1.任务拓扑
2.知识准备
在以太网中,通过划分VLAN来隔离广播域和增强网络通信的安全性。以太网通常由多台交换机组成,为了使VLAN的数据帧跨越多台交换机传递,交换机之间互连的链路需要配置为干道链路(Trunk Link)。和接入链路不同,干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机和交换机之间)承载多个不同VLAN数据的,它不属于任何一个具体的VLAN,可以承载所有的VLAN数据,也可以配置为只能传输指定VLAN的数据。
1.链路类型 VLAN技术的出现,使得交换机网络中存在了带Tag的VLAN以太网帧和不太Tag的VLAN以太网帧,因此,可以对链路进行相应的区分,分为接入链路和干道链路。
(1)接入链路(Access Link) 用于连接计算机和交换机的链路称为接入链路,接入链路上通过的帧为不带Tag的VLAN以太网帧。
(2)干道链路(Trunk Link) 用于连接交换机和交换机的链路称为干道链路,干道链路上通过的帧一般为带Tag的VLAN以太网帧,也可以通过不带Tag的VLAN以太网帧。
2.端口类型 PVID即Port VLAN ID,代表端口的缺省VLAN,缺省情况下,交换机每个端口的PVID都是1,交换机从对端设备收到的帧有可能是Untagged的数据帧,但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的,因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的,必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时,交换机将给它加上该缺省VLAN的VLAN Tag。 基于链路对VLAN标签的不同处理方式,因此,也对以太网交换机的端口做了区分,端口类型大致分为三类。
1.接入端口(Access Port) Access端口是交换机上用来连接用户主机的端口,它只能连接接入链路,并且只能允许唯一的VLAN ID通过本端口。 Access端口收发数据帧的规则如下所述。 (1)如果Access端口收到对端设备发送的数据帧是Untagged(不带VLAN标签),交换机将强制加上该端口的PVID;如果该端口收到对端设备发送的数据帧是Tagged(带VLAN标签),则交换机会检查该Tag内的VLAN ID,当VLAN ID与该端口的PVID相同时,接收该报文;否则丢弃该报文。
(2)Access端口发送数据帧时,总是会先剥离数据帧的Tag,然后再发送,Access端口发往对端设备的以太网帧永远是不带Tag的数据帧。交换机LSW1的Ethernet0/0/1、Ethernet0/0/2和Ethernet0/0/3分别连接3台主机PC1、PC2和PC3,并且都配置为Access端口。主机PC1把数据帧(未加Tag)发送给交换机LSW1的Ethernet0/0/1端口,再由交换机发往其他目的地。在收到数据帧之后,交换机LSW1会根据端口的PVID给数据帧加上VLAN Tag 10,然后决定通过Ethernet0/0/3端口转发数据帧。Ethernet0/0/3端口的PVID也是10,与VLAN tag中的VLAN ID相同。然后交换机会剥离Tag,把数据帧发送到主机PC3。连接主机PC2的端口的PVID是20,与VLAN10不属于同一个VLAN,因此,该端口不会接收到VLAN10的数据帧。
2.干道端口(Trunk Port) Trunk端口是交换机上用来和其他交换机连接的端口,它只能连接干道链路。Trunk端口允许多个VLAN的帧(带Tag标记)通过。 Trunk端口收发数据帧的规则如下所述。
(1)当Trunk端口接收到对端设备发送的不带Tag的数据帧时,交换机会给数据帧添加该端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。当接收到对端设备发送的带Tag的数据帧时,交换机会检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在端口允许通过的VLAN ID列表中,则接收该报文。否则丢弃该报文。
(2)Trunk端口发送数据帧时,当VLAN ID与端口的PVID相同,并且是该端口允许通过的VLAN ID时,交换机会剥离Tag,发送该报文。当VLAN ID与端口的PVID不同,但也是该端口允许通过的VLAN ID时,会保持原有Tag,发送该报文。 交换机LSW1和交换机LSW2连接主机的端口为Access端口,PVID交换机LSW1和交换机LSW2互连的端口为Trunk端口,PVID为1,此Trunk链路允许所有VLAN的流量通过。当交换机LSW1转发VLAN1的数据帧时,会剥离Tag,然后发送到Trunk链路上;而在转发VLAN20的数据帧时,不会剥离Tag,而直接转发到Trunk链路上。
3.任务实施
