常發出的嗎？廣播信息真是那麼頻繁出現的嗎？是的！實際上廣播幀會非常頻繁地出現。利用TCP/IP協議棧通信時，除了前面出現的ARP外，還有可能需要發出DHCP、RIP【路由信息協議RIP（Routing Information Protocol）】等很多其他類型的廣播信息。ARP廣播，是在需要與其他主機通信時發出的。當客戶機請求DHCP伺服器分配IP地址時就必須發出DHCP的廣播。而使用RIP作為路由協議時，每隔30秒路由器都會對鄰近的其他路由器廣播一次路由信息。RIP以外的其他路由協議使用多播傳輸路由信息，這也會被交換機轉發（Flooding）。除了TCP/IP以外，NetBEUI、IPX和Apple Talk等協議也經常需要用到廣播。例如在Windows下雙擊打開「網路計算機」時就會發出廣播（多播）信息。（Windows XP除外……）總之，廣播就在我們身邊。下面是一些常見的廣播通信：

● ARP請求：建立IP地址和MAC地址的映射關係。

● RIP：選路信息協議(RoutingInfromation Protocol)。

● DHCP：用於自動設定IP地址的協議。

● NetBEUI：Windows下使用的網路協議。

● IPX：Novell Netware使用的網路協議。

● Apple Talk：蘋果公司的Macintosh計算機使用的網路協議。

二、VLAN的實現機制

在理解了「為什麼需要VLAN」之後，我們來了解一下交換機是如何使用VLAN分割廣播域的。 首先，在一台未設置任何VLAN的二層交換機上，任何廣播幀都會被轉發給除接收埠外的所有其他埠（Flooding）。例如，計算機A發送廣播信息後，會被轉發給埠2、3、4。這時，如果在交換機上生成紅、藍兩個VLAN；同時設置埠1、2屬於紅色VLAN、埠3、4屬於藍色VLAN。再從A發出廣播幀的話，交換機就只會把它轉發給同屬於一個VLAN的其他埠——也就是同屬於紅色VLAN的埠2，不會再轉發給屬於藍色VLAN的埠。同樣，C發送廣播信息時，只會被轉發給其他屬於藍色VLAN的埠，不會被轉發給屬於紅色VLAN的埠。

就這樣，VLAN通過限制廣播幀轉發的範圍分割了廣播域。上圖中為了便於說明，以紅、藍兩色識別不同的VLAN，在實際使用中則是用「VLAN ID」來區分的。

如果要更為直觀地描述VLAN的話，我們可以把它理解為將一台交換機在邏輯上分割成了數台交換機。在一台交換機上生成紅、藍兩個VLAN，也可以看作是將一台交換機換做一紅一藍兩台虛擬的交換機。在紅、藍兩個VLAN之外生成新的VLAN時，可以想像成又添加了新的交換機。 但是，VLAN生成的邏輯上的交換機是互不相通的。因此，在交換機上設置VLAN後，如果未做其他處理，VLAN間是無法通信的。 明明接在同一台交換機上，但卻偏偏無法通信——這個事實也許讓人難以接受。但它既是VLAN方便易用的特徵，又是使VLAN令人難以理解的原因。

那麼，當我們需要在不同的VLAN間通信時又該如何是好呢？

VLAN是廣播域。而通常兩個廣播域之間由路由器連接，廣播域之間來往的數據包都是由路由器中繼的。因此，VLAN間的通信也需要路由器提供中繼服務，這被稱作「VLAN間路由」。VLAN間路由，可以使用普通的路由器，也可以使用三層交換機。記住不同VLAN間互相通信時需要用到路由功能。

三、VLAN的劃分方法

VLAN的劃分可以是事先固定的、也可以是根據所連的計算機而動態改變設定。前者被稱為「靜態VLAN」、後者自然就是「動態VLAN」了。

A:靜態VLAN

靜態VLAN又被稱為基於埠的VLAN（Port Based VLAN）。顧名思義，就是明確指定各埠屬於哪個VLAN的設定方法。

由於需要一個個埠地指定，因此當網路中的計算機數目超過一定數字（比如數百台）後，設定操作就會變得煩雜無比。並且，客戶機每次變更所連埠，都必須同時更改該埠所屬VLAN的設定——這顯然不適合那些需要頻繁改變拓補結構的網路。我們現在所實現的VLAN配置都是基於埠的配置，因為我們只是支持二層交換，埠數目有限一般為4和8個埠，並且只是對於一台交換機的配置，手動配置換算較為方便。

B: 動態VLAN

另一方面，動態VLAN則是根據每個埠所連的計算機，隨時改變埠所屬的VLAN。這就可以避免上述的更改設定之類的操作。動態VLAN可以大致分為3類：

● 基於MAC地址的VLAN（MAC Based VLAN）

● 基於子網的VLAN（Subnet Based VLAN）

●基於用戶的VLAN（User Based VLAN）

其間的差異，主要在於根據OSI參照模型哪一層的信息決定埠所屬的VLAN。基於MAC地址的VLAN，就是通過查詢並記錄埠所連計算機上網卡的MAC地址來決定埠的所屬。假定有一個MAC地址「A」被交換機設定為屬於VLAN「10」，那麼不論MAC地址為「A」的這台計算機連在交換機哪個埠，該埠都會被劃分到VLAN10中去。計算機連在埠1時，埠1屬於VLAN10；而計算機連在埠2時，則是埠2屬於VLAN10。由於是基於MAC地址決定所屬VLAN的，因此可以理解為這是一種在OSI的第二層設定訪問鏈接的辦法。

但是，基於MAC地址的VLAN，在設定時必須調查所連接的所有計算機的MAC地址並加以登錄。而且如果計算機交換了網卡，還是需要更改設定。

C:基於子網的VLAN

是通過所連計算機的IP地址，來決定埠所屬VLAN的。不像基於MAC地址的VLAN，即使計算機因為交換了網卡或是其他原因導致MAC地址改變，只要它的IP地址不變，就仍可以加入原先設定的VLAN。

因此，與基於MAC地址的VLAN相比，能夠更為簡便地改變網路結構。IP地址是OSI參照模型中第三層的信息，所以我們可以理解為基於子網的VLAN是一種在OSI的第三層設定訪問鏈接的方法。一般路由器與三層交換機都使用基於子網的方法劃分VLAN。

D:基於用戶的VLAN

是根據交換機各埠所連的計算機上當前登錄的用戶，來決定該埠屬於哪個VLAN。這裡的用戶識別信息，一般是計算機操作系統登錄的用戶，比如可以是Windows域中使用的用戶名。這些用戶名信息，屬於OSI第四層以上的信息。

總的來說，決定埠所屬VLAN時利用的信息在OSI中的層面越高，就越適於構建靈活多變的網路。

綜上所述，VLAN的劃分有靜態VLAN和動態VLAN兩種，其中動態VLAN又可以繼續細分成幾個小類。

其中基於子網的VLAN和基於用戶的VLAN有可能是網路設備廠商使用獨有的協議實現的，不同廠商的設備之間互聯有可能出現兼容性問題；因此在選擇交換機時，一定要注意事先確認。下表總結了靜態VLAN和動態VLAN的相關信息。

就目前來說，對於VLAN的劃分主要採取上述基於埠的VLAN和基於子網的VLAN兩種，而基於MAC地址和基於用戶的VLAN一般作為輔助性配置使用。

四、VLAN幀結構

在交換機的匯聚鏈接上，可以通過對數據幀附加VLAN信息，構建跨越多台交換機的VLAN。附加VLAN信息的方法，最具有代表性的有：

● IEEE802.1Q

●ISL

兩種協議分別如何對數據幀附加VLAN信息。

4.1 IEEE802.1Q

IEEE802.1Q，俗稱「Dot One Q」，是經過IEEE認證的對數據幀附加VLAN識別信息的協議。在此，請大家先回憶一下乙太網數據幀的標準格式。（可以理解為傳送手段）

IEEE802.1Q所附加的VLAN識別信息，位於數據幀中「發送源MAC地址」與「類別域（Type Field）」之間。具體內容為2位元組的TPID和2位元組的TCI，共計4位元組。在數據幀中添加了4位元組的內容，那麼CRC值自然也會有所變化。這時數據幀上的CRC是插入TPID、TCI後，(理解為IEEE802.1Q的vlan結構信息是在「發送源MAC地址」與「類別域（Type Field）」之間發送的)對包括它們在內的整個數據幀重新計算後所得的值。

基於IEEE802.1Q附加的VLAN信息，就像在傳遞物品時附加的標籤。因此，它也被稱作「標籤型VLAN（Tagging VLAN）」。

五、乙太網規範

1. TPID (Tag Protocol Identifier，也就是EtherType)乙太網類型欄位是IEEE定義的新的類型，表明這是一個加了802.1Q標籤的幀。TPID包含了一個固定的值0x8100。

2. TCI (Tag Control Information)

包括用戶優先順序(User Priority)、規範格式指示器(Canonical Format Indicator)和 VLAN ID。

①User Priority：該欄位為3-bit，用於定義用戶優先順序，總共有8個(2的3次方)優先順序別。IEEE 802.1P 為3比特的用戶優先順序位定義了操作。最高優先順序為7，應用於關鍵性網路流量，如路由選擇信息協議（RIP）和開放最短路徑優先（OSPF）協議的路由表更新。優先順序6和5主要用於延遲敏感（delay-sensitive）應用程序，如互動式視頻和語音。優先順序4到1主要用於受控負載（controlled-load）應用程序，如流式多媒體（streaming multimedia）和關鍵性業務流量（business-critical traffic）－例如，SAP 數據－以及「loss eligible」流量。優先順序0是預設值，並在沒有設置其它優先順序值的情況下自動啟用。

②CFI：CFI值為0說明是規範格式，1為非規範格式。它被用在令牌環/源路由FDDI介質訪問方法中來指示封裝幀中所帶地址的比特次序信息。

③VID：該欄位為12-bit， VLAN ID 是對 VLAN 的識別欄位，在標準 802.1Q 中常被使用。支持4096(2的12次方) VLAN 的識別。在4096可能的VID 中，VID＝0 用於識別幀優先順序。 4095(FFF)作為預留值，所以 VLAN 配置的最大可能值為4094。所以有效的VLAN ID範圍一般為1-4094。

2.1 ISL（Inter SwitchLink）

ISL，是Cisco產品支持的一種與IEEE802.1Q類似的、用於在匯聚鏈路上附加VLAN信息的協議。使用ISL後，每個數據幀頭部都會被附加26位元組的「ISL包頭（ISL Header）」，並且在幀尾帶上通過對包括ISL包頭在內的整個數據幀進行計算後得到的4位元組CRC值。換而言之，就是總共增加了30位元組的信息。在使用ISL的環境下，當數據幀離開匯聚鏈路時，只要簡單地去除ISL包頭和新CRC就可以了。由於原先的數據幀及其CRC都被完整保留，因此無需重新計算DA ― 40位組播目的地址。包括一個廣播地址0X01000C0000或者0X03000C0000。

Type ― 各種封裝幀（Ethernet(0000)、Token Ring (0001)、FDDI(0010) 和 ATM (0011)）的4位描述符。

User ― Type 欄位使用的4位描述符擴展或定義Ethernet 優先順序。該二進位值從最低優先順序開始0到最高優先順序3。

· SA ― 傳輸Catalyst 交換機中使用的48位源MAC 地址。

· LEN ― 16位幀長描述符減去DA、type、user、SA、LEN和 CRC 欄位。

· AAAA03 ― 標準SNAP 802.2 LLC 頭。

· HAS ― SA 的前3位元組（廠商的ID 或組織唯一 ID）。

· VLAN ― 15位VLAN ID。低10位用於1024VLAN。

· BPDU ― 1位描述符，識別幀是否是生成樹網橋協議數據單元（BPDU）。如果封裝幀為思科發現協議（CDP）幀，也需設置該欄位。

· INDEX ― 16位描述符，識別傳輸埠ID。用於診斷差錯。

· RES ― 16位預留欄位，應用於其它信息，如令牌環和分散式光纖數據介面幀（FDDI），幀校驗（FC）欄位。

· ISL幀最大為1548bytes,iSL包頭26+1518+4=1548

ISL有如用ISL包頭和新CRC將原數據幀整個包裹起來，因此也被稱為「封裝型VLAN（Encapsulated VLAN）」。 需要注意的是，不論是IEEE802.1Q的「Tagging VLAN」，還是ISL的「Encapsulated VLAN」，都不是很嚴密的稱謂。不同的書籍與參考資料中，上述詞語有可能被混合使用，因此需要大家在學習時格外注意。 並且由於ISL是Cisco（思科）獨有的協議，因此只能用於Cisco網路設備之間的互聯。

IEEE 802.Q和ISL的異同：

相同點：都是顯式標記，即幀被顯式標記了VLAN的信息。

不同點：IEEE 802.1Q是公有的標記方式，ISL是Cisco私有的，ISL採用外部標記的方法，802.1Q採用內部標記的方法，ISL標記的長度為30位元組，802.1Q標記的長度為4位元組。

六、VLAN的TRUNK協議（VTP）

(一)VTP概述

VLAN中繼協議（VTP，VLAN TRUNKING PROTOCOL）是CISCO專用協議，大多數交換機都支持該協議。VTP負責在VTP域內同步VLAN信息，這樣就不必在每個交換上配置相同的VLAN信息。

VTP還提供一種映射方案，以便通信流能跨越混合介質的骨幹。

VTP最重要的作用是，將進行變動時可能會出現在的配置不一致性降至最低。

VTP也有一些缺點，這些缺點通常都與生成樹協議有關。

1、VTP協議的作用

VLAN中繼協議（VTP）利用第2層中繼幀，在一組交換機之間進行VLAN通信。VTP從一個中心控制點開始，維護整個企業網上VLAN的添加、重命名工作，確保配置的一致性。

2、VTP的優點

＞保持配置的一致性

＞提供跨不同介質類型如ATM、FDDI（光纖）和乙太網配置虛擬區域網的方法

＞提供跟蹤和監視虛擬區域網的方法

＞提供檢測加到另一個交換機上的虛擬局域的方法

＞提供從一個交換機在整個管理域中增加虛擬區域網的方法

(二)VTP的工作原理

1、VTP概述和工作原理

VTP是一種消息協議，使用第2層幀，在全網的基礎上管理VLAN的添加、刪除和重命名，以實現VLAN配置的一致性。可以用VTP管理網路中VLAN1到1005。

有了VTP，就可以在一台機換上集中過時行配置變更，所作的變更會被自動傳播到網路中所有其他的交換機上。（前提是在同一個VTP域）

為了實現此功能，必須先建立一個VTP管理域，以使它能管理網路上當前的VLAN。在同一管理域中的交換機共享它們的VLAN信息，並且，一個交換機只能參加到一個VTP管理域，不同域中的交換機不能共享VTP信息。

交換機間交換下列信息：

＞管理域域名

＞配置的修訂號

＞已知虛擬區域網的配置信息．

交換機使用配置修正號，來決定當前交換機的內部數據是否應該接受從其他交換機發來的VTP更新信息。

＞如果接收到的VTP更新配置修訂號與內部資料庫的修訂號相同域者比它小，交換機忽略更新。

＞否則，就更新內部資料庫，接受更新信息。

VTP管理域在安全模式下，必須配置一個在VTP域中所有交換機惟一的口令。

VTP的運行有如下特點：

＞VTP通過發送到特定MAC地址01－00－0C－CC－CC－CC的組播VTP消息進行工作。

＞VTP通告只通過中繼埠傳遞。

＞VTP消息通過VLAN1傳送。（這就是不能將VLAN1從中繼鏈路中去除的原因）

＞在經過了DTP自動協商，啟動了中繼之後，VTP信息就可以沿著中繼鏈路傳送．

＞VTP域內的每台交換機都定期在每個中繼埠上發送通告到保留的VTP組播地址

VTP通告可以封裝在ISL或者IEEE802.1Q幀內。

2、VTP域

VTP域，也稱為VLAN管理域，由一個以上共享VTP域名的相互接連的交換機組成。

要使用VTP，就必須為每台交換機指定VTP域名．VTP信息只能在VTP域內保持。一台交換機可屬於並且只屬於一個VTP域。

預設情況下，CATALYST交換機處於VTP伺服器模式，並且不屬於任何管理域，直到交換機通過中繼鏈路接收了關於一個域的通告，或者在交換機上配置了一個VLAN管理域，交換機才能在VTP伺服器上把創建或者更改VLAN的消息通告給本管理域內的其他交換機

如果在VTP伺服器上進行了VLAN配置變更，所做的修改會傳播到VTP域內的所有交換機上。

如果交換機配置為＂透明＂模式，可以創建或者修改VLAN，但所做的修改隻影響單個的交換機。

控制VTP功能的一項關鍵參數是VTP配置修改編號。這個32位的數字表明了VTP配置的特定修改版本。配置修改編號的取值從0開始，每修改一次，就增加1直到達到4294967295，然後循環歸0，並重新開始增加。每個VTP設備會記錄自己的VTP配置修改編號；VTP數據包會包含發送者的VTP配置修改編號。這一信息用於確定接收到的信息是否比當前的信息更新。

要將交換機的配置修改號置為0，只需要禁中繼，改變VTP的名稱，並再次啟用中繼。

VTP域的要求：

＞域內的每台交換機必須使用相同的VTP域名，不論是通過配置實現，還是由交換機自動學動

＞CATALYST（思科）交換機必須是相鄰的，這意味著，VTP域內的所有交換機形成了一顆相互連接的樹．每台交換機都通過這棵樹與其他交換機相互。

＞在所有的交換機之間，必須啟用中繼。

3、VTP的運行模式

VTP模式有3種，分別是：

＞伺服器模式（SERVER　預設）

VTP伺服器控制著它們所在域中VALN的生成和修改。所有的VTP信息都被通告在本域中的其他交換機，而且，所有這些VTP信息都是被其他交換機同步接收的。

＞客戶機模式（CLIENT）

VTP客戶機不允許管理員創建、修改或刪除VLAN。它們監聽本域中其他交換機的VTP通告，並相應修改它們的VTP配置情況。

＞透明模式（TRANSPARENT）

VTP透明模式中的交換機不參與VTP。當交換機處於透明模式時，它不通告其VLAN配置信息。而且，它的VLAN資料庫更新與收到的通告也不保持同步。但它可以創建和刪除本地的VLAN。不過，這些VLAN的變更不會傳播到其他任何交換機上。

各種運行模式的狀態

功能 伺服器模式 客戶端模式 透明模式

提供VTP消息 √ √ ×

監聽VTP消息 √ √ ×

修改VLAN √ × √(本地有效）

記住VLAN √ ×√（在不同的版本有不同的結果） √（本地有效）

4、VTP的通告

4.1.VTP通告概述

使用VTP時，加入VTP域的每台交換機在其中繼埠上通告如下信息．

＞管理域

＞配置版本號

＞它所知道的VLAN

＞每個已知VLAN的某些參數

這些通告數據幀被發送到一個多點廣播地址（組播地址），以使所有相鄰設備都能收到這些幀。

新的VLAN必須在管理域內的一台牌伺服器模式的交換機上創建和配置。該信息可被同一管理域中所有其他設備學到

VTP幀是作為一種特殊的幀發送到中繼鏈路上的。

有2種類型的通告：

＞來自客戶機的請求，由客戶機在啟動時發出，用以獲取信息。

＞來自伺服器的響應

有3種類型的消息：

＞來自客戶機的通告請求

＞匯總通告

＞子集通告

VTP通告中可包含如下信息：

＞管理域名稱

＞配置版本號

＞MD5摘要－－當配置了口令後，MD5是與VTP一起發送的口令。如果口令不匹配，更新將被忽略。

＞更新者身份－－發送VTP匯總通告的交換機的身份。

VTP通告處理以配置修訂號為0為起點．每當隨後的欄位變更一項時，這個修訂號就加1，直到VTP通告被發送出去為止。

VTP修訂號存儲在NVRAM中，交換機的電源開關不會改變這個設定值。．要將修訂號初始化為0，可以用下列方法：

＞將交換機的VTP模式更改為透明模式，然後再改為伺服器模式。

＞將交換機VTP的域名更改一次，再更改回原來的域名。

＞使用clearconfig all命令，清除交換機的配置和VTP信息，再次啟動。

4.2. 3種VTP消息類型

（1）匯總通告

用於通知鄰接的CATALYST交換機目前的VTP域名和配置修改編號。預設情況下，CATALYST交換機每5分鐘發送一次匯總通告。

當交換機收到了匯總通告數據包時，它會對比VTP域名：

＞如果域名不同，就忽略此數據包

＞如果域名相同，則進一步對比配置修改編號

＞如果交換機自身的配置修改編號更高或與之相等，就忽略此數據包。如果更小，就發送通告請求。

（2）子集通告

如果在VTP伺服器上增加、刪除或者修改了VLAN，＂配置修改編號＂就會增加，交換機會首先發送匯總通告，然後發送一個或多個子集通告。掛起或激活某個VLAN，改變VLAN的名稱或者MTU，都會觸發子集通告。

(意思是網路上傳送的最大數據包。MTU的單位是位元組。大部分網路設備的MTU都是1500。如果本機的MTU比網關的MTU大，大的數據包就會被拆開來傳送，這樣會產生很多數據包碎片，增加丟包率，降低網路速度。把本機的MTU設成比網關的MTU小或相同，就可以減少丟包。)

子集通告中包括VLAN列表和相應的VLAN信息。如果有多個VLAN，為了通告所有的信息，可能需要發送多個子集通告。

（3）通告請求

交換機在下列情況下會發出VTP通告請求：

＞交換機重新啟動後

＞VTP域名變更後

＞交換機接到了配置修改編號比自己高的VTP匯總通告

4.3、VTP域內安全

為了使管理域更安全，域中每個交換機都需要配置域名和口令，並且域名和口令必須相同。

例（將TEST管理域設置為安全管理域）：

＞進入配置模式：

switch#configure terminal

＞配置VTP域名：

switch(config)#vtp domaintest

＞配置VTP運行模式：

switch(config)#vtp modeserver

＞配置VTP口令：

switch(config)#vtp password mypassword

＞返回到特權模式：

switch(config)#end

＞查看VTP配置：

switch(config)#show vtp status

刪除VTP管理域中的口令，恢復到預設狀態

switch(config)#no vtp password

4.4、VTP修剪

VTP修剪（VTP PRUNING）是VTP的一個功能，它能減少中繼埠上不必要信息量。

在CISCO交換上，VTP修剪功能預設是關閉的。

預設情況下，發給某個VLAN的廣播會送到每一個在中繼鏈路上承載該VLAN的交換機。即使交換機上沒有位於那個VLAN的埠也是如此。

VTP通過修剪，來減少沒有必要擴散的通信量，來提高中繼鏈路的帶寬利用率。

5.配置VTP

在開始配置VTP和VLAN之前，必須做一些規劃．

＞確定將在網路中運行的VTP版本．

＞決定交換機是成為已有管理域的成員，還是另外成為其創立一個新的管理域，如果要加入到已有的管理域中，則確定它的名稱和口令．

＞為交換機選擇一個VTP的工作模式．

＞是否需用啟用修剪功能．

2950預設配置：

＞VTP域名：空

＞VTP模式：SERVER伺服器模式

＞VTP版本2：禁用

＞VTP認證：空，未啟用

＞VTP修剪：未啟用

1、創立VTP域和配置模式

＜1＞　創立VTP域

switch(config)#vtp domain domina-name

創立或加入一個管理域，使用下面步驟：

＞進入全局配置模式

switch#config terminal

＞加入到某個管理域：

switch(config)#vtp domain test

＞返回特權模式：

switch(config)#end

域名長度可達32字元，口令可是64個字元長．

至少應該有一台交換機被設置為伺服器模式．

一台交換機不想與網路中的其他交換機共享VLAN信息，剛可以將它設置為透明模式．

實現工作中，建議至少將兩台核心交換機設置為VTP伺服器模式，而將其他交換機設置為VTP客戶機模式．這有效地，如果交換機掉電了，它重啟後，可以從伺服器處獲得有效的VLAN信息．

PS:重要概念介紹：

1.PVID：

Port VLAN ID,指埠的卻省VLAN ID。Hybrid英["ha?br?d]混合物埠和Trunk英[tr??k]樹榦埠屬於多個VLAN，所以需要設置預設VLAN ID。預設情況下，Hybrid埠和Trunk埠的預設VLAN為VLAN1。PVID主要有兩個作用：第一對於接收到的Untag包則添加本埠的PVID再進行轉發；第二是接收過濾作用，比如只接收等於PVID的VLAN TAG包。

VLAN ID：VLAN TAG包的VLAN ID號，有效範圍是1-4094，0和4095都為協議保留值，VLAN ID 0 表示不屬於任何VLAN，但攜帶802.1Q的優先順序標籤，所以一般被稱為Priority-only frame，其一般作為系統使用，用戶不可使用和刪除。為系統默認VLAN，即n. 本地人["ne?t?v]Native VLAN，1001是普通的vlan，1006-1024保留僅系統使用，用戶不能查看和使用，1002-1005是支持fddi和令牌環的vlan，1025-4095是擴展的vlan。Cisco的專有協議isl，相比之下它僅支持的vlan數目比較少，僅為1-1005。

Vlan表：配置VLAN的信息表，表示交換機的各個埠所屬於的VLAN ID，當交換機進行交換數據時則查看該表進行業務轉發。VLAN表的容量一般支持1-32個VLAN ID。其VLAN表格如下：

UNTAG包：指不攜帶802.1Q信息的普通乙太網包。

TAG包：指攜帶4位元組802.1Q信息的VLAN乙太網包。

優先；優先權Priority-only 包：指VLAN ID為0，優先順序為0-7的乙太網包。用途：一般用於要求高優先順序的重要報文使用，當埠發生擁塞時使其能夠優先轉發。

VLAN間路由：指VLAN間能夠互相通信，一般是由路由器和三層交換機實現VLAN間互通，通過IP網段來實現VLAN間的互通。當使能VLAN間路由後，則ARP廣播包，多播包以及單播包都能夠在VLAN間互相通信。

對於UNTAG包、TAG包以及Priority-only 包的處理過程在下面將一一介紹。

交換機的埠類型：

交換機的埠，可以分為以下三種：

● 訪問鏈接（Access Link）

● 匯聚鏈接（Trunk Link）

● 混合鏈接（Hybrid Link）

埠模式主要是指在輸入輸出埠對VLAN數據包的處理。即在輸入埠是Admit All Frames承認所有幀還是Admit Only VLAN TaggedFrames，是Only frames that share aVID assigned to this bridge port are admitted還是All frames are forwarded；在輸出埠輸出數據包類型是tagged frames 還是untagged frames。不同的埠模式對數據包的處理不同，下面就介紹一下各個埠模式吧。

2.Access埠

Access即用戶接入埠，該類型埠只能屬於1個VLAN，一般用於連接計算機的埠。

收埠：收到未加標籤的框架untagged frame，加上埠的PVID和defaultpriority 優先再進行交換轉發；對於tagged frame不論VID=PVID還是VID=PVID則有的廠家是直接丟棄，而有的廠家是能夠接收VID=PVID的TAG包。一般Access埠只接收untagged frame，部分產品可能接收taggedframe，我們的REOP、ES011、E4114等都接收VID=PVID的TAG埠包。

發報文：對於VID=PVID的taggedframe去除標籤並進行轉發。對於VID=PVID的數據包丟棄不進行轉發，untaggedframe則無此情況。而我們的REOP、ES011、E4114則對於VID=PVID或VID=PVID的taggedframe都進行轉發處理。

註：所說的刪除標籤是指刪除4位元組的VLAN標籤，並且CRC經過重新計算。

3.Trunk埠

當需要設置跨越多台交換機的VLAN時則需要設置TRUNK功能。[tr??k]匯流排

在規劃企業級網路時，很有可能會遇到隸屬於同一部門的用戶分散在同一座建築物中的不同樓層的情況，這時可能就需要考慮到如何跨越多台交換機設置VLAN的問題了。假設有如下圖所示的網路，且需要將不同樓層的A、C和B、D設置為同一個VLAN。

這時最關鍵的就是「交換機1和交換機2該如何連接？」 最簡單的方法，自然是在交換機1和交換機2上各設一個紅、藍VLAN專用的介面並互聯了。

但是，這個辦法從擴展性和管理效率來看都不好。例如，在現有網路基礎上再新建VLAN時，為了讓這個VLAN能夠互通，就需要在交換機間連接新的網線。

建築物樓層間的縱向布線是比較麻煩的，一般不能由基層管理人員隨意進行。並且，VLAN越多，樓層間（嚴格地說是交換機間）互聯所需的埠也越來越多，交換機埠的利用效率低是對資源的一種浪費、也限制了網路的擴展。為了避免這種低效率的連接方式，人們想辦法讓交換機間互聯的網線集中到一根上，這時使用的就是匯聚鏈接（Trunk Link）。

4.匯聚鏈接:

技術領域中把TRUNK翻譯為中文是「主幹、幹線、中繼線、長途線」 ，不過一般不翻譯，直接用原文。而且這個詞在不同場合也有不同的解釋：

4.1、在網路的分層結構和寬頻的合理分配方面，TRUNK被解釋為「埠匯聚」，是帶寬擴展和鏈路備份的一個重要途徑。TRUNK把多個物理埠捆綁在一起當作一個邏輯埠使用，可以把多組埠的寬頻疊加起來使用。TRUNK技術可以實現TRUNK內部多條鏈路互為備份的功能，即當一條鏈路出現故障時，不影響其他鏈路的工作，同時多鏈路之間還能實現流量均衡，就像我們熟悉的印表機池和MODEM池一樣。

4.2、在電信網路的語音級的線路中，Trunk指「主幹網路、電話幹線」，即兩個交換局或交換機之間的連接電路或信道，它能夠在兩端之間進行轉接，並提供必要的信令和終端設備。

4.3、但是在最普遍的路由與交換領域，VLAN的埠聚合也有的叫TRUNK，不過大多數都叫TRUNKING。

所謂Trunking即匯聚埠，該類型埠可以屬於多個VLAN，可以接收和發送多個VLAN的報文，一般用於交換機之間或交換機與路由器之間連接的埠；

匯聚鏈路上流通的數據幀，都被附加了用於識別分屬於哪個VLAN的特殊信息。

現在再讓我們回過頭來考慮一下剛才那個網路如果採用匯聚鏈路又會如何呢？用戶只需要簡單地將交換機間互聯的埠設定為匯聚鏈接就可以了。這時使用的網線還是普通的UTP線，而不是什麼其他的特殊布線。圖例中是交換機間互聯，因此需要用交叉線來連接。接下來，讓我們具體看看匯聚鏈接是如何實現跨越交換機間的VLAN的。A發送的數據幀從交換機1經過匯聚鏈路到達交換機2時，在數據幀上附加了表示屬於紅色VLAN的標記。交換機2收到數據幀後，經過檢查VLAN標識發現這個數據幀是屬於紅色VLAN的，因此去除標記後根據需要將復原的數據幀只轉發給其他屬於紅色VLAN的埠。這時的轉送，是指經過確認目標MAC地址並與MAC地址列表比對後只轉發給目標MAC地址所連的埠。只有當數據幀是一個廣播幀、多播幀或是目標不明的幀時，它才會被轉發到所有屬於紅色VLAN的埠。藍色VLAN發送數據幀時的情形也與此相同。通常每個乙太網幀僅發往單個目的主機，目的地址指明單個接收介面，因而稱為單播(unicast)。在這種方式下，任意兩個主機的通信不會干擾網內其他主機（可能引起爭奪共享信道的情況除外）。

然而，有時一個主機要向網上的所有其他主機發送幀，這就是廣播。通過ARP和RARP可以看到這一過程。多播(multicast)處於單播和廣播之間：幀僅傳送給屬於多播組的多個主機。

通過匯聚鏈路時附加的VLAN識別信息，有可能支持標準的「IEEE 802.1Q」協議，也可能是Cisco產品獨有的「ISL（Inter Switch Link）」。如果交換機支持這些規格，那麼用戶就能夠高效率地構築橫跨多台交換機的VLAN。

另外，匯聚鏈路上流通著多個VLAN的數據，自然負載較重。因此，在設定匯聚鏈接時，有一個前提就是必須支持100Mbps以上的傳輸速度。

默認條件下，匯聚鏈接會轉發交換機上存在的所有VLAN的數據。換一個角度看，可以認為匯聚鏈接（埠）同時屬於交換機上所有的VLAN。由於實際應用中很可能並不需要轉發所有VLAN的數據，因此為了減輕交換機的負載、也為了減少對帶寬的浪費，我們可以通過用戶設定限制能夠經由匯聚鏈路互聯的VLAN。由於Trunk埠屬於多個VLAN，所以需要設置預設VLAN ID即PVID（port vlan ID）。預設情況下，Trunk埠的PVID為VLAN 1。如果設置了埠的PVID，當埠接收到不帶VLAN Tag的報文後，則加上埠的PVID並將報文轉發到屬於預設VLAN的埠；當埠發送帶有VLAN Tag的報文時，如果該報文的VLAN ID與埠預設的VLAN ID相同，則系統將去掉報文的VLAN Tag，然後再發送該報文。

Trunk的輸入輸出埠對數據包的處理：

接收埠：同時都能夠接收VID=PVID和VID=PVID的taggedframe，不改變TAG；對於untagedframe則加上埠的PVID和defaultpriority再進行交換轉發，對於priority only tagged frame則添加PVID再進行轉發。

發送埠：對於VID=PVID的TAG包則去掉VIDTAG再進行轉發。對於VID=PVID的TAG包則轉發不修改TAG，對於UNTAG包則無此情況。

5.Hybrid埠

Hybrid即混合埠模式，該類型的埠可以屬於多個VLAN，可以接收和發送多個VLAN的報文，可以用於交換機之間連接，交換機與路由器之間，也可以用於交換機與用戶計算機的連接。

下面就講一下 Hybrid的輸入輸出埠對數據包的處理：

接收埠：同時都能夠接收VID=PVID和VID=PVID的taggedframe，不改變TAG；對於untagedframe則加上埠的PVID和defaultpriority再進行交換轉發，對於priority only tagged frame則添加PVID再進行轉發。

發送埠：1、判斷該VLAN在本埠的屬性（dispinterface 即可看到該埠對哪些VLAN是untag，哪些VLAN是tag）。

2、如果輸入為untag包則在輸出埠剝離VLAN信息，再發送，如果是tag則直接發送。

Hybrid埠和Trunk埠的區別：

Hybrid埠和Trunk埠的不同之處在於Hybrid埠可以允許多個VLAN的報文發送時不打標籤，而Trunk埠只允許預設VLAN的報文發送時不打標籤。Access埠只屬於1個VLAN，所以它的預設VLAN就是它所在的VLAN，不用設置；Hybrid埠和Trunk埠屬於多個VLAN，所以需要設置預設VLAN ID。預設情況下，Hybrid埠和Trunk埠的預設VLAN為VLAN1。如果設置了埠的預設VLAN ID，當埠接收到不帶VLANTag的報文後，則將報文轉發到屬於預設VLAN的埠；當埠發送帶有VLANTag的報文時，如果該報文的VLAN ID與埠預設的VLANID相同，則系統將去掉報文的VLAN Tag，然後再發送該報文。

6.埠實際處理方式

Hybrid 00 不加標籤不去標籤

TAG 10 只加標籤不去標籤

ACCESS 01 只去標籤不加標籤同時入口過濾不等於PVID的包

PVID 設置範圍 1-4094 ，默認值為1（0 為vlanid=NULL，4095保留）

收報文：

Acess埠1、收到一個報文,判斷是否有VLAN信息：如果沒有則打上埠的PVID，並進行交換轉發,如果有則直接丟棄（預設）。o]Ua4hY3c

發報文：

Acess埠：1、將報文的VLAN信息剝離，直接發送出去。

收報文：

trunk埠：1、收到一個報文，判斷是否有VLAN信息：如果沒有則打上埠的PVID，並進行交換轉發，如果有判斷該trunk埠是否允許該VLAN的數據進入：如果可以則轉發，否則丟棄。

發報文：

trunk埠：1、比較埠的PVID和將要發送報文的VLAN信息，如果兩者相等則剝離VLAN信息，再發送，如果不相等則直接發送!。~G*[.Z]

收報文：

hybrid埠：1、收到一個報文

2、判斷是否有VLAN信息：如果沒有則打上埠的PVID，並進行交換轉發，如果有則判斷該hybrid埠是否允許該VLAN的數據進入：如果可以則轉發，否則丟棄。

發報文：

hybrid埠：1、判斷該VLAN在本埠的屬性（dispinterface 即可看到該埠對哪些VLAN是untag，哪些VLAN是tag）。

2、如果是untag則剝離VLAN信息，再發送，如果是tag則直接發送。

VLAN典型應用

1.VLAN可實現拓撲圖

1.1點對點傳輸模式（常見模式）

用戶四個埠使用VLAN隔離，分別提供不同的Vlan路由，實現點到點的乙太網傳輸，LANx間不傳遞乙太網包。

2.多個Vlan混合傳輸模式

2.1點對點配置方式一：

埠使用VLAN模式，不同的Vlan分別提供相同的路由，實現點到點的乙太網傳輸，VLANx間靠其它的交換設備隔離，wwww應用等；

3.點對多點混合方式

埠使用VLAN模式，不同的Vlan提供不同的路由，實現點到點的乙太網傳輸，VLANx間靠其它的交換設備隔離。

4.多VLAN模式下的VLAN間互通

埠使用VLAN模式，不同的Vlan提供不同的路由，實現點到點的乙太網傳輸，VLANx間能夠互相通信。 這時的單播包或者ARP包或者IP多播包都能夠在VLAN間通信。

GIF

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！