VLAN与生成树的问题

       

 

         客户的需求,其有两个部门A和B,，原先分别使用独立的网络，后因业务调整，把部门B的一台主机PC1，经由部门B的4003交换机接进部门A的3524交换机上。PC1只需要访问部门A的VLAN5网段，所以4003与3524的两个互连端口，都是使用access port 即可，3524这端必须使用access vlan5，以便访问VLAN5网段的主机。

        因为从access port发出的数据包，并不会打上TAG标记，所以当数据包从4003的端口出来，发往3524 时，会如普通数据包一样，没增加任何字段，当数据包到3524端口时，交换机会认为这是VLAN5网段内主机发送的数据包，然后转发往其它属于VLAN5的端口。

       现时部门B准备增加一台主机PC2，用于访问部门A网络的VLAN6网段，由于有两个VLAN的数据需要从同一个端口传送，所以4003的1/1和3524的0/10都需要变更为TRUNK，但调整后，发现部门B的PC1不能访问部门A网络的VLAN5，而且set vlan 5 1/1这个命令无法删除，但已将1/1改为trunk口了，而PC2却可以正常访问部门A网络的VLAN6，

4003的配置

#module 1 : 48-port 10/100BaseTx Ethernet
set vlan 5    1/1,1/48
set trunk 1/1  on dot1q 1-1005

日志提示：

2000 Oct 22 05:34:40 %SPANTREE-2-RX_BLKPORTPVID: Block 1/1 on rcving vlan 5 for
inc peer vlan 1

        根据日志的信息，似乎是因为STP的原因把VLAN5 BLOCK了，set vlan 5 1/1这个配置命令不能删除，只好尝试把1/1端口改为其它VLAN。部门B的10.0.10子网,有网段是属于VLAN2，且不准与部门A的网络通信，则改为set vlan 2 1/1，这样子4003  VLAN2内的主机就不会与部门B 内VLAN2的主机进行通信，而两台PC1，PC2主机则可以照常访问部门B网络的VLAN5和VLAN6。

       虽然用户需求满足，但始终未明白4003上为什么需要这样设置，个人觉得同STP，PVST之类有关，要找个时间K下NP的书才行了。如有朋友，知道原因，也请指点一下迷津，谢谢，

 

         后来，想一想，发现该方案有个漏洞，部门A的3524如果有一个端口是VLAN3，且该端口下连的PC机，使用10.0.10.0呢个网段的IP，则这台机可访问部门B的VLAN3网段。对于此问题，或许可借用VLAN修剪，实际情况如何，还需要日后的测试。