Tweet
- 1. Ôn tập phần Switching của chứng chỉ CCNA
- Các khái niệm VLAN, Trunk, VTP
Một chức năng lớn của công nghệ chuyển mạch Ethernet đó là VLAN. Công nghệ VLAN được sử dụng để nhóm các máy trạm và máy chủ vào trong một nhóm logic. Các thiết bị trong một VLAN được hạn chế truyền thông cùng với các thiết bị trong VLAN cho nên hoạt động mạng chuyển mạch giống như một số lượng của các LAN riêng lẻ không kết nối. Các doanh nghiệp thường sử dụng VLAN như một cách chắc chắn rằng các nhóm người dùng riêng biệt được nhóm một cách logic. Với mạng LAN thông thường các nhóm làm việc và các phòng ban (Tiếp thị kinh doanh, Kế toán…) nằm trong một mạng vật lý, nhưng với VLAN thì được nằm trong một mạng logic.
Hình 1: Phân đoạn LAN truyền thống và phân đoạn VLAN
Ví dụ: Trong một toà nhà nhiều tầng của một công ty. Các công ty con thành viên nằm trên một tầng riêng biệt. Các công ty đều có các bộ phận giống nhau như: tiếp thị, kế toán…Những người của bộ phận Tiếp thị thì nằm trong VLAN Tiếp thị nhưng họ vẫn làm việc với bộ phận Kế toán nằm trong VLAN Tiếp thị.
Trong môi trường Ethernet LAN, tập hợp các thiết bị cùng nhận một broadcast bởi bất kỳ một thiết bị còn lại được gọi là một broadcast domain. Trên các switch không hỗ trợ VLAN, switch sẽ đẩy tất cả các broadcast ra tất cả các cổng, ngoại trừ cổng mà nó nhận frame. Kết quả là, tất cả các interface trên loại switch này là cùng broadcast domain. Nếu switch này kết nối đến các switch và các hub khác, các cổng trên switch này cũng sẽ trong cùng broadcast domain. Mỗi một cổng trên switch có thể chia cho một VLAN. Những cổng được chia sẽ cho cùng một VLAN thì chia sẽ broadcast. Cổng nào không thuộc cùng VLAN thì sẽ không chia sẽ broadcast. Những cải tiến của VLAN là làm giảm bớt broadcast và sự lãng phí băng thông.
Một VLAN đơn giản là một tập hợp của các cổng của switch nằm trong cùng broadcast domain. Các cổng có thể được nhóm vào các VLAN khác nhau trên từng switch và trên nhiều switch. Bằng cách tạo ra nhiều VLAN, các switch sẽ tạo ra nhiều broadcast domains. Khi đó, khi có một broadcast được gửi bởi một thiết bị nằm trong một VLAN sẽ được chuyển đến những thiết bị khác trong cùng VLAN, tuy nhiên broadcast sẽ không được forward đến các thiết bị trong VLAN khác. Có 2 phương thức để tạo lập VLAN là VLAN tĩnh (Static VLAN) và VLAN động (Dynamic VLAN).
Static VLAN
Phương thức này được ám chỉ như là port-base membership. Việc gán các cổng switch vào một VLAN là đã tạo một static VLAN. Giống như một thiết bị được kết nối vào mạng, nó tự động thừa nhận VLAN của cổng đó. Nếu user thay đổi các cổng và cần truy cập vào cùng một VLAN, thì người quản trị mạng cần phải khai báo cổng tới VLAN cho kết nối tới.
Dynamic VLAN
VLAN được tạo thông qua việc sử dụng các phần mềm như Ciscowork 2000. Với một VMPS (VLAN Management Policy Server) có thể đăng ký các cổng cuả switch vào các VLAN một cách tự động dựa trên địa chỉ MAC nguồn của thiết bị được nối vào cổng. Dynamic VLAN hiện thời tính đến thành viên của nó dựa trên địa chỉ MAC của thiết bị. Như mộ thiết bị trong mạng, nó truy vấn một cơ sở dữ liệu trên VMPS của các VLAN thành viên.
Hình 2
Trên cổng của switch được gán cho một VLAN cụ thể thì độc lập với người dùng hoặc hệ thống gắn với cổng đó. Khi người dùng gắn với cùng một phân đoạn mạng dùng chung, tất cả các người dùng đó cùng chia sẽ băng thông của phân đoạn mạng. Mỗi một người dùng được gắn vào môi trường chia sẽ, thì sẽ có ít băng thông sẵn có cho mỗi người dùng, bởi vì tất cả các người dùng đầu nằm trên một miền xung đột. Nếu chia sẽ trở nên quá lớn, xung đột có thể sảy ra quá mức và các trình ứng dụng có thể bị mất chất lượng.
Mỗi một cổng trên switch giống như một cổng của bridge và switch đơn giản là một bridge nhiều cổng.
End-to-End VLAN (VLAN đầu cuối)
Các End-to-end VLAN cho phép các thiết bị trong một nhóm sử dụng chung tài nguyên. Bao gồm các thông số như máy chủ lưu trữ, nhóm dự án và các phòng ban. Mục đích của các End-to-end VLAN là duy trì 80% thông lượng trên VLAN hiện thời. Một End-to-end VLAN có các đặc điểm sau:
- Các người dùng được nhóm vào các VLAN độc lập về vị trí vật lý nhưng lại phụ thuộc vào nhóm chức năng hoặc nhóm đặc thù công việc.
- Tất cả các người dùng trong một VLAN nên có cùng kiểu truyền dữ liệu 80/20 (80% băng thông cho VLAN hiên thời/ 20% băng thông cho các truy cập từ xa).
- Như một người dùng di chuyển trong một khuôn viên mạng, VLAN dành cho người dùng đó không nên thay đổi.
- Mỗi VLAN có những bảo mật riêng cho từng thành viên.
Local VLAN (VLAN cục bộ)
Nhiều hệ thống mạng mà cần có sự di chuyển tới những nơi tập trung tài nguyên, End-to-end VLAn trở nên khó duy trì. Những người dùng yêu cầu sử dụng nhiều nguồn tài nguyên khác nhau, nhiều trong số đó không còn ở trong VLAN của chúng nữa. Bởi sự thay đổi về địa điểm và cách sử dụng tài nguyên. Các VLAN được tạo ra xung quanh các giới hạn địa lý hơn là giới hạn thông thường. Vị trí địa lý có thể rộng như toàn bộ một toà nhà, hoặc cũng có thể nhỏ như một switch trong một WiringCloset.
Các kiểu triển khai VLAN
Có 3 mô hình cơ bản để xác định và điều khiển một gói tin được gán như thế nào vào một VLAN:
- VLAN dựa trên cổng – port-base VLANs
- VLAN dựa trên địa chỉ MAC – MAC address-base VLANs
Phân biệt các kiểu VLAN
Có nhiều kiểu VLAN khác nhau: VLAN 1/Default VLAN/User VLAN/Native VLAN/ Management VLAN. Mặc định, tất cả các giao diện Ethernet của Cisco switch nằm trong VLAN 1.
Mặc định, các thiết bị lớp 2 sẽ sử dụng một VLAN mặc định để đưa tất cả các cổng của thiết bị đó vào. Thêm vào nữa là có rất nhiều giao thức lớp 2 như CDP, PAgP, và VTP cần phải được gửi tới một VLAN xác định trên các đường trung kế (trunk). Chính vì các mục đích đó mà VLAN mặc định được chọn là VLAN 1. CDP, PagP, VTP, và DTP luôn luôn được truyền qua VLAN 1 và mặc định này không thể thay đổi được. Các khuyến cáo của Cisco chỉ ra rằng VLAN 1 chỉ nên dành cho các giao thức kể trên.
Default VLAN: VLAN 1 còn được gọi là VLAN mặc định. Chính vì vậy, mặc định, native VLAN, VLAN quản lý và VLAN người dùng sẽ là thành viên của VLAN 1. Tất cả các giao diện Ethernet trên switch Catalyst mặc định thuộc VLAN 1. Các thiết bị gắn với các giao diện đó sẽ là thành viên của VLAN 1, trừ khi các giao diện đó được cấu hình sang các VLAN khác.
VLAN người dùng: VLAN được tạo ra nhằm tạo ra một nhóm người sử dụng mà không phụ thuộc vào vị trí vật lý hay luận lý và tách biệt với phần còn lại của mạng ban đầu. Câu lệnh switchport access vlan được dùng để chỉ định các cổng vào các VLAN khác nhau.
Native VLAN: Native VLAN là một VLAN có các cổng được cấu hình trung kế. Khi một cổng của switch được cấu hình trung kế, trong phần đuôi thêm vào của frame đi qua cổng đó sẽ được thêm một số hiệu VLAN thích hợp. Tất cả các frame thuộc các VLAN khi đi qua đường trung kế sẽ được gắn thêm phần đuôi của giao thức 802.1q và ISL, ngoại trừ các frame của VLAN 1. Như vậy, theo mặc định các frame của VLAN 1 khi đi qua đường trung kế sẽ không được gắn tag. Khả năng này cho phép các cổng hỗ trợ trunking 802.1Q giao tiếp được với các cổng không hỗ trợ trunking 802.1Q bằng cách gửi và nhận trực tiếp các luồng dữ liệu không được gắn tag. Native VLAN được chỉ định bằng câu lệnh:
Switch(config-if)#switchport trunk native vlan vlan-id
VLAN Quản Trị
Hiện nay, đa số các thiết bị như router, switch có thể truy cập từ xa bằng cách telnet đến địa chỉ IP của thiết bị. Đối với các thiết bị mà cho phép truy cập từ xa thì chúng ta nên đặt vào trong một VLAN, được gọi là VLAN quản trị. VLAN này độc lập với các VLAN khác như VLAN người dùng, native VLAN. Do đó khi mạng có vấn đề như: hội tụ với STP, bão broadcast thì một VLAN quản trị cho phép nhà quản trị vẫn có thể truy cập được vào các thiết bị và giải quyết các vấn đề đó. Một yếu tố khác để tạo ra một VLAN quản trị độc lập với VLAN người dùng là việc tách các thiết bị đáng tin cậy với các thiết bị không tin cậy. Do đó làm giảm đi khả năng các người dùng bình thường dành được quyền truy cập vào các thiết bị đó.
Mỗi VLAN nên có một ip subnet hay nói cách khác, các thiết bị trong một VLAN thường dùng chung một dãy địa chỉ IP. Tuy nhiên, ta vẫn có thể đặt nhiều địa chỉ trong một VLAN và dùng địa chỉ ip thứ 2 trên các routers để định tuyến giữa các VLAN và các subnet. Bạn cũng có thể thiết kế một mạng dùng chỉ một subnet trên nhiều VLAN và dùng router với chức năng Proxy Arp để chuyển dữ liệu giữa các host trong các VLAN này. VLAN riêng ảo có thể được xem như gồm một subnet trên nhiều VLAN. Các L2 switch chuyển các frame giữa các thiết bị trên cùng một VLAN nhưng nó không chuyển frame giữa các thiết bị khác VLAN. Để chuyển dữ liệu giữa hai VLAN, một thiết bị switch hoạt động ở lớp 3 hoặc routers phải được dùng.
VLAN Trunking Protocol
VTP quảng bá các thông tin cấu hình VLAN đến các switch láng giềng để các cấu hình VLAN có thể được thực hiện trên một switch, trong khi tất cả các switch khác trong hệ thống mạng sẽ học thông tin VLAN. VTP thường quảng bá các thông tin như số định danh VLAN, tên VLAN và kiểu VLAN cho từng VLAN. Tuy nhiên, VTP thường không quảng bá bất cứ thông tin nào về các cổng nào nào trong từng VLAN nào, vì vậy cấu hình kết hợp cổng nào với VLAN nào vẫn phải được cấu hình trên từng switch. Ngoài ra, sự tồn tại của số định danh VLAN được dùng cho VLAN riêng ảo cũng được quảng bá, nhưng các thông tin chi tiết bên trong VLAN riêng ảo cũng sẽ không được quảng bá bởi VTP.
| Chức năng | Chế độ Server | Chế độ Client | Chế độ Transparent |
| Gửi ra các thông tin quảng bá VTP | Yes | No | No |
| Xử lý các thông tin VTP nhận được để cập nhật cấu hình VLAN | Yes | Yes | No |
| Trung chuyển các thông tin quảng bá của VTP | Yes | Yes | Yes |
| Lưu thông tin VLAN trong NVRAM hay vlan.dat | Yes | No | Yes |
| Có thể tạo, thay đổi và xóa VLAN dùng các lệnh cấu hình | Yes | No | Yes |
Tiến trình cập nhật của VTP bắt đầu khi người quản trị thêm vào hoặc xóa cấu hình của VLAN trên VTP server. Khi cấu hình mới xuất hiện, VTP sẽ tăng giá trị VTP revision lên 1 và quảng bá toàn bộ cơ sở dữ liệu VLAN với giá trị revision number mới. Khái niệm chỉ số VTP cho phép các switch biết khi nào có sự thay đổi trong cơ sở dữ liệu VLAN. Khi nhận được một cập nhật VTP, nếu chỉ số VTP trong cập nhật VTP là cao hơn chỉ số revision number hiện hành, switch sẽ cho rằng có một phiên bản mới của cơ sở dữ liệu VLAN.
Hình 3
Mặc định Cisco switch dùng chế độ VTP server nhưng switch sẽ không gửi các cập nhật VTP cho đến khi nào nó được cấu hình VTP domain name. Ở thời điểm này, server bắt đầu gửi các cập nhật VTP với các phiên bản cơ sở dữ liệu khác nhau và các chỉ số revision number khác nhau khi có thông tin cấu hình VLAN database thay đổi. Tuy nhiên các VTP client thật sự không được cấu hình VTP domain name. Nếu không được cấu hình, client sẽ giả sử là nó sẽ dùng VTP domain name trong gói tin cập nhật VTP đầu tiên mà nó nhận được. Tuy nhiên, client vẫn phải cần cấu hình VTP mode. Khi cấu hình VTP, để tăng tính dự phòng, các hệ thống mạng dùng VTP thường dùng tối thiểu hai VTP server. Trong điều kiện bình thường, một sự thay đổi về VLAN có thể chỉ thực hiện trên switch server và các VTP server khác sẽ cập nhật sự thay đổi này. Sau khi cập nhật xong, VTP server sẽ lưu các thông tin cấu hình VLAN thường trực (ví dụ như trong NVRAM) trong khi VTP client không lưu thông tin này.
Việc hỗ trợ nhiều VTP server gây ra một khả năng khác là việc vô tình thay đổi cấu hình VLAN của hệ thống mạng. Khi một VTP Client hoặc một VTP transparent switch kết nối lần đầu vào một hệ thống mạng thông qua kết nối trung kế, nó không thể ảnh hưởng đến cấu hình hiện tại bởi vì các chế độ hoạt động này không tạo ra các gói tin cập nhật VTP. Tuy nhiên nếu một switch mới hoạt động ở chế độ VTP server được gắn vào mạng thông qua kết nối trung kế, switch đó có khả năng thay đổi cấu hình VLAN của các switch khác bằng chính thông tin của switch mới. Nếu switch mới có các đặc điểm sau, nó sẽ có thể thay đổi cấu hình các switch khác:
- Kết nối là trung kế.
- Switch mới có cùng VTP domain.
- Chỉ số revision number là cao hơn các switch hiện có.
- Nếu mật khẩu của VTP domain là được cấu hình, mật khẩu của switch mới phải là giống.
Chỉ số revision number và tên VTP domain có thể được thấy thông qua các phần mềm sniffer. Để ngăn ngừa kiểu tấn công DoS dùng VTP, hãy cài đặt mật khẩu cho VTP. Mật khẩu này thường được mã hóa dạng MD5. Ngoài ra, vài nơi triển khai chỉ đơn giản dùng chế độ VTP transparent trên tất cả các switch, ngăn ngừa switch khỏi việc lắng nghe các cập nhật VTP từ các switch khác.
Cấu hình VTP
VTP gửi cập nhật ra tất cả các kết nối trung kế (ISL hay Dot1q). Tuy nhiên, nếu theo chế độ mặc định, các switch sẽ trong chế độ server. Nếu tên của VTP Domain không được cấu hình, switch sẽ không gửi ra các cập nhật VTP. Trước khi một switch có thể học thông tin VLAN từ các switch khác, ít nhất một switch phải là VTP server với cấu hình tối thiểu, đặc biệt là phải có tên domain.
Các VLAN bình thường và VLAN mở rộng
Một vài VLAN được xem là bình thường, trong khi một vài VLAN khác được xem là VLAN mở rộng. Các VLAN được xem là bình thường nếu số VLAN nằm trong khoảng từ 1 cho đến 1005 và có thể được quảng bá thông qua VTP phiên bản 1 và 2. Các VLAN này có thể được cấu hình trong chế độ VLAN và được lưu trữ trong file vlan.dat chứa trong flash. Các VLAN mở rộng sẽ trong tầm từ 1006 cho đến 4094. Tuy nhiên các VLAN này không thể được cấu hình trong chế độ VLAN database và không được lưu trong vlan.dat hay không được quảng cáo thông qua VTP. Để cấu hình VLAN mở rộng này, switch phải ở trong chế độ transparent. Cả hai loại giao thức trung kế ISL và dot1q đều hỗ trợ dãy VLAN mở rộng. Ban đầu, ISL chỉ hỗ trợ các VLAN bình thường, dùng 10 đến 15 bit trong ISL header để chỉ ra VLAN. Giao thức 802.1Q dùng 12 bit để chỉ ra thông tin VLAN, vì vậy hỗ trợ các VLAN mở rộng. Sau đó, Cisco điều chỉnh lại giao thức ISL dùng 12 bit để mang thông tin VLAN, vì vậy ISL cũng đã hỗ trợ các VLAN mở rộng.
Lưu trữ cấu hình VLAN
Các switch Catalyst IOS lưu thông tin VLAN và VTP ở một trong hai nơi; hoặc là trong flash gọi là vlan.dat hoặc trong running-config. Hệ điều hành IOS sẽ chọn vị trí của thông tin cấu hình dựa trên thông tin là switch được cấu hình trong chế độ server hay là transparent và một phần dựa vào thông tin là các VLAN là bình thường hay là mở rộng. Bảng dưới đây sẽ mô tả các chế độ cấu hình được dùng để cấu hình VLAN, chế độ VTP và dãy VLAN.
| Chức năng | Khi trong chế độ VTP server | Khi trong chế độ transparent |
| Cấu hình các VLAN trong dãy VLAN bình thường | Cả trong chế độ cấu hình VLAN database và chế độ config | Cả ở VLAN database và trong chế độ config |
| Cấu hình các VLAN mở rộng | Không thể | Chỉ trong chế độ config |
| VTP và các VLAN trong dãy VLAN bình thường được lưu trữ ở? | Vlan.dat trong flash | cả trong vlan.dat và running config |
| Các VLAN mở rộng được lưu trữ ở? | Không được cho phép khi ở chế độ server | Chỉ trong running config |
VLAN trunking: ISL và 802.1Q
Kết nối VLAN trunking cho phép switch, router và ngay cả PC với các card mạng phù hợp gửi traffic cho nhiều VLAN trên một kết nối đơn duy nhất. Để có thể xác định được một frame thuộc về VLAN nào, thiết bị một bên kết nối trung kế sẽ thêm vào header ban đầu của Ethernet. Phần thêm vào này sẽ chứa VLAN ID của VLAN. Nếu hai thiết bị cấu hình trunking, cả hai đầu phải thống nhất với nhau là dùng ISL hay dot1q. Sự khác nhau giữa hai giao thức được thống kê ở bảng sau:
| Đặc điểm | ISL | 802.1Q |
| Kiểu VLAN được hỗ trợ | VLAN bình thường và mở rộng | VLAN bình thường và mở rộng |
| Giao thức định nghĩa bởi | Cisco | IEEE |
| Đóng gói frame ban đầu hay chỉ thêm tag | Đóng gói | Thêm tag |
| Hỗ trợ native VLAN | Không | Có |
Kiểu trung kế 802.1Q chèn vào 4 bytes vào đầu ngay phía sau phần địa chỉ nguồn, được gọi là tag. Các địa chỉ ban đầu của frame không bị ảnh hưởng. Thông thường, một card mạng Ethernet sẽ tìm thấy một trong hai trường Ethernet Type hoặc 802.3 ngay phía sau phần địa chỉ nguồn. Với dạng kiểu làm việc của 802.1Q, hai bytes đầu tiên trong phần địa chỉ chứa một giá trị là 0x8100, có ý nghĩa là chỉ ra frame bao gồm hearder của trunking 802.1Q. Bởi vì 802.1Q không thực sự đóng gói frame, giao thức này thường được gọi là frame tagging.
Hình 4
Đặc điểm native VLAN cho phép một switch cố gắng dùng 802.1q trunking trên một interface, nhưng nếu đầu thiết bị còn lại không hỗ trợ trunking, traffic của native VLAN vẫn có thể được gởi trên kết nối. Mặc định, native VLAN là VLAN 1.
Cấu hình ISL và 802.1q
Cisco switch dùng giao thức DTP để cố gắng tìm xem thiết bị đầu xa của kết nối có muốn hình thành trunking không. Nếu có, giao thức nào sẽ được dùng. Giao thức DTP hoạt động dựa trên các chế độ định nghĩa cho một interface. Cisco switch dùng chế độ mặc định là desirable, trong đó switch sẽ gửi ra các thông điệp DTP và hy vọng rằng thiết bị đầu kia của kết nối sẽ trả lời lại bằng một thông điệp khác. Nếu một thông điệp trả lời được nhận, DTP có thể phát hiện cả hai switch có đồng ý chuyển sang kết nối trung kế hay không, và nếu có, giao thức nào sẽ được dùng. Nếu cả hai switch cùng hỗ trợ trunking, giao thức ISL sẽ được dùng. Khi chế độ desirable được dùng, switch có thể chỉ cần kết nối với nhau và kết nối trung kế sẽ hình thành. Ta có thể cấu hình chi tiết các kết nối trunking này và kiểm tra kết quả bằng lệnh show.
| Lệnh | Chức năng |
| Switchport/no switchport | chỉ ra khi nào một cổng của switch là L2 hay L3 |
| Switchport mode | Cấu hình các thông số DTP |
| Switchport trunk | Cấu hình các thông số trunking nếu cổng là loại trunking |
| Switchport access | cấu hình các thông số nếu cổng không là trunking |
| Show interface trunk | Tóm tắt các thông tin liên quan đến trunk |
| Show interface type number trunk | Liệt kê các chi tiết cho một interface đặc biệt |
| Show interface type number switchport | Liệt kê các chi tiết cho một interface đặc biệt |
Mặc dù kết nối trung kế có thể hỗ trợ cho các VLAN từ 1 đến 4094, có một vài cơ chế được dùng để giảm lưu lượng của một số VLAN chảy trên kết nối trung kế. Đầu tiên, các VLAN có thể bị cấm trên các kết nối trung kế dùng câu lệnh switchport trunk allowed. Ngoài ra, bất cứ một VLAN cũng phải được cấu hình trên switch trước khi VLAN đó được xem là active trên kết nối trung kế. Cuối cùng, VTP có thể prune các VLAN ra khỏi kết nối trung kế, khi đó switch chỉ đơn giản không cần forward frame của VLAN đó trên kết nối trung kế.
Lệnh show interface trung kế sẽ liệt kê các VLAN nằm trong từng nhóm. Các nhóm này liệt kê như sau:
- Allowed VLAN: Mỗi kết nối trung kế mặc định cho phép tất cả các VLAN. Tuy nhiên, các VLAN có thể bị xóa hoặc thêm vào danh sách các VLAN bằng cách dùng lệnh switchport trunk allowed.
- Allow và active: Để được xem là active, một VLAN phải nằm trong danh sách cho phép của kết nối trung kế và VLAN phải tồn tại trong cấu hình VLAN của switch. Khi dùng PVST+, mỗi VLAN sẽ có một phiên bản chạy trên kết nối trung kế này.
- Active và không bị pruned: Danh sách này là một danh sách con của “allowed và active” và không có VLAN nào bị prune.
Trong phần lớn các hệ thống mạng, các kết nối trung kế được cấu hình dùng cùng một chuẩn trên toàn hệ thống. Ví dụ, thay vì cho phép giao thức DTP bắt tay kết nối trung kế, nhiều kỹ sư cấu hình thủ công và tắt giao thức DTP trên các cổng không trung kế. Hệ điều hành IOS có vài lệnh gây ảnh hưởng lên một kết nối trở thành trung kế. Lệnh switchport mode và lệnh switchport nonnegotiate dùng để định nghĩa có hay không việc DTP cố gắng bắt tay hình thành kết nối trung kế. Thêm vào đó, các cấu hình của switchport trên cả hai phía của kết nối sẽ chỉ ra kết nối trung kế có hình thành hay không.
| Lệnh cấu hình trên một phía | Tên viết tắt | Ý nghĩa | Để hình thành trung kế, đầu bên kia phải |
| Switchport mode trunk | Trunk | Luôn luôn trunk trên phía này của kết nối. Dùng DTP để giúp thiết bị đầu kia chọn lựa trunk. | On, Desirable, auto |
| Switchport mode trunk Switchport nonnegotiate |
Nonegotiate | Luôn luôn trunk trên phía này của kết nối. Không gửi ra các thông điệp DTP. Phù hợp khi thiết bị còn lại là non-Cisco | On |
| Switchport mode dynamic desirable | Desirable | Gửi ra DTP và trunk nếu thành công | On, desirable, auto |
| Switchport mode dynamic auto | Auto | Trả lời lại các thông điệp DTP và trunk nếu bắt tay thành công | On, Desiable |
| Switchport mode access | Access | Không bao giờ trở thành trunk, gửi DTP để giúp đầu bên kia chọn lựa cùng một trạng thái | (Nerver trunks) |
| Switchport mode access Switchport nonegoatiate |
Access with nonegotiate | Không trunk, không gửi ra thông điệp DTP | Không trunks |
Cấu hình trunking trên router
Kết nối trung kế có thể được dùng giữa một bên là router/host và một bên là switch. Tuy nhiên router không hỗ trợ DTP vì vậy, ta phải cấu hình thủ công kết nối trung kế. Thêm vào đó, bạn phải cấu hình phía switch để có thể trung kế được vì router không tham gia vào DTP. Phần lớn các router cấu hình trunking dùng subinterface trong đó mỗi subinterface thuộc về một VLAN. Các chỉ số của subinterface không nhất thiết phải trùng với chỉ số VLAN ID mà nó thuộc về. Thay vào đó, phải có lệnh encapsulation trong từng subinterface với số VLAN là một phần của lệnh này. Ngoài ra, một thiết kế tốt sẽ chỉ ra một IP subnet cho từng VLAN. Nếu router muốn chuyển các gói tin IP giữa các VLAN, router cần phải có một địa chỉ IP kết hợp với từng subinterface.
Bạn có thể cấu hình native VLAN trong một subinterface hay dưới cổng vật lý của một router. Nếu cấu hình ở dưới subinterface, bạn có thể dùng lệnh encapsulation dot1q VLAN-id native, trong đó từ khóa native có nghĩa là các frame của VLAN này sẽ không bị tagging. Địa chỉ IP cũng phải được cấu hình trên subinterface đó. Nếu bạn không cấu hình trên subinterface, router sẽ giả sử native VLAN sẽ kết hợp với cổng vật lý. Trong trường hợp này, lệnh encapsulation là không cần thiết trong cổng vật lý. Tuy nhiên, địa chỉ IP tương ứng phải được cấu hình trong cổng vật lý. Cũng lưu ý rằng router không có định nghĩa tường minh những VLAN nào là cho phép. Các VLAN được cho phép được ngầm định dựa trên các VLAN được cấu hình.