0.1 cisco - epaper.gotop.com.twepaper.gotop.com.tw/pdfsample/acr008900.pdf · 複習關鍵詞彙...
TRANSCRIPT
讀書計劃 讀者拿到這本書可能就已經開始在看(或快速翻閱)簡介了,也許正在猶豫是
否應該從這裡讀起,或直接跳到第 1章「建置乙太虛擬區域網路」開始閱讀。
請先停止閱讀本節關於針對諸位參加考試(ICND1 100-105、ICND2 200-105、和/或 CCNA 200-125)如何建立讀書計劃之一事。如果讀者先花時間(也許 15分鐘)思考一些關於如何學習的幾個重點,後續的學習之路就會順暢許多。本
節就是要幫讀者達到此目的。
0.1 Cisco認證考試上的觀點 Cisco為通過 ICND1、ICND2、和 CCNA R&S的考試築起了相當高的門檻。大多數人皆能透過學習來通過這些考試,但過程無法速成,而且還需要支付考試
的費用。
這些考試的挑戰來自四面八方,除了涵蓋眾多觀念之外,同時也包括許多僅適
用於 Cisco 設備的命令。這些 Cisco 考試除了要求廣泛的知識,也需要深厚的底子。考生必須能夠分析及預測網路實際上所發生的狀況,也必須能設定
Cisco 裝置使其在網路上正常運作;而且當網路運作不正常時,更要隨時準備好排除故障問題。
解決這些考試中更具挑戰性的考題很像是在玩拼圖遊戲,但房間少了五分之四
的拼片。想要解決這種難題,心裡要能重建缺少的拼片。在重建的過程中,必
須要知道每一個網路概念,並且瞭解這些概念是如何連貫起來。
舉例來說,ICND2考試包含許多故障排除的主題,像是開放式最短路徑第 2版(OSPFv2)的故障排除。OSPFv2 可能無法與另一台相鄰的路由器形成鄰居關係。但是一個更具考試性的問題會讓你思考路由器遺失路徑的原因,且該症狀
的根本原因可能與 OSPF 鄰居有關。接著問題可能會提供你部分的線索,比如圖 1拼圖遊戲中的白色拼片。你必須將 IP路徑和 OSPF理論知識應用於與其他一些拼片有關的事情上。
圖 1 利用你的分析能力來完成拼圖
解決上述問題所需的技能不光是靠閱讀及背誦書中你所看的內容,無庸置疑的
是本書尚有許多其他的內容有待讀者閱讀,把各別的概念互相連貫起來。書中
的實作練習佔了大部分的篇幅,為的是幫助讀者建立解決網路問題所需的技能。
0.2 讀書計劃的五大步驟 即使這些考試充滿挑戰性,但每天還是有不少人通過考試。因此,除了閱讀並
記住所有的內容外,還需要做些什麼才能順利通過呢?答案是需要鍛鍊技能,
特別是要付出額外的努力來連結每個相關的概念。在讀者一頭栽入這個令人既
興奮又有挑戰性的 Cisco 網路設備學習之路以前,本書接下來的幾頁要提出五個關鍵的建議,讓讀者更有效率地培養這些技能與概念的整合。
0.2.1 第 1步:依篇章角度來思考 學習計劃的第一步是建立有關你想完成的任務之特性與數量的正確思維模式。
這本書非常厚實,千萬別把此書視為一個大型的任務,否則徒有無力感而已。
此外,讀者也不可能坐下來一次讀完這多達 900 頁以上的書。因此必須把大任務切割成數個小任務。
好消息是本書設計成多個界線分明的複習活動。簡言之,本書不光是一本書,
更是一套學習系統。
首先以圖形化方式把本書分成七篇,接著再以圖形化方式把每一篇平均分成四
章。這樣的讀習計劃可以清楚看出每一篇的所有章節,然後在進到下一篇之前
複習該篇的教材,如圖 2所示。
CCNA Routing and Switching ICND2 200-105 專業認證手冊4
圖 2 共分七篇,每篇平均四章並含篇章複習
現在你的計劃如下:
1個大型任務:讀完並精通書中的所有內容
7個中型任務/書本:讀完並精通某一篇
4個小型任務/篇章:讀完並精通某一章
0.2.2 第 2步:根據章節建立讀書習慣 以第 2 步來說,可能是最重要的一步,在開始每一新章之前, 先確定目前的東西都已經熟讀瞭解。
每一章有三個地方採用相同的設計,如圖 3 所示。章前的自我評量測驗是要幫助讀者決定要花多久的時間閱讀,以及要不要略過章節的主要內容(即基本主題)。章節複習一節會指示有關研讀的方式與複習閱讀的地方。
圖 3 每一章建議著手閱讀的流程
讀書計劃 5
本書刻意不讓章節過於冗長,故基本主題平均是 22 頁上下。因為頁數在合理的範圍之內,使讀者能在一兩個簡短的學習階段完成一個章節。在開始進入一
個新章節的學習階段時,想想你有機會完成這一個章節,或至少有個很好的開
始。況且如果沒有足夠的時間,找一下章節裡的主要標題,每一章都會有兩到
三個主要標題。每個主要標題亦是不錯的休息點,等有時間的時候再繼續閱讀
完剩下的章節內容。
章節複習任務極為重要,它能左右你的考試成功與否。在章節的最後有做複習
任務的話,必能幫助讀者做好準備。不要拖延到以後才想要做這些複習任務!
因為章節複習任務可以幫助你在第一時間加深對關鍵主題的印象與技能、記住
相關用詞,並將你腦海裡的觀念串連起來,使你融會貫通。下列是「章節複習」
一節的主要活動:
複習關鍵主題
複習關鍵詞彙
回答自我評量測驗
動手做實驗
複習記憶表
複習設定步驟清單
複習指令表
詳情見本單元的「從 Web和 DVD找尋複習活動」小節。
0.2.3 第 3步:使用篇章的主要理程碑 研究顯示,欲精通觀念和/或技能,建議規劃多個學習階段來複習觀念與磨練技能。每章最後的「章節複習」小節就是第一個會遇到的複習單元,而每篇最
後的篇章複習是第二個遇到的複習單元。
請利用每一篇最後的篇章複習元單來規劃所需的時間。建議讀者預估章節複習
所花的時間和你在整個章節上一樣多,甚至某些篇多出一點時間都沒關係。就
規劃時間而言,可以把篇章複習本身想成是另一個章節。
圖 4列出本書的篇名與不同的顏色。注意第一、四、五篇與 IPv4有關。第一篇和第三篇分別與 LAN和WAN有關。圖的上方顯示本書的最後兩篇,第六篇介紹 IPv6,第七篇介紹一些雜項主題:網路管理、雲端和可程式化網路。每一篇最後的篇章複習頁數大約是 2 到 4 頁,其中說明了該使用的工具和活動有哪些。
CCNA Routing and Switching ICND2 200-105 專業認證手冊6
圖 4 以篇章作為主要里程碑
章節複習與篇章複習在某些方面不同。前者偏向提供許多的線索,讓讀者可以
專心在學習特定的知識或技能。後者則拿掉許多的線索,更像是現實生活和真
正考試一般。拿掉線索就表示你必須依靠自己所學的知識與技能,如此一來你
的弱點將無所盾形。發現的弱點越多,自然就會去學你所缺少的部分,考試就
能準備的更周全了。
篇章複習一節除了採用下列類型的工具之外,也採用一些和章節複習相同的工
具:
心智圖
使用 PCPT的篇章複習測驗
實驗
另外,還要為自己設定完成本書每一篇的目標日期,以及自我獎勵!獎勵什麼
都好,包括與家人相處的一段時間、到戶外鍛練身體、或吃一些好吃的食物,
只要能夠打起精神,激發鬥志朝下一篇繼續前進就行了。
0.2.4 第 4步:利用總複習來改進技巧並發現弱點 第 4 步有個綜合任務:在讀完本書並在參加考試之前,依照本書最後一章(第29章「總複習」)所說的內容來做。
總複習一章有兩個主要目標。首先,它能幫助讀者進一步培養回答更複雜考題
所需的分析技能。許多考題都需要讀者俱備能統合概念、設定、檢驗,及故障
排除的能力。越接近考試的日子,就越不需要看書,反而是要做更多其他的學
習活動。本章的任務能提供讀者進一步培養這些技能。
其次,本章的任務還能幫助讀者找到自己脆弱的地方。你可以重複挑戰困難度
高的題目,用以發現你自己知識不足之處。許多題目都是刻意設計用來測試你
最常見的錯誤及誤解,幫助讀者避免在實際考試中碰到常見的一些陷阱。
讀書計劃 7
0.2.5 第 5步:設定目標並追蹤進度 學習計劃的第 5 步是關係到整個學習時間,在開始閱讀本書及練習其餘的學習任務之前,先花點時間制定計劃、設立一些目標,並準備追蹤自己的進度。
讀者不一定喜歡將任務列成清單,雖然這取決於一個人的個性,但設定目標有
助於針對這些考試的學習。在設定目標時,需要先知道打算完成哪些任務。
注意:除了考試學習之外,假如讀者決定在讀完這節之後想要嘗試並把目標設定做
得更好,可以到部落格看看筆者寫的一系列有關網路職涯規劃 http://blog. certskills.com/ccna/tag/development-plan/。
至於列出學習時的任務清單,只需概略地列出即可。(可以列出每章結尾「章
節複習」中的每個單一任務、在篇章複習中的每一個任務,以及最後一章總複
習的每一項任務。)無論如何,列出主要的任務就足夠了。
讀者應該為每一章追蹤至少兩個任務:閱讀「基本主題」與完成「章節複習」。
當然,也不要忘了為篇章複習及總複習列出任務清單。表1是本書第1篇的範例。
表 1 部分計劃表的範例
單元 任務 目標日期完成的第 一個日期
完成的第二個 日期(非必要)
第 1章 閱讀基本主題
第 1章 做章節複習任務
第 2章 閱讀基本主題
第 2章 做章節複習任務
第 3章 閱讀基本主題
第 3章 做章節複習任務
第 4章 閱讀基本主題
第 4章 做章節複習任務
第 5章 閱讀基本主題
第 5章 做章節複習任務
第 6章 閱讀基本主題
第 6章 做章節複習任務
第一篇複習 做篇章複習活動
注意:本書 DVD 中的附錄 F「學習計劃」包含一個完整計劃的核對清單,類似於上述表 1 的任務清單。該試算表允許更新並儲存檔案,用以記下讀者的目標日期及已經完成的任務。
CCNA Routing and Switching ICND2 200-105 專業認證手冊8
要把目標日期當做是管理自我學習的一種方式,不要把它當做是學習進度落後
時使自己灰心洩氣的方式。要安排自己能力所及的合理日期。在設定目標時,
先考量自己的閱讀速度及每章「基本主題」的內容長度(列於內容的表格中)。如果比原計劃提前完成某個任務時,可將後續幾個目標日期往前推進。
如果讀者落後了一些時日,不要就此略過各章末尾的任務練習!相反地,要去
回想到底是什麼影響了自己的日程安排,譬如現實的生活因素、承諾等等,這
時需要調整自己的目標或是更加努力地學習。
0.3 在開始看第一章以前所要做的事 現在各位應該瞭解到良好的學習計劃是有很大的學問,花點時間做一個小小的
動作是值得的。在看完此節之前,看看現在或是在你閱讀前幾章的時候應當做
的其他任務,以期在本書中有個好的開始。
0.3.1 從Web和 DVD找尋複習活動 舊版書的複習活動要配合章節和 DVD 上的 PDF 附錄來使用。一些活動也需要搭配 PCPT測驗軟體才能進行。
此版是 Cisco Press第一本提供一整套 App用來取代傳統學習方式的認證專業手冊。簡介中「絕殺的新特色:複習 App」一節已說明過一些原因。
作者鼓勵讀者前往書本專用網站下載複習 App 並試用看看。此外,DVD 中也能找到複習 App。兩種方式皆以篇與章為單位來安排複習活動。
當然,本書也有包含傳統的複習做法與指示,且某些情況需要用到 PDF附錄。比方說,所有的關鍵主題可以從專用網站及翻書進行複習,讀者可以自行選擇。
0.3.2 兩科考試與單科考試的比較 為了取得 CCNA R&S 認證,單科或兩科考試的路線皆可。到底該選擇哪一種?以下是筆者多年來參考讀者意見與交談之後的見解,如果兩件事情都吻合,那就
選擇單科考試的路線:
透過以往的經驗或學習,你已經知道大約一半的主題
你已經證明你自己對於自學特別有一套
否則,筆者認為採取兩科考試的路線方為上策。首先在價格方面,對大多數人來
說單科考試並不會省到多少錢。請確認在你的國家考試的費用,針對 ICND1、ICND2,及 CCNA 互相比較一下。假設讀者第一次就通過考試,就過去而言,ICND1 + ICND2的路線和 CCNA路線的考試費用是一致的。或是假設你每一科考試都各失敗一次的話,費用也是相等。
接著考慮主題的數量。從內容來看,CCNA = ICND1 + ICND2,兩種路線所學的內容也相同。
讀書計劃 9
假設你在學校,你會想要每個學期考一次試還是一整年考一次試?相信畢其功
於一役的單科考試比較難準備,因此兩科考試仍有其優點。
最後一點,最常被拿來比較雙科考試的理由是讀者很可能從未有過 Cisco 考試的經驗。筆者建議在你的職涯中盡量爭取通過 Cisco 考試的機會。雙科考試路線讓你可以較早嘗試第一次的考試,且考試的經驗可以教會你很多事,沒有一
個學習工具可以辦到。
0.3.3 給參加 200-125 CCNA考試的考生一些學習選擇 學習雙科路線的方式很明顯:ICND1 一書用於 ICND1 考試,ICND2 一書用於ICND2考試,既簡單又明瞭。
若讀者打算參加 200-125 CCNA R&S考試,有兩種學習途徑可供選擇。首先澄清:200-1250 CCNA考試涵蓋了 ICND1及 ICND2這兩本書籍的所有主題,因此 ICND1及 ICND2二書包含 200-125 CCNA R&S考試所有的一切。只有一個問題是:何時閱讀兩本書的每一篇。當參加單科考試時,有兩個合理選項:
先讀完 ICND1一書,然後再讀 ICND2這本書。
根據主題(以篇為單位)在 ICND1及 ICND2這兩本書之間來回閱讀,如圖 5所示。
圖 5 另一種 CCNA的讀書計劃:在兩本書各篇之間來回閱讀
CCNA Routing and Switching ICND2 200-105 專業認證手冊10
第一種做法的閱讀方式相當顯而易見,但第二個卻是不太容易理解。圖 5 顯示當你先後讀完 ICND1 與 ICND2 的乙太網路篇的時候之學習計劃。同理,先後讀完 ICND1 與 ICND2 的 IPv4 篇,接著是兩本書的 IPv6 篇,然後是兩本書的總複習篇。
以個人來說,筆者傾向全部讀完 ICND1 的書,然後才去看 ICND2。不過,對於已經擁有豐富經驗的讀者來說,這種閱讀計劃也是不錯的選擇。
0.3.4 在開始閱讀前的其他小任務 讀者需要做一些必要的工作以便安裝軟體、找到一些 PDF檔案等等。讀者現在就可以執行這些工作,或者也可以在閱讀本書前幾章的休息空檔時才執行它們。但
做這些工作要趁早,如果在安裝上出了問題,在需要一個特定工具來解決之前,
還有時間來處理。
在 Cisco 學習網路(CLN,http://learningnetwork.cisco.com)註冊(免費),並加入 CCENT/CCNA R&S 的學習小組。這個小組允許你參加有關 ICND1、ICND2 和 CCNA R&S 考試的討論。透過註冊、加入學習小組、並設定一個電子郵件篩選器,可將相關訊息引導至一個單獨的目錄中。即使沒有時間閱讀所
有收到的電子郵件,但當有空閱讀時,即可藉由這些郵件找到令人感興趣的主
題;或者直接從 CLN網站來搜尋這些郵件。
請打開簡介「如何取得電子書」一節所說的電子書,其中包含 PCPT 和 Sim Lite軟體的安裝說明。
此 外 讀 者 可 以 到 筆 者 的 部 落 格 , 將 設 定 實 驗 的 網 頁 ( 網 址 是http://blog.certskills.com/ccna/category/hands-on/config-lab)加入到書籤,對於日後的學習必能派上用場。
0.4 現在就開始 現在讀者可以開始潛心鑽研這許多既簡短又好管理的任務,第一個任務是:閱
讀第 1章,這剛好和 ICND1書本中所涵蓋的一些主題相同。好好享受它吧!
ICND1涵蓋一半的 CCNA R&S考試主題,包括乙太區域網路和 LAN交換技術
的基礎知識。ICND2專業認證手冊的第 1篇係建立在該知識的基礎上,還有六
個章節與區域網路和區域網路交換技術章節有關。
第 1 篇深入討論兩大主題:擴展樹協定(STP)和 VLAN Trunking 協定
(VTP)。每個主題均包括設定、檢驗及故障排除單元。第 2章和第 3章深入探
討 STP,這是一項需要基本配置技能的交換器功能,讀者必須經過深思熟慮才
能夠掌握檢驗和故障排除的精髓。第 5章討論 VTP以及如何通告網路上的交換
器學到有關的 VLAN配置,並進一步探討故障排除。
除了主要重點放在 STP和 VTP之外,第 6章還介紹幾個新主題:802.1x、AAA
驗證、DHCP偵聽,以及交換器堆疊。
除了有四個章節(第 2、3、5、6 章)採用全新教材之外,倘若讀者還記得
CCNA R&S認證前半部 ICND1的大部分內容,則第 1章和第 4章複習一些你
已經熟悉的主題。第 1章討論 VLAN和 VLAN trunk,因 ICND1和 ICND2考
試包含重複的主題,所以兩本書皆含重複主題的相同章節。對於那些閱讀
《CCENT/CCNA ICND1 100-105專業認證手冊》的人來說,特別是該書的第 11
章,請利用本書第 1 章進行複習。以確保讀者回憶起細節,並快速瀏覽該章
節。
第 1篇
乙太區域網路
第 1 章:建置乙太虛擬區域網路
第 2 章:擴展樹協定概論
第 3 章:實作擴展樹協定
第 4 章:排解區域網路的問題
第 5 章:虛擬區域網路 Trunking 協定
第 6 章:其他的區域網路議題
第 1 篇 總複習
建置乙太虛擬區域網路
本章涵蓋下列考試主題:
1.0 LAN交換技術
1.1 設定、檢驗,以及排除 VLAN(標準/擴充範圍)擴展多台交換器的異常問題
1.1.a 存取埠(資料和語音)
1.1.b 預設 VLAN
1.2 設定、檢驗,以及排除交換器之間連接性的異常問題
1.2.a 新增與移除 trunk上的 VLAN
1.2.b DTP與 VTP(v1和 v2)
交換器邏輯的許多地方都和 VLAN 脫不了關係。訊框轉送是按照 VLAN 來進
行,MAC的學習會在 MAC表中新增項目,且這些項目都包含相關的 VLAN。
甚至每個 VLAN通常會用上擴展樹協定(Spanning Tree Protocol,STP),因
此 STP是本書第 1篇的重點。
本章將解釋在 VLAN環境下,有哪些交換器的核心功能參與其中。本章分成兩
個主題,第一節談的是 VLAN概念,第二節是設定與檢驗工作。這些主題涵蓋
了 VLAN、VLAN 主幹通訊(trunking)、VLAN 之間的路由,以及語音型和
資料型 VLAN。第 4 章「排解區域網路的問題」將從故障排除的角度再度檢視
上述一部分的主題。
假如你是 ICND1 專業認證手冊的讀者,請注意本章與 ICND1 100-105 專業認
證手冊的第 11章雷同。這是因為 ICND1與 ICND2認證考試均包含有關本章大
部分內容的特定考試主題。針對重複的考試主題,兩個章節之間採用相同的內
容,為的是希望讀者能夠記住許多有關這些主題的知識,且能迅速看完此章。
若是不熟悉的讀者,把它視為一般的章節即可。
1.1 「自我評量」測驗 本章或是 PCPT 軟體的「自我評量」測驗可協助讀者衡量作答所花的時間。答
案就在評量的最後。詳細的答案說明內附在 DVD光碟附錄 C與 PCPT軟體。
表 1-1 基本主題與測驗題對照表
基本主題 測驗題
VLAN的概念 1-3
VLAN與 VLAN Trunking的設定及檢驗 4-6
1. 在區域網路當中,下列哪一個術語最能相當於 VLAN一詞?
a. 碰撞領域
b. 廣播領域
c. 子網路
d. 單一交換器
e. 主幹(Trunk)
2. 如果有一台交換器設定了三個 VLAN,假設所有 VLAN中的所有主機都使
用 TCP/IP,請問需要多少個 IP子網路?
a. 0
b. 1
c. 2
d. 3
e. 線索不足,無法判斷
3. 交換器 SW1利用 802.1Q trunking協定傳送乙太網路訊框到交換器 SW2。
在 SW1轉送訊框到 SW2之前,下列何者是描述改變該訊框的方式?
a. 插入一個 4位元組的標頭,並改變 MAC位址
b. 插入一個 4位元組的標頭,但不改變 MAC位址
c. 封裝原來的訊框到一個完全新的乙太網路標頭的後面
d. 以上皆非
4. 假設你在交換器 1 上針對 Fa0/5 介面(連接到交換器 2)的 trunking 設定
dynamic auto 參數。在交換器 2 上,下列哪些設定能使 trunking 運作?
(請選擇兩個答案)
a. on b. dynamic auto c. dynamic desirable d. access
CCNA Routing and Switching ICND2 200-105 專業認證手冊16
5. 有一台剛出廠的 Cisco交換器並未設定任何的 VLAN,但 VTP已被停用。
工程師進入設定模式後,先下達 vlan 22 命令,接著是 name Hannahs-VLAN命令。下列何者正確?(請選擇兩個答案)
a. show vlan brief命令的輸出列有 VLAN 22。
b. show running-config命令的輸出列有 VLAN 22。
c. 該程序並未建立 VLAN 22。
d. 除非至少有一個介面被分配到 VLAN 22,否則交換器上不存在該
VLAN。
6. 下列哪些命令能識別使用 trunking 協定的交換器介面,也就是目前以
VLAN trunk運作的介面?(請選擇兩個答案)
a. show interfaces b. show interfaces switchport c. show interfaces trunk d. show trunks
基本主題
1.2 虛擬區域網路的概念 在瞭解 VLAN 之前,必先具體瞭解 LAN 的定義。舉例來說,從某個角度來看,
LAN包括了在同一個場所之中所有的使用者裝置、伺服器、交換器、路由器、
電纜,及無線 AP。然而從狹義的角度來看,卻能幫助我們理解 VLAN 的概念:
LAN含括同一個廣播領域中的所有裝置。
廣播領域包含了所有與 LAN 連接的設備,當中的任何設備傳送廣播訊框時,
其他的所有設備都會得到該訊框的複本。所以從某個角度來看,LAN與廣播領
域基本上是同一件事情。
如果沒有 VLAN,交換器會認為它的所有介面都在同一個廣播領域中。也就是
說,當廣播訊框進入交換埠時,該交換器會將該訊框轉送給所有其他的埠口。
按照這個邏輯,若是要建立兩個不同 LAN 的廣播領域,非得購買兩台不同的
乙太區域網路交換器才行,如圖 1-1所示。
圖 1-1 不使用 VLAN的兩台實體交換器所建立的兩個廣播領域
Chapter 1 建置乙太虛擬區域網路 17
隨著對 VLAN的支援,交換器可以達到與圖 1-1的設計同樣的目標,即使用一
台交換器建立兩個廣播領域。有了 VLAN,交換器得以將一些介面設定在某個
廣播領域,將另一些介面設定給另一個不同的廣播領域。交換器上這些個別的
廣播領域統稱為虛擬區域網路(virtual LAN,VLAN)。
舉例來說,圖 1-2的一台交換器建立了兩個 VLAN,不同 VLAN的埠口被視為
完全隔離的。這台交換器永遠不會將 Dino所傳送的訊框(在 VLAN 1)轉送給
Wilma或 Betty(在 VLAN 2)。
圖 1-2 使用一台交換器及 VLAN來建立兩個廣播領域
園區 LAN的設計通常會運用大量的 VLAN ,而每個 VLAN涵蓋較少的設備,
在許多方面往往有助於改善 LAN 的環境。舉例來說,任何一台主機所傳送的
廣播訊框只會被同一個 VLAN 中其他所有的主機接收及處理,不同 VLAN 的
主機不會收到廣播。VLAN 藉由限制接收相同廣播訊框的主機數量,以減少浪
費資源來處理不需要廣播訊框的主機數量。因為收到廣播訊框的主機變少了,
安全風險跟著降低。上述例子只是將主機分散在不同 VLAN的一些原因,以下
總結建立較小廣播領域(VLAN)的最常見理由:
減少接收廣播訊框的設備數量,降低每台設備所消耗的 CPU資源。
減少接收交換器洪泛(廣播、群播,及未知的單點傳播)訊框的複本,降低安全風險。
將這些主機分隔在不同 VLAN,提高傳送機密資料的主機安全。
根據不同的部門或工作群組來分隔使用者,不受地理位置的限制,以建立更有彈性的設計。
將故障設備限制在同一個廣播領域,能更快地排除領域的問題。
將 VLAN限制在單一的交換器上,降低 STP的負擔。
本章雖不打算對上述的所有理由做進一步解釋,然而讀者必須知道大多數企業
網路都使用 VLAN。本章其餘部分將深入探討跨越多個 Cisco交換器的 VLAN
「自我評量」測驗答案
1. B。2. D。3. B。4. AC。5. AB。6. BC。
CCNA Routing and Switching ICND2 200-105 專業認證手冊18
運作機制及所需的設定。下一節探討 VLAN 的 trunking 協定,它是 VLAN 能
同時存在於多個 LAN交換器上所需的功能。
1.2.1 使用 Trunking建立多台交換器之間的 VLAN 在一台交換器上設定 VLAN,只需為每個埠口設定所屬的 VLAN編號即可。然
而若在多台交換器之間進行配置,就要多考慮資料流在交換器之間轉送的概念。
當使用 VLAN的網路存有多台相互連接的交換器時,這些交換器之間的鏈路需
要使用 VLAN trunking協定。VLAN trunking使用一種稱為 VLAN標記(VLAN
tagging)的程序,此程序在交換器傳送訊框越過 trunk 之前,會先在訊框新增
一個 trunk 標頭。這個標頭擁有一個 VLAN 識別碼(VLAN ID)欄位,傳送端
的交換器利用它把訊框和特定的 VLAN ID 關聯在一起,而接收端的交換器利
用它就能得知每個訊框所屬的 VLAN。
圖 1-3 展示多台交換器所使用的 VLAN,但未使用 trunking 協定。該圖的設計
採用兩個 VLAN,分別是 VLAN 10及 VLAN 20。每台交換器在每個 VLAN中
各有兩個埠口,因此每個 VLAN皆存在於兩台交換器上。為了在兩台交換器之
間轉送 VLAN 10的流量,該設計在交換器之間連接一條 VLAN 10專屬的鏈路。
同樣地,為了在交換器之間支援 VLAN 20 的流量,本設計在交換器之間連接
了另一條 VLAN 20專屬的鏈路。
圖 1-3 多台交換器的 VLAN未使用 VLAN Trunking
圖 1-3 的設計運作相當正常。例如,PC11(在 VLAN 10)可以傳送訊框到
PC14。該訊框流入 SW1,再流經上端的鏈路(在 VLAN 10中)到達 SW2。
雖然圖 1-3 的設計可以運作,但基本上不利於擴充,因為它要求在交換器之間
以一條實體鏈路來支援每個 VLAN。假如使用 10或 20個 VLAN,該設計在交
換器之間就要連接 10或 20條鏈路,佔用 10或 20個交換埠(每個交換器上)
來提供那些鏈路。
VLAN標籤概念
VLAN trunking 在交換器之間所建立的一條鏈路能夠支援所需的全部 VLAN。
因為這條鏈路是個 VLAN trunk,使得交換器把此鏈路視為所有 VLAN 的一部
Chapter 1 建置乙太虛擬區域網路 19
分。因為 trunk能將流經它的 VLAN資料流各自分開,並能以 VLAN編號來識
別每一個訊框,因此 VLAN 10的訊框不會傳送到 VLAN 20的設備中,反之亦
然。圖 1-4以一條連接兩台交換器之間的實體鏈路來展示這個概念。
圖 1-4 多台交換器的 VLAN使用 Trunking
trunking 透過為乙太網路訊框增加一個小標頭,讓來自於多個 VLAN 的訊框得
以穿越同一條實體連線。舉例來說,在圖 1-5的步驟 1中,PC11在介面 Fa0/1
傳送一個廣播訊框。交換器 SW1 為了洪泛該訊框,需要將訊框轉送給交換器
SW2。然而 SW1必須讓 SW2知道該訊框屬於 VLAN 10,以便 SW2收到該訊
框後,只將它洪泛到 VLAN 10,而不會進入 VLAN 20。因此圖的步驟 2 中,
SW1 在傳送訊框之前,在原始訊框的身上新增 VLAN 標頭,此標頭的 VLAN
ID為 10。
圖 1-5 兩台交換器之間的 VLAN Trunking
當 SW2 收到該訊框時,檢查 VLAN 標頭內的 VLAN ID,知道它來自 VLAN
10。然後 SW2刪除該標頭,再將原始訊框轉送到自身屬於 VLAN 10的介面上
(步驟 3)。
VLAN 20
VLAN 10
SW1 SW220 10 20 10 20
CCNA Routing and Switching ICND2 200-105 專業認證手冊20
再舉 PC21(在 VLAN 20)傳送廣播訊框的例子。SW1將來自 PC21的訊框傳送給 Fa0/4 埠(屬於 VLAN 20)及 Gi0/1 埠(它是 trunk,能支援多個不同的VLAN)。SW1 為離開 Gi0/1 埠的原始訊框增加了一個 trunking 標頭,其中的VLAN ID為 20。在 SW2確認該訊框屬於 VLAN 20之後,便剝除 trunking標頭,SW2只把訊框轉送給同屬於 VLAN 20的 Fa0/3及 Fa0/4埠,而不是 Fa0/1及 Fa0/2埠,因為它們是在 VLAN 10。
802.1Q及 ISL的 VLAN Trunking協定 Cisco 多年來支援兩種不同的 trunking 協定,分別是跨交換器鏈路( Inter-Switch Link,ISL)及 IEEE 802.1Q協定。Cisco在 802.1Q出現後不久就創建了 ISL,部分原因是 IEEE 當時尚未定義 VLAN 的 trunking 標準,直到多年以後 IEEE才完成了 802.1Q標準的定義,但它是以不同的方式來實現 trunking。現今,802.1Q已是最熱門的 trunking協定,而一些較新型的 Cisco LAN交換器甚至已不再支援 ISL,包括本書範例中所使用的 2960交換器。
雖然 ISL與 802.1Q皆會替每一個訊框新增 VLAN ID標籤(tag),但具體做法不同。802.1Q將一個 4位元組的 802.1Q VLAN標頭嵌入到原始訊框的乙太網路標頭內,如圖 1-6上半部所示。至於在 802.1Q標頭內的欄位,本書只會探討12位元的 VLAN ID。這 12位元的欄位理論上可支援到 2 的 12次方(4096)個 VLAN,但實際上支援的最大值為 4094(802.1Q與 ISL兩者皆使用 12位元來做為 VLAN ID標籤之用,保留兩個值[0和 4095 ])。
圖 1-6 802.1Q Trunking
Cisco交換器將 VLAN ID的範圍(1-4094)劃分成兩種範圍,分別是標準範圍及擴充範圍。所有交換器皆可使用標準範圍內的 VLAN,ID 值從 1 到 1005。只有一些交換器能使用擴充範圍內的 VLAN,ID值從 1006到 4094。交換器使用擴充範圍 VLAN 的規則取決於 VLAN 主幹通訊協定(VLAN Trunking Protocol,VTP)的組態,在本章稍後的「VLAN Trunking設定」一節有所討論。
802.1Q也對每個 trunk都定義了一個特殊的 VLAN ID,叫做原生 VLAN(native VLAN,預設值為 VLAN 1)。根據定義,在原生 VLAN中,802.1Q 不會在訊框上新增標頭。如果在 trunk另一端的交換器收到一個沒有 802.1Q標頭的訊框,就能辨認出該訊框是來自於原生 VLAN。請注意,上述情況發生的前提是:trunk兩端的交換器都必須事先同意使用同一個 VLAN作為原生 VLAN。
802.1Q 的原生 VLAN 提供了一些矚目的功能,主要是為了能支援連接那些不使用 trunking 的設備。舉例來說,Cisco 交換器也可以是一台不使用 802.1Q
Chapter 1 建置乙太虛擬區域網路 21
trunking 的交換器,它可以在原生 VLAN 中傳送訊框,因為它的訊框不含trunking 標頭,因此其他的交換器能辨識該訊框。原生 VLAN 的概念除了讓交換器至少有一個 VLAN(原生 VLAN)可以傳遞資料流,並支援一些基本功能,諸如使用 telnet連上遠端交換器的可達性。
1.2.2 在 VLAN之間轉送資料 如果一個園區 LAN 包含了許多 VLAN,通常任何一台設備需要傳送資料到所有的其他設備。接下來的小節要介紹一些概念,探討如何在這些 VLAN之間遶送資料。
首先,瞭解一些有關交換器種類的術語會有所幫助。ICND1專業認證手冊一書所探討過的乙太網路交換器功能皆運用 OSI第 2層通訊協定所定義的邏輯及細節。例如,ICND1 專業認證手冊有許多章節討論過 LAN 交換器如何接收訊框(第 2層的概念)、如何查看目的地 MAC位址(第 2層位址),並如何向一些其他介面轉送訊框。本章已探討過 VLAN猶如廣播領域的概念,這也是另一種第 2層的概念。
某些交換器運作的功能如 ICND1 一書描述的一樣,而有些交換器甚至擁有更多的功能。LAN交換器是基於第 2層邏輯來轉送資料,這種交換器通常被稱為第 2層交換器(Layer 2 switch)。然而,一些其他的交換器可利用額外的第 3層邏輯,運作方式就像路由器一樣,這種交換器被稱為多層交換器
(multilayer switch)或第 3 層交換器(Layer 3 switch)。本節首先探討在第 2層交換器上如何在 VLAN之間轉送資料,最後結束第 3層交換器的探討。
利用路由器使 VLAN之間能夠路由封包
如果園區的 LAN 使用了 VLAN,相同 VLAN 中的設備就必須在同一個子網路內。按照這個說法,不同 VLAN中的設備必須屬於不同的子網路。以圖 1-7的例子來說,左側的兩台 PC 同屬於 VLAN 10,都在同一個子網路 10 裡。而右側的兩台 PC屬於另一個 VLAN(20),兩邊是不同的子網路(20)。
圖 1-7 第 2層交換器上未在 VLAN之間進行路由
注意:上圖子網路的 ID 稍微普通了點,就像「子網路 10」,這樣的子網路號碼只是為了不造成困擾。因此,子網路的號碼不必和 VLAN的號碼相同。
圖 1-7展示的交換器就像是斷成兩截,強調第 2層交換器無法在兩個 VLAN之
間轉送資料。當設定 VLAN 10和 VLAN 20的交換埠時,該交換器就像一人分
飾兩角,扮演兩台獨立的交換器並轉送流量。事實上,VLAN 的一個目標是要
CCNA Routing and Switching ICND2 200-105 專業認證手冊22
隔離不同 VLAN 之間的流量,從而防止任何一個 VLAN 的訊框逃脫到其他的
VLAN。舉例來說,如果 SW1是第 2層交換器,當 Dino(在 VLAN 10)傳送
任何訊框時,SW1不會將該訊框轉送到右側位於 VLAN 20中的 PC。
即使第 2層交換器不能轉送訊框到 VLAN的外部,網路還是要能支援資料流進
出每個 VLAN,此時轉送資料進出 VLAN的工作就落在路由器身上了。這個任
務並非是在兩個 VLAN之間交換第 2層的訊框,而是在兩個子網路之間遶送第
3層的封包。
前面的章節有一些牽涉第 2 及第 3 層的特殊用語,建議讀者花些時間重新複習。
第 2 層的邏輯不讓第 2 層交換器在 VLAN 之間轉送第 2 層的 PDU(L2PDU,
即乙太網路訊框)。然而路由器可以在子網路之間轉送第 3層的 PDU(L3PDU,
即封包)。
以圖 1-8 的路由器為例,它能在子網路 10 及 20 之間遶送封包。該圖顯示的第
2 層交換器、PC、VLAN,及子網路均與圖 1-7 相同,皆從一分為二的相同交
換器角度來看兩個不同的 VLAN。現在,在路由器 R1 上有兩個實體介面,其
中一個介面被連接到交換器並分配至 VLAN 10,第二個介面也被連接到交換器
並分配至 VLAN 20。在每個介面皆各自連接子網路的狀態下,第 2層交換器依
然執行它替 VLAN轉送訊框的工作,而路由器則執行它在子網路之間路由封包
的工作。
圖 1-8 兩個實體介面與兩個 VLAN之間的路由
上圖顯示有個封包來自左側 VLAN(子網路)的 Fred,被遶送到右側另一個
VLAN(子網路)的 Betty。圖中的第 2層交換器轉送了兩種不同的訊框,分別
是 VLAN 10從 Fred到 R1的 F0/0介面的訊框,以及另一個在 VLAN 20中從
R1的 F0/1介面到 Betty的訊框。若從第 3層的觀點來看,Fred先傳送 IP封包
到它的預設閘道(R1),R1 再將該封包遶送到另一個介面(F0/1),進入
Betty所在的另一個子網路。
雖然圖 1-8 的網路設計尚可運作,但它使用太多的實體介面,因為每個 VLAN
都需要一個介面。另一個更划算(也更好的)的選擇是在交換器與路由器之間
使用 VLAN trunk,它只需要一條實體鏈路,就可以同時支援所有的 VLAN。
trunking 協定可以在支援它的任何兩個設備之間運行,諸如兩台交換器之間、
路由器與交換器之間,或甚至伺服器硬體與交換器之間。
Chapter 1 建置乙太虛擬區域網路 23
圖 1-9與圖 1-8都使用相同的設計概念,把相同的封包自 Fred傳送到 Betty。但
R1現在使用的是 VLAN trunk,而不是每個 VLAN都要有各自的鏈路。
圖 1-9 路由器利用 Trunk來執行兩個 VLAN之間的路由
注意:由於路由器使用單一的實體鏈路連接交換器,這樣的設計有時被稱為單臂路
由(router-on-a-stick)。 為了對術語做簡要的說明,很多人將圖 1-8及 1-9的概念描述為「在 VLAN之間遶送封包」,若是使用這個說法,他人都能瞭解你的意思。然而這句話並非
完全正確,因為它與路由封包(第 3層的概念)以及 VLAN(第 2層的概念)都有關聯。上述的說法只是想以簡單的句子來代替實際上冗長但正確的這個說
法:「在第 3 層子網路之間遶送第 3 層的封包,這些子網路中的每一個都各自對應到第 2層 VLAN」。
利用第 3層交換器遶送封包
不論是使用實體的路由器或是圖 1-9中單臂路由模式的 VLAN trunk,遶送封包始終都存在著一個明顯的效能問題。影響效能的原因有:實體鏈路都有位元遶
送數量的上限、便宜的路由器往往效能不佳,以及因不能遶送足夠數量的 pps(每秒封包數)以致於無法容納資料的流量。
最終的解決方案是將路由的功能牽移到 LAN 交換器的硬體內部。製造商很久以前就開始把第 2 層交換器的軟硬體功能及第 3 層的路由器結合在一起,創造出所謂「第 3 層交換器(也稱為多層交換器)」的產品。第 3 層交換器可以被設定為扮演第 2層交換器,或者可以兼具第 2層交換及第 3層路由的功能。
今天,許多中大型企業的網路都利用第 3 層交換器來遶送子網路(VLAN)之間的封包。
在概念上,第 3 層交換器運作得很像原來的兩種基本設備:第 2 層交換器與第3層路由器。事實上,若能把上述的概念以及圖 1-8的封包流、第 2層交換器、與路由器全部想像成整合在同一台設備之內,就能對第 3 層交換器有一個整體的概念。圖 1-10顯示更正確的觀念,雖然重複了許多圖 1-8的細節,但是有一個不同之處,就是一台第 3層交換器同時執行第 2層的交換功能與第 3層的路由功能。
CCNA Routing and Switching ICND2 200-105 專業認證手冊24
圖 1-10 多層交換器:一台設備上同時存在第 2層交換及第 3層路由
本章介紹了 VLAN(或更準確地說,是在 VLAN上的子網路)之間遶送封包的
核心概念。第 19 章「區域網路中的 IPv4 路由」將探討如何設定外部路由器以
採用單臂路由的設計。本章現在把注意力轉到 VLAN及 VLAN trunk的設定及
檢驗。
1.3 VLAN與 VLAN Trunking的設定及檢驗 Cisco交換器不需任何設定就能運作。在購買了 Cisco交換器後,只要用正確的
電纜連接好設備,打開電源,它們就能運作了。直到需要建立多個 VLAN之前,
即使是多台互相連接的交換器,無須設定就能運作得很好。然而,若想使用
VLAN(大多數企業網路都想),就需要增加額外的設定。
本章將 VLAN組態的設定分成兩節來探討。第一節著眼於如何設定存取介面,
它是一種不使用 VLAN trunking的交換器介面。第二節探討如何設定那些使用
VLAN trunking的介面。
1.3.1 建立 VLAN並分配存取 VLAN至介面 本節介紹如何建立 VLAN、設定 VLAN的名稱,並分配介面給 VLAN。為了聚
焦在這些基本的細節,本節使用單一交換器來解說範例,沒有使用 VLAN
trunking 的必要。
為了能在一個特定的 VLAN 中轉送訊框,Cisco 交換器必須先進行一些設定,
以確認該 VLAN的存在。此外,還必須把非主幹(nontrunking)的介面(稱為
存取介面)分配給 VLAN,和/或具有支援該 VLAN 的 trunk。對 trunk 的設定
會在稍後的「VLAN Trunking設定」一節中討論,而對存取介面的設定步驟列
舉如下:
Chapter 1 建置乙太虛擬區域網路 25
步驟 1. 設定一個新的 VLAN,請按照下列步驟:
A. 在設定模式下,使用全域設定模式的命令 vlan vlan-id來建立 VLAN,並進入 VLAN的設定模式。
B. (非必要)使用 VLAN設定模式的命令 name name來設定 VLAN的名稱。若無此項設定,VLAN名稱是VLANZZZZ,其中的ZZZZ是一個 4位元的十進制 VLAN ID。
步驟 2. 對每一個存取介面(該介面除了不是 trunk,並且屬於單一的VLAN),按照下列步驟操作:
A. 對每一個需要設定的介面使用全域設定模式的命令 interface type
number來進入介面設定模式。
B. 使用介面設定模式的命令 switchport access vlan id-number來指定與該
介面關聯的 VLAN編號。
C. (非必要)使用介面設定模式的命令 switchport mode access來讓此埠永遠以存取模式運作(不要 trunk)。
雖然上列清單看來有點令人却步,但該程序的操作在單一交換器上其實是相當
輕鬆。舉例來說,若想把交換埠設定給三個 VLAN,分別是 11、12 及 13,只需要先增加三個 vlan命令,分別是 vlan 11、vlan 12及 vlan 13。然後,針對每個介面都新增一個 switchport access vlan 11(或 12、13)命令,就可將該介面分配給適當的 VLAN。
注意:預設 VLAN(default VLAN,如考試主題所示)一詞是指 switchport access vlan vlan-id指令的預設值,預設為 VLAN ID 1。換句話說,預設每個埠口皆被指派為存取 VLAN 1。
VLAN設定範例 1:完整的 VLAN設定
範例 1-1 是一個組態設定的過程,該過程新增了一個新的 VLAN,並給該VLAN 分配了存取介面。圖 1-11 是該範例所使用的網路,其中包括一個 LAN交換器(SW1)及三個 VLAN(1、2和 3),每個 VLAN各有兩台主機。此例顯示 VLAN 2及其所屬介面照著上述兩個步驟程序的設定細節。至於 VLAN 3的設定留在下一個範例再來討論。
圖 1-11 使用一台交換器及三個 VLAN的網路
Fa0/15
Fa0/16
VLAN 3
Fa0/12
Fa0/11
VLAN 1
VLAN 2
Fa0/13 Fa0/14
SW1