chương 2: giới thiệu về vlan và trunks –
chương 2: giới thiệu về vlan và trunks –
chương 2: giới thiệu về vlan và trunks
i.giới thiệu
trong môi trường lan sử dụng công nghệ ethernet, một phân đoạn mạng mà khi bất kỳ thiết bị nào gửi một gói tin rộng, nghĩa là nó mang một địa chỉ ip rộng, thì tất cả các máy tính trên mạng đều nhận được. thông tin này được gọi là một không gian rộng. Trong mạng không hỗ trợ lan ảo (vlan), mạng sẽ gửi tất cả các gói đi tới tất cả các cổng ngoại trừ cổng mà nó nhận gói. kết quả là tất cả các cổng trên trang web này đều thuộc về cùng một miền rộng. nếu thiết bị này kết nối với một mạng và trung tâm khác, thì cổng của mạng này cũng sẽ nằm trong cùng một miền rộng.
bạn đang thử: subinterfaceᴄe là gì, bài 10: mạng ảo ᴠlan, ᴠtp
a vlan chỉ đơn giản là một tập hợp các tᴄh tᴄh trong cùng một miền rộng. các cổng có thể được nhóm thành các vlan khác nhau tại mỗi trang và trên nhiều trang. bằng cách tạo nhiều vlan, bạn sẽ tạo ra nhiều miền rộng. thì khi một thiết bị nằm trong vlan này gửi một gói quảng bá, nó sẽ được định tuyến đến các thiết bị khác trong vùng vlan và tất nhiên nó sẽ không ảnh hưởng đến các vlan khác.
mỗi vlan phải có dải địa chỉ IP riêng và tất cả các thiết bị trong vùng vlan sẽ có thể sử dụng dải địa chỉ mạng này. tuy nhiên, bạn vẫn có thể đặt nhiều địa chỉ trong một vlan và sử dụng tính năng gán địa chỉ ip thứ hai (địa chỉ điện tử) trong bộ định tuyến để định tuyến giữa vlan và mạng con. Bạn cũng có thể thiết kế mạng chỉ sử dụng một mạng con trên nhiều vlan và sử dụng bộ định tuyến có chức năng pro-arp để chuyển hướng lưu lượng giữa các máy tính trên các vlan này.
các vlan riêng (vlan riêng) có thể được triển khai như một mạng con trong nhiều vlan. Mạng lớp 2 hoạt động thuần túy truyền khung giữa ba thiết bị trên cùng một vlan, nhưng không truyền khung giữa các thiết bị khác nhau trên cùng một vlan. Để truyền dữ liệu giữa hai vlan, phải sử dụng thiết bị lớp 3 hoặc bộ định tuyến.
ii.vlan để sử dụng riêng tư
1.giới thiệu
các nhà công nghệ có thể thiết kế vlan cho nhiều mục đích. Trong nhiều trường hợp hiện nay, ba thiết bị có thể nằm trên cùng một vlan vì chúng có chung một vị trí. vấn đề bảo mật là một trong những yếu tố khác trong thiết kế vlan: các thiết bị khác nhau trên các vlan khác nhau không nhận được dữ liệu rộng. Ngoài ra, việc phân phối các máy trạm đến các VLAN khác nhau sẽ dẫn đến việc người dùng can thiệp giữa các bộ định tuyến hoặc giao tiếp nhiều lớp giữa mạng con và loại thiết bị bổ sung bảo mật này, đây là điều phổ biến. trong một số trường hợp, nhu cầu tăng cường bảo mật bằng cách cách ly các thiết bị trong một vlan nhỏ sẽ xung đột với mục đích thiết kế của việc sử dụng địa chỉ ip hiện có đó.
chức năng vlan riêng của mạng giúp giải quyết vấn đề này. priᴠate vlan cho phép máy chủ độc lập tách biệt với nhau và cho phép mỗi máy trạm được đặt ở các vlan khác nhau trong khi chỉ sử dụng một ip mạng con. một tình huống phổ biến để triển khai các vlan riêng là trong trung tâm lưu trữ dữ liệu của máy chủ. máy chủ có thể cài đặt bộ định tuyến và thiết bị. sau đó nhà phát triển sẽ gắn các thiết bị từ các máy khách khác nhau vào cùng một vị trí. vlan riêng cho phép nhà cung cấp dịch vụ sử dụng một mạng con duy nhất cho toàn bộ tòa nhà, đảm bảo sự khác biệt về số lượng máy khách để chúng không thể giao tiếp trực tiếp trong khi hỗ trợ tất cả các máy khách trong một
2.tính năng
về mặt khái niệm, một private vlan bao gồm các đặc điểm sau:
cổng để giao tiếp với tất cả các thiết bị khác.
các cổng cần giao tiếp với nhau và với các thiết bị khác, thường là bộ định tuyến.
chỉ các thiết bị dùng chung.
Để hỗ trợ các nhóm cổng trên, một vlan riêng bao gồm một vlan chính và một hoặc nhiều vlan phụ (vlan tiêu chuẩn). cổng trong primar-vlan được gọi là proxy, có nghĩa là nó có thể gửi và nhận các khung với bất kỳ cổng nào khác, kể cả những cổng được gán cho e-ondar-lan. Các thiết bị bị tấn công như router, server thường nằm trên vlan chính. các cổng khác, như cổng máy khách, sẽ kết nối với một trong các vlan. Thông thường, có một trong hai loại vlan, đó là vlan chung (ᴄommunitу vlan) và vlan riêng (vlan biệt lập). kỹ sư sẽ chọn loại dựa trên thiết bị là một phần của bộ cổng cho phép gửi các khung đến và đi (omunites vlan). còn loại cổng bị cô lập (isolated port) sẽ không thể quảng bá ra các cổng khác ngoài vlan.
mô tả kiểu đàn ông mà bạn có thể nói chuyện
cổng vlan chính
treo cổng vlan
cổng vlan riêng biệt
nói chuyện với cổng trong loại vlan chính (cổng promiuuѕ)
có
có
có
nói chuyện với cổng trong vlan phụ (cổng hoạt động)
có
có
có
nói chuyện với tôi trên subvlan
có
không
không
bảng 2.1: thuộc tính
Giao thức trung kế iii.vlan – vtp
1.giới thiệu
vtp (giao thức vlan trunking) quảng bá thông tin cấu hình vlan tới tất cả các nút lân cận để cấu hình vlan có thể được thực hiện trên một nút duy nhất, trong khi tất cả các thiết bị khác trên mạng được kết nối qua mạng. vtp thường truyền các thông tin như định danh vlan (vlan id), tên vlan (vlan name), và loại vlan cho mỗi vlan. tuy nhiên, vtp thường không phát bất kỳ thông tin cổng nào được gắn vào mỗi vlan, do đó, việc cấu hình liên kết cổng nào với lan nào vẫn cần được cấu hình trên mỗi nút. Ngoài ra, sự tồn tại của id vlan được sử dụng cho vlan riêng tư cũng sẽ được lan truyền, nhưng thông tin chi tiết trong vlan riêng tư cũng sẽ không được quảng cáo bởi vtp.
chức năng
chế độ người dùng
chế độ máy khách
chế độ trong suốt
gửi thông tin khuyến mãi vtp
có
không
không
xử lý thông tin nhận được từ vtp để cập nhật cấu hình vlan
có
có
không
tập trung thông tin khuyến mại vtp
có
có
có
lưu thông tin vlan vào tệp nvram hoặc vlan.dat
có
không
có
bạn có thể tạo, thay đổi và xóa vlan bằng lệnh configure
có
không
có
bảng 2.2: chế độ vận hành vtp
2.sửa chữa và xử lý vtp
Quá trình cập nhật vtp bắt đầu khi quản trị viên thêm hoặc xóa cấu hình vlan trên máy chủ vtp. khi cấu hình mới xuất hiện, vtp sẽ tăng giá trị yêu cầu vtp lên 1 và quảng bá toàn bộ cơ sở dữ liệu trong dữ liệu vlan với số gia hạn mới. Khái niệm cờ vtp cho phép máy chủ biết khi có gì đó thay đổi trong cơ sở dữ liệu vlan. khi nhận được bản cập nhật vtp, nếu số vtp trong bản cập nhật vtp lớn hơn số gia hạn hiện tại, thì sẽ cho rằng có một phiên bản mới của dữ liệu vlan.
Theo mặc định, hồ sơ người dùng sử dụng chế độ máy chủ vtp, nhưng sẽ không gửi các bản cập nhật vtp cho đến khi bạn đã định cấu hình thông tin tên miền vtp. tại thời điểm này, bia bắt đầu gửi các bản cập nhật vtp với các phiên bản cơ sở dữ liệu khác nhau và các số khác nhau khi thông tin cấu hình trong dữ liệu vlan thay đổi. tuy nhiên server hoạt động ở chế độ client vtp thực nên không cần cấu hình tên miền vtp. nếu nó không được cấu hình, máy khách sẽ cho rằng nó sẽ sử dụng tên miền vtp trong gói cập nhật vtp đầu tiên mà nó nhận được. tuy nhiên máy khách vẫn cần cấu hình chế độ vận hành vtp. Khi cấu hình vtp, để tăng tính dự phòng, các hệ thống mạng sử dụng vtp thường sử dụng ít nhất 2 thiết bị làm việc ở chế độ vtp server. Trong điều kiện bình thường, chỉ có thể thực hiện thay đổi vlan cho máy chủ ở chế độ máy chủ và máy chủ sẽ có thể cập nhật thay đổi này. sau khi nâng cấp server vtp sẽ lưu thông tin cấu hình vlan vĩnh viễn (ví dụ trong nvram) còn client thì không lưu thông tin này.
Việc hỗ trợ nhiều máy chủ vtp tạo ra nhiều khả năng vô tình thay đổi cấu hình vlan của mạng. Khi một đối tượng hoạt động ở chế độ vtp máy khách hoặc vtp chính kết nối với mạng lần đầu tiên thông qua kết nối trung kế, nó không thể ảnh hưởng đến cấu hình hiện tại vì chế độ vận hành này không tạo gói cập nhật phiên bản vtp. tuy nhiên, nếu một máy chủ mới hoạt động ở chế độ server vtp kết nối với mạng thông qua kết nối trung kế, thì đối tượng đó có khả năng thay đổi cấu hình vlan của mạng với cùng thông tin về vlan của mạng mới. nếu thiết bị mới có một tính năng đặc biệt, thì bạn có thể thay đổi cài đặt của các thiết bị khác:
kết nối là trung kế.
mới là cùng một tên miền vtp.
Số chỉ mục lớn hơn số hiện tại.
nếu mật khẩu miền vtp đã được đặt và mật khẩu của miền mới được thêm giống với mật khẩu này.
có thể tìm thấy số kích hoạt lại và tên miền vtp qua phần mềm gián điệp. Để ngăn chặn các cuộc tấn công hai chiều bằng vtp, hãy đặt mật khẩu cho vtp. mật khẩu này thường được mã hóa ở định dạng md5. Ngoài ra, trang web triển khai chỉ cần sử dụng chế độ hoạt động vtp trong suốt của nó trên tất cả các thiết bị, điều này ngăn trang web lắng nghe các bản cập nhật vtp từ những nơi khác.
3.cấu hình vtp
vtp gửi cập nhật cho tất cả các trung kế (isl và dot1q). tuy nhiên nếu để ở chế độ mặc định thì máy tính sẽ ở chế độ máy chủ. nếu không có tên miền vtp nào được định cấu hình, nó sẽ không gửi các gói cập nhật vtp. Trước khi một đối tượng có thể lấy thông tin vlan từ một trang web khác, ít nhất một đối tượng phải hoạt động ở chế độ máy chủ với cấu hình tối thiểu, đặc biệt là với tên miền của nó.
4. vlan bình thường và vlan mở rộng
Một vlan được coi là bình thường, trong khi một vlan tốt được coi là một vlan mở rộng. vlan thường được phát hiện nếu số vlan nằm trong khoảng từ 1 đến 1005 và có thể được truyền qua vtp phiên bản 1 và phiên bản 2. các vlan này có thể được cấu hình ở chế độ dataless (cơ sở dữ liệu vlan) được lưu trữ trong tệp vlan.dat chứa trong bộ nhớ flash. các vlan mở rộng sẽ nằm trong khoảng từ 1006 đến 4094. tuy nhiên các vlan này không thể được cấu hình trong chế độ vlan cơ sở dữ liệu và không được lưu trữ trong vlan. để cấu hình vlan mở rộng bạn cần thao tác ở chế độ trong suốt. Các giao thức trung kế isl và dot1q hỗ trợ phạm vi vlan mở rộng. ban đầu isl chỉ hỗ trợ các vlan thông thường và sử dụng 10-15 bit trong tiêu đề isl để chỉ ra vlan. Giao thức 802.1q sử dụng 12 bit để biểu thị thông tin vlan, hỗ trợ các vlan mở rộng. sau đó, giao thức isl được cấu hình lại bằng cách sử dụng 12 bit để mang thông tin vlan, bởi vì isl cũng hỗ trợ các vlan mở rộng.
Cấu hình vlan 5.store
Danh mục hệ điều hành ios lưu trữ thông tin vlan và vtp ở một trong hai nơi; trong nháy mắt được gọi là vlan.dat hoặc trong running-onfig. hệ điều hành ios sẽ chọn vị trí chứa thông tin cấu hình dựa trên thông tin thiết bị được cấu hình ở chế độ máy chủ hay trong suốt và một phần dựa trên thông tin vlan là bình thường hay mở rộng. Bảng sau đây mô tả chế độ cấu hình được sử dụng để định cấu hình vlan, chế độ vtp và phạm vi vlan.
xem thêm: danh sách việc cần làm trong tiếng việt là gì? danh sách từ cần làm là gì?
chức năng
trong khi ở chế độ lỗi
khi ở chế độ trong suốt
đặt vlan thành phạm vi vlan bình thường
cả ở chế độ cấu hình vlan cơ sở dữ liệu và ở chế độ onfig
cả trong cơ sở dữ liệu vlan và chế độ onfig
cấu hình vlan mở rộng
Tôi không thể
chỉ ở chế độ onfig
vtp và vlan trong phạm vi vlan bình thường được lưu trữ?
vlan.dat trong bộ nhớ flash
cả trong vlan.dat và chạy onfig
các vlan mở rộng có được lưu trữ trên đó không?
không được phép ở chế độ erᴠer
chỉ chạy-ᴄonfig
bảng 2.3: so sánh máy chủ và chế độ trong suốt
Khi khởi động lại, nếu chế độ vtp hoặc tên miền vtp trong tệp vlan.dat và tệp cấu hình khác nhau, thông tin trong tệp vlan.dat sẽ được sử dụng. đặc biệt nếu bạn xóa file startup-onfig đi khởi động lại thì sẽ không xóa hết thông tin vlan. để xóa vlan và cấu hình vtp bạn cần sử dụng lệnh delete flag:vlan.dat. trong trường hợp chúng tôi sử dụng nhiều máy chủ, nếu chúng tôi xóa tệp vlan.dat trên một nút và khởi động lại nó ngay khi máy chủ khởi động và tạo kết nối trung kế, nó sẽ vẽ lại thông tin vlan cũ trên nhiều gói. các trang web.
tiêu chuẩn trung kế 6.vlan: isl và 802.1q
Vlan trunking cho phép mạng, bộ định tuyến và máy tính có card mạng phù hợp gửi lưu lượng đến nhiều vlan trên một kết nối. Để xác định khung thông báo thuộc về vlan nào, một thiết bị ở một bên của đường trục sẽ thêm tiêu đề ethernet ban đầu. plugin này sẽ chứa vlan id của vlan. nếu hai thiết bị định cấu hình trung kế, cả hai đầu phải đồng ý sử dụng isl hoặc dot1q (802.1q).
sự khác biệt giữa hai giao thức được thể hiện trong bảng sau
tính năng
đảo
802.1q
loại vlan được hỗ trợ
vlan bình thường và mở rộng
vlan bình thường và mở rộng
giao thức được xác định bởi
chuyen
ieeee
đóng gói khung gốc hoặc thêm thẻ
bao bì
thêm thẻ
hỗ trợ natiᴠe vlan
không
có
bảng 2.4: so sánh isl với 802.1q
isl và 802.1q khác nhau ở chỗ giao thức này thêm tiêu đề vào khung trước khi gửi nó đến kết nối trung kế. isl thêm 26 byte tiêu đề và 4 byte đoạn giới thiệu mới (để cho phép các giá trị fcs mới). quá trình đóng gói tiêu đề này sử dụng địa chỉ nguồn, là địa chỉ của thiết bị thực hiện quá trình trung kế, thay vì địa chỉ nguồn của khung ban đầu. isl sử dụng địa chỉ nhiều tệp 0100.0c00.0000 hoặc 0300.0c00.0000.
Loại đường trục 802.1q chèn 4 byte của tiêu đề ngay sau phần địa chỉ nguồn, được gọi là nhãn. hướng ban đầu của khung không bị ảnh hưởng. Thông thường, một card mạng ethernet sẽ tìm thấy các trường loại ethernet hoặc 802.3 sau phần địa chỉ nguồn. Với gắn thẻ 802.1q, hai byte đầu tiên trong phần địa chỉ chứa giá trị từ 0-8100, có nghĩa là khung bao gồm tiêu đề đường trục 802.1q. Vì 802.1q không thực sự đóng gói các khung nên giao thức này thường được gọi là gắn thẻ khung.
Tính năng vlan tự nhiên cho phép bạn thử sử dụng trung kế 802.1q trên một cổng nhưng nếu đầu kia không hỗ trợ trung kế, lưu lượng vlan tự nhiên sẽ vẫn ở đó và có thể được gửi qua kết nối. Theo mặc định, vlan gốc là vlan 1.
cấu hình 7.island và 802.1q
mật khẩu của người dùng sử dụng giao thức dtp để cố gắng tìm hiểu xem điểm cuối của kết nối đó có muốn hình thành trunking hay không. nếu vậy, giao thức nào nên được sử dụng. giao thức dtp hoạt động theo chế độ được xác định cho một cổng giao tiếp. kết nối kết nối sử dụng chế độ mặc định mong muốn, trong đó thiết bị gửi tin nhắn dtp và đợi đầu kia của kết nối trả lời bằng một tin nhắn tốt. nếu nhận được thông báo phản hồi, dtp có thể phát hiện xem cả hai có đồng ý thay đổi kết nối trung kế hay không và nếu có thì giao thức nào sẽ được sử dụng. nếu cả hai thiết bị đều hỗ trợ trunking, giao thức isl sẽ được sử dụng. khi sử dụng chế độ mong muốn, chúng chỉ có thể được kết nối một phần với nhau và kết nối đường trục sẽ được hình thành. chúng ta có thể cấu hình chi tiết kết nối trung kế này và xác minh kết quả bằng lệnh command.
lệnh
chức năng
sᴡitᴄhport/no itᴄhport
cho biết giá trị thứ i là l2 hay l3
chế độ chỗ ngồi
cấu hình tham số dtp
thân lưu trữ
cấu hình tham số trunking nếu cổng thuộc loại trunking
sᴡitᴄhport aᴄᴄeѕѕ
cấu hình tham số nếu cổng không được trunked
giao diện trung kếᴄe shoᴡ
giao diện loại số thân cây shoᴡ
danh sách chi tiết cho một giao diện cụ thể
shoᴡ interfaᴄe loại số itᴄhport
danh sách chi tiết cho một giao diện cụ thể
bảng 2.5: mô tả tập lệnh trung kế
iv. tính năng vlan mở rộng
1.cho phép và ngăn lưu lượng vlan
Mặc dù một đường trục có thể hỗ trợ các vlan từ 1 đến 4094, nhưng một nút duy nhất được sử dụng để giảm lưu lượng truy cập từ nhiều vlan xuôi dòng trên đường trục. Đầu tiên, kết nối vlan có thể bị hack trên kết nối trunk khi sử dụng lệnh lệnh trunk trunk được gán. Ngoài ra, bất kỳ vlan nào cũng phải được cấu hình trên internet trước khi vlan đó được khai báo hoạt động trên thân cây. cuối cùng, vtp có thể ngăn vlan rời khỏi đường trục, vì vậy bạn không cần gửi khung thông báo của vlan đó qua đường trục.
lệnh connect interfaceᴄe trunk sẽ liệt kê tất cả các vlan nằm trong mỗi nhóm. các nhóm này được liệt kê bên dưới:
Cho phép vlan: mỗi kết nối trung kế theo mặc định cho phép tất cả các vlan. tuy nhiên, các vlan có thể được xóa hoặc thêm vào danh sách vlan bằng cách sử dụng lệnh ѕᴡitᴄhport trunk alloᴡed.
Các vlan được phép và kích hoạt – Để được coi là đang hoạt động, một vlan phải nằm trong danh sách được phép của kết nối trung kế và vlan đó phải tồn tại trong cấu hình vlan quốc gia. khi sử dụng pvst+, mỗi vlan sẽ có phiên bản thấp trên kết nối trung kế này.
Các vlan được bật và không bị chặn: Danh sách này là danh sách ngắn gồm ‘đồng minh và bị vô hiệu hóa’ và không có vlan nào bị xóa.
2. hỗ trợ cấu hình trung kế
Trong hầu hết các mạng, các kết nối đường trục được định cấu hình theo cùng một tiêu chuẩn trên toàn hệ thống. Ví dụ: khi cho phép giao thức dtp bắt đầu kết nối trung kế, nhiều kỹ thuật sẽ tự cấu hình và vô hiệu hóa giao thức dtp trên một cổng không phải trung kế. hệ điều hành ios có lệnh ảnh hưởng đến kết nối trở thành trung kế. lệnh chế độ mạng và lệnh không đàm phán được sử dụng để xác định nó hay không. dtp cố buộc nó tạo kết nối thân cây. hơn nữa, cấu hình nút ở cả hai phía của kết nối sẽ cho biết kết nối trung kế có được hình thành hay không.
lệnh cấu hình một bên
tên viết tắt
ý nghĩa
để tạo nhật ký, đầu kia phải
thân cây ở chế độ sitᴄhport
thân cây
luôn bật đường trục ở bên này của kết nối. sử dụng dtp để giúp đầu bên kia chọn đường trục.
bật, mong muốn, tự động
thân cây ở chế độ sitᴄhport
sᴡitᴄhport không thể thương lượng
không thương lượng
luôn bật đường trục ở bên này của kết nối. không gửi tin nhắn dtp. phù hợp khi thiết bị kia không phải của bạn
trong
sitᴄhport chế độ dуnamiᴄ mong muốn
đáng mơ ước
gửi dtp và bật nguồn thân cây nếu thành công
bật, mong muốn, tự động
sitᴄhport chế độ dуnamiᴄ tự động
tự động
trả lời tin nhắn dtp và kích hoạt trunking nếu thành công
có thể từ chối
sᴡitᴄhport chế độ aᴄᴄeѕѕ
aᴄᴄeѕѕ
không bao giờ trở thành trung kế, hãy gửi dtp để giúp đầu kia chọn cùng trạng thái
không bao giờ trở thành thân cây
sᴡitᴄhport chế độ aᴄᴄeѕѕ
ngồi không đàm phán
aᴄᴄeѕѕ mà không thương lượng
không bật trunking, không có tin nhắn dtp nào được gửi
không bật chế độ trung kế
bảng 2.6: tập lệnh cấu hình chế độ trung kế
nếu có kết nối đường trục, loại đường trục sẽ được chỉ định bằng cách sử dụng lệnh đóng gói đường trục của cổng.
cấu hình trung kế trên bộ định tuyến
Kết nối đường trục có thể được sử dụng giữa một bên là bộ định tuyến hoặc nhà cung cấp dịch vụ và một đối tượng ở bên kia. tuy nhiên, bộ định tuyến không hỗ trợ dtp, chúng tôi phải định cấu hình kết nối trung kế theo cách thủ công. Ngoài ra, bạn cần cấu hình bên internet để kích hoạt chế độ trunking vì router không tham gia truyền dtp.
Hầu hết các bộ định tuyến định cấu hình trunking bằng giao diện con, trong đó mỗi giao diện con thuộc về một vlan. giao diện con là cổng logic được tạo dựa trên vật lý. chỉ mục subinterfacial không nhất thiết phải giống với chỉ mục id vlan mà nó thuộc về. do đó, phải có một lệnh đóng gói trên mỗi giao diện phụ mà vlan là một phần của lệnh này. Ngoài ra, một thiết kế tốt sẽ chỉ định một mạng con cho mỗi vlan. nếu bộ định tuyến muốn chuyển tiếp các gói ip giữa các vlan, thì bộ định tuyến phải có một địa chỉ ip được liên kết với mỗi giao diện con.
Bạn có thể định cấu hình vlan natife trên giao diện con hoặc dưới cổng vật lý của bộ định tuyến. nếu cấu hình nằm dưới giao diện phụᴄe, bạn có thể sử dụng lệnh đóng gói dot1q vlan-id natiᴠe, trong đó từ khóa natiᴠe có nghĩa là các khung thông báo từ vlan này sẽ không được gắn thẻ.
Địa chỉ ip cũng phải được cấu hình trên subinterface đó. nếu bạn không định cấu hình trên giao diện con, bộ định tuyến sẽ giả sử vlan gốc sẽ được liên kết với cổng vật lý. trong trường hợp này, lệnh đóng gói không cần thiết trên cổng vật lý. tuy nhiên, địa chỉ IP tương ứng phải được cấu hình trên cổng vật lý. cũng lưu ý rằng bộ định tuyến không xác định rõ ràng vlan nào được phép. các vlan được phép hoàn toàn dựa trên các vlan được định cấu hình.
Cơ chế tạo đường hầm v.802.1q-in-q
theo truyền thống, vlan sẽ không vượt quá ranh giới của mạng wan. vlan trên mạng của trường đại học sẽ bị giới hạn bởi số lượng bộ định tuyến được sử dụng trong wan. Ngày nay, bùng nổ công nghệ cho phép truyền lưu lượng VLAN trên hạ tầng mạng WAN bao gồm 802.1q-in-q, Mmpls-based ethernet (eompls) và Vlan mpls (vmpls). Mặc dù được gọi là q-in-q hay còn được gọi là giao thức đường hầm lớp 2, 802.1q cho phép nhà cung cấp dịch vụ duy trì tất cả thông tin vlan 802.1q trên cơ sở hạ tầng wan. thì vlan sẽ thực sự trải rộng trên nhiều khu vực địa lý khác nhau.
tiêu đề gửi đến của máy chủ lưu trữ sẽ nhận khung 802.1q, sau đó sẽ đánh dấu từng khung gửi đi bằng tiêu đề 802.1q tiêu chuẩn mới. trong trường hợp này, tất cả các khung thông báo của máy khách sẽ được đánh dấu bằng vlan 5 khi không hoạt động trên mạng máy chủ. hộp thông báo của máy khách 2 sẽ được gắn thẻ vlan 6. sau khi xóa thẻ tại điểm đầu ra, hồ sơ máy khách sẽ nhận ra thông báo gốc và có thể tìm thấy id vlan hợp lệ. đầu nhận của ứng dụng có thể chấp nhận lưu lượng khách khác nhau dựa trên các thẻ bổ sung.
Sử dụng q-in-q, một isp có thể kích hoạt cùng một dịch vụ vlan khi máy khách sử dụng một vlan khớp với id vlan của máy chủ. khách hàng sẽ có nhiều lựa chọn và thiết kế hơn, đặc biệt là dưới metroethernet. Ngoài ra, một giao thức như ᴄdp, tp có thể được truyền trong dịch vụ này.