先熟悉三个二层接口的类型:
access接口:交换机上常用来连接用户PC,服务器等终端设备的接口。access接口所连接的这些设备的网卡往往只收发无标记帧。只能加入一个VLAN
trunk接口:允许多个VLAN的数据帧通过,这些数据帧通过802.1Q Tag实现区分。trunk接口常用于交换机之间的互联,也用于连接路由器、防火墙等设备的子接口
hybrid接口:允许多个VLAN的数据帧通过,这些数据帧通过802.1Q Tag实现区分。用户可以灵活指定hybrid接口在发送某个(或某些)VLAN的数据帧时是否携带Tag
access接口:
接收帧:
1.接口收到untagged帧:接收该帧,并打上该接口PVID的TAG
2.接口收到tagged帧:当该帧的VLANID与该接口的PVID相同时,接收该帧。当该帧的VLANID与该接口的PVID不同时,丢弃该帧
发送帧:
1.帧的VLANID与接口PVID相同:先剥离该帧的TAG,然后再将其从该接口发出
2.帧的VLANID与接口PVID不同:禁止将该帧从该接口发出
如图:
PC1和PC3都属于VLAN10,LSW1的E0/0/1和E0/0/2口类型是access接口,default为VLAN10。当PC1 ping PC3时,LSW1的E0/0/1口接收到无标记帧,就会打上标记VLAN10,当LSW1的E0/0/2口发送时候,发现标记的VLANID与本接口的PVID相同,就会剥离标记,再发送给PC3,若本接口的PVID不等于标记的VLANID就会丢弃该包,同时PC3同样的方式响应给PC1,证明请求成功。
trunk接口:
接收帧:
1.接口收到untagged帧:该帧打上PVID,当PVID在该接口允许通过的VLAN列表里时接收该帧;当PVID不在允许通过的VLAN列表里时,丢弃该帧
2.接口收到tagged帧:当该帧的VLANID在该接口允许通过的VLAN列表里时,接收该帧,否则丢弃该帧
发送帧:
1.帧的VLANID与接口PVID相同:当该帧的VLANID在该接口允许通过的VLAN列表中,则将该帧的TAG剥离,然后将其从该接口发送出去;如果VLANID不在允许通过的VLAN列表中则禁止将该帧从该接口发出
2.帧的VLANID与接口PVID不同:当该帧的VLANID在该接口允许通过的VLAN列表中,则保留该帧的TAG,然后将其从该接口发送出去;如果VLANID不在允许通过的VLAN列表中则禁止将该帧从该接口发出
还是如上图:
现在给LSW1和LSW2的G0/0/1接口配置成trunk口,并且allow vlan all,LSW2的E0/0/1接口配置成VLAN10
从PC1 ping PC2是相通的。既然两台交换机的G0/0/1口是trunk口,官方给出的trunk口的默认PVID为1,所以当PC1 ping PC2时,先到LSW1的E0/0/1口,打上TAG VLANID10,在G0/0/1发出时,帧的VLANID10不等于该接口PVID1,因此会保留该帧VLAN10,然后将其从该接口发送出去,当到LSW2的G0/0/1时,该帧的VLANID在允许的列表中,接收该帧,最后到LSW2的E0/0/1,该接口是access接口,因此剥离VLAN10发送到PC2,证明请求成功
但是如果假设现在把LSW1的G0/0/1接口不变还是PVID1,把LSW2的G0/0/1接口改成PVID10,尝试PC1 ping PC2,发现不通;如图:
我们分析一下,先到LSW1的E0/0/1口,打上TAG VLANID10,在G0/0/1发出时,帧的VLANID10不等于该接口PVID1,因此会保留该帧VLAN10,然后将其从该接口发送出去,当到LSW2的G0/0/1时,该帧的VLANID在允许的列表中,接收该帧,最后到LSW2的E0/0/1,该接口是access接口,因此剥离VLAN10发送到PC2,证明请求成功。那为什么不通呢?因为数据是有来有回的,从PC2到PC1的路径,先到LSW2的E0/0/1接口打上TAG VLAN10,然后到LSW2的G0/0/1接口剥离TAG VLAN10,再到LSW1的G0/0/1接口,打上TAG VLAN1,再到LSW的E0/0/1接口该接口access接口VLAN10,发现不相等,因此丢弃掉数据包
回到问题,VLAN真的可以隔离广播域吗?如图:
PC1和PC2属于VLAN10,PC3和PC4属于VLAN20,现在我将LSW1的g0/0/1接口PVID设置成10和LSW2的g0/0/1接口设置成20,这样PC1 ping PC3是可以通的,因为交换机之间是trunk接口,当PC1的数据经由LSW1的g0/0/1接口发出时,会剥离TAG,再到LSW2的g0/0/1又会打上PVID20的TAG,最后到LSW2的E0/0/1会剥离TAG,因此两个VLAN之间是可以互通的,如图:
总结:VLAN并不能隔离广播域,真正隔离广播域的是IP寻址
hybrid接口:
接收帧:
1.接口收到untagged帧:打上PVID,当PVID在该接口允许通过的VLAN列表里时接收该帧;当PVID不在允许通过的VLAN列表里时,丢弃该帧
2.接口收到tagged帧:当该帧的VLANID在该接口允许通过的VLAN列表里时,接收该帧,否则丢弃该帧
发送帧:
1.帧的VLANID是该接口允许通过的VLANID:当管理员通过命令设置发送该VLAN的帧时不携带TAG,则将该帧的TAG剥离,然后将其从该接口发送出去
2.帧的VLANID是该接口允许通过的VLANID:当管理员通过命令设置发送该VLAN的帧时携带TAG,则保留该帧的TAG,然后将其从该接口发送出去
untagged一般配置连接PC机,tagged一般配置连接两台交换机
注意:
port hybrid untagged vlan xx和port hybrid tagged vlan xx,untagged和tagged都表示允许通过的VLAN列表,等同于port trunk allow-pass vlan xx,唯一的区别是带不带TAG
如图:
给LSW1的E0/0/1设置为hybrid接口untagged VLAN10和PVID10,E0/0/2设置为hybrid接口untagged VLAN20和PVID20,G0/0/1设置为hybrid接口tagged VLAN10 20
给LSW2的E0/0/1设置为hybrid接口untagged VLAN10和PVID10,E0/0/2设置为hybrid接口untagged VLAN20和PVID20,G0/0/1设置为hybrid接口tagged VLAN10 20
当PC1 ping PC3时,LSW1的e0/0/1接口接收到untagged帧,因此打上PVID10,该接口配置为PVID10,因此不会被丢弃,继续到LSW1的G0/0/1口,因为配置了tagged VLAN10 20,因此携带TAG继续发送,到LSW2的G0/0/1接口,配置为tagged VLAN10 20,接收并继续发送,到LSW2的E0/0/1接口,配置为untagged VLAN10,因此不携带TAG发送给PC3,回程也一样,证明请求成功
