Trunk_以太网帧双层tag

Trunk

Trunk技术产生的背景

通常，我们都知道处于同一交换机下的相同vlan间可以通信，但是如何实现因地理位置影响而处于不同交换机下的相同Vlan进行通信呢？

Trunk技术能够解决什么问题

实现当处于不同交换机下的同一Vlan之间的通信需求

Trunk技术如何实现

(1)设计一条主干线路为Trunk 常用于交换机与交换机之间

(2)遵循802.1Q协议
802.1Q:能够区分 Trunk 链路上不同Vlan的数据帧，通过这个协议，可以向原始数据包内，增加一个带有802.1Q的标签。

实际案例

如图：
要求：PC1要和PC3通信，PC2要和PC4通信
PC1 ip：192.168.1.1
PC2 ip：192.168.1.2
PC3 ip：192.168.1.3
PC4 ip：192.168.1.4

实现演示步骤：

（1）创建vlan 10 和 vlan 20

vlan batch 10 20
（2）端口加入vlan，设置设备与交换机的端口为access
int g0/0/1
port link-type access
port default vlan 10
quit

其他设备加入vlan的设置同上

（3）配置两台交换机之间的链路为trunk
int g0/0/24
port link-type trunk
port trunk allow-pass vlan 10
port trunk allow-pass vlan 20

（4）配置完成后检验


拓展：
(1) trunk 的动态配置（2）交换机的端口类型

区别：

Trunk：数据帧所带的tag与trunk端口默认的pvid相同时（称为 Native vlan）,则剥离数据帧的tag
若数据帧所带的tag与trunk端口默认的pvid不同时，则保留tag发送

出于安全方面考虑，建议将一个生僻的vlan设置成 Native vlan

命令：port trunk vlan id id为生僻pvid

本征vlan应用:视频，音频，无线管理等一些需要优先传输的

(3)GVRP

注：两个trun看端口都为normal下，也可以同步

实验案例

(1)要求：SW1 有Vlan 10 SW2 没有Vlan10 SW3有Vlan 10

 问PC1 与 PC3 能通信吗？原因是什么？
1

答：不能通信，因为是PC2在转发数据帧的时候，需要到自己的CAM表中查询Vlan 10 的相关信息，但是交换机本身 没有划分Vlan10，意味着交换机中没有关于Vlan 10 的CAM表，则，信息无法转发，无法泛洪。

解决方法：在SW2 中手动创建一个Vlan 10，则会生成 Vlan 10 的CAM表

（2）
解决方法：手动在 vlan 20 对应层 添加 vlan 30。手动在vlan 10 对应层 添加 vlan 20 vlan 30

(3)基于以上内容的攻击实验

双TAG攻击：将携带病毒的数据帧伪装由两个tag组成的信息，第一个tag为本征vlan的对应vlan id，第二个tag为要攻击的 vlan id，这样，病毒就会传送到对应的 vlan 下。