交換機(jī)PVID VID和tag的區(qū)別.doc

PVID和VID徹底研究（上）PVID的作用及和VID的區(qū)別Pvid和Vid經(jīng)常出現(xiàn)于二、三層交換機(jī)里，由于PVID和VID的設(shè)置不合理，造成VLAN劃分變得混亂。本文就對PVID和VID進(jìn)行了徹底研究。首先解釋一下什么是PVID，PVID英文解釋為Port-base VLAN ID，是基于端口的VLAN ID.通俗的講，指的是native Vlan，即不打Vlan標(biāo)記的Vlan，一般默認(rèn)為Vlan 1。去超市買東西有個(gè)掃描設(shè)備掃描一下商品上的標(biāo)簽，然后價(jià)格就會出現(xiàn)商品上的標(biāo)簽就好比一個(gè)標(biāo)記，而掃描器就好比解讀這個(gè)標(biāo)記的設(shè)備PVID和VID（標(biāo)記）之間的關(guān)系就好比掃描器和商品標(biāo)記的關(guān)系，不同的是PVID不僅用來解析ViD也用來生成VID終端設(shè)備比如電腦PC等，自身不具備產(chǎn)生標(biāo)記的能力，因?yàn)閿?shù)據(jù)幀格式是固定的，發(fā)送端自身不知道自身是哪個(gè)VLAN成員那么他自己當(dāng)然不可能在幀內(nèi)標(biāo)記VLAN id了，標(biāo)記和解標(biāo)記都是由中間設(shè)備來完成的.交換機(jī)上的端口分為三種一種是接入層端口直連設(shè)備的，叫做Access；一種是交換機(jī)和交換機(jī)之間的端口負(fù)責(zé)匯聚的叫做Trunk，還有一種是Access與Trunk混合的模式，叫做Hybrid。Access端口負(fù)責(zé)接終端設(shè)備，他收到一個(gè)幀的時(shí)候，如果幀這個(gè)沒有標(biāo)記他就用自己的pvid給他打上標(biāo)記，他在發(fā)出一個(gè)幀時(shí)如果VID=PVID就去掉標(biāo)記(解標(biāo)記)以保證傳送給終端設(shè)備的幀沒有被變動過(中間設(shè)備添加了標(biāo)記)，pvid是在劃分vlan時(shí)候每個(gè)端口都有的屬性，默認(rèn)情況下思科交換機(jī)中每個(gè)端口初始pvid是1，表示他是vlan 1的成員們?nèi)绻憬o他劃分了其他VLAN那么PVID相應(yīng)會發(fā)生更改ACCESS端口的特點(diǎn)是只允許符合PVID的流量通過Trunk的意思是，它是一條中繼鏈路，允許各種VLAN通過。它的規(guī)則和Access差不多，當(dāng)收到一個(gè)沒有tag的標(biāo)記的時(shí)候就用自己的pvid給他標(biāo)記，當(dāng)發(fā)送一個(gè)幀時(shí)候如果vid=pvid則去掉pvid，與Access不同的是，Trunk有一個(gè)屬于自己的本征VLAN(Native VLAN,也叫PVID)，用來發(fā)送一些cdp，bpdu等交換機(jī)間聯(lián)系的數(shù)據(jù)或者管理流量，從交換機(jī)自身產(chǎn)生的幀在發(fā)出去的時(shí)候是不會帶標(biāo)記的，因?yàn)閂ID=pvid所以標(biāo)記被去掉，而對端接收到?jīng)]有標(biāo)記的幀時(shí)候就會用自身本征VLAN的信息給他加上標(biāo)記，然后查看交換表如果發(fā)現(xiàn)目的地址是自己則去掉標(biāo)記，如果發(fā)現(xiàn)目的mac地址不是自己則繼續(xù)轉(zhuǎn)發(fā)給其他Trunk同時(shí)去掉標(biāo)記（因?yàn)橐粋€(gè)交換機(jī)只有一個(gè)本征VLAN所有pvid=vid去掉標(biāo)記）Hybrid是Access與Trunk的混合模式，它允許VID=pvid。Hybrid與Trunk一樣，在該端口上可以傳送多個(gè)vlan的包，一般用于交換機(jī)與交換機(jī)之間，或者交換機(jī)與服務(wù)器之間的鏈接。如果收到的數(shù)據(jù)包不帶vlan，則加上pvid進(jìn)行轉(zhuǎn)發(fā)；如果收到的數(shù)據(jù)包帶vlan，則判斷該端口是否允許該vlan進(jìn)入，如果可以則進(jìn)行轉(zhuǎn)發(fā)，否則丟棄。在網(wǎng)上發(fā)現(xiàn)一個(gè)比較好的解釋是：PVID并不是加在幀頭的標(biāo)記，而是端口的屬性，用來標(biāo)識端口接收到的未標(biāo)記的幀。也就是說，當(dāng)端口收到一個(gè)未標(biāo)記的幀時(shí)，則把該幀轉(zhuǎn)發(fā)到VID和本端口PVID相等的VLAN中去。為了驗(yàn)證這一說法，在S3026上做了以下實(shí)驗(yàn)：在S3026上選兩個(gè)端口，連接兩臺主機(jī)A、B，按照下表給端口設(shè)置不同的PVID和VID，用A ping B，并在B上抓包，記錄實(shí)驗(yàn)結(jié)果。注：結(jié)果中“有”表示抓包有ICMP的包（但ping不通），“無”表示沒有，“通”表示可以ping通。VID為“無”表示該端口沒有加到任何VLAN里。所有結(jié)果為“無”的可以解釋為：當(dāng)端口1收到無標(biāo)記的幀后，轉(zhuǎn)發(fā)到VIDPVID1的端口去，由于端口2無VID，故主機(jī)B收不到包。所有結(jié)果為“有”的可以解釋為：當(dāng)端口1收到無標(biāo)記的幀后，轉(zhuǎn)發(fā)到VIDPVID1的端口去，由于端口2的VID1，故主機(jī)B收到ICMP的ECHO包，并發(fā)出ECHO Reply，由于此種情況下端口1的VID不等于1，故B的Reply并不能到達(dá)A。所以只有當(dāng)兩個(gè)端口的PVID和VID一樣時(shí)，才可以互通。到此我和大家一樣有個(gè)疑問，一個(gè)VLAN干嗎要設(shè)置PVID和VID兩種標(biāo)識呀？反正只有當(dāng)PVIDVID時(shí)才能互通，只有一個(gè)不就夠了嗎？請往下看。當(dāng)所有VLAN都在一個(gè)交換機(jī)里時(shí)，確實(shí)只需要一個(gè)標(biāo)識就夠了，但跨設(shè)備的VLAN就需要另一種標(biāo)識，這就是802.1Q的VLAN ID，即VID。我們知道802.1Q的VLAN是在二層幀里加進(jìn)VLAN標(biāo)識，俗稱打tag，而計(jì)算機(jī)不能解析這種二層的幀，所以交換機(jī)的一個(gè)端口在分到一個(gè)VLAN時(shí)有tag和untag屬性兩種屬性，tag端口用來連接設(shè)備，untag端口用來連接計(jì)算機(jī)。Tag端口出去的幀一般都打上了tag，tag中的VID有的來自PVID，有的則來自其它tag端口中本身就含有tag的幀。設(shè)備互連時(shí)，由tag中的VID決定了一個(gè)二層幀屬于哪個(gè)VLAN，而計(jì)算機(jī)不具備打tag的功能，所以只有給連接計(jì)算機(jī)的端口添加一個(gè)屬性，用來決定計(jì)算機(jī)發(fā)出的未標(biāo)記的幀屬于哪個(gè)VLAN，這個(gè)屬性就是PVID。到此我們理解了PVID的含義和作用，但似乎只有untag端口下的PVID才具有意義，而實(shí)際上tag端口也有PVID屬性，PVID對tag端口會造成什么影響呢？請看中篇。PVID和VID徹底研究（中）PVID值對TAG端口影響在上篇，我們理解了PVID的含義和作用，本篇將通過實(shí)驗(yàn)，分別在S3026和S3526上研究PVID值對tag端口的影響。首先在S3026上進(jìn)行實(shí)驗(yàn)，如下圖所示：我們將用到3個(gè)端口：Port 1、2、3，各端口PVID設(shè)置如下：Port 1：PVID = nPort 2：PVID = 2Port 3：PVID = 3創(chuàng)建2個(gè)VLAN：vlan2：VID = 2，包含Port 1 (tag)、Port 2 (untag)vlan3：VID = 3，包含Port 1 (tag)、Port 3 (untag)將3臺主機(jī)A、B、C分別接在Port 1、2、3上，分別用主機(jī)B、C去ping主機(jī)A，在主機(jī)A上抓包。實(shí)際上tag端口接計(jì)算機(jī)是沒有意義的，因?yàn)橛?jì)算機(jī)無法解析打了tag的二層包文，但通過抓包軟件可以抓到這種二層報(bào)文，通過這種方法可以進(jìn)行分析。實(shí)驗(yàn)時(shí)主機(jī)B和C可以是同一臺計(jì)算機(jī)，只不過接到不通端口上，為了方便說明，將它們分開表示。實(shí)驗(yàn)結(jié)果如下：當(dāng)n = 1時(shí)，可以看到來自B和C的包頭前都含有802.1Q的Packet，B、C都不能ping通A（ping不通是由于主機(jī)A無法解析打了tag的二層包,他們的Packet中含有各自端口PVID打的TAG,通過Tag端口,原樣發(fā)送了）；當(dāng)n = 2時(shí)，可以看到來自B的包頭前不含有802.1Q的Packet，而來自C的有，僅B可ping通A；當(dāng)n = 3時(shí)，可以看到來自C的包頭前不含有802.1Q的Packet，而來自B的有，僅C可ping通A；通過分析，得出S3026轉(zhuǎn)發(fā)機(jī)制大致如下：1、由主機(jī)B發(fā)出的包到接口2（由于此時(shí)B不知道A的MAC地址，會發(fā)出arp廣播包）2、根據(jù)接口2的PVID的值（PVID2），發(fā)往VID=2的VLAN中的所有接口3、接口1屬于VLAN 2，所以接口1能收到此包4、此時(shí)如果VLAN 2中接口1是tag端口，則將接口1的PVID值和VID進(jìn)行比較：如果PVID=VID則從接口1出去的包不打tag如果PVID!=VID則從接口1出去的包打tag由此可見，以前設(shè)為tag端口的PVID不起作用的說法在S3026上并不適用，正確的說法應(yīng)該是：S3026上的某個(gè)VLAN中的tag端口，在轉(zhuǎn)發(fā)在此VLAN中包時(shí)出去前，先檢查該tag端口的PVID是否等于VID，若相等則發(fā)出的包不打tag，若不等則打上tag。而在S3526上重復(fù)這個(gè)實(shí)驗(yàn)時(shí)，得到了不同的結(jié)果：在S3526上，只要某個(gè)VLAN中的端口設(shè)為tag端口，在轉(zhuǎn)發(fā)來在此VLAN中包時(shí)出不管該端口的PVID值是多少，都打上tag。（不同廠家設(shè)備的實(shí)現(xiàn)方式不一樣，需要注意！）我們來總結(jié)一下，S3026的VLAN轉(zhuǎn)發(fā)的機(jī)制：在一個(gè)端口接收到一個(gè)無標(biāo)記幀時(shí)，僅僅由該端口的PVID決定該幀轉(zhuǎn)發(fā)到哪個(gè)VLAN中，即轉(zhuǎn)發(fā)到VIDPVID的VLAN中。下面是定義的各種端口類型對各種數(shù)據(jù)幀的處理方法；Tagged數(shù)據(jù)幀Untagged數(shù)據(jù)幀inoutinoutTagged端口原樣接收原樣發(fā)送按接收端口的PVID打TAG標(biāo)記按照PVID打的TAG標(biāo)記發(fā)送Untagged端口丟棄去掉TAG標(biāo)記按接收端口的PVID打TAG標(biāo)記原樣發(fā)送到此，我們都只是在單獨(dú)一個(gè)設(shè)備上研究PVID的影響，下篇將結(jié)合一個(gè)故障實(shí)例，解釋跨設(shè)備時(shí)PVID的影響。PVID和VID徹底研究（下）一個(gè)故障實(shí)例的分析某網(wǎng)組網(wǎng)結(jié)構(gòu)如下圖所示，某路由器下掛S3526，S3526下掛S3026，S3026下面接了4個(gè)用戶：其中S3526的接口1上接路由器，打tag標(biāo)記；接口2接S3026，打tag標(biāo)記，PVID為1。S3026的配置是這樣的：S3026的接口1上接S3526，打tag標(biāo)記，屬于VLAN 2、3、4、5，PVID為2；接口2接用戶2，屬于VLAN 2，PVID為2；接口3接用戶3，屬于VLAN 3，PVID為3；接口4接用戶4，屬于VLAN 4，PVID為4；接口5接用戶5，屬于VLAN 5，PVID為5；故障現(xiàn)象為：用戶2的用戶無法上網(wǎng)，而其它的用戶可以上網(wǎng)；如果將S3026的上連口的PVID值配置為3，那么用戶3的用戶無法上網(wǎng)，其它的用戶可以上網(wǎng)；最后我們將S3026的上連口的PVID值設(shè)置為1，4個(gè)用戶的用戶就都可以上網(wǎng)了。根據(jù)前兩篇的結(jié)論，我們發(fā)現(xiàn)，接口1的PVID2，故從VLAN 2來的包從接口1出去后不打tag，而此時(shí)S3526的接口2的PVID1，收到未標(biāo)記得包后，將其送到VLAN 1里。原本VLAN 2的包送到了錯(cuò)誤的VLAN里，所以VLAN 2下的用戶上不了網(wǎng)。當(dāng)我們將S3026接口1的PVID設(shè)為1時(shí)，它不等于所屬任何VLAN地VID，送出去的包都打了tag，此時(shí)S3526能根據(jù)tag將接受到的包送到正確的VLAN里，故所有VLAN下用戶都能上網(wǎng)了。我們可以補(bǔ)充一個(gè)實(shí)驗(yàn)，將S3026的接口1和S3526的接口2的PVID都設(shè)為2，此時(shí)所有用戶都能正常上網(wǎng)，原因是這樣的：S3026將VLAN 2的包不打tag的從接口1送出去，S3526的接口2收到的包有打tag的（VLAN 3、4、5），也有不打tag的（VLAN 2）。S3526的接口2對于打tag的包，能夠發(fā)往正確的VLAN；不打tag的包，根據(jù)接口2的PVID值，送到VIDPVID的VLAN里，而此時(shí)接口2的PVID2，也恰巧正確的送到了VLAN 2里。所有VLAN的包在跨設(shè)備后，通過不同的方式，都正確的發(fā)往所在的VLAN，于是所有用戶都能正常上網(wǎng)，只不過VLAN 2和其它的VLAN途徑有點(diǎn)不同。可見，設(shè)備兩端的PVID一致時(shí)，在解決問題的同時(shí)，也把潛在問題給隱藏起來。例如在把S3526隔接為其它設(shè)備時(shí)，可能會又造成某個(gè)VLAN的用戶上不了網(wǎng)，而此時(shí)故障原因不容易找到。我們