Trunk

Trunk
一.Trunk产生的背景
不同交换机之间相同vlan的通信问题？
交换机的一条线路，如何承载多个vlan去实现通信？
二.Trunk如何实现
1.配置的位置
交换机与交换机之间相连的接口设置为主干链路—Trunk
2.协议
干道协议DOT1Q（共有标准的协议）/802.1Q，思科还有一个私有协议TSL
通过802.1Q，向原始数据包内添加带有802.1Q的TAG字段来区分不同的vlan数据

三.Trunk命令的配置
动态配置（Cisco）：
DTP： dynamic trunk protocol
静态配置:
1.进入端口：interface GigabitEthernet 0/0/24
2.设置端口模式：port link-type trunk
3.设置端口允许通过的vlan：port trunk allow-pass vlan 2 3
port trunk allow-pass vlan all（不建议开放所有vlan）
四.Trunk的通信过程
接下来我们用一个小实验详细展示通信过程：两台交换机，四台PC。将pc1和pc3配置到vlan2下，将pc2和pc4配置到vlan3下。四台pc同属一个网段。设置为trunk后，默认为vlan1。

我们用pc1去ping pc3，具体通信过程如下：
1.PC1 封装一个去往PC3 的ICMP request 包
封装到数据链路层：目标MAC地址的时候，查询ARP缓存表，此时ARP缓存表没有内容，数据帧封装失败，触发ARP请求
2.PC1 发送 ARP请求数据帧
3.ARP请求数据帧 被 G0/0/1接收到(pvid:2)
交换机解封装数据帧，给数据帧打上tag:2的标签
交换机解封装数据链路层：学习源MAC地址 跟接口对应起来，将这条信息封装到 和 vlan id(2)相关的CAM表里面，查看目标MAC地址：全FF，将这个数据帧 向 vlan2内的所有接口 广播(包括trunk接口)。
4. ARP请求包经过 G0/0/24，携带了 vlan id 为 2 的 tag
5. SW2接收到ARP的广播报文，接封装数据链路层(包括源、目MAC地址，vlan tag),学习源MAC地址，封装到 vlan2的CAM表里面，查看目标MAC地址，全FF，向vlan2的所有接口转发ARP请求包，从G0/0/1发出，(ACCESS,剥离tag)
6. APR请求数据帧 被PC3接收到，接封装数据链路层，查看目标MAC地址，全FF，PC接收数据帧并处理，继续解封装到ARP的数据部分，将源IP和源MAC添加到自己的ARP 缓存表，发现目标IP地址是自己，PC3向PC发送ARP的reply报文
7. ARP回复包从PC3发出，被SW2的G0/0/1接收，解封装数据链路层，添加TAG:2,学习源MAC地址，查看目标MAC地址，查询CAM表，知道　目标MAC地址对应的出口是G0/0/24，SW2 将数据帧 从G0/0/24 发出，此时数据帧依然携带vlan2的tag标记
8.ARP回复包 被Sw1的G0/0/24接口接收，接封装数据链路层，查看 vlan id:2,学习源MAC地址，查看目标MAC地址，找到转发接口是G0/0/1，将ARP回复报文从G0/0/1转发出去(去掉标签)
9.PC1收到ARP回复包，接封装数据链路层，查看目标MAC地址，是自己的，继续接封装，查看ARP的数据部分，将PC3的IP地址 和MAC地址 对应起来，添加到 ARP缓存表。此时 PC1 已经获得了 PC3的MAC地址
10.PC1 能够封装 一个完整的ICMP的数据帧，PC1 向PC3发送ICMP数据帧
11.封装解封装过程同 ARP 封装接封装过程…
五．MUX VLAN
1.产生的背景
不同vlan之间想要通信，相同vlan之间，数据要隔离。
2.概念
主vlan：可以跟任何vlan通信
从vlan：
团体vlan（Group vlan）：可以和主vlan通信，vlan内部之间可以互相通信，不可以和其他的团体vlan通信，包括隔离vlan
隔离vlan（Separate vlan）：可以和主vlan通信，vlan内部之间不可以互相通信，不可以和其他的团体vlan通信，包括隔离vlan

六．面临的安全风险
1.vlan跳跃攻击（实质是利用双TAG）

2.Tunk干道攻击