二三层转发实验
1 二层转发实验
1.1 实验一
本实验用三台设备:一台PC机、一台二层交换机、一台路由器(可视为另一台PC),都处于同一VLAN2中。
LAN2口:PVID2 permit 1-2
实验结果是能够ping通。
分析流程:
1. PC上发送无tag报文,1端口为access口,接收该报文,并为其打上tag2。
2. 当报文带着tag2到达2端口时,2端口仍为access端口,PVID为2,报文tag2与PVID2一致,从2端口发出去时,去掉tag2。
3. 此时报文到达LAN2接口,默认为trunk接口,Pvid为2,permit为1、2,当不带tag时,trunk允许报文通过,并为其加缺省tag 2(此时完成了ICMP的request阶段)。
4. 此时tag 2与pvid相同,发送出去时去掉tag 2,不带tag发送出去。不带tag的报文按原路返回到PC上,到达PC时仍不带tag。此步骤完成了ICMP的reply阶段。
1.1.1 实验一扩充
将1、2端口设为trunk接口再进行试验。
最终结果仍能ping通,因为1、2端口虽为trunk口,但是由于PC发送报文不带tag,进入trunk时,加上该端口的缺省tag,经2端口发送出去时,报文tag与缺省端口VLAN ID一致,因此去除报文的tag,最终到达LAN2接口的和经过access口的报文一样,都不带tag,剩余步骤同3、4,最终能ping通。
实验一遇到的困难
没有分清楚交换机不同类型端口的PVID是根据什么来设置的,浪费了较多时间。
实验一学习心得
1. access端口的pvid是自动设置的,即当端口被分配到具体的vlan时,其access端口的pvid为该vlan ID。
2. Trunk、hybrid端口的pvid要手动配置的,如port trunk pvid vlan 2,则该端口的pvid为2。
3. 在display中,Trunk、Hybrid端口中未显示pvid值的默认为1。
1.1 实验二
本实验用三台设备:一台PC机、一台二层交换机、一台路由器(可视为另一台PC),都处于同一VLAN5。
LAN2口:PVID2 permit 1-2、5能ping通
1.1.1 实验二补充
①将1、 2端口设为trunk,同实验一,也是可以ping通的。
②将1端口设为Hybrid,且处于vlan5中为untagged的,2端口仍为access。
在PC上ping192.168.2.1,能ping通。
③将1端口设为Hybrid,且处于vlan5中为tagged的,2端口仍为access。
在PC上ping192.168.2.1,能ping通。
④将LAN2允许通过的列表将5删除,其他设置与③保持不变。
最终在PC上还是能通的。
分析:1端口为Hybrid,当PC发出的报文不带tag时,能够进入1端口,且为其打上tag 5,出1端口时,带着tag5出,到达2端口时,报文的tag5与2端口缺省vlanID一致,允许从2端口进入,从2端口出去时,去tag,最终从2端口出去的报文不带tag,剩下的步骤与实验一分析一样。
⑤将1设置为access,2设置为Hybrid,且处于vlan5中为tagged的,LAN2允许通过的列表包含5。
结果:ping不通。
正确分析:
从1端口出来的不带tag,2端口能够接收,且为其打上tag 5,从2端口发出时仍然带着tag5,LAN2口允许vlan5通过,只是能进入LAN2口,而它要从vlan5中去寻找2.1网段,而不是从vlan2中去寻找,也就是说,permit vlanID如果带tag,则从相应的vlan中去寻找网段,不带tag时,则从本身的LAN中去寻找。若将permit vlanID5删除,则仍不通,因为直接不允许5通过的。
错误分析:
从1端口出来的不带tag,2端口能够接收,且为其打上tag 5,从2端口发出时仍然带着tag5,到达LAN2端口时,允许通过,从LAN2端口发出时保持原有的tag5不变,到达2端口,可以通过,从2端口出去时,去掉tag5,即从2端口出去的不带tag,接下来的报文能够通过端口1到达PC。
实验二遇到的困难
没有分清楚permit列表的意义。
实验二学习心得
permit列表用来判断报文能不能进入该端口,带tag的报文能够进入LAN口时,则从报文所带的tag对应的vlan去寻找网段,不带tag时,则从所有permit列表去寻找所ping的网段,任何一个vlan为所ping网段就能ping通。
各端口的配置:G/1/0/1:trunk口,PVID:1,permit vlan1,4
G/1/0/3:access口,permit vlan1
G/1/0/5:trunk口,PVID:1,permit vlan1,4
LAN1:PVID:1 permit 1
LAN4:PVID:4 permit 4
PC ping192.168.1.1能通。
分析:PC发出的报文不带tag,1端口允许通过,且为其打上tag1,在设备内部,报文的发送是不涉及到去不去tag的,只有出设备时,才会根据出端口的配置决定去不去tag,报文能够到达3端口,此时报文带有tag1,当出3端口时,去掉tag1,到达LAN1口,为其打上tag1(此时完成ICMP的请求过程)。出LAN1时,去掉tag1,不带tag到达3端口,为其打上tag1,到达1端口,允许带tag1的报文进入,出1端口时(此时从交换机出去,要根据1端口的配置决定去不去tag),1端口的PVID与报文tag1相同,去掉tag1,到达PC(此时完成ICMP的应答阶段),最终能ping通。
PC ping192.168.4.1能通。
分析::PC发出的报文不带tag,1端口允许通过,且为其打上tag1,在设备内部,报文的发送是不涉及到去不去tag的,只有出设备时,才会根据出端口的配置决定去不去tag,5端口允许带tag1的报文进入,出5端口(交换机)时,5端口的PVID与tag1一致,5端口为报文去掉tag1,即此时达到LAN4的报文不带tag,LAN4为其打上tag4(此时完成ICMP的请求阶段),出LAN4时,LAN4的PVID与报文tag4一致,去tag,到达5端口的报文不带tag,5端口允许通过,5端口为其打上tag1,1端口允许tag1的报文通过,到达1端口的报文带tag1,从1端口(交换机)出去的报文所带的tag1和1端口的PVID一致,1端口去除tag1,到达PC(此时完成ICMP的应答阶段),能ping通。
1.1.1 实验三扩充
若将LAN4改为 PVID 3,permit3, 4,PC ping192.168.4.1 不通。
分析:PC发出的报文不带tag,1端口允许通过,且为其打上tag1,在设备内部,报文的发送是不涉及到去不去tag的,只有出设备时,才会根据出端口的配置决定去不去tag,5端口允许带tag1的报文进入,出5端口(交换机)时,5端口的PVID与tag1一致,5端口为报文去掉tag1,即此时达到LAN4的报文不带tag,LAN4为其打上tag3(此时完成ICMP的请求阶段),出LAN4为其去除tag3,但是在ping的过程中,是在vlan3内寻找192.168.4.1,最终是不通的,但若用192.168.3.2去ping192.168.3.1,则可以ping通。
实验三遇到的困难
1. 没有分清楚在设备内部不考虑去不去tag的问题,设备内部只考虑两端口之间是否允许通过,permit。
2. 当到达LAN端口的报文带tag时,不只是在哪个vlan中去查找所ping的网段。
实验三学习心得
1. 在设备内部,报文的发送是不涉及到去不去tag的,只有出设备时,才会根据出端口的配置决定去不去tag,设备内部的端口只考虑允不允许报文通过,即permit。(三种类型的端口都是如此的)
2. permit列表用来判断报文能不能进入该端口,带tag的报文能够进入LAN口时,则从报文所带的tag对应的vlan去寻找网段,不带tag时,则从所有permit列表去寻找所ping的网段,任何一个vlan为所ping网段就能ping通。