林志祥的網誌分享

這裡有一台交換器目前除了vlan1以外沒有其他手動設定的vlan。 Gi1/0/24跑trunk port，允許所有vlan，但因為目前vlan資料庫裡面只有vlan1，所以最終結果只允許vlan1通過此trunk。 我們把Gi1/0/1塞到vlan98，因為vlan98沒有在vlan資料庫裡，所以系統很貼心的幫我們自動新增vlan98。 vlan資料庫確實自動新增vlan98。 Gi1/0/24跑trunk port，允許所有vlan，但因為目前vlan資料庫裡面只有vlan1和vlan98，所以最終結果只允許vlan1和vlan98通過此trunk。 新增interface vlan 99 發現這個虛擬的介面居然是down down，肯定不能用啊。 我們查詢vlan99，發現系統沒有自動新增vlan99。 最終結果只允許vlan1和vlan98通過此trunk，沒有改變狀態。 不得已只好手動新增vlan99在資料庫裡。 虛擬的介面vlan99 up up起來了。 最終結果只允許vlan1、vlan98和vlan99通過此trunk。 結論： 這兩個和vlan相關的設定還蠻相似的，所以常常有人會混淆或是搞不清楚vlan什麼時候會自動新增，什麼時候又不會，其實設定完後用show vlan檢查vlan資料庫裡確認有無這個vlan才是最保險的，至少vlan資料庫一定要有這個vlan id才會有作用，因此設定的正確步驟一定是先把這個交換器上相關vlan先手動建立出來，後續再去做vlan相關的設定才不會有問題。

客戶給你一個交換器vlan的設定需求如下 ： 埠 型態 vlan 多少 port1~port8 access vlan1 port9~port16 access vlan10 port17~port23 access vlan20 port24 trunk vlan1,10,20 (native vlan 1) 如果交換器是Cisco的話，你大概五分鐘可以設定完，但是交換器廠牌不是只有Cisco，還有像是HP、D-link、Zyxel、Extreme、Juniper等之類的，雖然觀念都一樣802.1Q，但是指令還是略有差異，比較低階的可能還只能用網頁設定，不過有個設定想法還蠻常見的。 vlan untag tag vlan1 1~8,24 vlan10 9~16 24 vlan20 17~23 24 以vlan1來看，port1~port8是access port所以是untag vlan，因為port24是trunk，預設是native vlan1，所以也是untag vlan。 以vlan10來看，port9~port16是access port所以是untag vlan，因為port24是trunk，又有允許通過，所以是tag vlan。 以vlan20來看，port17~port23是access port所以是untag vlan，因為port24是trunk，又有允許通過，所以是tag vlan。 以下舉一個H3C的交換器(目前已被HP併購)做例子設定。 以上是用網頁版的方式來設定vlan。 最後我們設定的結果也跟我們做的表格一樣，跟其他交換器做trunk對接驗證也正常。 用此想法設定上圖D-link的交換器就變的十分輕鬆了。 有些交換器還支援純文字介面的這種設定方式，很像在用BBS，挺有趣的(笑)。 ...

有時候我們想讓交換器回到預設的設定值，我們會打write erase指令，但是重開之後發現設定好像沒有這麼乾淨，為什麼Vlan的設定都沒有清掉。 原因是因為如果你的vtp模式是server或是clinet的話，他的vlan資訊是存在vlan.dat這個檔案裡，這時候我們有兩個作法，第一個是砍掉vlan.dat檔。 由於我這台是模擬器，一般預設位置是在flash裡，檔名是vlan.dat。 補一張真實環境的圖。 重開之後果真vlan不見了。 第二種作法是把vtp模式改成transparent或是off，你會發現設定檔會多一行vlan 2,10,20,30,40,50，因為他會把vlan的設定都寫在設定檔裡而不使用vlan.dat了。 還有一個常見的問題會發現在置換設備的時候，比方說ASW2壞掉了，請你拿一台備品去換，原本ASW2跟上下交換器都跑trunk，允許vlan 1,100,200,300,400,500通過。 因為我們有備份的設定檔，所以我們把舊的設定整個複製貼上，如果介面上有的vlan的話他會自己新增。 但是接在1F-01 vlan500上的 PC1無法到達Gateway，我們看了一下ASW2上的trunk資訊，奇怪怎麼少了vlan500。 原來是因為vlan500沒有在ASW2的interface上，所以就算設定檔整個貼上去也不會自動新增，vlan500是存在vlan.dat上，我們要手動新增vlan500上去。 PC01就可以PING到Gateway了，沒有新增vlan500之前不行。 結論：你的Vlan id的流量要回到核心交換器上，中間流量所有經過的交換器都要有這個Vlan id，不然中間的交換器收到這個帶vlan id的frame就會直接丟棄了。