本征vlan

广东省“信息安全管理与评估”无线网络配置部分 配置无线网的基本要求： 1.首先了解一下什么是交换机的trunk模式和access模式 2.Trunk下的工作原理， 3.什么是本征vlan（native vlan），了解交换机的默认的本征vlan 4.AC功能的开启 5.AC的地址绑定，AC怎么去识别AP的。 6.配置AP的上线方式。 7.在AC上配置一些个对AP进行操作的东西（意思就是让AP成为怎样的AP，写成体格文件那样，然后让AC分发给ap） 一一对应： 1.trunk模式就是放行任何带vlan的标记的数据包或不带的（中继的作用，默认情况先不对数据包只转发不进行其他的操作）这样做的作用是为了让两台设备的带vlan标记的数据报能够相互流通 2.Access模式就只能放行一种vlan的数据包。作用在于隔离广播风暴 3.本征vlan属于trunk模式下的一个额外的功能。令不带vlan标记的数据包带上vlan标记。其他跟trunk模式的功能一样 4.AC识别AP的方式有两种：1.二层发现2.三层发现 三层发现AP AP与AC的关系图 vlan配置 连接了AP的口进行打trunk。为什么需要用到本征vlan的功能呢？ 因为 AP的响应包是不带vlan标记的 ，那么它的包到DCWS后没有所对应的目的地，那么他就会被丢弃了。 本征vlan会对这些不带vlan标记的包带上vlan标记

其实就是不打tag的VLAN，因为你想，一个VLAN在经过交换设备老是打tag，然后再脱掉tag。。。这个很浪费计算资源，尤其是在转发的报文量相当大的时候。 如何解决： 可以定义一种vlan，也就是在众多的vlan中指定一种vlan,当然一般是指定那个报文量大的vlan，作为 native vlan。 如上图所以，将两个交换机的一个端口都指定为native vlan 10 ,也就是当没有tag的报文，从该端口出去时，他不会打tag ，会被默认指定为vlan 10。当接收到一个没有打tag的报文时，会认为它是vlan 10的报文 PC1和PC2能通信么，（这里PC1与PC2在同一网段内哈）？ 首先答案是肯定的。 来分析下这个过程，当PC1发报文到 左边的转发设备，由于入端口是Trunk Native 10，本征VLAN，当该转发设备收到该报文时，以为是VLAN 10的报文（因为该报文开始没有打tag），转发的时候还是不打tag，但当被配置为Trunk Native 20接收到报文时，因为该报文是被属于vlan 10的，于是会被打上vlan 10的标签再发送（毕竟 本征vlan 端口首先得是Trunk口，且该报文不属于vlan 20）。 然后右边的转发设备收到该打有vlan 10报文时，由于端口是Trunk native 30，因此不处理该报文，然后从access vlan

一． tag： VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动。 传统的数据包转发，交换机查看数包的mac地址，根据mac地址表转发。在配置了Vlan的以太网环境中，当交换机从pc处接收了一个原始的数据包，会在源MAC地址与type字段汇中插入 4Byte 的802.1Q字段用来标识Vlan-tag。 1. 802.1Q报文： ① Tag Protocol：2字节，tag标签规范，用来定义tag标签标准，华为默认使用0x8100 ② User Priority：3bit，用户优先级，用来表明数据包优先级值，QOS使用 ③ CFI：1bit，规范格式指示，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring（令牌环网） 802.1Q 抓包： 2. Vlan有效值：

交换机部分命令 一、交换机模式切换 Swith>enable //切换到特权 Swith#config t //切换到全局配置模式 Swith(config)# interface f0/1 //进入接口f0/0 Swith(config)# interface vlan 1 //进入VLAN 1中 Swith(config-if)#ip address 192.168.1.1 255.255.255.0 //对VLAN1设置IP地址和子网掩码 Swith(config-if)#no shutdown //激活VLAN1 二、设置交换机的密码 1、用户到特权的密码 Swith(config)#enable password 123 (优先级低) Swith(config)#enable secret 456 (优先级高) //如果两个都设置则456生效 2、控制台console密码设置 Swith(config)# line con 0 Swith(config-line)#login Swith(config-line)#password console123 //设置console密码为telnet123 3、启用telnet密码 Swith(config)#line vty 0 15 //最多有0~15人可以telnet访问swith，合计16人 Swith(config