VLAN的Hybrid和Trunk端口的區(qū)別.doc

VLAN的Hybrid和Trunk端口的區(qū)別2009-5-7 來源：IT168作者：lijun 我要評論 投稿 打印 MSN推薦 博客引用 大 | 中 | 小導(dǎo)讀：本文探討VLAN的Hybrid和Trunk端口的區(qū)別。關(guān)鍵詞：VLAN Hybrid Trunk 端口 區(qū)別 正在加載數(shù)據(jù). 有網(wǎng)友問這樣一個問題：vlan 1#vlan 2#vlan 3#vlan 4#vlan 5#interface Ethernet0/1port link-type hybridport hybrid vlan 1 to 4 untaggedport hybrid pvid vlan 2#interface Ethernet0/2port link-type hybridport hybrid vlan 3 to 5 untaggedport hybrid pvid vlan 3#以上配置能不能傳到另一臺交換機(jī)? 也就是說和另一臺交換機(jī)的同樣的vlan Id 的端口能不能互通?也就是想知道什么時候用Hybrid，什么時候用Trunk?這個問題的答案為：端口有三種模式：access，hybrid，trunk。access就不說了，trunk可以屬于多個vlan，可以接收和發(fā)送多個vlan的報文，一般用于交換機(jī)之間的連接;hybrid也可以屬于多個vlan，可以接收和發(fā)送多個vlan的報文，可以用于交換機(jī)之間的連接也可以用于交換機(jī)和用戶計算機(jī)之間的連接。trunk和hybrid的區(qū)別主要是，hybrid端口可以允許多個vlan的報文不打標(biāo)簽，而trunk端口只允許缺省vlan的報文不打標(biāo)簽，同一個交換機(jī)上不能hybrid和trunk并存。下邊詳細(xì)介紹一下三種端口：untag就是普通的ethernet報文，普通PC機(jī)的網(wǎng)卡是可以識別這樣的報文進(jìn)行通訊;tag報文結(jié)構(gòu)的變化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag頭;一般來說這樣的報文普通PC機(jī)的網(wǎng)卡是不能識別的下圖說明了802.1Q封裝tag報文幀結(jié)構(gòu)帶802.1Q的幀是在標(biāo)準(zhǔn)以太網(wǎng)幀上插入了4個字節(jié)的標(biāo)識。其中包含：2個字節(jié)的協(xié)議標(biāo)識符(TPID)，當(dāng)前置0x8100的固定值，表明該幀帶有802.1Q的標(biāo)記信息。2個字節(jié)的標(biāo)記控制信息(TCI)，包含了三個域。Priority域，占3bits，表示報文的優(yōu)先級，取值0到7，7為最高優(yōu)先級，0為最低優(yōu)先級。該域被802.1p采用。規(guī)范格式指示符(CFI)域，占1bit，0表示規(guī)范格式，應(yīng)用于以太網(wǎng);1表示非規(guī)范格式，應(yīng)用于Token Ring。VLAN ID域，占12bit，用于標(biāo)示VLAN的歸屬。以太網(wǎng)端口有三種鏈路類型：Access、Hybrid和Trunk。Access類型的端口只能屬于1個VLAN，一般用于連接計算機(jī)的端口;Trunk類型的端口可以允許多個VLAN通過，可以接收和發(fā)送多個VLAN的報文，一般用于交換機(jī)之間連接的端口;Hybrid類型的端口可以允許多個VLAN通過，可以接收和發(fā)送多個VLAN的報文，可以用于交換機(jī)之間連接，也可以用于連接用戶的計算機(jī)。Hybrid端口和Trunk端口在接收數(shù)據(jù)時，處理方法是一樣的，唯一不同之處在于發(fā)送數(shù)據(jù)時：Hybrid端口可以允許多個VLAN的報文發(fā)送時不打標(biāo)簽，而Trunk端口只允許缺省VLAN的報文發(fā)送時不打標(biāo)簽。在這里先要向大家闡明端口的缺省VLAN這個概念A(yù)ccess端口只屬于1個VLAN，所以它的缺省VLAN就是它所在的VLAN，不用設(shè)置;Hybrid端口和Trunk端口屬于多個VLAN，所以需要設(shè)置缺省VLAN ID。缺省情況下，Hybrid端口和Trunk端口的缺省VLAN為VLAN 1當(dāng)端口接收到不帶VLAN Tag的報文后，則將報文轉(zhuǎn)發(fā)到屬于缺省VLAN的端口(如果設(shè)置了端口的缺省VLAN ID)。當(dāng)端口發(fā)送帶有VLAN Tag的報文時，如果該報文的VLAN ID與端口缺省的VLAN ID相同，則系統(tǒng)將去掉報文的VLAN Tag，然后再發(fā)送該報文。注：對于華三交換機(jī)缺省VLAN被稱為“Pvid Vlan”，對于思科交換機(jī)缺省VLAN被稱為“Native Vlan”交換機(jī)接口出入數(shù)據(jù)處理過程如下：Acess端口收報文:收到一個報文,判斷是否有VLAN信息：如果沒有則打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā),如果有則直接丟棄(缺省)Acess端口發(fā)報文：將報文的VLAN信息剝離，直接發(fā)送出去(所以，Access端口可以實(shí)現(xiàn)同一交換機(jī)上相同VLAN下的主機(jī)通信;也可以實(shí)現(xiàn)交換機(jī)級連時的缺省VLAN1報文交換，但不能實(shí)現(xiàn)VLAN透傳。)trunk端口收報文：收到一個報文，判斷是否有VLAN信息：如果有，判斷該trunk端口是否允許該 VLAN的數(shù)據(jù)進(jìn)入：如果可以則轉(zhuǎn)發(fā)，否則丟棄;如果沒有VLAN信息則打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)。trunk端口發(fā)報文：比較將要發(fā)送報文的VLAN信息和端口的PVID，如果不相等則直接發(fā)送。如果兩者相等則剝離VLAN信息，再發(fā)送。(所以，將交換機(jī)級連口統(tǒng)統(tǒng)設(shè)置為Trunk并允許所有VLAN通過后，VLAN2-VLAN4000直接透傳，而VLAN1則因?yàn)楹蚑runk缺省 PVID相同，需要通過剝離VLAN信息又添加VLAN信息實(shí)現(xiàn)了透傳。而如果更改Trunk的缺省PVID，則可以實(shí)現(xiàn)某一交換機(jī)下的VLAN-X和另一交換機(jī)下的VLAN-Y通信。)hybrid端口收報文：收到一個報文,判斷是否有VLAN信息：如果有，則判斷該hybrid端口是否允許該VLAN的數(shù)據(jù)進(jìn)入：如果可以則轉(zhuǎn)發(fā)，否則丟棄(此時端口上的untag配置是不用考慮的，untag配置只對發(fā)送報文時起作用);如果沒有則打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)。hybrid端口發(fā)報文：1、判斷該VLAN在本端口的屬性(disp interface 即可看到該端口對哪些VLAN是untag，哪些VLAN是tag)2、如果是untag則剝離VLAN信息，再發(fā)送，如果是tag則直接發(fā)送(所以，Hybrid實(shí)現(xiàn)了不同VLAN下的主機(jī)的通信。)以下案例可以幫助大家深入理解華三交換機(jī)的hybrid端口模式Switch-Ethernet0/1int e0/1Switch-Ethernet0/1port link-type hybridSwitch-Ethernet0/1port hybrid pvid vlan 10Switch-Ethernet0/1port hybrid vlan 10 20 untaggedSwitch-Ethernet0/1 int e0/2Switch-Ethernet0/2port link-type hybridSwitch-Ethernet0/2port hybrid pvid vlan 20Switch-Ethernet0/2port hybrid vlan 10 20 untagged此時inter e0/1和inter e0/2下的所接的PC是可以互通的，但互通時數(shù)據(jù)所走的往返vlan是不同的。以下以inter e0/1下的所接的pc1訪問inter e0/2下的所接的pc2為例進(jìn)行說明pc1所發(fā)出的數(shù)據(jù)，由inter0/1所在的pvid vlan10封裝vlan10的標(biāo)記后送入交換機(jī)，交換機(jī)發(fā)現(xiàn)inter e0/2允許vlan 10的數(shù)據(jù)通過，于是數(shù)據(jù)被轉(zhuǎn)發(fā)到inter e0/2上，由于inter e0/2上vlan 10是untagged的，于是交換機(jī)此時去除數(shù)據(jù)包上vlan10的標(biāo)記，以普通包的形式發(fā)給pc2，此時pc1-p2走的是vlan10再來分析pc2給pc1回包的過程，pc2所發(fā)出的數(shù)據(jù)，由inter0/2所在的pvid vlan20封裝vlan20的標(biāo)記后送入交換機(jī)，交換機(jī)發(fā)現(xiàn)inter e0/1允許vlan 20的數(shù)據(jù)通過，于是數(shù)據(jù)被轉(zhuǎn)發(fā)到inter e0/1上，由于inter e0/1上vlan 20是untagged的，于是交換機(jī)此時去除數(shù)據(jù)包上vlan20的標(biāo)記，以普通包的形式發(fā)給pc1，此時pc2-pc1走的是vlan20。對VLAN進(jìn)行封裝有兩種協(xié)議.一種是思科專有的協(xié)議,叫做ISL. 另一種是RFC公有的協(xié)議叫做802.1Q. 兩種協(xié)議都是針對TRUNK承載不同VLAN為防止混亂而產(chǎn)生的. 默認(rèn)情況下.交換機(jī)上所有的接口都位于VLAN1下.也就是NATIVE VLAN. 事實(shí)上,本地VLAN中不僅僅有著接口,還有STP信息,比如BPDU橋接協(xié)議數(shù)據(jù)單元,VLAN ID的信息等等都要通過native vlan來傳輸. ISL協(xié)議和802.1Q的區(qū)別在于針對native vlan是否打標(biāo). ISL是全部都打,有幾個VLAN打幾個標(biāo)記,而.1Q協(xié)議除了VLAN1也就是native vlan不打標(biāo)記之外其他的VLAN都打標(biāo)記,作用都是一樣的,都能讓TRUNK識別不同的VLAN. 那為什么不對VLAN1打標(biāo)記呢.就是因?yàn)閂LAN1中承載著許多信息對native vlan標(biāo)記是相當(dāng)不利的.native vlan和native os的作用是什么？有什么意義？如果一個VLAN跨多個交換機(jī)，則交換機(jī)和交換機(jī)之間的連接必須設(shè)為Trunk。Trunk可以傳輸多個VLAN的數(shù)據(jù)。Cisco Trunk分成兩種技術(shù)ISL（Cisco私有），IEEE 802.1q。 Native Vlan是802.1q特有的術(shù)語。先解釋802.1q的工作原理，比如有Switch A和Switch B兩個交換機(jī)，每個交換機(jī)上的第一端口屬于VLAN 3,連接在A的e0/1的主機(jī)C要和連在B的e0/1上的主機(jī)D通訊，C發(fā)出的以太網(wǎng)幀通過交換機(jī)間的連線到達(dá)B，B必須要能分辨出該以太網(wǎng)幀是屬于哪個VLAN的，所以當(dāng)以太網(wǎng)幀離開A的Trunk口時，A會在以太網(wǎng)幀頭插入一個4個byte的字段，其中12位表示VLAN號，表明該以太網(wǎng)幀是哪個VLAN發(fā)出來的。這樣當(dāng)B從Trunk口接收該幀后，可以判斷該轉(zhuǎn)發(fā)給哪個VLAN，同時B在將以太網(wǎng)幀傳給主機(jī)時，會拿掉A加上的tag，D主機(jī)收到的幀是標(biāo)準(zhǔn)的以太網(wǎng)幀。所謂Native Vlan指從該VLAN發(fā)出的數(shù)據(jù)幀在通過Trunk時，交換機(jī)不會做任何標(biāo)記，當(dāng)成一個普通的以太網(wǎng)幀。默認(rèn)Native VLAN 為VLAN1，而且只能有一個Native VLAN。在Trunk兩端交換機(jī)的Native VLAN應(yīng)該一致，不能A上是Vlan1，B上是Vlan2，否則A上VLAN1的主機(jī)就能和B上VLAN2的主機(jī)通訊了。自己分析為什么！Native VLAN：作為Trunk，這個口要屬于一個native VLAN。所謂native VLAN，就是指在這個接口上收發(fā)的UNTAG 報文，都被認(rèn)為是屬于這個VLAN 的。顯然，這個接口的缺省VLAN ID（即 IEEE 802.1Q 中的PVID）就是native VLAN 的VLAN ID。同時，在Trunk 上發(fā)送屬于native VLAN 的幀，則必然采用UNTAG 的方式。本文來自CSDN博客，轉(zhuǎn)載請標(biāo)明出處：/quanshengaa/archive/2008/06/20/2571052.aspx我大致解釋一下：pc0和pc1屬于vlan1，pc2和pc3屬于vlan10，pc4和pc5屬于vlan20，兩個交換機(jī)之間我做了vlan trunk，并設(shè)置第一臺交換機(jī)native vlan 10，第二臺交換機(jī)native vlan 20。我發(fā)現(xiàn)，1）vlan1中的兩臺主機(jī)pc0和pc1可以進(jìn)行通信；2）vlan10中的兩臺主機(jī)pc2和pc3無法進(jìn)行通信；3）vlan20中的兩臺主機(jī)pc4和pc5無法進(jìn)行通信；按照我理解的通信過程是這樣的：1）vlan1中的主機(jī)pc0pc1：首先pc0發(fā)送數(shù)據(jù)幀給交換機(jī)0，交換機(jī)0發(fā)現(xiàn)該數(shù)據(jù)幀有vlan id（id=1），于是不對該數(shù)據(jù)幀進(jìn)行操作，直接轉(zhuǎn)發(fā)給交換機(jī)2，交換機(jī)2發(fā)現(xiàn)該數(shù)據(jù)幀有vlan id（id=1），不對其進(jìn)行操作，轉(zhuǎn)發(fā)給交換機(jī)2中的vlan1，所以可以ping通。2）vlan10中的主機(jī)pc2pc3：首先pc2發(fā)送數(shù)據(jù)幀給交換機(jī)0，交換機(jī)0發(fā)現(xiàn)該數(shù)據(jù)幀有vlan id（id=10）且等于pvid，于是對數(shù)據(jù)幀進(jìn)行untag操作，數(shù)據(jù)幀隨后被轉(zhuǎn)發(fā)給交換機(jī)2，交換機(jī)2發(fā)現(xiàn)該數(shù)據(jù)幀為untag，于是將交換機(jī)2的pvid標(biāo)注給該數(shù)據(jù)幀，數(shù)據(jù)幀此時的pvid為20，隨后交換機(jī)把該幀轉(zhuǎn)發(fā)給交換機(jī)2中的vlan20，目的主機(jī)發(fā)現(xiàn)該數(shù)據(jù)幀中的目的mac地址不屬于vlan20，所以pc2和pc3無法ping通。3）vlan20中的主機(jī)pc4pc5：首先pc4發(fā)送數(shù)據(jù)幀給交換機(jī)0，交換機(jī)0發(fā)現(xiàn)該數(shù)據(jù)幀有vlan id（id=20），于是不對該數(shù)據(jù)幀進(jìn)行操作，數(shù)據(jù)幀被轉(zhuǎn)發(fā)給交換機(jī)2，交換機(jī)2發(fā)現(xiàn)該數(shù)據(jù)幀有vlan id（id=20），不對其進(jìn)行操作，轉(zhuǎn)發(fā)給交換機(jī)2中的vlan20，所以應(yīng)該可以ping通?？墒菫槭裁次以趯?shí)驗(yàn)的時候會ping不通呢？vlan1和vlan20中的通信過程不應(yīng)該是一樣的嗎？是我理解有錯誤嗎？如果我理解錯誤，那正確的通信過程是怎樣的呢？請各位高手指教！另外我還有個問題：native vlan是否必須要在trunk中使用？如果必須要在trunk中使用，那為什么在我不劃分vlan的情況下，直接將兩臺交換機(jī)級聯(lián)，在不設(shè)置trunk的情況下，vlan1中的主機(jī)之間就可以進(jìn)行通信？你的概念很有問題.1. NATIVE VLAN是TRUNK的特性, 而不是交換機(jī)的特性2. 你在SWITCH 0的TRUNK設(shè)置NATIVE VLAN 10, 在SWITCH 1的TRUNK設(shè)置NATIVE VLAN 20, 這本身就是一個NATIVE VLAN MISMATCH的錯誤. 當(dāng)然作為實(shí)驗(yàn)環(huán)境也不能說什么.3. VLAN 1 的PC發(fā)送FRAME給SWITCH 0, 在非特殊環(huán)境下這個FRAME是UNTAG的. 即使PC端有軟件強(qiáng)制性打TAG, 在SWITCH 0上的ACCESS VLAN 1 端口也把這個TAG去除掉, 然后嘗試在VLAN1中FORWARD這個UNTAG FRAME. 只有在向TRUNK傳送的時候, SWITCH 0才會重新給這個FRAME打上VLAN 1的TAG.4. SWITCH 0 收到VLAN 10的FRAME的時候的做法和VLAN 1的一樣, 只不過在往TRUNK傳送的時候, 因?yàn)閂LAN 10是SWITCH 0 TRUNK的NATIVE VLAN, 所以SWITCH 0 并不會給VLAN 10 的FRAME 打VLAN 10的TAG, 而是保持UNTAG的狀態(tài). 重點(diǎn)是, 在SWITCH 1的TRUNK