[精品]防火墙Trunk浅谈

1、vlan trunk 浅谈一、何为 vlan trunk由于网络上存在的大量广播数据包，严重影响了网络的性能，最为有效解决 此问题的方法就是缩小广播域，缩小广播域可以通过三层设备路出器来进行，也 可以通过在数据链路层划分vlan來解决，就性价比而言，划分vlan更高， 因此vlan也就成了一种广泛的应用。但不同交换机z间的相同的vlan如何 进行通讯呢？口前有两种解决方案：方案一是如图一那样，每个vlan之间分别用属于该vlan的端口相连。方案一方案二则如图二所示，交换机之间通过一个端口相连，所有的vlan都通 过该链路进行传递，那么这利连接方式就称为trunko显而易见方案二比方案 一节省更

2、多的端口，管理也相对方便。二、trunk的原理在trunk '|,很多vlan都通过该链路，那么怎样才能区分属于哪一个 vlan的数据包呢？原来是通过添加特征来进行区分的，冇的称为flag,冇的称 为cloudo在以太网中，对于trunk主耍有两种封装协议，一是思科特有的isl, 另外一个是通用的802.lqo在flag中冇特定的位来表示vlan号对于isl,是在帧头加26byte的islhead和在尾部加4字节的crc,如图26byteisl head帧头4bytecrc图三对t 802.1q,则是在帧头的内部加4字节的特征码，如图四。4byte802.1qsource addrde

3、s add len/type帧头图四对于isl封装格式，除了思科自身的产品外，一般不会支持，暂不予讨论。 对于802.1q的封装格式，是在帧头的destadd诟加了4字节的特征码，其中前两 个字节作为tag protocol identifier (tp1d),且这两个字节中总是用0x8100的值來 表示这是一个802.iq tago另外两个字节是tag control information (tci)区，该 区包含3位的优先级区，用来执行802.1q/802.1p协议，最后的12位用来表示 vlan identifier (vid)来表示源vlan号，因此有4096个vlan可表示，但0,

4、1, 4095已预留。三、具冇trunk功能的防火墙的用途具有trunk功能的防火墙常用于两个方面：一是在路由模式下，此吋防火墙一般部署在互联网与内网的交界处。如图五 所示：在此图中，防火墙的内网端口设置3个虚拟端口，分属vlan1, vlan,2, vlan3,端i iz间有包转发的能力，因此防火墙的内网端i i可以对不同的vlan z间起到路由的功能，ft vlan之间的数据包要经过防火墙的过滤。当然与防 火墙相联的交换机的端口要设置为trunk模式。172.16.3.:172.16.2.q/24-ext 202.100.100 2/24gateway:202.100.100.1/24jj

5、172.16.1.a/24evlan3vlaii2vlaiil图说二是在网桥模式下，此时防火墙一般部署在内网对重点服务器进行安全防 护。如下图所示，如果某客户根据部门划分vlan, vlan之间不能互访，即每 部门的用户只能访问自己部门的服务器，h服务器又集屮部署，此吋就会采取这 种方式部署防火墙，这就要求防火墙必须具有trunk功能。四、防火墙怎样才能具有trunk功能对于802.1q的封装格式，帧头就比普通的长了的4字节。在普通防火墙收 到帧之后，就无法进行正常地处理，即无法正确的削掉帧头对数据包进行冇效的 分析。对于图六所示拓扑结构，个人认为只要使内核支持802.1q协议即可，此时 防火

6、墙就能正确的处理数据包，对包头进行有效分析，分析完成z后，再进行包 转发。对于图五所示拓扑结构，则要进行下述：1、编译内核,使内核支持802.iq o2、具有vlan的配置工具例：1、现在linux2.4-20-8内核已经支持802.1q,编译内核使之支持。2、下载vlan配置工具软件，安装之后进行如下操作cd vlan（1）、创建 vlan10、vlan12、vlan 13vconfig add etho 10vconfig add etho 12vconfig add etho 13（2）、为接口设置ip地址：ip address add 19268.5.3/28 dev etho. 12 （dmz 区威的网关） ip address add 192.168.10.1/24 dev etho.13 （classroom 的网关） ip address add 192.16&9.1/27 dev etho. 1