Native VLAN的含义和作用
Native VLAN的含义和作用
对VLAN进行封装有两种协议.一种是思科专有的协议,叫做ISL. 另一种是RFC公有的协议叫做802.1Q. 两种协议都是针对Trunk承载不同VLAN为防止混乱而产生的.
默认情况下.交换机上所有的接口都位于VLAN1下.也就是native VLAN. 事实上,本地VLAN中不仅仅有着接口,还有STP信息,比如BPDU桥接协议数据单元,VLAN ID的信息等等都要通过native vlan来传输.
ISL协议和802.1Q的区别在于针对native vlan是否打标. ISL是全部都打,有几个VLAN打几个标记,而802.1Q协议除了VLAN1也就是native vlan不打标记之外其他的VLAN都打标记,作用都是一样的,都能让Trunk识别不同的VLAN. 那为什么不对VLAN1打标记呢.就是因为VLAN1中承载着许多信息.对native vlan标记是相当不利的.
本征vlan的作用对于2层交换机来说,可以起到管理地址的作用,对于802.1Q封装的干道trunk来说,是对默认本征vlan1不打标的,所以虽然801.Q封装虽然比ISL要好,而且通用,但是最不好的地方就是安全性,如果没有修改本征vlan,一直用默认vlan1,这样就可以进行跳vlan攻击,利用了802.1Q对本征vlan不打标这个小漏洞,对于本征vlan的具体作用,其实没有什么具体作用,后期都可以自己去修改本征vlan,这样比较安全,就是因为对于交换机来说,起初都是在一个大的广播域,所以就默认都放在vlan1里,只是默认。
对于不通vlan信息在trunk干道上传输,跟本征vlan没有什么直接关系,交换机access口划入的vlan不用,在数据帧由PC进入交换机时,会绑上一个接口所属vlan的标记,当这个数据帧到了trunk接口的时候,这个绑着的4个字节的标就会压进数据帧中,改变了数据帧的结构,传输到另外一台交换机的trunk接口时,标就会被拆出来,还原成数据帧绑着一个标,交换机会首先看绑着的标,查找自己端口所属绑标里的vlan id,进一步交换机会查看自己的CAM表,查找目的mac地址,这样通信就完成了,通信的过程和本征vlan没有直接关系
楼主你认为管理vlan和本征vlan是一个意思,这个是不对的,因为可能你习惯用本征vlan作为管理vlan,其实不然,在实际当中,管理vlan最好用一个没用的vlan,比如vlan999这种不太可能用到的vlan,会比较安全,当然本征vlan也是可以修改的,在trunk干道配置的时候,后面有native的小feature
================================================================================
==================================================================================
Access、Hybrid和Trunk三种模式的理解
untag就是普通的ethernet报文,普通PC机的网卡是可以识别这样的报文进行通讯;
tag报文结构的变化是在源mac地址和目的mac地址之后,加上了4bytes的vlan信息,也就是vlan tag头;一般来说这样的报文普通PC机的网卡是不能识别的
下图说明了802.1Q封装tag报文帧结构
带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。其中包含:
2个字节的协议标识符(TPID),当前置0x8100的固定值,表明该帧带有802.1Q的标记信息。
2个字节的标记控制信息(TCI),包含了三个域。
Priority域,占3bits,表示报文的优先级,取值0到7,7为最高优先级,0为最低优先级。该域被802.1p采用。
规范格式指示符(CFI)域,占1bit,0表示规范格式,应用于以太网;1表示非规范格式,应用于Token Ring。
VLAN ID域,占12bit,用于标示VLAN的归属。
以太网端口有三种链路类型:Access、Hybrid和Trunk。
Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;
Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;
Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
Hybrid端口和Trunk端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时:Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
在这里先要向大家阐明端口的缺省VLAN这个概念
Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;
Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN 1
如果设置了端口的缺省VLAN ID,当端口接收到不带VLAN Tag的报文后,则将报文转发到属于缺省VLAN的端口;当端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与端口缺省的VLAN ID相同,则系统将去掉报文的VLAN Tag,然后再发送该报文。
注:对于华为交换机缺省VLAN被称为“Pvid Vlan”, 对于思科交换机缺省VLAN被称为“Native Vlan”
=================================
综上所述,以下列举
Switch 收发 Switch对标记的处理 remark
Access (接收) Tagged = PVID 不接收 注:部分高端产品可能接收。
Access (接收) Tagged ≠ PVID 不接收 注:部分高端产品可能接收。
Access (接收) Untagged 接收 增加tag=PVID 从PC
Access (发送) Tagged = PVID 转发 删除tag
Access (发送) Tagged ≠ PVID 不转发 不处理
Access (发送) Untagged 无此情况 无此情况 无此情况
Trunk (接收) Tagged = PVID 接收 不修改tag
Trunk (接收) Tagged ≠ PVID 接收 不修改tag
Trunk (接收) Untagged 接收 增加tag=PVID
Trunk (发送) Tagged = PVID If Passing then 转发 删除tag
Trunk (发送) Tagged ≠ PVID If Passing then 转发 不修改tag
Trunk (发送) Untagged 无此情况 无此情况 无此情况(注)
Hybrid (接收) Tagged = PVID 接收 不修改tag 对端是trunk
Hybrid (接收) Tagged ≠ PVID 接收 不修改tag 对端是trunk
Hybrid (接收) Untagged 接收 增加tag=PVID 类Trunk
Hybrid (发送) Tagged = PVID Tag 和 untag 中列出的vlan可以passing 看Tag项和untag项
Hybrid (发送) Tagged ≠ PVID Tag 和 untag 中列出的vlan可以passing 看Tag项和untag项
Hybrid (发送) Untagged 无此情况 无此情况 无此情况(注)
另外需要注意的是:
(1)Trunk端口不能和isolate-user-vlan同时配置;Hybrid端口可以和isolate-user-vlan同时配置。但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN,则不允许修改缺省VLAN ID,只有在解除映射后才能进行修改。
(2) 本Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID必须一致,否则报文将不能正确传输