لینک‌های ترانک در سیسکو: راهنمای جامع پیکربندی، عیب‌یابی و بهینه‌سازی

وبلاگ آرشام — Tue, 05 May 2026 17:50:22 +0330

مقدمه: چرا ترانکینگ ستون فقرات شبکه‌های مدرن است؟در دنیای شبکه‌های کامپیوتری، VLANها (شبکه‌های محلی مجازی) انقلابی در نحوه طراحی و مدیریت شبکه‌ها ایجاد کرده‌اند. اما یک چالش اساسی وجود دارد: چگونه ترافیک چندین VLAN را روی یک لینک فیزیکی بین دو سوئیچ انتقال دهیم؟ پاسخ در فناوری به نام Trunk Link نهفته است.لینک‌های ترانک در سوئیچ‌های سیسکو، شاهراه‌های اطلاعاتی هستند که امکان عبور همزمان ترافیک VLANهای مختلف را روی یک پورت فیزیکی فراهم می‌کنند. بدون این فناوری، برای هر VLAN باید یک کابل جداگانه بین سوئیچ‌ها کشیده می‌شد؛ رویکردی که نه تنها غیرعملی، بلکه بسیار پرهزینه است.این مقاله در وبلاگ آرشام به صورت جامع به بررسی مفهوم لینک‌های ترانک در سوئیچ‌های سیسکو می‌پردازد. از مفاهیم پایه تا پیکربندی‌های پیشرفته، از عیب‌یابی حرفه‌ای تا رعایت اصول امنیتی؛ هر آنچه که یک شبکه‌کار حرفه‌ای برای مدیریت ترانک‌ها نیاز دارد، در این مقاله از وبلاگ آرشام جمع‌آوری شده است.بخش اول: مفاهیم پایه Trunk در سیسکو۱.۱ Trunk چیست و چه تفاوتی با Access Port دارد؟قبل از هر چیز، بیایید تفاوت اساسی بین دو نوع پورت در سوئیچ‌های سیسکو را درک کنیم:ویژگیAccess PortTrunk Portتعداد VLAN عبوریفقط یک VLAN (معمولاً VLAN داده)چندین VLAN به صورت همزمانTaggingبدون Tag (فریم‌ها بدون شناسه VLAN ارسال می‌شوند)با Tag (به جز Native VLAN)موارد استفادهاتصال دستگاه‌های نهایی (کامپیوتر، چاپگر، سرور)اتصال سوئیچ به سوئیچ، سوئیچ به روترپیکربندی در سیسکوswitchport mode accessswitchport mode trunkیک پورت اکسس مانند یک درب اختصاصی برای یک ساختمان خاص عمل می‌کند—فقط اعضای همان VLAN می‌توانند از آن عبور کنند. اما یک پورت ترانک تونل چندلایه هر فریم با برچسب VLAN خود مشخص می‌شود تا در مقصد به مسیر صحیح هدایت گردد.۱.۲ استانداردهای Encapsulation: 802.1Q در مقابل ISLبرای اینکه ترافیک VLANهای مختلف روی یک لینک تشخیص داده شوند، نیاز به یک مکانیسم Tagging داریم. سیسکو در طول سال‌ها از دو استاندارد متفاوت پشتیبانی کرده است:۱.۸۰۲.1Q (dot1q) – استاندارد صنعتینوع Tagging: داخلی (درون فریم اترنت اصلی)طول Tag: ۴ بایتمحدوده VLAN: ۱ تا ۴۰۹۴Native VLAN: پشتیبانی می‌کند (ترافیک این VLAN بدون Tag ارسال می‌شود)وضعیت فعلی: استاندارد غالب و پیش‌فرض در تمام سوئیچ‌های مدرن سیسکو۲. ISL (Inter-Switch Link) – پروتکل اختصاصی سیسکونوع Tagging: خارجی (فریم اترنت اصلی درون یک فریم ISL کپسوله می‌شود)طول هدر: ۲۶ بایت + ۴ بایت CRCمحدوده VLAN: ۱ تا ۱۰۰۵Native VLAN: پشتیبانی نمی‌کندوضعیت فعلی: منسوخ شده (در مدل‌های جدید مانند 2960-X و بالاتر پشتیبانی نمی‌شود)نکته حرفه‌ای: امروزه تقریباً در تمام شبکه‌های مدرن از 802.1Q استفاده می‌شود. اگر با سوئیچ‌های قدیمی‌تر کار می‌کنید که ISL را پیش‌فرض دارند، حتماً آن را به 802.1Q تغییر دهید تا با تجهیزات سایر فروشندگان سازگار بمانید.۱.۳ Native VLAN: مفهوم مهمی که نباید نادیده گرفته شودیکی از مفاهیم کلیدی در 802.1Q، Native VLAN است. درک صحیح این مفهوم برای پیکربندی امن و کارآمد ترانک‌ها ضروری است.Native VLAN چیست؟Native VLAN به VLANی گفته می‌شود که ترافیک آن روی لینک ترانک بدون Tag ارسال می‌شود. به عبارت دیگر، فریم‌های متعلق به Native VLAN هنگام عبور از ترانک، برچسب VLAN خود را از دست می‌دهند.مثال عملی:فرض کنید روی یک لینک ترانک، Native VLAN را به شماره ۱۰۰ تنظیم کرده‌اید:Switch(config-if)# switchport trunk native vlan 100در این حالت:ترافیک VLAN ۱۰۰ → بدون Tag ارسال می‌شودترافیک VLAN ۲۰۰ → با Tag 200 ارسال می‌شودترافیک VLAN ۳۰۰ → با Tag 300 ارسال می‌شودچرا این موضوع مهم است؟۱. سازگاری با دستگاه‌های قدیمی: برخی دستگاه‌ها (مانند تلفن‌های IP قدیمی) قابلیت درک Tag را ندارند.۲. پروتکل‌های کنترل پلن: برخی پروتکل‌های لایه ۲ مانند CDP و VTP به طور پیش‌فرض از Native VLAN استفاده می‌کنند.۳. امنیت: Native VLAN پیش‌فرض (VLAN 1) یک هدف رایج برای حملات VLAN Hopping است.بخش دوم: پیکربندی حرفه‌ای Trunk در سیسکو۲.۱ بررسی Stateهای مختلف پورت در DTPسیسکو پروتکلی به نام DTP (Dynamic Trunking Protocol) دارد که به سوئیچ‌ها اجازه می‌دهد به صورت خودکار وضعیت ترانک بودن یک لینک را با یکدیگر negotiate کنند. این پروتکل پنج حالت مختلف دارد:حالترفتارموارد استفادهswitchport mode accessپورت را در حالت دائمی Non-Trunk قرار می‌دهد. حتی اگر همسایه درخواست ترانک کند، پذیرفته نمی‌شود.پورت‌های متصل به دستگاه‌های نهایی (کامپیوتر، پرینتر)switchport mode dynamic autoپورت منتظر می‌ماند تا همسایه درخواست ترانک دهد. اگر همسایه در حالت trunk یا desirable باشد، ترانک تشکیل می‌شود. حالت پیش‌فرض در بسیاری از سوئیچ‌های سیسکومحیط‌هایی که می‌خواهید ترانکینگ خودکار انجام شود اما اولویت با طرف مقابل استswitchport mode dynamic desirableپورت فعالانه سعی می‌کند لینک را به ترانک تبدیل کند. با ارسال فریم‌های DTP به همسایه اعلام می‌کند که تمایل به ترانک دارد.محیط‌هایی که می‌خواهید ترانکینگ خودکار انجام شود و این سوئیچ پیشقدم باشدswitchport mode trunkپورت را در حالت دائمی Trunk قرار می‌دهد. حتی اگر همسایه ترانک را پشتیبانی نکند، پورت تلاش می‌کند به عنوان ترانک کار کند.لینک‌های بین سوئیچ‌ها در شبکه‌های با پیکربندی دستیswitchport nonegotiateاز ارسال فریم‌های DTP جلوگیری می‌کند. فقط در ترکیب با mode trunk یا access کار می‌کند.توصیه شده برای محیط‌های امنیتی—از negotiation غیرضروری جلوگیری می‌کندجدول سازگاری حالت‌های DTP:طرف اول (Local)طرف دوم (Neighbor)نتیجهtrunktrunk ترانک تشکیل می‌شودtrunkdynamic desirable ترانک تشکیل می‌شودtrunkdynamic auto ترانک تشکیل می‌شودdynamic desirabledynamic desirable ترانک تشکیل می‌شودdynamic desirabledynamic auto ترانک تشکیل می‌شودdynamic autodynamic auto ترانک تشکیل نمی‌شود (هر دو منفعل)accessهر حالت دیگر ترانک تشکیل نمی‌شودtrunk + nonegotiatedynamic auto ترانک تشکیل نمی‌شود (بدون DTP)۲.۲ پیکربندی گام به گام Trunk در سیسکو IOSحالا که با مفاهیم آشنا شدیم، بیایید یک ترانک را از صفر پیکربندی کنیم.سناریو: دو سوئیچ (SW1 و SW2) را از طریق پورت GigabitEthernet0/1 به هم متصل می‌کنیم. می‌خواهیم VLANهای ۱۰، ۲۰ و ۳۰ روی این لینک عبور کنند و VLAN ۹۹ به عنوان Native VLAN استفاده شود.مراحل پیکربندی روی SW1:SW1> enable SW1# configure terminal SW1(config)# interface gigabitethernet 0/1 SW1(config-if)# switchport trunk encapsulation dot1q SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk native vlan 99 SW1(config-if)# switchport trunk allowed vlan 10,20,30 SW1(config-if)# switchport nonegotiate SW1(config-if)# no shutdown SW1(config-if)# end SW1# copy running-config startup-configتوضیح هر دستور:switchport trunk encapsulation dot1q – مشخص می‌کند از استاندارد 802.1Q استفاده شود (در سوئیچ‌های جدید ممکن است نیازی نباشد)switchport mode trunk – پورت را در حالت دائمی ترانک قرار می‌دهدswitchport trunk native vlan 99 – VLAN 99 را به عنوان Native VLAN تنظیم می‌کندswitchport trunk allowed vlan 10,20,30 – فقط این سه VLAN مجاز به عبور هستند (به جای ۴۰۹۴ VLAN پیش‌فرض)switchport nonegotiate – ارسال فریم‌های DTP را متوقف می‌کند (بهبود امنیت و کاهش ترافیک اضافی)no shutdown – پورت را فعال می‌کندهمین پیکربندی را روی SW2 (طرف دیگر) نیز انجام دهید. توجه کنید که Native VLAN در هر دو طرف باید یکسان باشد—در غیر این صورت پیام خطای “native VLAN mismatch” دریافت خواهید کرد.۲.۳ مدیریت لیست VLANهای مجاز (Allowed VLANs)یکی از اشتباهات رایج در پیکربندی ترانک‌ها، اجازه عبور تمام VLANها به صورت پیش‌فرض است. این کار نه تنها امنیت شبکه را کاهش می‌دهد، بلکه ترافیک غیرضروری (مانند Broadcast) را روی لینک‌های ترانک پخش می‌کند.دستورات مدیریت لیست مجاز:عملیاتدستورتعریف لیست جدید (جایگزینی)switchport trunk allowed vlan 10,20,30-40اضافه کردن VLAN به لیست موجودswitchport trunk allowed vlan add 50,60حذف VLAN از لیست موجودswitchport trunk allowed vlan remove 20اجازه تمام VLANها (پیش‌فرض)switchport trunk allowed vlan allحذف همه به جز یک محدودهswitchport trunk allowed vlan except 1-10بهترین روش (Best Practice):همیشه لیست VLANهای مجاز را محدود کنیدVLAN 1 را حذف کنید مگر اینکه واقعاً به آن نیاز داشته باشیداز remove به جای تعریف مجدد کل لیست استفاده کنید تا خطای انسانی کاهش یابد۲.۴ پیکربندی Pruning VLANهاVTP Pruning یکی از ویژگی‌های پیشرفته سیسکو است که به طور خودکار ترافیک Broadcast و Unknown Unicast را روی ترانک‌هایی که به VLAN خاصی نیازی ندارند، مسدود می‌کند.مفهوم Pruning:تصور کنید SW1 به SW2 متصل است، اما SW2 هیچ پورت اکسسی در VLAN 50 ندارد. در این حالت، چرا SW1 باید ترافیک Broadcast VLAN 50 را برای SW2 ارسال کند؟ VTP Pruning این کار را انجام می‌دهد.پیکربندی:SW1(config)# vtp pruning SW1(config)# interface gigabitethernet 0/1 SW1(config-if)# switchport trunk pruning vlan remove 10,20,30دستور بالا مشخص می‌کند که VLANهای ۱۰، ۲۰ و ۳۰ هرگز از این ترانک pruned نشوند (همیشه مجاز به عبور هستند).بخش سوم: عیب‌یابی پیشرفته Trunk۳.۱ دستورات کلیدی نمایش و بررسیبرای عیب‌یابی مشکلات ترانک، این دستورات حیاتی هستند:show interfaces trunkمهم‌ترین دستور برای بررسی وضعیت ترانک‌ها:SW1# show interfaces trunk Port Mode Encapsulation Status Native vlan Gi0/1 on 802.1q trunking 99 Port Vlans allowed on trunk Gi0/1 10,20,30 Port Vlans allowed and active in management domain Gi0/1 10,20,30 Port Vlans in spanning tree forwarding state and not pruned Gi0/1 10,20,30نکات مهم در خروجی:Status باید trunking باشد—اگر not-trunking است، مشکل negotiation وجود داردNative vlan باید در دو طرف ترانک یکسان باشدVlans allowed لیست VLANهای مجاز را نشان می‌دهدVlans in spanning tree forwarding state VLANهایی که STP آنها را در حالت Forwarding قرار داده استshow interfaces switchportاطلاعات دقیق‌تری درباره وضعیت پورت ارائه می‌دهد:SW1# show interfaces gigabitethernet 0/1 switchport Name: Gi0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 99 Trunking VLANs Enabled: 10,20,30 Pruning VLANs Enabled: 2-1001۳.۲ خطاهای رایج و راهکارهاخطای ۱: Native VLAN Mismatchعلائم: پیام کنسول %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on Gi0/1دلیل: Native VLAN در دو طرف ترانک متفاوت است.راهکار:SW1(config-if)# switchport trunk native vlan 99 SW2(config-if)# switchport trunk native vlan 99 // باید یکسان باشدخطای ۲: Trunk Formation Failureعلائم: وضعیت پورت not-trunking است با اینکه انتظار trunking را دارید.دلایل احتمالی:یکی از پورت‌ها در حالت access استهر دو پورت در حالت dynamic auto هستند (هر دو منفعل)nonegotiate در یک طرف فعال است و طرف دیگر در حالت dynamic auto استراهکار: حداقل یک طرف را به trunk یا dynamic desirable تغییر دهید.خطای ۳: VLAN Connectivity Issuesعلائم: دستگاه‌های یک VLAN نمی‌توانند از طریق ترانک با یکدیگر ارتباط برقرار کنند.بررسی‌ها:آیا VLAN مورد نظر در لیست allowed vlan هر دو طرف وجود دارد؟آیا VLAN روی هر دو سوئیچ ایجاد شده است (show vlan brief)?آیا STP پورت را در حالت Blocking قرار نداده است (show spanning-tree vlan )?۳.۳ آنالیز ترافیک Trunk با Wiresharkگاهی اوقات نیاز است ببینیم واقعاً چه فریم‌هایی روی لینک ترانک در حال عبور هستند. برای این کار می‌توانید از SPAN (Port Mirroring) یا TAP استفاده کنید.مشاهده Tag در Wireshark:فریم‌های 802.1Q دارای یک فیلد ۴ بایتی بین آدرس MAC منبع و Ethertype هستنداین فیلد شامل VLAN ID (۱۲ بیت) و Priority (۳ بیت) استفریم‌های مربوط به Native VLAN بدون این Tag نمایش داده می‌شوندنکته جالب: اگر VLAN 1 را از لیست allowed VLANها حذف کنید، چه اتفاقی می‌افتد؟پروتکل‌های کنترل پلن مانند CDP، DTP، PAgP و LACP همچنان بدون Tag ارسال می‌شوندتنها تفاوت این است که BPDUهای PVST+ برای VLAN 1 دیگر ارسال نمی‌شونداین یک لایه محافظتی در سیسکو است تا پروتکل‌های مدیریتی حتی با حذف VLAN 1 نیز کار کنندبخش چهارم: امنیت در لینک‌های Trunk۴.۱ حملات VLAN Hopping و روش‌های مقابلهحمله VLAN Hopping چیست؟در این حمله، مهاجم که به یک پورت اکسس متصل است، سعی می‌کند به ترافیک VLANهای دیگر دسترسی پیدا کند. دو روش اصلی وجود دارد:۱. Double Tagging: مهاجم یک فریم با دو Tag ارسال می‌کند—Tag اول متعلق به Native VLAN و Tag دوم متعلق به VLAN هدف. سوئیچ اول Tag اول را (چون Native است) حذف می‌کند و فریم را با Tag دوم به سوی سوئیچ دوم می‌فرستد.۲. Switch Spoofing: مهاجم سعی می‌کند با سوئیچ مذاکره کند و خود را به عنوان یک سوئیچ دیگر معرفی کند تا یک ترانک تشکیل دهد.راهکارهای مقابله:اقدام امنیتیدستورتوضیحتغییر Native VLAN از پیش‌فرضswitchport trunk native vlan 999استفاده از یک VLAN بلااستفاده به عنوان Nativeغیرفعال کردن DTP در ترانک‌هاswitchport nonegotiateجلوگیری از مذاکره خودکارمحدود کردن VLANهای مجازswitchport trunk allowed vlan 10,20,30فقط VLANهای ضروری مجاز باشندTag کردن Native VLANvlan dot1q tag native (global)اجباری کردن Tag برای Native VLANغیرفعال کردن DTP در پورت‌های اکسسswitchport hostپورت را به حالت access + spanning-tree portfast تبدیل می‌کندتوصیه امنیتی مهم: در شبکه‌های حساس، دستور vlan dot1q tag native را به صورت global فعال کنید. این دستور باعث می‌شود حتی ترافیک Native VLAN نیز با Tag ارسال شود—در نتیجه حمله Double Tagging کاملاً بی‌اثر می‌شود.۴.۲ STIG و استانداردهای امنیتی نظامیطبق استاندارد STIG (Security Technical Implementation Guide) برای سوئیچ‌های سیسکو، تمام لینک‌های ترانک باید به صورت Static پیکربندی شوند:یافته امنیتی (Finding): استفاده از DTP برای مذاکره خودکار ترانکدلیل: هنگام مذاکره DTP، زمان قابل توجهی صرف negotiation می‌شود و در این مدت پکت‌ها drop می‌شوند. همچنین DTP سطح حمله را افزایش می‌دهد.راهکار (Fix):interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiateاین پیکربندی تضمین می‌کند که لینک بلافاصله و بدون اتلاف وقت به حالت ترانک درآید.۴.۳ بهترین روش‌های امنیتی (Best Practices)مجموعه کاملی از تنظیمات امنیتی برای یک پورت ترانک ایده‌آل:interface GigabitEthernet0/1 description *** TRUNK TO CORE SWITCH *** switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate switchport trunk native vlan 999 switchport trunk allowed vlan 10,20,30,40,50 switchport trunk pruning vlan remove 10,20 spanning-tree bpduguard enable spanning-tree guard root no cdp enable no vtpتوضیح تنظیمات اضافی:spanning-tree bpduguard enable – اگر BPDU دریافت شود، پورت را shutdown می‌کند (محافظت در برابر حملات STP)spanning-tree guard root – از تبدیل شدن این پورت به Root Bridge جلوگیری می‌کندno cdp enable – اطلاعات دستگاه را فاش نمی‌کندno vtp – از حملات مرتبط با VTP جلوگیری می‌کندبخش پنجم: سناریوهای پیشرفته و مثال‌های عملی۵.۱ اتصال سوئیچ سیسکو به سوئیچ سایر برندهاهنگام اتصال سوئیچ سیسکو به سوئیچ HP، Dell، Juniper یا سایر برندها، باید نکات زیر را رعایت کنید:پیکربندی سمت سیسکو:interface GigabitEthernet0/1 description *** TRUNK TO NON-CISCO SWITCH *** switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate // DTP غیرفعال شود switchport trunk native vlan 99 switchport trunk allowed vlan 10,20,30نکات کلیدی:حتماً از switchport nonegotiate استفاده کنید—سایر برندها DTP را پشتیبانی نمی‌کنندNative VLAN باید در دو طرف یکسان باشداز 802.1Q استفاده کنید (ISL اختصاصی سیسکو است)۵.۲ Router-on-a-Stick: ترانک بین سوئیچ و روتردر معماری Router-on-a-Stick، یک روتر (مانند Cisco 4321) با یک پورت فیزیکی به سوئیچ متصل می‌شود و ترافیک VLANهای مختلف را مسیریابی می‌کند.پیکربندی سوئیچ:interface GigabitEthernet0/1 description *** TRUNK TO ROUTER *** switchport mode trunk switchport trunk allowed vlan 10,20,30 switchport trunk native vlan 99 no shutdownپیکربندی روتر (Sub-interfaces):interface GigabitEthernet0/1.10 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ! interface GigabitEthernet0/1.20 encapsulation dot1Q 20 ip address 192.168.20.1 255.255.255.0 ! interface GigabitEthernet0/1.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 ! interface GigabitEthernet0/1.99 encapsulation dot1Q 99 native ip address 192.168.99.1 255.255.255.0توجه کنید که Sub-interface مربوط به Native VLAN باید با کلمه کلیدی native مشخص شود.۵.۳ Voice VLAN و Trunk: اتصال تلفن IPدر بسیاری از سازمان‌ها، تلفن‌های IP به صورت سری (daisy-chain) به کامپیوترها متصل می‌شوند. در این حالت، پورت سوئیچ به صورت ترانک عمل می‌کند—یک VLAN برای Voice و VLAN دیگر برای Data.پیکربندی:interface GigabitEthernet0/1 description *** IP PHONE PORT *** switchport mode trunk switchport trunk native vlan 100 // VLAN Data switchport trunk allowed vlan 100,200 switchport voice vlan 200 // VLAN Voice switchport nonegotiate spanning-tree portfastدر این پیکربندی:کامپیوتر (متصل به تلفن) در VLAN ۱۰۰ (Data) قرار می‌گیرد—ترافیک بدون Tag ارسال می‌شودتلفن IP در VLAN ۲۰۰ (Voice) قرار می‌گیرد—ترافیک با Tag 200 ارسال می‌شودتلفن قادر است Tag خود را مدیریت کندبخش ششم: نکات پیشرفته برای شبکه‌های بزرگ۶.۱ Trunk در محیط‌های VTPVTP (VLAN Trunking Protocol) پروتکلی است که اطلاعات VLAN را به طور خودکار بین سوئیچ‌ها همگام‌سازی می‌کند. برای اینکه VTP کار کند، حداقل یک لینک ترانک بین سوئیچ‌ها باید وجود داشته باشد.حالت‌های VTP:Server: می‌تواند VLAN ایجاد، حذف و تغییر دهد—اطلاعات را به دیگران advertise می‌کندClient: فقط اطلاعات را دریافت می‌کند—نمی‌تواند VLAN ایجاد کندTransparent: اطلاعات را عبور می‌دهد اما خودش استفاده نمی‌کند—VLANها محلی هستندهشدار امنیتی: استفاده از VTP در شبکه‌های حساس توصیه نمی‌شود—یک سوئیچ Server نادرست می‌تواند کل دیتابیس VLAN را حذف کند! به جای آن از حالت VTP Transparent استفاده کنید و VLANها را به صورت دستی مدیریت نمایید.۶.۲ EtherChannel: چند ترانک به عنوان یک لینک منطقیوقتی به پهنای باند بیشتری نیاز دارید، می‌توانید چند لینک ترانک را با EtherChannel به هم بچسبانید.مزایا:افزایش پهنای باند (مثلاً ۲×۱Gbps = ۲Gbps)افزونگی (اگر یک لینک قطع شود، ترافیک از لینک دیگر عبور می‌کند)Load Balancing بین لینک‌هاپیکربندی EtherChannel Trunk (مدل PAgP فعال):interface range gigabitethernet 0/1-2 channel-group 1 mode desirable switchport mode trunk switchport trunk allowed vlan 10,20,30 switchport trunk native vlan 99 switchport nonegotiateسپس پورت منطقی را پیکربندی کنید:interface port-channel 1 switchport mode trunk switchport trunk allowed vlan 10,20,30 switchport trunk native vlan 99نکته: تمام اعضای EtherChannel باید تنظیمات Trunk یکسانی داشته باشند—در غیر این صورت سوئیچ خطا می‌دهد.نتیجه‌گیری: جمع‌بندی نهایی و توصیه‌هالینک‌های ترانک در سوئیچ‌های سیسکو یکی از اساسی‌ترین و در عین حال حیاتی‌ترین اجزای هر شبکه سازمانی هستند. در این مقاله، از مفاهیم پایه تا پیکربندی‌های پیشرفته، از عیب‌یابی تخصصی تا اصول امنیتی را پوشش دادیم.نکات کلیدی که باید همیشه به خاطر بسپارید:Native VLAN را تغییر دهید — هرگز از VLAN ۱ به عنوان Native استفاده نکنیدAllowed VLANs را محدود کنید — فقط VLANهای ضروری را روی ترانک مجاز کنیدDTP را غیرفعال کنید — از switchport nonegotiate در محیط‌های امن استفاده کنیداز Static Trunk استفاده کنید — به جای dynamic auto/desirable، از mode trunk استفاده کنیدNative VLAN را در دو طرف ترانک یکسان کنید — در غیر این صورت خطای mismatch خواهید گرفتبرای امنیت بیشتر، vlan dot1q tag native را فعال کنیدهمیشه با show interfaces trunk وضعیت را بررسی کنیدبا رعایت این اصول، می‌توانید شبکه‌ای پایدار، امن و با کارایی بالا بسازید که نیازهای امروز و فردای سازمان شما را برآورده کند.سوالات متداول (FAQ)سوال ۱: آیا می‌توانم یک پورت ترانک را به یک کامپیوتر معمولی وصل کنم؟خیر—کامپیوترهای معمولی Tagهای 802.1Q را درک نمی‌کنند و فریم‌های tagged را drop می‌کنند. فقط دستگاه‌هایی که به طور خاص از Tagging پشتیبانی می‌کنند (مانند روترها، فایروال‌ها، سرورهای مجازی‌ساز) می‌توانند به پورت ترانک متصل شوند.سوال ۲: حداکثر چند VLAN می‌تواند روی یک ترانک عبور کند؟از نظر تئوری، استاندارد 802.1Q از ۴۰۹۴ VLAN پشتیبانی می‌کند (VLAN 1 تا 4094). اما در عمل، محدودیت‌های hardware سوئیچ ممکن است این عدد را کاهش دهد. برای مثال، سوئیچ‌های سری 2960 حداکثر از ۲۵۵ VLAN فعال پشتیبانی می‌کنند.سوال ۳: آیا حذف VLAN ۱ از ترانک باعث قطع شدن پروتکل‌های مدیریتی می‌شود؟خیر—پروتکل‌هایی مانند CDP، VTP، DTP و PAgP/LACP به کار خود ادامه می‌دهند. این پروتکل‌ها مستقل از allowed VLAN list عمل می‌کنند و حتی با حذف VLAN ۱ نیز به ارسال فریم‌های خود ادامه می‌دهند.سوال ۴: تفاوت بین switchport trunk native vlan و switchport access vlan چیست؟دستور اول فقط روی پورت‌های ترانک معنی دارد و مشخص می‌کند کدام VLAN بدون Tag ارسال شود. دستور دوم روی پورت‌های اکسس استفاده می‌شود و VLAN اختصاصی آن پورت را تعیین می‌کند.سوال ۵: چگونه بفهمم یک پورت در حالت ترانک است یا اکسس؟با دستور show interfaces switchport به دنبال فیلد “Administrative Mode” بگردید. اگر مقدار آن trunk باشد، پورت در حالت ترانک است. همچنین show interfaces trunk فقط پورت‌های ترانک فعال را نشان می‌دهد.

نوشته های وبلاگ آرشام

لینک‌های ترانک در سیسکو: راهنمای جامع پیکربندی، عیب‌یابی و بهینه‌سازی