网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

MAC地址表存放的内容：MAC、PORT、端口所处的VLAN。

当交换机收到 目标MAC为广播、 未知的单播帧时都会在所有接口广播该帧。

上面这个原因也是我们要划分广播的一个主要原因： 隔离广播域，限制广播、组播传播的范围；提高了安全性，一旦一台PC中毒可以限制在一个VLAN中；便于管理。

我们在划分VLAN的时候最好每个VLAN都划分到不同的子网当中。这个主要是方便跨VLAN访问。

VLAN的实施

端到端VLAN： 指在不同的交换机上配置相同的VLAN，VLAN的划分不依赖于物理位置。如果两各用户位于不同交换机上的相同VLAN，此时则需要打标记。这个主要是适合8/2的流量，即大部分流量都在内网，此时为了提高效率，内网流量可以不同经过核心层的帮忙，直接由底层负责转发。

本地VLAN：即指本台交换机上的VLAN，本台交换机上的VLAN之间的通讯不需要打标记，只需要三层交换或者单臂路由。

VLAN一种是基于端口的静态VLAN、另一种是基于MAC的动态VLAN（VLAN与MAC绑定） 

配置vlan：int vlan 10 name sys

然后将相应的接口加入到VLAN中：switchport access vlan 10 ; switchport mode access

对于动态VLAN，则需要用到VMPS（VLAN Management Policy Server）管理策略服务器。这个是通过VLAN Query Protocol（VQP报文进行传输的）

查看MAC地址表或者CAM表：show mac-address aging-time

默认MAC地址表老化时间为 5min，不过当我们把网线拔掉后该条目则立即被删除。

可以通过命令修改：mac-address-table aging-time 100 (vlan n，也可针对VLAN该。)

VLAN总数为4096个，默认都在VLAN1，我们可以手工分配的2-1001，1002-1005保留用，1006-4095扩展。创建扩展VLAN的要求：1.型号必须支持。2.vtp模式为transparent。

对于access端口我们可以使用命令：switchport mode access将端口设置为access，同时开启PortFast特性，并且禁用EtherChannel特性。

Trunk

默认情况下交换机之间的链路仅能传输vlan1的信息，因此必须在交换机之间做trunk链路。

封装和模式

封装分为两种：1.802.1Q，2.ISL

我们知道在二层一台网帧中是没有标示VLAN信息的字段的，因此我们需要在以太网二层帧上做一些动作，ISL是封装一个新的二层头部，最多支持1024个VLAN；802.1Q是插入Tag，最多支持4096个VLAN

当采用这两种形式封装的话，接口MTU必须大于1500，我们称之为小巨帧。

Trunk模式

DTP帧：交换机的接口周期发送Dynamic Trunk Protocol，主要主动协商为trunk。

access：忽略DTP帧。

trunk：发送和响应DTP

desirable：主动发送和响应DTP（默认）

auto：不发送但相应DTP。

nonegotiate：不发送DTP帧，也不接收。一般和trunk合用，比如在交换机之间我们必须要其trunk，我们可以不让接口发送DTP消息以节省链路带宽，一般都是将这两个命令一起使用。

如果在没有启用802.1Q的设备或者access端口收到一个802.1Q帧，那么标记的数据会被忽略，而数据包则会作为以太网帧被交给二层。

一般我们在起trunk的交换机的接收上使用以下命令： 
switchport trunk encapsulation dot1q

switchport mode trunk

switchport nonegotatie

switchport trunk allowed vlan 1,5,11,100-1000

switchport trunk native vlan 1

Native VLAN（本征vlan，802.1Q存在的，不打标签，默认VLAN1）

一条链路两边trunk接口的vlan必须一致，否则会有CDP-4-NATIVE-MISMATCH报错信息。

802.1Q Tunneling（双重Tag）

比如对于运行商提供的是一个二层网络，同一台交换服务与两个公司，但是这两个公司所处的VLAN有重叠。

我们的做法就是在运行商的交换机上将不同公司划分到不同的大VLAN中，这样公司内的数据帧在经过运行商提供的交换机传输的时候就被打上了二层标签。

外层tag与内存tag没有关系。

命令：首先在接公司的交换机的接口上划分大vlan：switchport access vlan 30

然后：switchport mode dot1q-tunnel即可。

VTP

Server

Clinet

Transparent