交換機PVID VID和tag的區(qū)別.doc

PVID和VID徹底研究（上）PVID的作用及和VID的區(qū)別Pvid和Vid經(jīng)常出現(xiàn)于二、三層交換機里，由于PVID和VID的設(shè)置不合理，造成VLAN劃分變得混亂。本文就對PVID和VID進行了徹底研究。首先解釋一下什么是PVID，PVID英文解釋為Port-base VLAN ID，是基于端口的VLAN ID.通俗的講，指的是native Vlan，即不打Vlan標記的Vlan，一般默認為Vlan 1。去超市買東西有個掃描設(shè)備掃描一下商品上的標簽，然后價格就會出現(xiàn)商品上的標簽就好比一個標記，而掃描器就好比解讀這個標記的設(shè)備PVID和VID（標記）之間的關(guān)系就好比掃描器和商品標記的關(guān)系，不同的是PVID不僅用來解析ViD也用來生成VID終端設(shè)備比如電腦PC等，自身不具備產(chǎn)生標記的能力，因為數(shù)據(jù)幀格式是固定的，發(fā)送端自身不知道自身是哪個VLAN成員那么他自己當然不可能在幀內(nèi)標記VLAN id了，標記和解標記都是由中間設(shè)備來完成的.交換機上的端口分為三種一種是接入層端口直連設(shè)備的，叫做Access；一種是交換機和交換機之間的端口負責匯聚的叫做Trunk，還有一種是Access與Trunk混合的模式，叫做Hybrid。Access端口負責接終端設(shè)備，他收到一個幀的時候，如果幀這個沒有標記他就用自己的pvid給他打上標記，他在發(fā)出一個幀時如果VID=PVID就去掉標記(解標記)以保證傳送給終端設(shè)備的幀沒有被變動過(中間設(shè)備添加了標記)，pvid是在劃分vlan時候每個端口都有的屬性，默認情況下思科交換機中每個端口初始pvid是1，表示他是vlan 1的成員們?nèi)绻憬o他劃分了其他VLAN那么PVID相應(yīng)會發(fā)生更改ACCESS端口的特點是只允許符合PVID的流量通過Trunk的意思是，它是一條中繼鏈路，允許各種VLAN通過。它的規(guī)則和Access差不多，當收到一個沒有tag的標記的時候就用自己的pvid給他標記，當發(fā)送一個幀時候如果vid=pvid則去掉pvid，與Access不同的是，Trunk有一個屬于自己的本征VLAN(Native VLAN,也叫PVID)，用來發(fā)送一些cdp，bpdu等交換機間聯(lián)系的數(shù)據(jù)或者管理流量，從交換機自身產(chǎn)生的幀在發(fā)出去的時候是不會帶標記的，因為VID=pvid所以標記被去掉，而對端接收到?jīng)]有標記的幀時候就會用自身本征VLAN的信息給他加上標記，然后查看交換表如果發(fā)現(xiàn)目的地址是自己則去掉標記，如果發(fā)現(xiàn)目的mac地址不是自己則繼續(xù)轉(zhuǎn)發(fā)給其他Trunk同時去掉標記（因為一個交換機只有一個本征VLAN所有pvid=vid去掉標記）Hybrid是Access與Trunk的混合模式，它允許VID=pvid。Hybrid與Trunk一樣，在該端口上可以傳送多個vlan的包，一般用于交換機與交換機之間，或者交換機與服務(wù)器之間的鏈接。如果收到的數(shù)據(jù)包不帶vlan，則加上pvid進行轉(zhuǎn)發(fā)；如果收到的數(shù)據(jù)包帶vlan，則判斷該端口是否允許該vlan進入，如果可以則進行轉(zhuǎn)發(fā)，否則丟棄。在網(wǎng)上發(fā)現(xiàn)一個比較好的解釋是：PVID并不是加在幀頭的標記，而是端口的屬性，用來標識端口接收到的未標記的幀。也就是說，當端口收到一個未標記的幀時，則把該幀轉(zhuǎn)發(fā)到VID和本端口PVID相等的VLAN中去。為了驗證這一說法，在S3026上做了以下實驗：在S3026上選兩個端口，連接兩臺主機A、B，按照下表給端口設(shè)置不同的PVID和VID，用A ping B，并在B上抓包，記錄實驗結(jié)果。注：結(jié)果中“有”表示抓包有ICMP的包（但ping不通），“無”表示沒有，“通”表示可以ping通。VID為“無”表示該端口沒有加到任何VLAN里。所有結(jié)果為“無”的可以解釋為：當端口1收到無標記的幀后，轉(zhuǎn)發(fā)到VIDPVID1的端口去，由于端口2無VID，故主機B收不到包。所有結(jié)果為“有”的可以解釋為：當端口1收到無標記的幀后，轉(zhuǎn)發(fā)到VIDPVID1的端口去，由于端口2的VID1，故主機B收到ICMP的ECHO包，并發(fā)出ECHO Reply，由于此種情況下端口1的VID不等于1，故B的Reply并不能到達A。所以只有當兩個端口的PVID和VID一樣時，才可以互通。到此我和大家一樣有個疑問，一個VLAN干嗎要設(shè)置PVID和VID兩種標識呀？反正只有當PVIDVID時才能互通，只有一個不就夠了嗎？請往下看。當所有VLAN都在一個交換機里時，確實只需要一個標識就夠了，但跨設(shè)備的VLAN就需要另一種標識，這就是802.1Q的VLAN ID，即VID。我們知道802.1Q的VLAN是在二層幀里加進VLAN標識，俗稱打tag，而計算機不能解析這種二層的幀，所以交換機的一個端口在分到一個VLAN時有tag和untag屬性兩種屬性，tag端口用來連接設(shè)備，untag端口用來連接計算機。Tag端口出去的幀一般都打上了tag，tag中的VID有的來自PVID，有的則來自其它tag端口中本身就含有tag的幀。設(shè)備互連時，由tag中的VID決定了一個二層幀屬于哪個VLAN，而計算機不具備打tag的功能，所以只有給連接計算機的端口添加一個屬性，用來決定計算機發(fā)出的未標記的幀屬于哪個VLAN，這個屬性就是PVID。到此我們理解了PVID的含義和作用，但似乎只有untag端口下的PVID才具有意義，而實際上tag端口也有PVID屬性，PVID對tag端口會造成什么影響呢？請看中篇。PVID和VID徹底研究（中）PVID值對TAG端口影響在上篇，我們理解了PVID的含義和作用，本篇將通過實驗，分別在S3026和S3526上研究PVID值對tag端口的影響。首先在S3026上進行實驗，如下圖所示：我們將用到3個端口：Port 1、2、3，各端口PVID設(shè)置如下：Port 1：PVID = nPort 2：PVID = 2Port 3：PVID = 3創(chuàng)建2個VLAN：vlan2：VID = 2，包含Port 1 (tag)、Port 2 (untag)vlan3：VID = 3，包含Port 1 (tag)、Port 3 (untag)將3臺主機A、B、C分別接在Port 1、2、3上，分別用主機B、C去ping主機A，在主機A上抓包。實際上tag端口接計算機是沒有意義的，因為計算機無法解析打了tag的二層包文，但通過抓包軟件可以抓到這種二層報文，通過這種方法可以進行分析。實驗時主機B和C可以是同一臺計算機，只不過接到不通端口上，為了方便說明，將它們分開表示。實驗結(jié)果如下：當n = 1時，可以看到來自B和C的包頭前都含有802.1Q的Packet，B、C都不能ping通A（ping不通是由于主機A無法解析打了tag的二層包,他們的Packet中含有各自端口PVID打的TAG,通過Tag端口,原樣發(fā)送了）；當n = 2時，可以看到來自B的包頭前不含有802.1Q的Packet，而來自C的有，僅B可ping通A；當n = 3時，可以看到來自C的包頭前不含有802.1Q的Packet，而來自B的有，僅C可ping通A；通過分析，得出S3026轉(zhuǎn)發(fā)機制大致如下：1、由主機B發(fā)出的包到接口2（由于此時B不知道A的MAC地址，會發(fā)出arp廣播包）2、根據(jù)接口2的PVID的值（PVID2），發(fā)往VID=2的VLAN中的所有接口3、接口1屬于VLAN 2，所以接口1能收到此包4、此時如果VLAN 2中接口1是tag端口，則將接口1的PVID值和VID進行比較：如果PVID=VID則從接口1出去的包不打tag如果PVID!=VID則從接口1出去的包打tag由此可見，以前設(shè)為tag端口的PVID不起作用的說法在S3026上并不適用，正確的說法應(yīng)該是：S3026上的某個VLAN中的tag端口，在轉(zhuǎn)發(fā)在此VLAN中包時出去前，先檢查該tag端口的PVID是否等于VID，若相等則發(fā)出的包不打tag，若不等則打上tag。而在S3526上重復這個實驗時，得到了不同的結(jié)果：在S3526上，只要某個VLAN中的端口設(shè)為tag端口，在轉(zhuǎn)發(fā)來在此VLAN中包時出不管該端口的PVID值是多少，都打上tag。（不同廠家設(shè)備的實現(xiàn)方式不一樣，需要注意?。┪覀儊砜偨Y(jié)一下，S3026的VLAN轉(zhuǎn)發(fā)的機制：在一個端口接收到一個無標記幀時，僅僅由該端口的PVID決定該幀轉(zhuǎn)發(fā)到哪個VLAN中，即轉(zhuǎn)發(fā)到VIDPVID的VLAN中。下面是定義的各種端口類型對各種數(shù)據(jù)幀的處理方法；Tagged數(shù)據(jù)幀Untagged數(shù)據(jù)幀inoutinoutTagged端口原樣接收原樣發(fā)送按接收端口的PVID打TAG標記按照PVID打的TAG標記發(fā)送Untagged端口丟棄去掉TAG標記按接收端口的PVID打TAG標記原樣發(fā)送到此，我們都只是在單獨一個設(shè)備上研究PVID的影響，下篇將結(jié)合一個故障實例，解釋跨設(shè)備時PVID的影響。PVID和VID徹底研究（下）一個故障實例的分析某網(wǎng)組網(wǎng)結(jié)構(gòu)如下圖所示，某路由器下掛S3526，S3526下掛S3026，S3026下面接了4個用戶：其中S3526的接口1上接路由器，打tag標記；接口2接S3026，打tag標記，PVID為1。S3026的配置是這樣的：S3026的接口1上接S3526，打tag標記，屬于VLAN 2、3、4、5，PVID為2；接口2接用戶2，屬于VLAN 2，PVID為2；接口3接用戶3，屬于VLAN 3，PVID為3；接口4接用戶4，屬于VLAN 4，PVID為4；接口5接用戶5，屬于VLAN 5，PVID為5；故障現(xiàn)象為：用戶2的用戶無法上網(wǎng)，而其它的用戶可以上網(wǎng)；如果將S3026的上連口的PVID值配置為3，那么用戶3的用戶無法上網(wǎng)，其它的用戶可以上網(wǎng)；最后我們將S3026的上連口的PVID值設(shè)置為1，4個用戶的用戶就都可以上網(wǎng)了。根據(jù)前兩篇的結(jié)論，我們發(fā)現(xiàn)，接口1的PVID2，故從VLAN 2來的包從接口1出去后不打tag，而此時S3526的接口2的PVID1，收到未標記得包后，將其送到VLAN 1里。原本VLAN 2的包送到了錯誤的VLAN里，所以VLAN 2下的用戶上不了網(wǎng)。當我們將S3026接口1的PVID設(shè)為1時，它不等于所屬任何VLAN地VID，送出去的包都打了tag，此時S3526能根據(jù)tag將接受到的包送到正確的VLAN里，故所有VLAN下用戶都能上網(wǎng)了。我們可以補充一個實驗，將S3026的接口1和S3526的接口2的PVID都設(shè)為2，此時所有用戶都能正常上網(wǎng)，原因是這樣的：S3026將VLAN 2的包不打tag的從接口1送出去，S3526的接口2收到的包有打tag的（VLAN 3、4、5），也有不打tag的（VLAN 2）。S3526的接口2對于打tag的包，能夠發(fā)往正確的VLAN；不打tag的包，根據(jù)接口2的PVID值，送到VIDPVID的VLAN里，而此時接口2的PVID2，也恰巧正確的送到了VLAN 2里。所有VLAN的包在跨設(shè)備后，通過不同的方式，都正確的發(fā)往所在的VLAN，于是所有用戶都能正常上網(wǎng)，只不過VLAN 2和其它的VLAN途徑有點不同?？梢姡O(shè)備兩端的PVID一致時，在解決問題的同時，也把潛在問題給隱藏起來。例如在把S3526隔接為其它設(shè)備時，可能會又造成某個VLAN的用戶上不了網(wǎng)，而此時故障原因不容易找到。我們