交换机对数据帧的处理规则

1、-. z.交换机对数据帧的处理规则(仅供部使用)华为技术所有侵权必究Catalog 目录 TOC o 1-3 h z u HYPERLINK l _Toc143347961一、概述 PAGEREF _Toc143347961 h 6HYPERLINK l _Toc143347962二、交换机根本概念 PAGEREF _Toc143347962 h 6HYPERLINK l _Toc1433479631. access PAGEREF _Toc143347963 h 6HYPERLINK l _Toc1433479642. trunk PAGEREF _Toc143347964 h 6HYPER

2、LINK l _Toc1433479653. hybrid PAGEREF _Toc143347965 h 7HYPERLINK l _Toc1433479664. PVID PAGEREF _Toc143347966 h 7HYPERLINK l _Toc143347967三、交换机端口接收数据帧的处理规则 PAGEREF _Toc143347967 h 7HYPERLINK l _Toc1433479681. Access端口 PAGEREF _Toc143347968 h 7HYPERLINK l _Toc1433479692. trunk端口 PAGEREF _Toc143347969

3、 h 8HYPERLINK l _Toc1433479703. hybrid端口 PAGEREF _Toc143347970 h 8HYPERLINK l _Toc143347971四、交换机端口转发数据帧的处理规则 PAGEREF _Toc143347971 h 8HYPERLINK l _Toc1433479721. Access端口 PAGEREF _Toc143347972 h 8HYPERLINK l _Toc1433479732. trunk端口 PAGEREF _Toc143347973 h 8HYPERLINK l _Toc1433479743. hybrid端口 PAGERE

4、F _Toc143347974 h 9HYPERLINK l _Toc143347975五、交换机转发数据帧的一个浅显比喻 PAGEREF _Toc143347975 h 9HYPERLINK l _Toc1433479761. 旅客进入候机室 PAGEREF _Toc143347976 h 9HYPERLINK l _Toc1433479772. 旅客走出候机室 PAGEREF _Toc143347977 h 10HYPERLINK l _Toc143347978六、交换机转发规则的实验验证 PAGEREF _Toc143347978 h 11HYPERLINK l _Toc14334797

5、91. 实验一 PAGEREF _Toc143347979 h 11HYPERLINK l _Toc1433479802. 实验二 PAGEREF _Toc143347980 h 13HYPERLINK l _Toc1433479813. 实验三 PAGEREF _Toc143347981 h 14HYPERLINK l _Toc1433479824. 实验四 PAGEREF _Toc143347982 h 15HYPERLINK l _Toc1433479835. 实验五 PAGEREF _Toc143347983 h 17HYPERLINK l _Toc1433479846. 实验六 PA

6、GEREF _Toc143347984 h 18HYPERLINK l _Toc1433479857. 实验七 PAGEREF _Toc143347985 h 19HYPERLINK l _Toc1433479868. 实验八 PAGEREF _Toc143347986 h 20HYPERLINK l _Toc143347987七、总结 PAGEREF _Toc143347987 h 21HYPERLINK l _Toc143347988八、附录 PAGEREF _Toc143347988 h 21Figure List 图目录 TOC t 图号,1 c 图表图1 实验一端口设置图 PAGER

7、EF _Toc143347989 h 12图2 实验二端口设置图 PAGEREF _Toc143347990 h 13图3 实验三端口设置图 PAGEREF _Toc143347991 h 14图4 实验四端口设置图 PAGEREF _Toc143347992 h 15图5 实验五端口设置图 PAGEREF _Toc143347993 h 17图6 实验六端口设置图 PAGEREF _Toc143347994 h 18图7 实验七端口设置图 PAGEREF _Toc143347995 h 19图8 实验八端口设置图 PAGEREF _Toc143347996 h 20交换机对数据帧的处理规则K

8、eywords 关键词：交换机LAN switchVLAN PVIDAbstract 摘要：以太网交换机对数据帧的转发处理比较复杂，很多同事都不是很清楚。本文将对此问题进展总结，并通过实验进展验证。List of abbreviations 缩略语清单：Abbreviations缩略语Full spelling 英文全名Chinese e*planation 中文解释LAN switchLocal Area Networkswitch局域网交换机ARPAddress Resolution Protocol地址解析协议MACMedium Access Control介质访问控制IPInterne

9、t Protocol因特网协议VLAN Virtual Local Area Network 虚拟局域网PVIDPort VLAN ID端口缺省VLAN IDICMPInternet Control Message Protocol因特网控制消息协议一、概述以太网交换机对二层帧的转发处理比较复杂，很多同事都不是很清楚。本文将对此问题进展总结，并通过实验进展验证。二、交换机根本概念在了解交换机转发规则之前，我们先理解交换机的一些概念，如access、trunk、hybrid和PVID等，这些概念将会经常用到。1. access以太网交换机的端口有三种链路类型：access、trunk和hybri

10、d。access是接近、进入的意思。access类型的端口只能属于1个VLAN，从access口出来的数据帧不带VLAN标签，一般用于连接计算机。2. trunktrunk是干线、树干的意思。trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的数据帧，一般用于交换机之间的连接。trunk端口用来在不同的交换机之间进展互联，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通信。与一般的交换机的级联不同，trunk是基于OSI第二层的。假设没有trunk技术，我们在两个交换机上分别划分了多个VLAN，则交换机上一样VLAN的成员如果要互通，就需要在每个VLAN上各取1个

11、端口作级联连接。如果交换机上划了10个VLAN，就需要10条级连线，端口效率太低了。当交换机支持trunk技术时，就比较简单了，只需要在两个交换机之间有一条级联线，并将对应的端口设置为trunk，这条线路就可以承载交换机上所有VLAN的信息。这样的话，就算交换机上设置了4094个VLAN，也仅需要1个端口就足够了。3. hybridhybrid是混合的的意思。hybrid口同时兼有access口和trunk口的特点。hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN帧，可以用于交换机之间连接，也可以用于连接用户的计算机。hybrid端口可以根据需要，设置*些VLAN帧从hy

12、brid口出去时带VLAN标签，*些VLAN帧不带VLAN标签。4. PVID在VLAN技术中，PVID是端口的一个重要概念。我们先来理解PVID的含义。PVID是Port VLAN ID的缩写，是端口缺省VLAN ID的意思，即一个端口缺省属于的VLAN。PVID的作用是：当一个数据帧进入交换机端口时，如果没有带VLAN标签，且该端口上配置了PVID，则，该数据帧就会被打上端口的PVID。如果进入的帧已经带有VLAN标签，则交换机不会再增加VLAN标签，即使端口已经配置了PVID。三、交换机端口接收数据帧的处理规则首先，我们要明白交换机的一点原理：为了快速高效处理，交换机部的数据帧一律都带有

13、VLAN标签，以统一方式处理。当交换机从端口收到二层数据帧时：1. Access端口1收到一个二层帧2判断是否有VLAN标签：没有则转到第3步，有则转到第4步3打上端口的PVID，并进展交换转发4假设VLAN标签和PVID一致，转发VLAN帧；否则丢弃2. trunk端口1收到一个二层帧2判断是否有VLAN标签：没有则转到第3步，有则转到第4步3打上端口的PVID，并进展交换转发4判断该trunk端口是否允许该VLAN帧进入：允许则转发，否则丢弃注意：trunk口允许或不允许VLAN帧，是对进入的帧而言的，对出去的帧没有限制。3. hybrid端口1收到一个二层帧2判断是否有VLAN标签：没有

14、则转到第3步，有则转到第4步3打上端口的PVID，并进展交换转发4判断该hybrid端口是否允许该VLAN帧进入：允许则转发，否则丢弃可以看到，trunk口和hybrid口对接收到的数据帧的处理规则是一样的。四、交换机端口转发数据帧的处理规则当交换机把数据帧转发出端口时：1. Access端口1将二层帧的VLAN标签剥离，直接发送出去2. trunk端口1比较端口的PVID和将要发送二层帧的VLAN标签2如果两者相等则转到第3步，否则转到第4步3剥离VLAN标签，再发送4直接发送3. hybrid端口1判断VLAN在本端口的属性。用dis interface可看到该端口对哪些VLAN是unta

15、g，哪些VLAN是tag2如果是untag则转到第3步，如果是tag则转到第4步3剥离VLAN标签，再发送4直接发送说明：1Hybrid口中允许的VLAN分为untag和tag两类，untag和tag是对出去的帧而言的，对进入的帧没有限制2例如：Untagged VLAN ID : 2,3”3例如：tagged VLAN ID : 4,5”五、交换机转发数据帧的一个浅显比喻以上介绍的交换机对数据帧的处理原则，比较枯燥，也不容易理解。我们用一个浅显的例子来比喻一下，以形象地理解。1. 旅客进入候机室我们把交换机比作机场的候机室，所有不同航班的旅客相当于不同VLAN的数据帧都通过候机室进展转发。旅

16、客可能会从四面八方、从不同的入口进入候机室，入口会有所不同相当于端口有access、trunk和hybrid类型。不同航班的旅客，手里拿的机票会不一样相当于打了不同VLAN标签的数据帧。候机室的有些入口，如access入口，是有检票功能的。当旅客拿有机票进入时，会检查机票和本access入口通往的航班相当于缺省PVID是否一致。一致则让旅客进入；不一致，则拒绝旅客进入直接丢弃。就像到的机票，却在入口处检票一样，当然不让旅客进入了。如果旅客没有机票，则access入口会让他买本航班的机票打上本端口的PVID。如果候机室的入口是trunk入口，也就是说这个入口是公共的入口，则，持不同航班机票相当于

17、不同VLAN标签的旅客可以带着机票进入。当然，如果trunk入口不允许*些航班不在此入口进入，则会把这些航班的旅客拦住的直接丢弃。如果允许，则让这些允许的航班的旅客带着机票，从trunk入口进入。当然，如果旅客没有机票，入口处会让你买票的打上端口的PVID。如果候机室的入口是hybrid类型的，其情形和trunk类型时是一样的。2. 旅客走出候机室现在，我们已经知道，在候机室交换机部，所有旅客都是带有机票的了交换机部的所有数据帧都带有VLAN标签，以方便统一处理。在候机室部，旅客们怎么知道各自该往哪里走呢？旅客们抬头一看，发现了一块巨大的电子公告牌，上面显示着*航班从哪个出口登机，登机时间是什

18、么，等等这个电子公告牌对应的是交换机部的MAC表。MAC表指明了目的MAC地址和到达此目的MAC地址的出口的对应关系。登机时间可理解为MAC表项的老化时间。所以，旅客们就知道各自要怎么找到出口了。如果出口是access出口，则，出口通往的就是飞机了对应地，access口一般接的是计算机。access出口会把旅客的机票收下来剥掉VLAN标签，把旅客送到飞机上对应地，是access出口剥去VLAN标签，把VLAN帧变成标准的以太网帧，发送给计算机。如果出口是trunk出口，则，这个trunk出口连接的是另外一个候机室。如果旅客的机票与trunk出口的默认航班端口缺省PVID一致，他就知道：我的航班

19、的出口是这个trunk出口，所以，trunk出口会把旅客的机票没收下来剥掉VLAN标签，旅客也就可以放心地出去了。如果机票与trunk出口的默认航班缺省PVID不一致，他就知道，我的航班不在本trunk出口，是在后面出口检票，所以trunk出口会让旅客带着机票出去相当于把VLAN帧透传出去。如果出口是hybrid口，它兼有access出口和trunk出口的特点，即*些航班的旅客可以在hybrid出口处检票后登机，*些航班的旅客可以带着机票走向另外的入口。当hybrid出口设置了对*些航班进展检票untagged时，它就相当于access出口的功能，收下旅客的机票剥离VLAN标签，再把旅客送出去

20、。当hybrid出口设置了对*些航班不进展检票tagged时，旅客可以带着机票走出去，这时候hybrid出口又相当trunk出口。六、交换机转发规则的实验验证在对交换机的转发规则比较了解了之后，我们开场用具体的实验对规则进展验证。需要说明的是：以下实验所用到的交换机，LS 1为：Quidway S3026C，LS 2为：Quidway S3526C。在只有1个交换机的组网中，采用的交换机是 LS 2，即Quidway S3526C。主机A和主机B是普通的计算机，它们的网卡都不能识别VLAN帧。1. 实验一实验组网：图1 实验一端口设置图实验条件：如图1，交换机的port 1和port 2分别与

21、主机A和B相连，主机A和主机B在同一网段。LS 1的port 1、LS 2的port 1和port 2都是access口，属于VLAN 3。LS 1的port 2是trunk口，permit vlan id配置为3，PVID为默认值1。实验结果：主机A ping主机B，不通。实验解释：当主机A开场ping主机B时，主机A发送ARP播送帧，询问.3的MAC地址。这个播送帧是一个标准的以太网帧，当它进入LS 1的port 1时，被打上了VLAN 3的标签，然后在VLAN 3里播送。由于LS 1的port 2是trunk口，PVID是1，配置为允许VLAN 3帧通过，所以，根据转发规则，LS 1的p

22、ort 2将把这个VLAN 3帧发送透传给LS 2的port 1。当access口收到一个VLAN 帧时，根据规则，它会把VLAN标签和access口的PVID进展比较，如果相等则接收并转发；如果不相等则丢弃。本实验中刚好相等，所以LS 2的port 1接收并转发了这个带VLAN 3的ARP帧。ARP帧被LS 2的port 2收到后，剥离VLAN 3标签，发给了主机B。主机B可以识别不带VLAN的帧，并开场对ARP帧进展响应。同理，主机B的ARP响应帧进入LS 2的port 2，打上了VLAN 3标签，从LS 2的port 1出来时，剥去VLAN 3标签。当这个不带标签的普通帧到达了LS 1的

23、port 2时，根据规则，被打上了PVID为1的标签，即打上VLAN 1标签，在VLAN 1中转发。由于主机A所连接的access口属于VLAN 3，所以不能收到ARP响应帧。测试过程中，在主机B上抓包结果如下：可见，主机B已经收到主机A的ARP帧了，也发出了应答帧。但这个应答帧不能到达主机A。主机A因为没有收到响应帧，还在不停地发出ARP播送帧。所以在这种情况下，主机A ping主机B不通。2. 实验二实验组网：图2 实验二端口设置图实验条件：如图2，交换机的port 1和port 2分别与主机A和B相连，主机A和主机B在同一网段。LS 1的port 1、LS 2的port 1和port 2

24、都是access口，属于VLAN 3。LS 1的port 2是trunk口，permit vlan id配置为3，PVID配置为3。实验结果：主机A ping主机B，可通。实验解释：本实验和实验一很相似，只是把PVID从1改为3。我们继承一下实验一的分析思路。当不带标签的ARP响应帧到达了LS 1的port 2时，因为这时候PVID是3，根据规则，打上VLAN 3的标签，然后在VLAN 3里播送。由于主机A所连接的access口属于VLAN 3，所以能够收到ARP响应帧。测试过程中，主机B抓包结果如下：可见，主机A发过来的ARP帧已经被主机A收到，而主机A发出的应答帧也被主机A收到了，后面的I

25、CMP数据帧也和ARP帧一样，可以互相到达对方。所以在这种情况下，主机A ping主机B可通。3. 实验三实验组网：图3实验三端口设置图实验条件：如图3，交换机的port 1和port 2分别与主机A和B相连，port 1是trunk口，permit vlan id配置为3，PVID为默认值1；port 2是access口，vlan id是3，两台主机在同一网段。实验结果：主机Bping主机A不通。实验解释：当主机B开场ping主机A时，主机B发送ARP播送帧，询问.2的MAC地址。这个播送帧是一个标准的以太网帧，当它进入port 2时，被打上了VLAN 3的标签，然后在VLAN 3里播送。由

26、于port 1是trunk口，也配置为允许VLAN 3帧通过，最重要的一点：PVID是1，所以，根据转发规则，port 1将把这个VLAN 3帧透传给主机A，而主机A因为不识别带VLAN 3标签的帧，所以无法对ARP帧进展响应。所以在这种情况下，主B ping主机A不通。4. 实验四实验组网：图4实验四端口设置图实验条件：如图4，交换机的port 1和port 2分别与主机A和B相连，port 1是trunk口，permit vlan id配置为3，PVID配置为3；port 2是access口，vlan id是3，两台主机在同一网段。实验结果：主机Aping 主机B，可通。实验解释：在主机B

27、处抓包，抓包结果如下：当主机A开场ping主机B时，主机A发送ARP播送帧，询问.3的MAC地址。这个播送帧是一个标准的以太网帧，当它进入port 1时，由于port 1是trunk口，PVID是3，根据转发规则，这个ARP帧被打上了VLAN 3的标签，然后在VLAN 3里播送。同时交换机学到了主机A的MAC地址和port 1的对应关系，添加进MAC表里。由于port 2是access口，属于VLAN 3，所以ARP帧被剥去VLAN 3标签后，从port 2口出来送给了主机B。主机B识别后给予响应。当主机B发出的响应帧到达port 2时，根据转发规则，被打上了VLAN 3的标签。同时根据MAC

28、表，交换机已经知道主机A和port 1的对应关系，所以这个响应帧被直接送到了port 1。同时交换机学到了主机B的MAC地址和port 2的对应关系，添加进MAC表里。port 1允许VLAN 3的帧通过，而且PVID是3，所以这个ARP响应帧被剥去了VLAN 3标签，然后送给主机A，可以被主机A识别。这样通过ARP，相互学到了对方的MAC地址，所以主机A和主机B相互通信的二层帧，就可以像ARP帧一样，根据转发规则到达对方。所以主机A ping 主机B可通。5. 实验五实验组网：图5实验五端口设置图实验条件：如图5，交换机的port 1和port 2分别与主机A和B相连，port 1是hybr

29、id口，vlan id配置为3，tagged模式，PVID默认为1。port 2是access口，vlan id是3，两台主机在同一网段。实验结果：主机B ping 主机A，不通。实验解释：当主机B没有主机A的ARP表项时，主机B发送ARP播送帧，询问.2的MAC地址。同样，这个标准的ARP帧被打上VLAN 3的标签，送到了port 1。port 1是hybrid口，它把二层帧转发出去的规则如下：1判断该VLAN在本端口的属性。用dis interface可看到该端口对哪些VLAN是untag，哪些VLAN是tag2如果是untag则转到第3步，如果是tag则转到第4步3剥离VLAN标签，再发

30、送4直接发送因为port 1对VLAN 3是tagged，所以port 1直接把VLAN 3帧发送给了主机A。而主机A的网卡是识别不了带了VLAN标签的帧的，所以会认为无效并丢弃它。所以主机B ping 主机A不通。6. 实验六实验组网：图6实验六端口设置图实验条件：如图6，交换机的port 1和port 2分别与主机A和B相连，port 1是hybrid口，vlan id配置为3，untagged模式，PVID默认为1。port 2是access口，vlan id是3，两台主机在同一网段。实验结果：主机B ping 主机A，不通。实验解释：本实验与实验五很相似，只是设置hybrid口对VLA

31、N 3是untagged。根据实验三的描述，以及hybrid口的帧转发规则，现在ARP播送帧是可以到达主机A了，而主机A也开场对这个ARP帧进展回复响应。但当这个标准的ARP响应帧进入hybrid口，会有什么情况呢？根据hybrid口收到帧的转发规则：1收到一个二层帧2判断是否有VLAN标签：没有则转到第3步，有则转到第4步3打上端口的PVID，并进展交换转发4判断该hybrid端口是否允许该VLAN帧进入：允许则转发,不允许则丢弃hybrid口的PVID是1，所以port 1会给ARP响应帧打上VLAN 1的标签，在VLAN 1里进展转发。而port 2是属于VLAN 3，是收不到这个ARP响应帧的。所以主机B ping 主机A不通。7. 实验七实验组网：图7实验七端口设置图实验条件：如图7，交换机的port 1和port 2分别与主机A和B相连，port 1是hybrid口，vlan id配置