首先,將交換機的類型進行劃分,交換機分爲低端(SOHO級)和高端(企業級)。
其兩者的重要區別就是低端的交換機,每一個物理端口爲一個邏輯端口,而高端交換機則是將多個物理端口捆綁成一個邏輯端口再進行的配置的。
cisco網絡中,交換機在局域網中最終穩定狀態的接口類型主要有四種:access/ trunk/ multi/ dot1q-tunnel。
1、access: 主要用來接入終端設備,如PC機、服務器、打印服務器等。
2、trunk: 主要用在連接其它交換機,以便在線路上承載多個vlan。
3、multi: 在一個線路中承載多個vlan,但不像trunk,它不對承載的數據打標籤。主要用於接入支持多vlan的服務器或者一些網絡分析設備。現在基本不使用此類接口,在cisco的網絡設備中,也基本不支持此類接口了。
4、dot1q-tunnel: 用在Q-in-Q隧道配置中。
Cisco網絡設備支持動態協商端口的工作狀態,這爲網絡設備的實施提供了一定的方便(但不建議使用動態方式)。cisco動態協商協議從最初的DISL(Cisco私有協議)發展到DTP(公有協議)。根據動態協議的實現方式,Cisco網絡設備接口主要分爲下面幾種模式:
1、switchport mode access: 強制接口成爲access接口,並且可以與對方主動進行協商,誘使對方成爲access模式。
2、switchport mode dynamic desirable: 主動與對協商成爲Trunk接口的可能性,如果鄰居接口模式爲Trunk/desirable/auto之一,則接口將變成trunk接口工作。如果不能形成trunk模式,則工作在access模式。這種模式是現在交換機的默認模式。
3、switchport mode dynamic auto: 只有鄰居交換機主動與自己協商時纔會變成Trunk接口,所以它是一種被動模式,當鄰居接口爲Trunk/desirable之一時,纔會成爲Trunk。如果不能形成trunk模式,則工作在access模式。
4、switchport mode trunk: 強制接口成爲Trunk接口,並且主動誘使對方成爲Trunk模式,所以當鄰居交換機接口爲trunk/desirable/auto時會成爲Trunk接口。
5、switchport nonegotiate: 嚴格的說,這不算是種接口模式,它的作用只是阻止交換機接口發出DTP數據包,它必須與switchport mode trunk或者switchport mode access一起使用。
6、switchport mode dot1q-tunnel: 配置交換機接口爲隧道接口(非Trunk),以便與用戶交換機的Trunk接口形成不對稱鏈路。
什麼是鏈路類型?
vlan的鏈路類型可以分爲接入鏈路和幹道鏈路。
(1)接入鏈路(access link)指的交換機到用戶設備的鏈路,即是接入到戶,可以理解爲由交換機向用戶的鏈路。由於大多數電腦不能發送帶vlan tag的幀,所以這段鏈路可以理解爲不帶vlan tag的鏈路。
(2) 幹道鏈路(trunk link)指的交換機到上層設備如路由器的鏈路,可以理解爲向廣域網走的鏈路。這段鏈路由於要靠vlan來區分用戶或者服務,所以一般都帶有vlan tag。
什麼是端口類型?
端口類型在以前主要分爲兩種,基本上用的也是access和trunk這兩種端口。
(1)access端口:它是交換機上用來連接用戶電腦的一種端口,只用於接入鏈路。例如:當一個端口屬於vlan 10時,那麼帶着vlan 10的數據幀會被髮送到交換機這個端口上,當這個數據幀通過這個端口時,vlan 10 tag 將會被剝掉,到達用戶電腦時,就是一個以太網的幀。而當用戶電腦發送一個以太網的幀時,通過這個端口向上走,那麼這個端口就會給這個幀加上一個vlan 10 tag。而其他vlan tag的幀則不能從這個端口上下發到電腦上。
(2)trunk端口:這個端口是交換機之間或者交換機和上層設備之間的通信端口,用於幹道鏈路。一個trunk端口可以擁有一個主vlan和多個副vlan,這個概念可以舉個例子來理解:例如:當一個trunk端口有主vlan 10 和多個副vlan11、12、30時,帶有vlan 30的數據幀可以通過這個端口,通過時vlan 30不被剝掉;當帶有vlan 10的數據幀通過這個端口時也可以通過。如果一個不帶vlan 的數據幀通過,那麼將會被這個端口打上vlan 10 tag。這種端口的存在就是爲了多個vlan的跨越交換機進行傳遞。
也可以看出,這兩種鏈路方式恰好對應兩種端口方式,理解起來也不算困難。原理理解了,當看到交換機時,配置幾遍就完全明白了。
access和truck 主要是區分VLAN中交換機的端口類型
truck端口爲與其它交換機端口相連的VLAN匯聚口,access端口爲交換機與VLAN域中主機相連的端口
trunk一般是打tag標記的,一般只允許打了該tag標記的vlan 通過,所以該端口可以允許多個打tag標記的vlan 通過,而access端口一般是untag不打標記的端口,而且一個access vlan端口只允許一個access vlan通過.
access,trunk,hybid是三種端口屬性;
具有access性質的端口只能屬於一個vlan,且該端口不打tag;
具有trunk性質的端口可以屬於多個vlan,且該端口都是打tag的;
具有hybid性質的端口可以屬於多個vlan,至於該端口在vlan中是否打tag由用戶根據具體情況而定;
交換機三種端口模式Access、Hybrid和Trunk的理解
端口有三種模式:access,hybrid,trunk。access性質的端口只能屬於一個vlan,且該端口不打tag,trunk可以屬於多個vlan,可以接收和發送多個vlan的報文,一般用於交換機之間的連接;hybrid也可以屬於多個vlan,可以接收和發送多個vlan的報文,可以用於交換機之間的連接也可以用於交換機和用戶計算機之間的連接。trunk和hybrid的區別主要是,hybrid端口可以允許多個vlan的報文不打標籤,而 trunk端口只允許缺省vlan的報文不打標籤,同一個交換機上不能hybrid和trunk並存。
Tag,untag以及交換機的各種端口模式是網絡工程技術人員調試交換機時接觸最多的概念了,然而筆者發現在實際工作中技術人員往往對這些概念似懂非懂,筆者根據自己的理解再結合一個案例,試圖向大家闡明這些概念untag就是普通的ethernet報文,普通PC機的網卡是可以識別這樣的報文進行通訊;
tag報文結構的變化是在源mac地址和目的mac地址之後,加上了4bytes的vlan信息,也就是vlan tag頭;一般來說這樣的報文普通PC機的網卡是不能識別的
帶802.1Q的幀是在標準以太網幀上插入了4個字節的標識。其中包含:
2個字節的協議標識符(TPID),當前置0x8100的固定值,表明該幀帶有802.1Q的標記信息。
2個字節的標記控制信息(TCI),包含了三個域。
Priority域,佔3bits,表示報文的優先級,取值0到7,7爲最高優先級,0爲最低優先級。該域被802.1p採用。
規範格式指示符(CFI)域,佔1bit,0表示規範格式,應用於以太網;1表示非規範格式,應用於Token Ring。
VLAN ID域,佔12bit,用於標示VLAN的歸屬。
以太網端口有三種鏈路類型:Access、Hybrid和Trunk。
Access類型的端口只能屬於1個VLAN,一般用於連接計算機的端口;
Trunk類型的端口可以允許多個VLAN通過,可以接收和發送多個VLAN的報文,一般用於交換機之間連接的端口;
Hybrid類型的端口可以允許多個VLAN通過,可以接收和發送多個VLAN的報文,可以用於交換機之間連接,也可以用於連接用戶的計算機。
Hybrid端口和Trunk端口在接收數據時,處理方法是一樣的,唯一不同之處在於發送數據時:Hybrid端口可以允許多個VLAN的報文發送時不打標籤,而Trunk端口只允許缺省VLAN的報文發送時不打標籤。
在這裏先要向大家闡明端口的缺省VLAN這個概念
Access端口只屬於1個VLAN,所以它的缺省VLAN就是它所在的VLAN,不用設置;
Hybrid端口和Trunk端口屬於多個VLAN,所以需要設置缺省VLAN ID。缺省情況下,Hybrid端口和Trunk端口的缺省VLAN爲VLAN 1
如果設置了端口的缺省VLAN ID,當端口接收到不帶VLAN Tag的報文後,則將報文轉發到屬於缺省VLAN的端口;當端口發送帶有VLAN Tag的報文時,如果該報文的VLAN ID與端口缺省的VLAN ID相同,則系統將去掉報文的VLAN Tag,然後再發送該報文。
注:對於華爲交換機缺省VLAN被稱爲“Pvid Vlan”, 對於思科交換機缺省VLAN被稱爲“Native Vlan”
交換機接口出入數據處理過程如下:
Acess端口收報文:
收到一個報文,判斷是否有VLAN信息:如果沒有則打上端口的PVID,並進行交換轉發,如果有則直接丟棄(缺省)
Acess端口發報文:
將報文的VLAN信息剝離,直接發送出去
trunk端口收報文:
收到一個報文,判斷是否有VLAN信息:如果沒有則打上端口的PVID,並進行交換轉發,如果有判斷該trunk端口是否允許該 VLAN的數據進入:如果可以則轉發,否則丟棄
trunk端口發報文:
比較端口的PVID和將要發送報文的VLAN信息,如果兩者相等則剝離VLAN信息,再發送,如果不相等則直接發送
hybrid端口收報文:
收到一個報文,判斷是否有VLAN信息:如果沒有則打上端口的PVID,並進行交換轉發,如果有則判斷該hybrid端口是否允許該VLAN的數據進入:如果可以則轉發,否則丟棄(此時端口上的untag配置是不用考慮的,untag配置只對發送報文時起作用)
hybrid端口發報文:
1、判斷該VLAN在本端口的屬性(disp interface 即可看到該端口對哪些VLAN是untag, 哪些VLAN是tag)
2、如果是untag則剝離VLAN信息,再發送,如果是tag則直接發送
以下案例可以幫助大家深入理解華爲交換機的hybrid端口模式:
[Switch-Ethernet0/1]int e0/1
[Switch-Ethernet0/1]port link-type hybrid
[Switch-Ethernet0/1]port hybrid pvid vlan 10
[Switch-Ethernet0/1]port hybrid vlan 10 20 untagged
[Switch-Ethernet0/1] int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 20
[Switch-Ethernet0/2]port hybrid vlan 10 20 untagged
此時inter e0/1和inter e0/2下的所接的PC是可以互通的,但互通時數據所走的往返vlan是不同的。
以下以inter e0/1下的所接的pc1訪問inter e0/2下的所接的pc2爲例進行說明
pc1所發出的數據,由inter0/1所在的pvid vlan10封裝vlan10的標記後送入交換機,交換機發現inter e0/2允許vlan
10的數據通過,於是數據被轉發到inter e0/2上,由於inter e0/2上vlan
10是untagged的,於是交換機此時去除數據包上vlan10的標記,以普通包的形式發給pc2,此時pc1->p2走的是vlan10
再來分析pc2給pc1回包的過程,pc2所發出的數據,由inter0/2所在的pvid
vlan20封裝vlan20的標記後送入交換機,交換機發現inter e0/1允許vlan 20的數據通過,於是數據被轉發到inter
e0/1上,由於inter e0/1上vlan
20是untagged的,於是交換機此時去除數據包上vlan20的標記,以普通包的形式發給pc1,此時pc2->pc1走的是vlan20
Cisco 交換機 設備 access、trunk、hybrid 端口的處理流程
爲交換機設備上access、trunk、hybrid端口的處理流程:注:數據幀在交換機內部處理時,均帶有vlan tag。
a)access端口
發送(從交換機內部往外發送):
帶有vlan tag:刪除tag後,發送
不帶vlan tag:不可能出現
接收:
帶有vlan tag:若該tag等於該access端口的pvid,則可以接收,進入交換機內部
不帶vlan tag:添加該access端口的pvid,進入交換機內部
b)trunk端口(允許發送native VLAN數據的時候,可以不加tag)
發送(從交換機內部往外發送):
帶有vlan tag:若tag等於該trunk端口的pvid,則刪除tag後發送;否則保留tag直接發送
不帶vlan tag:不可能出現
接收:
帶有vlan tag:保留該tag,進入交換機內部
不帶vlan tag:添加該trunk端口的pvid,進入交換機內部
c)hybrid端口(允許發送多個VLAN數據的時候,可以不加tag)
發送(從交換機內部往外發送):
帶有vlan tag:是否帶tag進行發送,取決於用戶配置(用戶可以配置tagged list,untagged list)
不帶vlan tag:不可能出現
接收:
帶有vlan tag:保留該tag,進入交換機內部
不帶vlan tag:添加該hybrid端口的pvid,進入交換機內部
在設備上允許trunk和hybrid端口同時存在,但是不能將hybrid端口直接改爲trunk端口(hybrid--》access---》trunk),反之亦然(早期是這樣,現在不知道改沒改)。id端口可以允許多個vlan的數據不帶tag,而802.1q的trunk只能是native vlan(即pvid)對應的vlan的數據不帶tag,應該說hybrid可以實現trunk端口的特性。實際使用時都可以用hybrid端口,而不用trunk。