1、将对安全性要求高的一组用户放入VLAN中,这样,VLAN外部用户就无法与它们通信
2、每个VLAN是一个广播域,因此必须有它自己的子网号
3、不同的VLAN之间无法彼此通信,必须借助路由器(3层设备)
4、静态VLAN:管理员手工配置每个交换机端口,基于主机相要成为哪一个VLAN的成员
5、动态VLAN能够自动决定一个结点的VLAN分配,开始时需要建立数据库
6、VMPS:VLAN管理策略服务器用来建立MAC地址的数据库,用于VLAN的动态寻址
7、跨交换机端口实现同一VLAN,具备该能力的端口叫做中继端口
8、通过帧标记让交换机知晓在其上穿梭的帧属于哪一个VLAN,主要有两种方式实现:方法一ISL(交换机间链路),在2层通过外部封装方法实现中继链路多路复用,Cisco独有;方法二IEEE802.1Q(帧标记标准),通过在帧中插入字段来标记
9、IEEE802.1Q原理:首先指定端口采用802.1Q的方式标记帧,必须为端口分配特定VLAN ID,使它们成为本机VLAN,以便通信。属于同一中继链路的各端口所创建的工作组就成为本机VLAN,用VLAN标识号作为标记,默认为VLAN1。本机VLAN允许中继链路传送所接收到的没有任何VLAN标识或帧标记的信息
10、帧标记只在中继链路(中继端口)上使用,访问链路(访问端口)上不使用
11、VTP:LVAN中继协议,Trunking Protocol,用于跨交换管理VTP域中的各个VLAN
电话通信:配置语音VLAN
12、语音VLAN特性:访问端口能够携带来自IP电话的IP语音流量
13、为保证声音质量不被恶化,基于802.1Q机制通过采用分级和调度发送网络流量,改善质量
14、CiscoIP电话:三端口,一端连交换机,一端连PC,一端连电话(内部)
15、交换机连接IP电话时,IP电话用第三层IP优先级和第二层服务级别(CoS)发送语音流量,对于语音流量,这两个值都为5,默认时其他流量都为0
16、可将IP电话对语音流量使用一个VLAN,对PC机的数据流量使用一个另VLAN,在交换机上配置访问端口,发送CDP包,指示相连IP电话以不同方式向交换机发送语音流量:
带标记的语音VLAN,具有第二层CoS优先级值
代表及的访问VLAN,具有第二层CoS优先级值
不带标记的访问VLAN,没有二层CoS优先级值
17、对于数据流量为来自连接到访问端口的设备的、代标记的,也可在交换机上配置第二层访问端口,发送CDP包,指示相连IP电话以不同方式向交换机发送数据流量:
信任模式:通过IP电话的访问端口所接收的所有流量,都毫无改变通过IP电话
非信任模式:通过IP电话的访问端口所接收的、以802.1Q帧格式所表示的流量,都接收到已配置好的第二层CoS值。默认时为非信任模式,第二层CoS值为0。
配置语音VLAN
18、语音VLAN只能配置在交换机访问端口,中继端口不支持语音VLAN
19、默认时语音VLAN是禁用的,使用switchport voice vlan启用它
20、语音VLAN应当在交换机的IP电话端口上呈现并有效,使用特权EXEC命令show vlan,可查看VLAN是否存在
21、必须确认连接到IP电话的交换机端口上启用了CDP,以发送配置信息,默认时启用的
22、在配置了语音VLAN之后,PortFast特性自动启动,不会随VLAN的禁用而禁用
23、让端口回到默认设置,使用接口配置命令:no switchport voice vlan
配置IP电话语音流量
24、在所有配置中,语音流量携带第三层IP优先级值,其设置通常为5
25、命令 mls qos trust cos将接口配置为对进入的数据包流量进行分级,但在配置端口信任状态之前,必须首先使用mls qos全局配置命令,在全局范围内启用QoS
使用CNA配置VLAN及VLAN之间的路由