Chương 2 – Giới thiệu về vlans và trung kế –
Chương 2 – Giới thiệu về vlans và trung kế –
Chương 2 – Giới thiệu về vlans và trung kế
i. Giới thiệu
Trong môi trường mạng LAN sử dụng công nghệ Ethernet, một phân đoạn mạng, khi bất kỳ thiết bị nào gửi một gói tin rộng, tức là mang một địa chỉ ip rộng, tất cả các máy tính trong mạng đều nhận được nó. Thông tin này được gọi là diện rộng. Trên các mạng không hỗ trợ mạng cục bộ ảo (vlans), mạng đẩy tất cả các gói đi đến tất cả các cổng ngoại trừ cổng mà nó đã nhận gói. Vì vậy, tất cả các hải cảng ở vùng đất này đều thuộc cùng một lãnh thổ rộng lớn. Nếu thiết bị này được kết nối với mạng và trung tâm khác, các cổng trên mạng này cũng sẽ nằm trong cùng một miền rộng.
Bạn đang thử: Subinterfaᴄe là gì, Bài 10: Mạng ảo ᴠlan, ᴠtp
vlan chỉ là một tập hợp các tᴄh trong cùng một miền t rộng. Các cổng có thể được nhóm thành các VLAN khác nhau tại mỗi trang web và trên nhiều trang web. Bằng cách tạo nhiều vlans, nó sẽ tạo ra nhiều tên miền rộng. Sau đó, khi một thiết bị trong một vlan gửi một gói tin quảng bá, nó sẽ được chuyển đến các thiết bị khác trong vùng vlan, tất nhiên, nó sẽ không ảnh hưởng đến các vlan khác.
Mỗi vlan phải có dải địa chỉ ip riêng và tất cả các thiết bị trong vùng vlan đó sẽ có thể sử dụng dải địa chỉ mạng này. Tuy nhiên, bạn vẫn có thể đặt nhiều địa chỉ trong vlan và sử dụng chức năng gán địa chỉ ip thứ hai (eᴄondarу addreѕѕ) trên bộ định tuyến để định tuyến giữa vlan và mạng con. Bạn cũng có thể thiết kế mạng chỉ sử dụng một mạng con trên nhiều vlan và sử dụng bộ định tuyến có khả năng hỗ trợ pro-arp để chuyển hướng lưu lượng giữa các máy tính trong các vlans đó.
Các vlans riêng (vlans sơ khai) có thể được triển khai dưới dạng mạng con trên nhiều vlans. Mạng thuần túy hoạt động Lớp 2 truyền các khung giữa ba thiết bị trên cùng một vlan, nhưng không chuyển giữa các thiết bị khác nhau trên cùng một vlan. Để truyền dữ liệu giữa hai vlans, phải sử dụng thiết bị hoặc bộ định tuyến lớp 3.
ii.vlan để sử dụng riêng tư
1. Giới thiệu
Các kỹ thuật viên có thể thiết kế xe vlans cho nhiều mục đích khác nhau. Trong nhiều trường hợp ngày nay, ba thiết bị có thể nằm trong cùng một vlan vì chúng có chung một vị trí. Mối quan tâm về bảo mật là một trong những yếu tố khác trong thiết kế vlan: các thiết bị khác nhau trong các vlan khác nhau không nhận được nhiều loại dữ liệu. Ngoài ra, thông thường các máy trạm được phân phối đến các vlans khác nhau, gây ra sự can thiệp của người dùng giữa các bộ định tuyến hoặc nhiều lớp giao tiếp giữa các mạng con và các thiết bị bảo mật đó. Trong một số trường hợp, nhu cầu cải thiện bảo mật bằng cách cô lập các thiết bị trong các VLAN nhỏ xung đột với mục đích thiết kế của việc sử dụng các địa chỉ IP hiện có.
Tính năng vlan riêng của mạng giúp giải quyết vấn đề này. priᴠate vlans cho phép các máy chủ riêng biệt được tách biệt với nhau và cho phép mỗi máy trạm nằm trên một vlan khác nhau trong khi chỉ sử dụng một ip mạng con. Một kịch bản phổ biến cho việc triển khai vlan riêng là trong trung tâm lưu trữ dữ liệu của máy chủ. Máy chủ có thể cài đặt bộ định tuyến và thiết bị. Các nhà phát triển sau đó sẽ kết nối các thiết bị từ các khách hàng khác nhau đến cùng một vị trí. VLAN riêng cho phép các nhà cung cấp dịch vụ sử dụng một mạng con duy nhất cho toàn bộ tòa nhà, đảm bảo một số lượng khách hàng khác nhau để họ không thể giao tiếp trực tiếp, trong khi vẫn hỗ trợ tối đa cho tất cả các khách hàng.
2. Tính năng
Về mặt khái niệm, một vlan riêng bao gồm các tính năng sau:
Cổng giao tiếp với tất cả các thiết bị khác.
Các cổng cần giao tiếp với nhau và với các thiết bị khác (thường là bộ định tuyến).
Chỉ các thiết bị dùng chung.
Để hỗ trợ các nhóm cổng trên, một vlan chính bao gồm một vlan chính (vlan chính) và một hoặc nhiều vlan phụ (ehondar vlan). Một cổng trong primar vlan được gọi là proxy, có nghĩa là nó có thể gửi và nhận các khung bằng bất kỳ cổng nào khác, bao gồm cả cổng được gán cho econdarvan lan. Các thiết bị bị tấn công, chẳng hạn như bộ định tuyến và máy chủ, thường được đặt trong vlan chính. Các cổng khác, chẳng hạn như cổng của khách hàng, sẽ kết nối với một trong các vlans. Thường có một trong hai loại vlans: vlans bình thường và vlans biệt lập. Kỹ sư sẽ chọn loại dựa trên thiết bị là một phần của bộ cổng, cho phép gửi các khung gửi đến và gửi đi (ounites vlan). Và loại cổng cách ly (cổng cô lập) sẽ không thể truyền đến các cổng khác ngoài vlan.
Mô tả người bạn có thể trò chuyện
Cổng vlan chính
cổng vlan bị treo
Cổng vlan riêng biệt
Nói chuyện với cổng ở loại vlan chính (cổng promiuuѕ)
Có
Có
Có
Giao tiếp với cổng (cổng đang hoạt động) trong vlan phụ
Có
Có
Có
Gọi trong vlan phụ
Có
Không
Không
Bảng 2.1: Quyền sở hữu
iii.vlan Relay Protocol – vtp
1. Giới thiệu
vtp (vlan trunking protoᴄol) phát thông tin cấu hình vlan đến tất cả các vùng lân cận, để cấu hình vlan có thể được thực hiện trên một nút duy nhất trong khi tất cả các thiết bị khác trong mạng được kết nối với mạng. Hãy tin tưởng vlan này. vtp thường phát các thông tin như mã định danh vlan (vlan id), tên vlan (tên vlan) và kiểu vlan của mỗi vlan. Tuy nhiên, vtp thường không phát bất kỳ thông tin cổng nào được đính kèm với mỗi vlan, vì vậy nó vẫn cần được cấu hình trên mỗi nút mà cổng được kết hợp với mạng LAN nào. Ngoài ra, sự tồn tại của id vlan được sử dụng bởi vlan riêng được tuyên truyền, nhưng các chi tiết bên trong vlan riêng không được quảng cáo bởi vtp.
Tính năng
Chế độ người dùng
Chế độ Khách hàng
Chế độ minh bạch
Gửi thông tin khuyến mãi vtp
Có
Không
Không
Quy trình nhận thông tin vtp để cập nhật cấu hình vlan
Có
Có
Không
Thông tin khuyến mãi vtp tập trung
Có
Có
Có
Lưu thông tin vlan trong tệp nvram hoặc vlan.dat
Có
Không
Có
Bạn có thể sử dụng lệnh config để tạo, thay đổi và xóa vlans
Có
Không
Có
Bảng 2.2: Các phương thức hoạt động cho vtp
2. sửa chữa quy trình vtp và chỉnh sửa lại
Quá trình cập nhật vtp bắt đầu khi quản trị viên thêm hoặc xóa cấu hình vlan trên máy chủ vtp. Khi có cấu hình mới, vtp sẽ tăng giá trị yêu cầu vtp lên 1 và phát toàn bộ cơ sở dữ liệu trong dữ liệu vlan với số gia hạn mới. Khái niệm chỉ báo vtp cho phép máy chủ biết khi nào có thay đổi xảy ra trong cơ sở dữ liệu vlan. Khi nhận được bản cập nhật vtp, nếu số vtp trong bản cập nhật vtp cao hơn số bản cập nhật hiện tại thì được coi là có phiên bản mới của dữ liệu vlan.
Hồ sơ người dùng sử dụng chế độ máy chủ vtp theo mặc định, nhưng các bản cập nhật vtp không được gửi cho đến khi thông tin miền vtp được định cấu hình. Tại thời điểm này, khi thông tin cấu hình trong dữ liệu vlan thay đổi, bia bắt đầu gửi các phiên bản khác nhau của cơ sở dữ liệu và cập nhật vtp với các số lượng khác nhau. Tuy nhiên, máy chủ hoạt động ở chế độ máy khách vtp thực sự, vì vậy không cần phải cấu hình tên miền vtp. Nếu không được cấu hình, máy khách sẽ cho rằng nó sẽ sử dụng tên miền vtp trong gói cập nhật vtp đầu tiên mà nó nhận được. Tuy nhiên, máy khách vẫn cần cấu hình chế độ hoạt động vtp. Khi cấu hình vtp, để dự phòng thêm, các hệ thống mạng sử dụng vtp thường sử dụng ít nhất hai thiết bị chạy ở chế độ vtp máy chủ. Trong trường hợp bình thường, các thay đổi vlan chỉ có thể được thực hiện trên máy chủ ở chế độ máy chủ và máy chủ sẽ có thể cập nhật thay đổi này. Sau khi cập nhật, máy chủ vtp sẽ lưu vĩnh viễn thông tin cấu hình vlan (ví dụ: trong nvram), trong khi máy khách không lưu thông tin này.
Việc hỗ trợ nhiều máy chủ vtp có thể vô tình thay đổi cấu hình vlan của mạng. Lần đầu tiên một đối tượng hoặc vtp mẹ chạy ở chế độ vtp máy khách kết nối với mạng thông qua kết nối chuyển tiếp, nó không ảnh hưởng đến cấu hình hiện tại vì chế độ chạy này không tạo gói cập nhật vtp phát hành. Tuy nhiên, nếu một máy chủ mới đang chạy ở chế độ vtp máy chủ được kết nối với mạng thông qua kết nối chuyển tiếp, đối tượng có thể sử dụng thông tin tương tự về vlan mạng mới để thay đổi cấu hình vlan của mạng. Nếu thiết bị mới có các tính năng đặc biệt, thiết bị có thể thay đổi cấu hình của các thiết bị khác:
Kết nối là một rơ le.
mới là cùng một tên miền vtp.
Số chỉ mục cao hơn số chỉ mục hiện tại.
Nếu mật khẩu của miền vtp đã được định cấu hình và mật khẩu mới được thêm vào giống với mật khẩu này.
Bạn có thể tìm thấy số kích hoạt lại và tên miền vtp thông qua phần mềm gián điệp. Để ngăn chặn các cuộc tấn công dos bằng vtp, hãy đặt mật khẩu cho vtp. Mật khẩu này thường được mã hóa ở định dạng md5. Ngoài ra, trang web triển khai chỉ đơn giản sử dụng chế độ hoạt động vtp minh bạch của nó trên tất cả các thiết bị, ngăn nó nghe các bản cập nhật vtp từ nơi khác.
3. Định cấu hình vtp
vtp gửi cập nhật cho tất cả các kết nối chuyển tiếp (isl và dot1q). Tuy nhiên, nếu nó ở chế độ mặc định, máy tính sẽ ở chế độ máy chủ. Nếu không có miền vtp nào được định cấu hình, nó sẽ không gửi các gói cập nhật vtp. Trước khi một đối tượng có thể tìm hiểu thông tin vlan từ một trang khác, ít nhất nó phải hoạt động ở chế độ máy chủ với cấu hình tối thiểu, đặc biệt là với tên miền của nó.
4. Vlan thông thường và vlan mở rộng
Một vlan được coi là bình thường và một vlan tốt được coi là một vlan mở rộng. Nếu số lượng vlans từ 1 đến 1005, các vlans được phát hiện là bình thường và có thể được phát qua vtp phiên bản 1 và 2. Các vlan này có thể được cấu hình ở chế độ vlan dữ liệu (vlan database), được lưu trữ trong tệp flash vlan.dat kèm theo. Các vlan mở rộng nằm trong khoảng từ 1006 đến 4094, nhưng các vlan này không thể được định cấu hình ở chế độ vlan cơ sở dữ liệu, cũng như chúng không được lưu trữ trong vlans và không thể xuất bản dữ liệu qua vtp. Để cấu hình một vlan mở rộng, nó phải chạy ở chế độ trong suốt. Cả giao thức trung kế isl và dot1q đều hỗ trợ phạm vi vlan mở rộng. Ban đầu, isl chỉ hỗ trợ vlan đơn giản, sử dụng bit 10 đến 15 trong tiêu đề isl để chỉ ra vlan. Giao thức 802.1q sử dụng 12 bit để biểu diễn thông tin vlan để hỗ trợ vlan mở rộng. Sau đó, giao thức isl được cấu hình lại để sử dụng 12 bit để mang thông tin vlan, do đó isl cũng hỗ trợ vlan mở rộng.
5. Cấu hình vlan lưu trữ
Thư mục dành cho hệ điều hành ios lưu trữ thông tin vlan và vtp ở một trong hai vị trí; dưới dạng flash được gọi là vlan.dat hoặc trong running-onfig. Hệ điều hành ios chọn vị trí của thông tin cấu hình dựa trên việc thiết bị được cấu hình ở chế độ máy chủ hay thông tin minh bạch và một phần chọn vị trí của thông tin cấu hình dựa trên vlan là bình thường hay mở rộng. Bảng sau đây mô tả các chế độ cấu hình được sử dụng để cấu hình vlan, chế độ vtp và phạm vi vlan.
Xem thêm: Taѕk liѕt trong tiếng Việt là gì? Từ danh sách việc cần làm là gì
Tính năng
Ở chế độ erᴠer
Ở chế độ minh bạch
Định cấu hình vlan trong phạm vi vlan bình thường
Ở chế độ cấu hình cơ sở dữ liệu vlan và chế độ cấu hình
Trong cơ sở dữ liệu vlan và ở chế độ cấu hình
Định cấu hình vlan mở rộng
Không thể
Chỉ chế độ Onfig
Vtp và vlan trong phạm vi vlan thông thường được lưu trữ ở đâu?
vlan.dat trong flash
Trong vlan.dat và chạy onfig
Vlan mở rộng được lưu trữ tại?
Không được phép ở chế độ erᴠer
Chỉ trong run-ᴄconfig
Bảng 2.3: So sánh giữa máy chủ và chế độ trong suốt
Khi khởi động lại, nếu chế độ vtp hoặc tên miền vtp trong tệp vlan.dat và tệp cấu hình khác nhau, thông tin trong tệp vlan.dat sẽ được sử dụng. Đặc biệt nếu bạn xóa tệp cấu hình khởi động và khởi động lại nó, bạn sẽ không xóa tất cả thông tin vlan. Để xóa vlan và cấu hình vtp, lệnh xóa cờ: vlan.dat phải được sử dụng. Nếu chúng tôi sử dụng nhiều máy chủ server, nếu chúng tôi xóa tệp vlan.dat trên một nút và khởi động lại nó ngay khi máy chủ khởi động và kết nối chuyển tiếp được hình thành, nó sẽ vẽ lại thông tin vlan cũ qua một vài gói tin. máy chủ cập nhật vtp từ vtp khác.
Chuẩn trung kế 6.vlan: isl và 802.1q
trung kế vlan (vlan trunking) cho phép mạng, bộ định tuyến và PC có card mạng thích hợp gửi lưu lượng đến nhiều VLAN trên một kết nối. Để có thể xác định khung thông báo thuộc vlan nào, thiết bị ở một phía của kết nối chuyển tiếp sẽ thêm tiêu đề ethernet thô. Tiện ích bổ sung này sẽ chứa id vlan của vlan. Nếu trung kế được cấu hình trên cả hai thiết bị, cả hai đầu phải đồng ý sử dụng isl hoặc dot1q (802.1q).
Sự khác biệt giữa hai giao thức được hiển thị trong bảng
Tính năng
isl
802.1q
Các loại vlan được hỗ trợ
vlan bình thường và mở rộng
vlan bình thường và mở rộng
Giao thức được xác định bởi
ciѕᴄo
Rất tiếc
Đóng gói khung ban đầu hoặc thêm thẻ
Bao bì
Thêm thẻ
Hỗ trợ natiᴠe vlan
Không
Có
Bảng 2.4: So sánh isl và 802.1q
isl khác với 802.1q ở chỗ giao thức thêm tiêu đề vào khung trước khi gửi nó tới kết nối chuyển tiếp. isl thêm một tiêu đề 26 byte và một đoạn giới thiệu 4 byte mới (để cho phép các giá trị fcs mới). Quá trình đóng gói tiêu đề này sử dụng địa chỉ nguồn, tức là địa chỉ của thiết bị thực hiện quá trình phân cụm, thay vì địa chỉ nguồn của khung ban đầu. isl sử dụng nhiều địa chỉ tệp 0100.0c00.0000 hoặc 0300.0c00.0000.
Loại đường trục 802.1q chèn 4 byte tiêu đề ngay sau phần địa chỉ nguồn, được gọi là mã thông báo. Địa chỉ ban đầu của khung không bị ảnh hưởng. Thông thường, Ethernet NIC sẽ tìm thấy trường EtherType hoặc 802.3 sau phần địa chỉ nguồn. Với việc gắn thẻ 802.1q, hai byte đầu tiên của phần địa chỉ chứa giá trị từ 0-8100, có nghĩa là khung chứa tiêu đề cho chuyển tiếp 802.1q. Bởi vì 802.1q không thực sự đóng gói các khung, giao thức này thường được gọi là đánh dấu khung.
Bản chất về bản chất vlan cho phép một cổng thử trung kế 802.1q, nhưng nếu đầu kia không hỗ trợ trung kế, lưu lượng cho natif vlan sẽ vẫn tồn tại. có thể được gửi qua kết nối. Theo mặc định, vlan gốc là vlan 1.
7.config isl và 802.1q
Mật khẩu của người dùng sử dụng giao thức dtp để cố gắng tìm xem liệu điểm cuối được kết nối có tạo thành một rơle hay không. Nếu vậy, giao thức nào nên được sử dụng. Giao thức dtp hoạt động dựa trên chế độ được xác định cho cổng giao tiếp. Kết nối được kết nối sử dụng chế độ mặc định không thể thay đổi, trong đó thiết bị sẽ gửi một tin nhắn dtp và mong đợi đầu kia của kết nối trả lời bằng một tin nhắn tốt. Nếu nhận được thông báo trả lời, dtp có thể phát hiện xem cả hai có đồng ý chuyển đổi kết nối chuyển tiếp hay không và nếu có, giao thức nào nên được sử dụng. Nếu cả hai thiết bị hỗ trợ chuyển tiếp, giao thức isl sẽ được sử dụng. Khi sử dụng chế độ khử khí, chúng chỉ được kết nối một phần với nhau, tạo thành kết nối rơ le. Chúng ta có thể cấu hình chi tiết kết nối trung kế này và xem kết quả bằng lệnh lệnh.
Lệnh
Tính năng
sᴡitᴄhport / no itᴄhport
Cho biết giá trị của thứ i là l2 hay l3
chế độ tổng hợp trang web
Định cấu hình các thông số dtp
chuyển tiếp sitᴄhport
Nếu cổng là loại trung kế, hãy định cấu hình các thông số trung kế
sᴡitᴄhport aᴄᴄeѕѕ
Nếu cổng không phải là thông số cấu hình chuyển tiếp
shoᴡinterfaᴄetrunk
shoᴡinterfaᴄe loại trung kế số
Liệt kê chi tiết cho một giao diện cụ thể
gửi số điện thoại vào báo cáo
Liệt kê chi tiết cho một giao diện cụ thể
Bảng 2.5: Mô tả các tập lệnh khung
Các tính năng mở rộng của iv.vlan
1. Cho phép và chặn lưu lượng truy cập vlan
Mặc dù các kết nối trung kế có thể hỗ trợ vlans từ 1 đến 4094, có một nút để giảm lưu lượng trên nhiều VLAN hạ lưu trên các kết nối trung kế. Đầu tiên, kết nối vlan trên kết nối trung kế có thể bị tấn công khi sử dụng lệnh trung kế được phân bổ. Ngoài ra, bất kỳ vlan nào cũng phải được cấu hình trên internet trước khi vlan đó có thể được khai báo hoạt động trên kết nối chuyển tiếp. Cuối cùng, vtp ngăn vlan rời khỏi kết nối trung kế, vì vậy nó không cần phải gửi khung thông báo của vlan đó qua kết nối trung kế.
Lệnh kết nối trung kế interfaᴄe sẽ liệt kê tất cả các vlans nằm trong mỗi nhóm. Các nhóm này được liệt kê bên dưới:
Các vlans được phép: Theo mặc định, tất cả các vlans được phép cho mỗi kết nối trung kế. Tuy nhiên, có thể xóa hoặc thêm vlans bằng cách sử dụng lệnh ѕᴡitᴄhport trunk được phân bổ.
Các vlan được phép và được bật: Để được coi là đang hoạt động, vlan phải nằm trong danh sách được phép cho kết nối trung kế và vlan phải tồn tại trong cấu hình vlan của quốc gia. Khi sử dụng pvst +, mỗi vlan sẽ có một phiên bản thấp hơn trên kết nối trung kế này.
vlans được kích hoạt và không bị chặn: Danh sách này là một danh sách ngắn “được chỉ định và vô hiệu hóa” và không có vlans nào được lược bỏ.
2. Khả năng tương thích với cấu hình tầng
Trên hầu hết các mạng, các kết nối chuyển tiếp được định cấu hình bằng các tiêu chuẩn giống nhau trong toàn bộ hệ thống. Ví dụ, nhiều kỹ thuật tự cấu hình và vô hiệu hóa giao thức dtp trên các cổng không phải đường trục bằng cách cho phép giao thức dtp bắt đầu các kết nối đường trục. Hệ điều hành ios có một lệnh ảnh hưởng đến các kết nối trở thành rơle. Lệnh chế độ mạng và lệnh không thương lượng được sử dụng để xác định xem dtp có cố ép bạn tạo kết nối trung kế hay không. Ngoài ra, cấu hình của các nút ở cả hai đầu của kết nối sẽ cho biết liệu một kết nối trung kế có được hình thành hay không.
Lệnh cấu hình ở một bên
Tên viết tắt
Ý nghĩa
Để tạo thành xương sống, đầu kia phải
chuyển tiếp chế độ sitᴄhport
Thân cây
Luôn mở rơ le ở phía này của kết nối. Sử dụng dtp để giúp bên kia chọn rơ le.
trên, mong muốn, tự động
chuyển tiếp chế độ sitᴄhport
sᴡitᴄhport không thương lượng
Không thương lượng
Luôn mở rơ le ở phía này của kết nối. Không gửi tin nhắn dtp. Để khi các thiết bị khác không phải của bạn
Bật
chế độ sitᴄhport mà bạn không mong muốn
rất tốt
Gửi dtp, nếu thành công, hãy mở trung kế
trên, mong muốn, tự động
chế độ trang web dуnamiᴄ tự động
Tự động
Trả lời tin nhắn dtp và bật chuyển tiếp khi thành công
Bật, tùy chọn
sᴡitᴄhport mode aᴄᴄeѕѕ
aᴄᴄeѕѕ
Đừng bao giờ trở thành người chuyển tiếp, hãy gửi dtp để giúp bên kia chọn cùng trạng thái
Không bao giờ là một cái hòm
sᴡitᴄhport mode aᴄᴄeѕѕ
sitᴄhport nonegoatiate
không có gì để thương lượng
Không bật chuyển tiếp, không có tin nhắn dtp nào được gửi
Không bật chế độ chuyển tiếp
Bảng 2.6: Tập lệnh cấu hình chế độ chuyển tiếp
Nếu có kết nối trung kế, kiểu trung kế sẽ được chỉ định bởi đóng gói trung kế cổng lệnh.
Định cấu hình rơle trên bộ định tuyến
Mặt khác, kết nối chuyển tiếp có thể được sử dụng giữa các bộ định tuyến hoặc nhà khai thác và mặt khác giữa các đối tượng. Tuy nhiên, bộ định tuyến không hỗ trợ dtp, chúng tôi phải cấu hình kết nối trung kế theo cách thủ công. Ngoài ra, do bộ định tuyến không tham gia vào quá trình truyền dtp nên cần phải cấu hình phía Internet để kích hoạt chế độ trung kế.
Hầu hết các bộ định tuyến sử dụng các giao diện con để định cấu hình trung kế, trong đó mỗi giao diện con thuộc về một vlan. Các giao diện con là các cổng logic được tạo ra dựa trên vật lý. Chỉ mục giao diện con không nhất thiết phải giống với chỉ mục id vlan mà nó thuộc về. Do đó, phải có một lệnh đóng gói trong mỗi giao diện con mà vlan là một phần của lệnh. Ngoài ra, một thiết kế tốt sẽ chỉ định một mạng con cho mỗi vlan. Nếu bộ định tuyến chuyển tiếp các gói ip giữa các VLAN, bộ định tuyến phải có địa chỉ ip được liên kết với mỗi giao diện con.
Bạn có thể định cấu hình vlans gốc trong các giao diện con hoặc cổng vật lý của bộ định tuyến. Nếu cấu hình nằm trong sub-interfaᴄe, bạn có thể sử dụng lệnh encapsulation dot1q vlan-id natiᴠe, trong đó từ khóa natiᴠe cho biết rằng khung thông báo của vlan này sẽ không được đánh dấu.
Địa chỉ ip cũng phải được định cấu hình trên giao diện con này. Nếu bạn không định cấu hình nó trên giao diện con, bộ định tuyến sẽ giả sử vlan gốc được liên kết với cổng vật lý. Trong trường hợp này, không cần đóng gói lệnh trong cổng vật lý. Tuy nhiên, địa chỉ ip tương ứng phải được cấu hình trong cổng vật lý. Cũng lưu ý rằng các bộ định tuyến không xác định rõ ràng vlans nào được phép. Các vlans cho phép được ngầm định dựa trên các vlans được cấu hình.
Cơ chế đào hầm v.802.1q-in-q
Theo truyền thống, vlans không mở rộng ra ngoài ranh giới mạng wan. Các vlans trong mạng của trường đại học sẽ bị giới hạn bởi số lượng bộ định tuyến được sử dụng trên wan. Ngày nay, có một công nghệ bùng nổ cho phép truyền lưu lượng vlan qua cơ sở hạ tầng mạng wan, bao gồm 802.1q-in-q, Ethernet qua mpls (eompls) và vlan mpls (vmpls). Mặc dù được gọi là q-in-q hay còn được gọi là Giao thức đường hầm lớp 2, 802.1q cho phép các nhà cung cấp dịch vụ lưu giữ tất cả thông tin vlan 802.1q qua cơ sở hạ tầng wan. Vâng, vlans thực sự sẽ được trải rộng trên nhiều khu vực địa lý khác nhau.
Tiêu đề đầu vào của máy chủ sẽ nhận khung 802.1q và sau đó đánh dấu từng khung gửi đi bằng tiêu đề chuẩn 802.1q mới. Trong trường hợp này, tất cả các khung thông báo máy khách sẽ được đánh dấu là vlan 5 khi có sự cố trong mạng máy chủ. Khung thông báo của Client 2 sẽ được đánh dấu là vlan 6. Sau khi loại bỏ thẻ ở điểm đầu ra, tệp cấu hình của khách hàng sẽ nhận ra khung thông báo ban đầu và có thể tìm thấy vlan-id chính xác. Người nhận của máy khách có thể chấp nhận lưu lượng máy khách khác nhau theo thẻ đính kèm.
Sử dụng q-in-q, khi khách hàng sử dụng vlan khớp với id vlan của máy chủ, isp có thể bắt đầu cùng một dịch vụ vlan. Khách hàng sẽ có nhiều sự lựa chọn và lựa chọn thiết kế hơn, đặc biệt là theo metroethernet. Ngoài ra, các giao thức như ᴄdp, ᴠtp, v.v. cũng có thể được truyền trên dịch vụ.