https://www.acmex.cc/index.php?action=history&feed=atom&title=%E7%B7%AF%E8%82%B2_2026-0427 緯育 2026-0427 - 修訂歷史 2026-06-14T22:25:39Z 本 Wiki 上此頁面的修訂歷史 MediaWiki 1.36.4 https://www.acmex.cc/index.php?title=%E7%B7%AF%E8%82%B2_2026-0427&diff=7165&oldid=prev Kuyohong:​建立內容為「<h3>思科交換器 VLAN 設定與管理</h3> 本次課程主要講授如何在兩台思科交換器上設定與管理 VLAN,核心目標是讓分佈在不同…」的新頁面 2026-04-28T02:04:09Z <p>建立內容為「&lt;h3&gt;思科交換器 VLAN 設定與管理&lt;/h3&gt; 本次課程主要講授如何在兩台思科交換器上設定與管理 VLAN,核心目標是讓分佈在不同…」的新頁面</p> <p><b>新頁面</b></p><div>&lt;h3&gt;思科交換器 VLAN 設定與管理&lt;/h3&gt;<br /> <br /> 本次課程主要講授如何在兩台思科交換器上設定與管理 VLAN,核心目標是讓分佈在不同交換器上的相同 VLAN(如 VLAN 12)能夠互相通訊。為此,課程詳細介紹了 Access Port 與 Trunk Port 的概念與設定方法。講師從 VLAN 的基礎概念與設定流程開始,說明了如何建立 VLAN、為其命名,並解釋了 VLAN 資訊是儲存在獨立的 vlan.dat 檔案中,而非 running-config。接著,課程透過實作範例,演示了如何使用 interface range 指令批量將端口設定為 Access 模式,並指派給特定 VLAN。&lt;br&gt;&lt;br&gt;<br /> 課程也深入探討了網管 VLAN(VLAN 99)的概念、其在資安上的重要性(避免使用預設 VLAN 1),以及如何將網管 IP 設定在虛擬的 SVI(interface vlan 99)上以實現遠端管理。講師強調,二層交換器本身運作不需 IP,IP 僅為網管目的而設。此外,課程還說明了 Trunk Port 的作用,它利用 802.1Q 協定為跨交換器的 VLAN 流量加上標籤(Tag),並特別解釋了 Native VLAN(在此設定為 VLAN 99)的流量在 Trunk 中是「不帶標籤」的。最後,講師透過 IP 位址規劃與交換器的基本設定,為後續的實作練習進行了鋪墊。&lt;br&gt;<br /> <br /> === VLAN 的基本概念與性質 ===<br /> * 虛擬的意義:以軟體或邏輯手段模擬並隔離資源(如 VM 的 vCPU/vRAM);VLAN 在交換機端「模擬出一個 LAN」以達到邏輯隔離與管理。<br /> * VLAN 是技術、非協定:依賴 IEEE 802.1Q 在以太幀中插入 VLAN 標籤以進行 Trunking,跨交換機匯聚與傳遞多個 VLAN。<br /> * 虛擬技術多細節:凡以 Virtual 開頭(VPN、VLAN、VM)通常較複雜,需審慎理解與配置。<br /> === VLAN 的設計理念與廣播域 ===<br /> * 等價定義:一個 VLAN 即是一個獨立的廣播域(Broadcast Domain)。<br /> * 廣播行為:L2 交換機對廣播(目的 MAC FF:FF:FF:FF:FF:FF)會泛洪到所有埠;未切 VLAN 的單台交換機或多台 L2 串接網路會形成單一大型廣播域。<br /> * 企業常見切割:多以部門(財務、研發、業務等)為單位切分 VLAN,達到邏輯隔離與管理。<br /> === 未切割 VLAN 的影響與案例 ===<br /> * 後果:大型二層網路中任一端點的廣播會泛洪至所有設備,伺服器與 PC 必須接收處理,造成高負載。<br /> * CPU 中斷與效能:廣播封包到達網卡即觸發 CPU interrupt,頻繁上下文切換使伺服器效能顯著下滑。<br /> * 實例:大立光早期未切 VLAN,整網一個廣播域,伺服器每分鐘收數百個廣播包;導入 VLAN 後廣播量降至每分鐘十幾至幾十個,效能明顯改善。<br /> 4. 相同 VLAN 跨交換機互通與 Trunking<br /> * 傳統做法的限制:每 VLAN 一條跳線、一個端口的互聯在多 VLAN(如 20 個)環境中端口耗盡且不可擴。<br /> * 802.1Q Trunk 解法:以單一 Trunk 端口承載多個 VLAN,兩交換機間一條鏈路傳遞帶標籤的封包;進入 Trunk 時插入標籤、離開至 Access 端口時移除標籤,主機端無需感知。<br /> * 概念類比:Trunk 源自電信長途幹線,多路共用單一骨幹;在交換機間,多個 VLAN 的流量共用同一條 Trunk。<br /> * 規模化優勢:節省端口與布線、提升可擴性,跨樓層或多交換機場景仍保有相同 VLAN 的邏輯廣播域。<br /> === Trunk 技術演進與跨品牌相容 ===<br /> * 早期不相容:各廠商採專有封裝(如 Cisco ISL、HP 自有)導致跨品牌 VLAN 不通。<br /> * 標準化後:IEEE 802.1Q 統一標記機制,只要雙方交換機支援並啟用 802.1Q,即可跨品牌互通。<br /> * 封包插入位置:802.1Q 在以太幀頭的來源 MAC 與 EtherType 之間插入 4-byte 標籤,區別於 ISL 的外層封裝。<br /> === 802.1Q 標籤結構與位元配置 ===<br /> * 幀頭變化:原始 6(目的 MAC)+6(來源 MAC)+2(EtherType/長度),變為 6+6+4(802.1Q tag)+2。<br /> * VLAN ID 欄位:12-bit,可表 0–4095,保留 0 與 4095,企業可用範圍為 1–4094(共 4094 個 VLAN)。<br /> * 其他欄位:歷史上曾含媒介識別(Token Ring/Ethernet),後被重定義為擁塞丟棄指示(DI)等,用於在 Trunk 擁塞時標示可丟棄的非重要流量,保護關鍵封包。<br /> === Native VLAN 與 Untagged 流量 ===<br /> * 定義:Native VLAN 為 Trunk 端口對未加標籤流量的歸屬設定,預設為 VLAN 1。<br /> * 行為:來源 VLAN 等於端口 Native VLAN 時,封包在 Trunk 上不加標籤(Untag);否則加上對應 VLAN 標籤。<br /> * 實務設定與資安:雙端 Native VLAN 需一致以確保 Untag 流量互通;常將 Native VLAN 調整為管理用 VLAN(如 VLAN 99),並評估資安風險以避免未標籤流量被濫用。<br /> === 不同 VLAN 的資料互通(Inter-VLAN Routing) ===<br /> * 二層隔離:純二層環境下不同 VLAN 的流量本質上不通,包括廣播與一般資料。<br /> * 互通條件:為每個 VLAN 規劃獨立 IP 子網(例如 VLAN 10→172.16.1.0、VLAN 20→172.16.2.0),以三層交換機或路由器進行 Inter-VLAN Routing,使資料可互通而保持廣播隔離。<br /> === 大型網路的 VLAN 規劃與設定流程 ===<br /> * 流程建議:不使用或忽略 VTP;設定 Trunk 端口;手動建立 VLAN 資料庫;將 VLAN 指派至正確的 Access 端口。<br /> * 冗餘與負載:在交換機間以兩條線啟用 Trunk 冗餘(如 fa0/23、fa0/24),後續可規劃 VLAN 負載分擔。<br /> * 設定與驗證:<br /> * 介面範圍設定:interface range 同步配置連續端口。<br /> * 啟動 Trunk:switchport mode trunk。<br /> * 允許清單:switchport trunk allowed vlan 指定允許通過的 VLAN(如 12,13,14,99)以強化資安。<br /> * 驗證:show interfaces trunk 檢查狀態、Native VLAN(預設 1,若更改需一致)、Encapsulation 應為 802.1Q(顯示 ISL 代表舊式封裝)。<br /> [[檔案:2026-0410-05.png|800px]]<br /> === VLAN 基礎設定 ===<br /> * VLAN 資料儲存<br /> ** VLAN 的設定資訊儲存在 Flash 記憶體中的 vlan.dat 檔案裡。<br /> ** 此檔案必須使用 show vlan brief 指令來查看其內容。<br /> ** 設定流程是先建立 VLAN,再將端口配置到對應的 VLAN 中。<br /> * Access Port<br /> ** 分配給特定 VLAN 的端口稱為 Access Port,設定指令為 switchport mode access。<br /> ** 在 Access Port 上的封包不帶 VLAN 標籤。<br /> === Trunk 埠設定與安全 ===<br /> * Trunk 埠基本概念<br /> ** 當 VLAN 需要跨越多台交換器時,交換器之間的連線需設定為 Trunk 埠,以允許帶有多個 VLAN 標籤的流量通過。<br /> ** 設定指令為 switchport mode trunk。<br /> * Trunk 埠的資安風險<br /> ** 預設情況下,Trunk 埠允許所有 VLAN 通過,駭客可利用此特性進行標籤跳躍攻擊,非法存取受保護的網路。<br /> ** 可使用 Kali Linux 等工具(如 Yersinia)來模擬這類攻擊。<br /> * 限制 Trunk 埠允許的 VLAN<br /> ** 為提升安全,必須使用 switchport trunk allowed vlan [VLAN 列表] 指令嚴格限制 Trunk 埠上允許通過的 VLAN。<br /> ** 範例:switchport trunk allowed vlan 12,13,99 (逗點後不可加空白)。<br /> * Native VLAN 設定<br /> ** Native VLAN 是 Trunk 鏈路上流量「不帶」VLAN 標籤的特殊 VLAN,預設為 VLAN 1。<br /> ** 更改指令為 switchport trunk native vlan [VLAN ID]。<br /> ** 極重要:一條 Trunk 鏈路兩端的 Native VLAN 設定「必須」完全一致。<br /> * Native VLAN 不匹配的風險<br /> ** 若兩端 Native VLAN 不一致,會產生 Native VLAN mismatch 的嚴重錯誤,這是一個安全漏洞。<br /> ** 交換器會透過 Spanning Tree Protocol (STP) 將該端口置於 blocking 狀態,導致網路中斷。<br /> === 端口狀態與 Trunk 鏈路驗證 ===<br /> * 端口啟動狀態 (雙擊火)<br /> ** 端口正常運作需滿足 Interface is up (物理層正常) 和 line protocol is up (鏈路協定正常) 兩個條件。<br /> ** Keep Alive 封包機制用於確認鏈路協定的健康度。<br /> * Trunk 鏈路驗證指令<br /> ** show interface trunk:檢查交換器上所有 Trunk 鏈路的狀態,包括模式、Native VLAN 及允許的 VLAN 列表。<br /> ** show interface [interface] switchport:提供單一端口詳細的二層參數,其中包含以下兩種模式。<br /> * Administrative Mode vs. Operational Mode<br /> ** Administrative Mode:代表管理員的設定值(如 trunk)。<br /> ** Operational Mode:代表端口與對向協調後的實際運行狀態。要使鏈路正常,此模式必須成功顯示為 trunk。<br /> * Trunk 端口在 show vlan brief 中的顯示差異<br /> ** show vlan brief 指令只顯示 access port 與 VLAN 的對應關係。<br /> ** 一旦端口成功設定為 trunk,它將從此指令的輸出中消失,因為它不再屬於任何單一 VLAN。<br /> === 子網路切割與 IP 位址計算 ===<br /> * 子網路遮罩與主機位元<br /> ** host 部分全為 0 的 IP 是網段位址,全為 1 的是廣播位址,兩者均不可分配給裝置。<br /> ** 講師提供記憶法,如 /28 遮罩為 255.255.255.240 (28-24=4,第四個八位元有 4 個 1)。<br /> * 可用 IP 位址範圍<br /> ** 可用 IP 是介於網段和廣播位址之間的 IP。<br /> ** 範例 (VLAN 12, 10.1.12.16/28): PC1 為 10.1.12.17,PC2 為 10.1.12.18,Gateway 為 10.1.12.30 (最後一個可用 IP)。<br /> * 第一階段測試目標<br /> ** 相同 VLAN 內的連通性:確保不同交換器上、但屬於相同 VLAN 的成員(如 VLAN 12、VLAN 13)可以互相 ping 通。<br /> ** 網管 VLAN 的連通性:確保網管伺服器能 ping 到所有交換器的網管 VLAN 介面(VLAN 99)。<br /> [[檔案:2026-0428-01.png|800px]]<br /> === VLAN 與 OSI 模型定位、互通機制 ===<br /> * VLAN 屬於 OSI 第 2 層技術,負責廣播域切分與 L2 隔離;不同 VLAN 在純 L2 下不互通。<br /> * Inter-VLAN Routing 透過第 3 層(Router 或 L3 Switch)使不同 VLAN 之間互通;典型做法為 Router on a Stick:以一個路由器實體介面串接交換器 Trunk,路由器上切多個子介面,各自對應不同 VLAN ID 與子網,提供該 VLAN 的預設閘道。<br /> * 每個 VLAN 必須映射到獨立的 L3 子網;不同子介面配置不同子網與遮罩,避免重疊。<br /> === Trunk 判斷與設定、Native VLAN 行為 ===<br /> * 連線上承載多個 VLAN(Switch–Switch 或 Switch–Router)即需設定為 Trunk。<br /> * 典型設定:switchport mode trunk、switchport trunk allowed vlan &amp;lt;列表&amp;gt;,必要時指定 Native VLAN。Trunk 允許清單需涵蓋所有需要通過的 VLAN(如 12、13、19、99)。<br /> * Native VLAN(例:VLAN 99)在 Trunk 上以未標籤(Untagged)傳送;需於設定明確標註 native,避免誤將未標籤流量視為帶標籤。<br /> === 802.1Q 標籤結構、判讀與抓包驗證 ===<br /> * 以太幀原始結構:目的 MAC(6B)+ 來源 MAC(6B)+ EtherType(2B)。插入 802.1Q 後,在來源 MAC 與原 EtherType 之間新增 4B 標籤,原 EtherType 後移;標籤內含 Tag EtherType(0x8100)與 TCI。<br /> * TCI 16 bit 拆分為 PCP 3 bit、DEI 1 bit、VID 12 bit(VID 1–4094 有效;0 保留)。DEI 早期定義已變更,現為可丟棄指示,與 QoS/擁塞管理相關。<br /> * 十六進位判讀技巧:TCI 的「後三個十六進位數字」對應 VID 的 12 bit;如 00C → VLAN 12、00D → VLAN 13。<br /> * 抓包驗證邏輯:在 S1/S2 以內建抓包工具設定 ICMP 篩選,於裝置介面同時觀察 Ingress/Egress 幀;Ingress 顯示 Ethernet II(無標籤),Egress 顯示 802.1Q/type 1Q(有標籤),並於 Egress 幀標籤區塊定位 TCI,以末三位確認 VID。<br /> * VN99(Native/管理)驗證:預期 Ingress/Egress 皆無 802.1Q 標籤(Ethernet II),以證明未標籤運行。<br /> === Router on a Stick 架構、子介面與路由邏輯 ===<br /> * 傳統「每 VLAN 一實體介面」成本高、埠數需求大;單臂路由以單一實體埠配多子介面,大幅降低硬體成本且可擴充。<br /> * 在路由器上以 G0/0.x 子介面一對一對應 VLAN(例如 G0/0.1→VLAN 12、G0/0.3→VLAN 13、G0/0.9→VLAN 99);子介面編號不必等同 VLAN ID,但對應關係需唯一且清晰。<br /> * 每子介面配置 encapsulation dot1q 與該 VLAN 的閘道 IP;跨網段通訊時,主機將封包送至預設閘道,由路由器依路由表轉送至目標 VLAN 子介面。<br /> * 實體介面不綁定 IP,避免混雜多 VLAN 流量;IP 應配置在子介面層級以維持明確分流。<br /> * 確保實體介面(如 G0/0)啟用(no shutdown),否則子介面無法生效。<br /> === 擴充與測試:新增 VLAN 14 的案例 ===<br /> * 新增 VLAN 14 子網範例:10.1.14.0/27;建議第一個可用 IP 分配給 PC、最後一個可用 IP 分配為 Gateway。<br /> * 限制情境:VLAN 14 主機僅接入於 SW2(如 F0/19、F0/20 為 access vlan 14),不接入 SW1;需確保 SW2↔SW1、SW↔Router 所有 Trunk 端口均允許 VLAN 14。<br /> * Trunk allowed 清單擴充須使用 switchport trunk allowed vlan add 14,以追加而非覆蓋既有清單。<br /> * 在路由器上新增對應子介面(如 G0/0.14),配置 encapsulation dot1q 14 與 Gateway IP,完成跨 VLAN 路由。<br /> * 端到端路徑:VLAN 14 主機 → SW2 access 標記 → Trunk(允許 14)→ Router 子介面解標籤與路由 → 目標 VLAN 子介面 → 交換器與目的主機回覆。<br /> === 抓包工具與操作節奏 ===<br /> * 工具特性:切入抓包模式時可暫停全網流量畫面,支援手動單步與自動模式;建議先觸發 ping 使 ARP 就緒,再以 ICMP 篩選逐步抓取。<br /> * 觀察點選擇:於 S1 作為觀察點可同時抓取封包進入與離開,對照 Ingress/Egress 標籤差異;亦可在 S2 形成去回對照。<br /> * 完成分析後需結束抓取並恢復網路運行。<br /> === 課務安排與時間管理 ===<br /> * 實驗時間控制:於 2026-04-27 課後數分鐘內先驗證 VN12/VN13 帶標籤互通,再驗證 VN99 無標籤互通;宣告驗證任務開始約 2:20,要求 3–4 分鐘內完成指定測試。<br /> * 後續教學:隔日 2026-04-28 進行 VLAN 考試與 Router 詳細設定;班級於 2026-07-10 結訓。課間穿插投資與職涯建議(資產配置、AI 與股市趨勢),以鼓勵學員專注技術與長期規劃。<br /> 作業與任務<br /> * 在 S1 上執行 VN12 之 ICMP 抓包驗證:確認 Ingress 幀無 802.1Q 標籤、Egress 幀有標籤,且 TCI 後三位為 00C(VLAN 12)。<br /> * 在 S1 上執行 VN13 之 ICMP 抓包驗證:同上流程,確認 TCI 後三位為 00D(VLAN 13)。<br /> * 在中間交換器(S1 或 S2)抓取 VN99 互通之 ICMP,驗證 Ingress 與 Egress 皆為無標籤 Ethernet II 幀。<br /> * 建立 VLAN 12、VLAN 13、VLAN 99 的子介面對應表與 Router 配置:於路由器上為各 VLAN 建立子介面,配置 encapsulation dot1q 與閘道 IP;確保實體介面啟用、子介面 up。<br /> * 規劃並建立 Switch↔Router Trunk,允許 VLAN 12、13、99,正確指定 Native VLAN(如採用 VLAN 99)。<br /> * 新增 VLAN 14:在 SW2 的接入埠設定 access vlan 14;於所有相關 Trunk 端口以 switchport trunk allowed vlan add 14 追加允許;在路由器上新增對應子介面並配置 IP。<br /> * 驗證跨 VLAN 連通性:從 VLAN 12/13/99/14 主機相互 ping 與 ping 各自 gateway,記錄封包路徑與抓包標籤。<br /> * 整理 802.1Q 標籤欄位備忘單:PCP 3-bit、DEI 1-bit、VID 12-bit 定義與作用,附十六進位判讀範例(如 00C→VLAN 12)。<br /> * 準備考試與筆記:Router on a Stick 拓撲、子介面配置命令、Trunk/native/allowed 與故障排除步驟;於 2026-04-28 前完成複習。<br /> [[檔案:2026-0428-02.png|800px]]</div> Kuyohong