native vlan作用

vlan的基本类型
VLAN的基本类型包括：
1. 默认VLAN（Default VLAN）：交换机出厂默认配置的VLAN，通常是VLAN 1。

2. 数据VLAN（Data VLAN）：用于传输用户数据的VLAN，如主机连接到交换机进行数据通信。

3. 管理VLAN（Management VLAN）：用于管理交换机的VLAN，如配置交换机的接口和协议。

4. 带外（Out-of-Band）VLAN：用于管理网络设备的VLAN，与数据通信隔离，确保可靠性和安全性。

5. 本地VLAN（Native VLAN）：用于处理未标记的数据帧，通常用于处理某些旧设备不能识别VLAN标签的情况。

6. 通道（Trunk）VLAN：用于传输多个VLAN之间的数据流量，在交换机之间建立虚拟链路。

7. VLAN范围（VLAN Range）：用于定义一组连续的VLAN ID，方便管理和配置相同属性的VLAN。

Native vlan802.1Q的封装效率肯定没有ISL那么高，因为会对数据帧先进行破坏在802.1Q定义了native vlan，本帧标签如果特定的vlan流量非常大，打标签会浪费时间，将该VLAN设置为native vlan 因为Native vlan所属的帧在经过trunk时不打标签那么什么vlan的数据经过的时候，不打标签如何进行识别呢呢？在交换机trunk接口上，使用802.1Q协议的时候，可以设置native vlan，两端最好一致需要在交换机之间进行定义，假设定义native vlan是vlan1假设SW3从F0/1接口收到一个没有打tag的帧，SW3就会往vlan1中传递数据如果两端native vlan不一致，会出现问题SW1 SW2VLAN2----------→VLAN2：VLAN2的数据帧到达SW1的时候，由于不是native vlan就会打标签SW2收到帧之后，发现是带有VLAN2的标签，就传输到VLAN2中VLAN3----------→VLAN3：VLAN3的数据帧到达SW1的时候，由于是native vlan就不打标签SW2收到帧之后，发现没有标签，就往本地native vlan（vlan4）中传递发现不存在目标PC，就会出现通信问题VLAN4---------- VLAN4：因为从SW1出来的数据，会打上标签VLAN4SW2收到数据帧后，发现带有标签VLAN 4就不知道往哪里进行传输Native vlan在trunk两端必须配置，否则会出现vlan流量互串默认的native vlan是vlan1建议将一个生僻的vlan配置为native vlan修改封装模式---因为native vlan只在802.1Q上存在R4(config-if)#int f0/0R4(config-if)#switchport mode trunkR4(config-if)#switchport trunk encapsulation ?dot1q Interface uses only 802.1q trunking encapsulation when trunking设置native vlanR4(config-if)#switchport trunk native vlan ?<1-1005> VLAN ID of the native VLAN when this port is in trunking mode让native vlan也打标签R4(config)#vlandot1q tag native。

nativevlan的作⽤native-vlan什么是NATIVE VLAN ,具体有什么作⽤可以更换为其它VLAN吗？以太帧通过Trunk时会被打上标记，（这个咱们上⼀节说过），Native VLAN（默认是VLAN1），假设本端由VLAN1内部主机发送请求到对端，经过trunk时，发现为native vlan中的，则不打标记，直接进⾏转发，到达对端以后，由于也是trunk接⼝，会进⾏查看，⼀看，我擦没有标记，那么就会在⾃⼰本地的NATIVE vlan中进⾏泛洪啥意思呢？如图现在SW1设置E0/2⼝的trunk native vlan为10 ，SW2的native vlan为默认的vlan1请问PC2和PC5可以通信吗？答：不可以，为什么？PC2上⾏，进⼊交换机，打TAG10 ，出去的时候由于是native vlan=vlan10，会进⾏“裸奔”,到达SW2后，会查看标签，⼀看什么都没有，那么就会向⾃⼰的NATIVEvlan中进⾏范洪（也就是VLAN1），（注意此时PC5在VLAN10中）这肯定是通不了的那要如何做呢？1）可以将SW2上的NATIVE VLAN ，也改成VLAN10 ，使两侧⼀样就OK了Switch(config-if)#switchport trunk native vlan 102) 不修改NATIVE VLAN的情况下，将PC5的接⼝划分到VLAN1 中,（通常我们不这样修改，因为也不便于维护）最后在记住⼀点，native-vlan是存在于trunk接⼝下的，ACCESS是不⽀持的。

怎么说呢，这玩意现在⽤的也不多，你只要明⽩这东西是⼲嘛⽤的就⾏，如果实在记不住，你就让住“裸奔”就⾏------------------------------------------------CCIE成长之路---梅利。

vlan的作⽤1. VLAN（Virtual Local Area Network）是虚拟局域⽹英⽂的缩写，在⽹络架构中的⼆层中VLAN是必不可少的，为什么要出现虚拟局域⽹呢，接下来我将简单说⼀下VLAN出现的必要性:(1)⽆法有效控制⼴播域：通常我们在不划分局域⽹的时候，默认⼀个路由器的接⼝就是⼀个⼴播域，那么在该接⼝下的所有设备都属于这个区域,如果⼀个⽤户发送⼀个数据时，该区域内的所有设备都会收到该数据且执⾏⼀些操作，这会对⽹络中的设备造成资源的浪费。

(2)较差的安全性：⼤家可能第⼀时间会想到，如果都在⼀个区域的话，该区域中每个⽤户发送的数据所有的设备都能接收，⽐如：⼀个公司许多部门都在⼀个区域下，我们都知道，财务部门要保证安全，但是，在这种情况下，所有的设备都能向财务部门的计算机发送并请求数据，如果某个员⼯⾮法进⼊财务部的计算机，查看并修改计算机中的数据，这会对公司造成⼀定程度上的损失，这⼤⼤降低了⽹络的安全性。

(3)⽹络的健壮性较差：如果该区域中的某个设备发⽣了故障可能会影响该区域中的其他设备，所以我们迫切需要⼀种能够不影响物理条件并合理解决上述问题的技术，此时，VLAN出现了，那么VLAN有什么作⽤呢？下⾯我将简单说⼏点主要作⽤；2.作为现如今⽹络中应⽤最为⼴泛的技术，VLAN的作⽤有很多，⼤家对VLAN有清晰的认识就好：(1)有效控制⼴播域:正如VLAN的名字⼀样，虚拟局域⽹，它可以按照我们⼈为的对⼀个⼤区域在虚拟中划分许多的⼩区域，这是就解决了我们上述的第⼀个问题，既然不属于⼀个区域，那么发送的数据也就不会让其他⾮相关的设备接收导致资源浪费。

(2)增强了⽹络的安全性：例如：在⼀个公司中，不同的VLAN可以划分给不同的部门，这时就成功的对⼀些部门部署了⼆层上的隔离，更好的保证了⼀些客户的安全。

(3)增强了⽹络的健壮性：当我们划分了多个VLAN后，如果某个VLAN内的设备发⽣故障将不会影响到其他区域的设备，这保证了⽹络的其他设备可以正常运⾏，不致于造成⼤程度的⽹络瘫痪。

Native VLAN (本征VLAN)本征VLAN是交换中一个不是很容易理解的概念,在网上看了一些文章但也说得不是很清楚,书上也没有多讲.找到CISCO的文档,所以引用了一下.今天也做了下NATIVE VLAN的小实验,以便更好的理解.Native VLAN的作用:在Trunk链路使用802.1Q封装时,用Native VLAN指定哪个VLAN的数据不用做802.1Q标记,Native VLAN外的其它VLAN数据都会做802.1Q封装的标记.为什么要使用Native VLAN:交换的管理流量以及未指定VLAN的流量,默认使用Native VLAN(默认为VLAN 1)来传送,这些流量不需要做802.1Q封装.网上一般都是如上来描述Native VLAN,我也如是说,但看了又不是很明白,所以通过实验一看一下:[[3640]]image = d:\lab\c3640-telco-124-13.binidlepc = 0x6100bf2cram = 128confreg = 0x2102exec_area = 64mmap = false# slot1 = NM-16ESW[[2620]]image = d:\lab\c2600-i.120-7.binram = 20confreg = 0x2102idlepc = 0x802d0b80exec_area = 64mmap = false# [[router TermServ]]# model=3640# e0/0 = NIO_gen_eth:\Device\NPF_{1D0AB987-6689-4B46-8AF5-27395AD05B0B}[[router R1]]image = d:\lab\c7200-adventerprisek9.124-6.T3.bin #需要带有ip plus特性的IOS，才支持VLAN间路由idlepc = 0x613503b8ram = 256npe = npe-400confreg = 0x2102exec_area = 64mmap = falsef0/0 = SW1 f1/14[[router SW1]]model=3640基本配置(略):配置SW1为VTP SERVER,VTP DOMAIN CISCO,VTP PASSWORD CISCO 配置SW2为VTP CLIENT,VTP DOMAIN CISCO,VTP PASSWORD CISCO 配置SW1和SW2间的trunk在SW1新建VLAN 14,VLAN 25, VLAN36为PC1,PC2,PC4,PC5把PC2和PC5分配到VLAN 25,并测试其连通性.让PC1,PC4在VLAN 14中,在trunk设置中将VLAN14设置为Native VLAN.测试其连通性.SW1#sh run int f1/15Building configuration...Current configuration : 90 bytes!interface FastEthernet1/15switchport trunk native vlan 14switchport mode trunkendSW1#SW2的配置和SW1相同.使用capture SW1 f1/15 vlantr.cap dynagen在SW1和SW2的Trunk的一端接口上抓包到dyangen的working目录里的vlantr.cap文件中.在PC4,和PC5上分别ping PC1和PC2以分别得到,经过NATIVE VLAN和普通VLAN所传送的数据.使用no caputre SW1 f1/15停止抓包.使用开源嗅探器Wireshark打开刚才抓的包看一下，包的目录在dynagen的working目录，上面已经提到．我使用了icmp过滤器(Filter),结果看起来简洁一点.这是带802.1Q标记的数据包.从下面可以看到802.1Q数据为4字节,优先级为0,CFI为0,VLAN ID为25,类型为IP整个数据帧的格式为rotocols in frame: eth:vlan:ip:icmp:data这是Native VLAN的数据包,里面不带802.1Q封装. 帧格式为rotocols in frame: eth:ip:icmp:data这就是Native VLAN的本质了.呵呵.最后帖上各设备的配置:Current configuration:!version 12.0service timestamps debug uptimeservice timestamps log uptime no service password-encryption!hostname PC1!!!!!!memory-size iomem 15ip subnet-zerono ip routing!!!!interface FastEthernet0/0ip address 10.0.14.1 255.255.255.0 no ip directed-broadcastno ip route-cacheduplex autospeed auto!ip classlessno ip http server!!line con 0exec-timeout 0 0logging synchronous!!!!!memory-size iomem 15ip subnet-zerono ip routing!!!!interface FastEthernet0/0ip address 10.0.14.4 255.255.255.0 no ip directed-broadcastno ip route-cacheduplex autospeed auto!ip classlessno ip http server!!line con 0exec-timeout 0 0logging synchronoustransport input noneline aux 0line vty 0 4!no scheduler allocateendPC4#Building configuration...Current configuration:!version 12.0service timestamps debug uptimeservice timestamps log uptime no service password-encryption!hostname PC5!!!!!!memory-size iomem 15ip subnet-zerono ip routing!!!!interface FastEthernet0/0ip address 10.0.25.5 255.255.255.0 no ip directed-broadcastno ip route-cacheduplex autospeed auto!ip classlessno ip http server!!!!!!!interface FastEthernet1/0!interface FastEthernet1/1!interface FastEthernet1/2!interface FastEthernet1/3!interface FastEthernet1/4 switchport access vlan 14!interface FastEthernet1/5 switchport access vlan 25!interface FastEthernet1/6!interface FastEthernet1/7!interface FastEthernet1/8!interface FastEthernet1/9!interface FastEthernet1/10!interface FastEthernet1/11!interface FastEthernet1/12!interface FastEthernet1/13version 12.4service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption!hostname SW2!boot-start-markerboot-end-marker!!no aaa new-modelmemory-size iomem 5!!ip cef!!!!!!!interface FastEthernet1/0!interface FastEthernet1/1switchport access vlan 14!interface FastEthernet1/2switchport access vlan 25!interface FastEthernet1/3!interface FastEthernet1/4!interface FastEthernet1/5!interface FastEthernet1/6!interface FastEthernet1/7!interface FastEthernet1/8!interface FastEthernet1/9!interface FastEthernet1/10!interface FastEthernet1/11!interface FastEthernet1/12!interface FastEthernet1/13!interface FastEthernet1/14!interface FastEthernet1/15 switchport trunk native vlan 14 switchport mode trunk!interface Vlan1no ip address!ip http server!!!!!control-plane!摘自文档：/univercd/cc/td/doc/product/software/ios122/122cgcr/fswtch_c/swprt6/xcfvl.htm#wp1006413Native VLAN Each physical port has a parameter called PVID.Every 802.1Q port is assigned a PVID value that is of its native VLANID (default is VLAN 1). All untagged frames are assigned to the LANspecified in the PVID parameter. When a tagged frame is received by aport, the tag is respected. If the frame is untagged, the valuecontained in the PVID is considered as a tag. Because the frame isuntagged and the PVID is tagged to allow the coexistence, as shown in Figure 76,on the same pieces of cable of VLAN-aware bridge/stations and ofVLAN-unaware bridges/stations. Consider, for example, the two stationsconnected to the central trunk link in the lower part of Figure 76.They are VLAN-unaware and they will be associated to the VLAN C,because the PVIDs of the VLAN-aware bridges are equal to VLAN C.Because the VLAN-unaware stations will send only untagged frames, whenthe VLAN-aware bridge devices receive these untagged frames they willassign them to VLAN C.Figure 76 Native VLAN什么是“本征VLAN”？2008-07-09 15:36在trunk链路上，如果允许permit vlan all，那么所有带有vlan信息的帧都允许通过，如果不加permit vlan all，那么只有native vlan 这个vlan 的帧才能通过，默认native vlan 是vlan 1，有些情况下trunk出问题了，只能vlan 1的信息才能通过，vlan 1是管理vlan，当然你也可以通过命令修改native vlan为vlan 2或者vlan 3，具体命令我不知道了。

port trunk native vlan 配置方法"Port trunk native VLAN"的配置方法通常涉及以下步骤，但请注意，具体的步骤可能会因网络设备和操作系统的不同而有所差异。

这里提供的是一种通用的配置方法，供您参考：1.进入交换机的系统视图或全局配置模式。

这通常可以通过在命令行界面（CLI）中输入特定的命令来实现，如"enable"或"configure terminal"。

2.选择要配置的端口。

您可以使用"interface"命令来指定要配置的端口，例如"interface GigabitEthernet0/0/1"。

3.将端口配置为Trunk模式。

这可以通过在端口视图下输入"switchport modetrunk"命令来实现。

4.配置Trunk端口的Native VLAN。

Native VLAN是指Trunk端口上未打标签的流量所属的VLAN。

您可以使用"switchport trunk native vlan"命令来设置Native VLAN的ID，例如"switchport trunk native vlan 10"。

5.（可选）配置Trunk端口允许的VLAN列表。

如果您希望限制只有特定的VLAN能够通过Trunk端口，您可以使用"switchport trunk allowed vlan"命令来指定允许的VLAN列表，例如"switchport trunk allowed vlan 10,20,30"。

6.保存配置并退出。

在完成配置后，您可以使用"end"或"write memory"命令来保存配置，并使用"exit"命令退出配置模式。

vlan作用、优点和配置
VLAN全称为Virtual Local Area Network，即虚拟局域网。

VLAN是一种将局域网划分成互不干扰的逻辑网段的技术。

VLAN将一个物理网络分割成多个虚拟网络，每个虚拟网络之间是隔离的，可以通过路由器互相连接。

VLAN的作用：
1. 提高网络安全性：VLAN可以将网络划分成不同的逻辑网段，每个网段之间相互隔离，提高了网络的安全性，可以有效避免网络被攻击和病毒感染。

2. 降低网络负载：通过VLAN，可以把广播域划分成多个较小的网段，从而减少广播报文和冲突，降低了网络负载，提高了网络效率。

3. 灵活管理网络：VLAN可以根据不同部门和用户的需求，将网络划分成不同的逻辑网段，便于网络管理员对网络进行灵活管理。

4. 提高带宽利用率：VLAN可以根据不同部门和用户的需求，灵活分配网络带宽，提高带宽利用率。

1. 增强了网络安全性，可以有效避免网络被攻击和病毒感染。

2. 减少了网络负载，提高了网络效率。

1. 创建VLAN：在交换机中创建VLAN，将交换机端口分配到相应的VLAN中。

2. 配置端口：将需要加入VLAN的端口配置为access端口。

3. 端口设置Trunk模式：Trunk端口允许多个VLAN流过该端口，可以将不同的VLAN 划分到不同的子网中。

4. 配置VLAN接口：对VLAN接口进行配置，包括配置IP地址、子网掩码等。

5. 配置VLAN间路由：如果需要实现不同VLAN之间的通信，需要配置VLAN间路由。

6. 配置VLAN安全机制：可以对VLAN进行安全限制，防止未授权用户进入VLAN。

本征VLAN即Native Vlan,本征vlan默认为vlan1有些支持中继的设备在默认情况下会标记本征vlan流量。

如果802.1Q 中继端口在本征vlan上收到有标记帧。

则会将该帧丢弃。

因此，在配置Cisco catalyst交换机上的交换端口时，您需要了解这些设备在进行配置，使他们不会在本征vlan上发送有标记帧。

在其他厂商生产的在本征vlan上支持有标记帧的设备包括IP 电话、服务器、路由器和非Cisco交换机。

Native Vlan和其他Vlan的另外一个区别在于：非Native Vlan在trunk 中传输数据时要被添加Vlan标记的（如dot1q或者isl），但是native vlan 在trunk中传输数据时是不进行标记的。

在trunk链路上，如果switchport trunk allowed vlan all，那么所有带有vlan信息的帧都允许通过，如果不加switchport trunk allowed vlan all，那么只有native vlan 这个vlan的帧才能通过，默认native vlan 是vlan 1，有些情况下trunk出问题了，只能vlan 1的信息才能通过，vlan 1是管理vlan，当然你也可以通过命令修改native vlan为vlan 2或者vlan 3，命令：switchport trunk native vlan vlanID。

验证命令：show interfaces fx/x switchport。

所有的帧在trunk中都是打上标记的，也就是tag，不同点在于，如果帧在进入trunk以前已经打上标记了，比如vlan 2的标记，并且trunk又允许vlan 2通过的话，该vlan 2的帧就通过，反之丢弃。

另外如果帧在进入trunk时是没有标记的，那么trunk就会给他打上native vlan的标记，该帧在trunk中就以native vlan的身份传输，native vlan 是用于trunk链路的，在access链路没有native vlan的概念。

Native vlan 的目的是向下兼容，就是native vlan 在trunk中传输的时候是不打标的，但是比如在trunk入口处打了native vlan（也就是双方的native vlan不同）的标记，那么在trunk的出口处交换机会删除native vlan的标记，然后转发到本征vlan。

R1 R2 分别为两台交换机。

他们中间是trunk链路。

R3 和R5 在vlan 2 ，R4 和R6 在vlan3。

R1 的native vlan是vlan 2，R2的native vlan 是vlan 3。

那么分析一下R4 ping R6的过程。

R4 首先发送一个ARP请求，交换机R1 收到了这个请求，由于是一个广播帧，所以在Vlan3内泛洪这个数据帧。

理所当然的这个帧也就从trunk发出去，在发出去的时候给这个帧打上了一个Vlan3的标记。

当帧到达R2 的时候R2发现这个帧的802.1Q标记的是vlan3，而在R2上native vlan也同样是vlan3 所以交换机R2 删除了这个vlan3标记，然后泛洪给自己的native vlan，当R6收到这个ARP请求后，发现是一个匹配自己地址的ARP请求，所以R6 便以单播帧的形式回复R4 ，目的MAC是R4的地址，源MAC是自己的接口地址。

然后发送给R2，R2收到这个帧后，发现由于是本征Vlan，并且所以就在native vlan的mac地址表里进行查找，发现了R4的mac对应自己的f1/2接口。

由于是native vlan 所以R2 就不打标的从trunk传输，但是当回应帧到达R1后，R1发现这个数据帧没有打标，R1 就会在自己的native vlan的地址表里查找（对于R1来说native vlan是vlan2），由于是一个mac地址未知的单播帧，所以就在自己的除了接受端口以外的其他native vlan接口泛洪这个帧（也就是泛洪给了R3）。

但是R4并没有接收到这个ARP响应帧，所以导致了R4pingR6不通做实验发现了一个关于vlan的问题，如下拓扑结构：PC1---SW1---SW2---SW3---PC2如果sw1 sw2 sw3 之间是trunk链路，sw1 和sw3 有vlan 2，（sw2仅仅有默认的vlan1）而且两个pc均在vlan2中，pc1 ping pc2 的时候不通，抓包分析发现pc1的ping包到sw2的时候被丢弃了，但是给sw2 建立了vlan2 之后，pc1 和pc2 可以正常通信，可见即使是trunk链路，中间的交换机的vlan数据库中也要有vlan才行否则不能通信.PC----（access vlan2）SW1（trunk 并且TAG vlan2）----（access vlan2）SW2(access vlan2)----PC对于一边是trunk一边是access口的情况，当access口收到了带标记的帧时并且tag和access接口处于相同的vlan （vlan2），会删除tag，并且在其他相应的vlan（vlan2）接口里转发。

【技术细节】之native vlan和vlan1的作用[font=Arial]VLAN 1[/font]VLAN 1 has a special significance in Catalyst networks.The Catalyst Supervisor Engine always uses the default VLAN, VLAN 1, to tag a number of control and management protocols when trunking, such as CDP, VTP and PAgP. All ports, including the internal sc0 interface, are configured by default to be members of VLAN 1. All trunks carry VLAN 1 by default, and in CatOS software versions earlier than 5.4, it was not possible to block user data in VLAN 1.These definitions are needed in order to help clarify some well-used terms in Catalyst networking:The management VLAN is where sc0 resides; this VLAN can be changed.The native VLAN is defined as the VLAN to which a port returns when not trunking, and is the untagged VLAN on an 802.1Q trunk. By default, VLAN 1 is the native VLAN.In order to change the native VLAN, issue the set vlan vlan-id mod/port command.Note: Create the VLAN before you set it as the native VLAN of the trunk.These are several good reasons to tune a network and alter the behavior of ports in VLAN 1:When the diameter of VLAN 1, like any other VLAN, gets large enough to be a risk to stability (particularly from an STP perspective) it needs to be pruned back. This is discussed in more detail in the In-Band Management section of this document.Control plane data on VLAN 1 must be kept separate from the user data in order to simplify troubleshooting and maximize available CPU cycles.L2 loops in VLAN 1 must be avoided when multilayer-campus networks are designed without STP, and trunking is still required to the access layer if there are multiple VLANs and IP subnets. To do this, manually clear VLAN 1 from trunk ports.In summary, note this information about trunks:CDP, VTP, and PAgP updates are always forwarded on trunks with a VLAN 1 tag. This is the case even if VLAN 1 is cleared from the trunks and is not the native VLAN. If VLAN 1 is cleared for user data, these is no impact on control plane traffic that is still sent using VLAN 1.On an ISL trunk, DTP packets are sent on VLAN1. This is the case even if VLAN 1 is cleared from the trunk and is no longer the native VLAN. On an 802.1Q trunk, DTP packets are sent on the native VLAN. This is the case even if the native VLAN is cleared from the trunk.In PVST+, the 802.1Q IEEE BPDUs are forwarded untagged on the common Spanning Tree VLAN 1 for interoperability with other vendors, unless VLAN 1 is cleared from the trunk. This is the case regardless of the native VLAN configuration. Cisco PVST+ BPDUs are sent and tagged for all other VLANs. Refer to the Spanning Tree Protocol section in this document for more details.802.1s Multiple Spanning Tree (MST) BPDUs are always sent on VLAN 1 on both ISL and 802.1Q trunks. This applies even when VLAN 1 is cleared from the trunks.Do not clear or disable VLAN 1 on trunks between MST bridges and PVST+ bridges. But, in the case that VLAN 1 is disabled, the MST bridge must become root in order for all VLANs to avoid the MST bridge putting its boundary ports in the root-inconsistent state. Refer to Understanding Multiple Spanning Tree Protocol (802.1s) for details.。

Native VLAN是TRUNK上才有的概念.主要的目的是不丢弃非标记帧.接收方交换机把所有接收到的未标记的数据包转发到NATIVE VLAN中,而不是丢弃.默认是VLAN1.801.q的TRUNK中可以存在多个VLAN。

各个VLAN都被加上一个头，并在该头部说明VLAN号码,但是有一个VLAN，不加头，不进行封装。

就是native vlan。

交换机在发送数据时候会使用vlan的标记来标记该数据属于哪个vlan，802.1Q允许一个不打标记的vlan，凡在这个segement上没有打标记，对端交换机读数据时候没有读到802.1Q的标记则认为是native vlan简单的来说Native Vlan 是802。

1Q协议封装下的一种特殊Vlan,来自该VLAN 的流量在穿越TRUNK接口时不打TAG，缺省时VLAN1为Native Vlan .而VLAN1 为交换机的缺省VLAN，一般不承载用户DATA也不承载管理流量，只承载控制信息：如CDP，DTP，BPDU，VTP，Pagp等。

Native Vlan是对于中继接口为对象，不是trunk接口谈不上Native Vlan。

一般在trunk接口传送的是打了标签的数据包，那么如果有没有打标签的数据呢，这才用到Native Vlan，把这些没有打标签的数据打了Native Vlan的标签进入交换机，cisco里管理vlan和native vlan默认都是vlan 1。

对于TRUNK端口接收到一个无VLAN标记的数据帧时,802.1Q会打上NATIVE VLAN 标记转发到NATIVE VLAN[默认为VLAN1 可以修改,若修改要确保网络内所有交换机都一致],而ISL会丢弃.802.1QTRUNK对于VLAN1向外转发的数据帧不会打上VLAN标记会直接进行转发。

如果两台通信的交换机配置的native vlan不一致，就会报mismatch错误，一个支持vlan的交换机，互连一个不支持vlan的交换机。

vlan作用、优点和配置
VLAN是虚拟局域网的缩写，是一种虚拟化技术，用于将不同的网络设备划分到不同的虚拟网段中，实现逻辑隔离和物理隔离。

其主要作用是提高网络的安全性、可管理性和灵活性。

下面是VLAN的优点和配置介绍：
【优点】
1.安全性：VLAN可以将不同的网络设备划分到不同的虚拟网段中，实现逻辑隔离和物理隔离，降低网络攻击和数据泄露的风险。

2.可管理性：VLAN可以将网络设备按照不同的逻辑划分为不同的虚拟网段，可以更加灵活地管理和控制网络设备，根据业务需求进行配置和管理。

3.灵活性：VLAN可以根据不同的业务需求对网络设备进行划分和管理，可以快速适应不同的业务需求，并且可以在不影响其他设备的情况下对某个设备进行调整配置。

【配置】
VLAN的配置主要分为以下几个步骤：
1.创建VLAN：需要在交换机上创建VLAN，并设置VLAN的ID和名称。

2.将端口划分到VLAN中：将需要加入VLAN的端口进行配置，并将其划分到对应的VLAN中。

3.配置VLAN间的通信：通过VLAN间的交换机端口进行连接，实现不同VLAN之间的通信。

4.配置VLAN上的协议：可以进行VLAN上的协议配置，如VLAN 间的路由、DHCP、ACL等。

【总结】
VLAN是一种实现逻辑隔离和物理隔离的虚拟化技术，具有安全性、可管理性和灵活性等优点。

其配置主要包括创建VLAN、将端口划分到VLAN中、配置VLAN间的通信和配置VLAN上的协议。

路由与交换技术问答题第一章1、距离矢量路由协议和链路状态路由协议的优缺点是什么？距离向量协议就是基于距离矢量算法的,通过推论路径搜寻至最佳路由。

链路状态协议代表协议则就是ospf等。

1.距离矢量协议支持自动汇总，数据链路则需要手动汇总。

2.距离矢量会聚慢，数据链路会聚快。

3.路由更新前者是路由表，后者事件触发。

距离矢量最小的缺点就是可以产生路由环路。

可以用跳数，水平划分等防止。

2、简述什么是路由协议和被路由协议。

路由协议：路由算法将搜集至的相同信息插入路由表中，根据路由表可以将目的网络与下一冲的关系说路由器。

路由器间互通信息展开路由更新，保护路由表并使之恰当充分反映网络的流形变化，并由路由器根据度量去同意最佳路径。

被路由协议：路由器首先在路由表中查找，判明是否知道如何将分组发送到下一个站点（路由器或主机），如果路由器不知道如何发送分组，通常将该分组丢弃；否则就根据路由表的相应表项将分组发送到下一个站点，如果目的网络直接与路由器相连，路由器就把分组直接送到相应的端口上。

3、叙述路由表的主要促进作用就是什么？路由表包含若干条路由条目，每一个路由条目都有重要的信息：（1）目的子网（子网号和子网掩码）（2）表示路由器传送数据包至下一台路由器或主机的方向（出口和下一冲路由器）4、叙述什么是递归路由查找。

为什么会有路由递归查找？所谓递回查阅，在dns的查阅方式中可以找出，dns的查阅方式一个就是递回查阅，也就是本地dns对本地主机接收者的查阅方式，本地dns如果没一条路由解析，则马上向根域服务器发出请求，接着根据根域服务器的命令，向顶级域服务器发出请求之所以使用路由递归查找的目的是绕开那些经常变动的链路，可以使静态路由的配置工作量减小。

5、什么就是管理距离？什么就是度量？详述各种动态路由协议的管理距离就是多少，度量就是什么。

管理距离（ad）就是路由器用来做出判断的一个指标。

管理距离是0~255的整数值，值越低表示路由来源的优先级别越高。

NativeVLAN的效果详解NativeVLAN的效果详解对VLAN进行封装有两种协议.一种是思科专有的协议,叫做ISL.另一种是RFC公有的协议叫做802.1Q.两种协议都是关于Trunk承载纷歧样VLAN为防止失调而发作的.默许状况下.沟通机上悉数的接口都坐落VLAN1下.也即是nativeVLAN.实习上,本地VLAN中不只仅有着接口,还有STP信息,比方BPDU桥接协议数据单元,VLANID的信息等等都要经过nativevlan来传输.ISL协议和802.1Q的区别在于关于nativevlan是不是打标.ISL是悉数都打,有几个VLAN打几个符号,而802.1Q协议除了VLAN1也即是nativevlan不打符号以外别的的VLAN都打符号,效果都是一样的,都能让Trunk辨认纷歧样的VLAN.那为啥不对VLAN1打符号呢.即是由于VLAN1中承载着许多信息.对nativevlan符号是恰当晦气的.======================================================= ========================首要vlan1是802.1Q才认为它是默许的本征vlan，ISL中没有本征vlan的概念本征vlan的效果关于2层沟通机来说，能够起处处理地址的效果，关于802.1Q封装的干道trunk来说，是对默许本征vlan1不打标的，所以尽管801.Q封装尽管比ISL要好，而且通用，可是最欠好的本地即是安全性，假定没有批改本征vlan，一向用默许vlan1，这么就能够进行跳vlan进犯，运用了802.1Q对本征vlan不打标这个小缝隙，关于本征vlan的详细效果，正本没有啥详细效果，后期都能够自个去批改本征vlan，这么比照安全，即是由于关于沟通机来说，起先都是在一个大的播送域，所以就默许都放在vlan1里，仅仅默许。

关于不通vlan信息在trunk干道上载输，跟本征vlan没有啥直接联络，沟通机access口划入的vlan不必，在数据帧由PC进入沟通机时，会绑上一个接口所属vlan的符号，当这个数据帧到了trunk 接口的时分，这个绑着的4个字节的标就会压进数据帧中，改动了数据帧的构造，传输到别的一台沟通机的trunk接口时，标就会被拆出来，康复成数据帧绑着一个标，沟通机遇首要看绑着的标，查找自个端口所属绑标里的vlanid，进一步沟通机遇查看自个的CAM 表，查找意图mac地址，这么通讯就完毕了，通讯的进程和本征vlan没有直接联络楼主你认为处理vlan和本征vlan是一个意思，这个是不对的，由于或许你习气用本征vlan作为处理vlan，正本不然，在实习傍边，处理vlan最好用一个没用的vlan，比方vlan999这种不太或许用到的vlan，会比照安全，当然本征vlan也是能够批改的，在trunk 干道配备的时分，后边有native的小feature======================================================= =========================正本楼主，我认为，本征vlan不打标即是为了兼容一些不支撑vlan的沟通机，正如你所说，其说所谓的处理vlan就关于telnet本设备的vlan地址，长途telnet能够处理该沟通机，对沟通机做一些配备和批改，不必亲身到沟通机跋涉行配备，最首要的是，像vtp 这么在干道trunk上载输的处理协议，都是经过trunk的本征vlan传输的，这即是效果======================================================= ===========================Access、Hybrid和Trunk三种办法的了解untag即是通常的ethernet报文，通常PC机的网卡是能够辨认这么的报文进行通讯；tag报文构造的改动是在源mac地址和意图mac地址往后，加上了4bytes的vlan信息，也即是vlantag头；通常来说这么的报文通常PC机的网卡是不能辨认的下图阐明晰802.1Q封装tag报文帧构造带802.1Q的帧是在规范以太网帧上刺进了4个字节的标识。

Native vlan 和Management vlanNative Vlan的定义：The default VLAN, associated with an 802.1Q trunk interface,它主要是用于测试，trunk可以转发不打标签的VLAN。

即是native VLAN，默认是VLAN 1，但是可以根据情况修改。

在TRUNK上Native VLAN的数据是无标记的(Untagged),所以即使没有在TRUNKING，Native Vlan上仍能正常通讯。

没有特别的需要，Native VLAN最好使用默认的VLAN 1。

Native Vlan是如果trunk 失败的时候端口上仍然能正常工作的VLAN。

Management vlan的定义：By default, the management VLAN is assigned VLAN 1。

修改应该是肯定可以修改的，但一般情况下由于native vlan的特殊作用，都用做management vlan，这样即使trunk失效了，你还可以通过vlan 1进行设备的管理For Cisco devices, all proprietary control protocols are always carried over VLAN 1 instead of Native VLAN. Therefore, even when you changed Native VLAN to some non-default one, or purged VLAN 1 from a trunk, they will still run over VLAN 1.As to Native VLAN, it was originally used for backward compatibility like Allen mentioned. This has always been how IEEE design a new protocol. This way we can assure devices that are not 802.1q aware can still communicate to newer device over a hub, which was the most dominant network device back when 802.1q was designed.For inter-operability across vendor, it is actually more than just Native VLAN. As the original IEEE 802.1q spec did specify that Native VLAN must be untagged, there were lots of issue when dealing w/ devices among vendors as everyone interpret the standard differently, thus choose different default behavior. Some choose to tag the frame (e.g. Cisco), while others choose not to (e.g. Foundry). Fortunately, due to the reason mention by Chun (VLAN hopping), most vendors notadays give users options to turn Native taggeing on/off. However, due to terminology difference, it is still confusing when referring to configuration guide from different vendors.-------------------------------------------------Native VLAN, it is originated from the IEEE 802.1q spec. To remain backward compatibility, IEEE specified in the standard that both tagged and untagged frames could be accepted by a VLAN capable switch. So when a switch received untagged frames, Native VLAN will be assumed to be the VLAN where the traffic supposed to belong to. This way ensures that all traffic will belong to either the VLAN specified in the tag, or the Native VLAN. And since Native VLAN is actually a Cisco defined term, that is why it default to VLAN 1, which is the default VLAN on Cisco switches. However, this is really a seperate term from the management VLAN.To sum it up, Native VLAN is simply the VLAN which untagged frame belongs to, while management VLAN is where the management IP located, and is not necessary to be the same as the Native VLAN。

交换机的Native VLAN含义与配置
1、实验目的
掌握不同一交换机上创建与配置VLAN.
2、实验拓扑
3、实验要求
将财务部的PC1和PC3两台计算机划入VLAN 1，将人事部PC2和PC4划入另一VLAN，验证PC1和PC3之间能否相互通信？PC2和PC4之能否相互通信？为什么？
4、实验步骤
步骤1：在交换机上创建VLAN 200，将f0/2端口加入VLAN200；
（1）创建VLAN
Switch#vlan database
Switch(vlan)#vlan 200 name vlan200
Switch(vlan)#exit
或者
Switch(config)#vlan 200
Switch(config-vlan)#name vlan200
（2）将接口指定到VLAN中
Switch(config)#interface f0/2
Switch(config-if)#switchport access vlan 200
（3）查看VLAN创建情况
Switch#show vlan brief
步骤2：验证
（1）检验PC1和PC3是否能相互通信，PC2和PC4之间能否相互通信。

PC1和PC3的IP地址为：192.168.100.1、192.168.100.2
PC2和PC4的IP地址为：192.168.200.1、192.168.200.2
结论：
PC1和PC3能相互通信，PC2和PC4不能相互通？为什么？
（2）检验PC1、PC3和PC2、PC4之间能否相互通信。

结论：
不能VLAN之间不能相互通信。

nativevlan作用native vlan作用Access、Hybrid和Trunk三种模式的理解untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的下图说明了802.1Q封装tag报文帧结构带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。

其中包含：2个字节的协议标识符（TPID)，当前置0x8100的固定值，表明该帧带有802.1Q的标记信息。

2个字节的标记控制信息（TCI），包含了三个域。

Priority域，占3bits，表示报文的优先级，取值0到7，7为最高优先级，0为最低优先级。

该域被802.1p采用。

规范格式指示符（CFI)域，占1bit，0表示规范格式，应用于以太网；1表示非规范格式，应用于T oken Ring。

VLAN ID域，占12bit，用于标示VLAN的归属。

以太网端口有三种链路类型：Access、Hybrid和Trunk。

Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN 的报文发送时不打标签。

在这里先要向大家阐明端口的缺省VLAN这个概念Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。

vlan的作用VLAN（Virtual Local Area Network）是一种在物理网络上创建逻辑分区的技术，它可以将网络设备分组到不同的虚拟网络中，从而提供更好的网络管理和安全性。

VLAN的作用主要体现在以下几个方面。

首先，VLAN可以实现网络分割，将一个大型网络划分为多个小型逻辑网络。

通过将不同的设备划分到不同的VLAN中，可以降低网络中广播风暴的发生频率，减少网络拥堵，提高网络性能和稳定性。

此外，VLAN还可以根据不同的业务需求划分虚拟网络，如将部门、项目组、客户等划分到不同的VLAN中，使得网络更加灵活和可管理。

其次，VLAN可以提供更好的网络安全性。

通过将敏感数据和设备放入特定的VLAN中，可以限制非授权设备或用户的访问。

例如，将公司的财务系统和服务器放入一个独立的VLAN中，只允许授权的用户或设备进行访问，从而保护财务数据的安全。

此外，VLAN还可以根据需要实施不同的安全策略，如访问控制列表（ACL）和防火墙等，进一步增强网络的安全性。

另外，VLAN还可以简化网络管理。

通过将不同的设备和部门划分到不同的VLAN中，可以更方便地管理网络资源和配置网络设备。

管理员可以根据需要对每个VLAN进行独立的配置，如IP地址、子网掩码、路由器等，提高了网络的灵活性和可管理性。

此外，VLAN还支持虚拟专用网（VPN）和远程访问技术，可以通过互联网连接分布在不同地点的VLAN，实现远程办公和资源共享。

最后，VLAN还可以降低网络成本。

传统的物理网络需要更多的网络设备和电缆来满足不同设备和部门的连接需求，增加了网络部署和扩展的成本。

而使用VLAN技术可以在现有的物理网络基础上实现多个虚拟网络，节省了硬件设备和电缆的使用，降低了网络部署和维护的成本。

总之，VLAN的作用不仅可以提高网络性能、安全性和灵活性，同时还可以简化网络管理和降低网络成本。

对于企业和组织来说，使用VLAN技术可以更好地满足不同部门和业务需求，提供更高效、安全和可管理的网络环境。