Native VLAN的含义和作用

美奇科技

Native VLAN的含义和作用

　　对VLAN进行封装有两种协议.一种是思科专有的协议,叫做ISL. 另一种是RFC公有的协议叫做802.1Q. 两种协议都是针对Trunk承载不同VLAN为防止混乱而产生的.
默认情况下.交换机上所有的接口都位于VLAN1下.也就是native VLAN. 事实上,本地VLAN中不仅仅有着接口,还有STP信息,比如BPDU桥接协议数据单元,VLAN ID的信息等等都要通过native vlan来传输.
ISL协议和802.1Q的区别在于针对native vlan是否打标. ISL是全部都打,有几个VLAN打几个标记,而802.1Q协议除了VLAN1也就是native vlan不打标记之外其他的VLAN都打标记,作用都是一样的,都能让Trunk识别不同的VLAN. 那为什么不对VLAN1打标记呢.就是因为VLAN1中承载着许多信息.对native vlan标记是相当不利的.


===============================================================================
首先vlan1是802.1Q才认为它是默认的本征vlan，ISL中没有本征vlan的概念
本征vlan的作用对于2层交换机来说，可以起到管理地址的作用，对于802.1Q封装的干道trunk来说，是对默认本征vlan1不打标的，所以虽然801.Q封装虽然比ISL要好，而且通用，但是最不好的地方就是安全性，如果没有修改本征vlan，一直用默认vlan1，这样就可以进行跳vlan攻击，利用了802.1Q对本征vlan不打标这个小漏洞，对于本征vlan的具体作用，其实没有什么具体作用，后期都可以自己去修改本征vlan，这样比较安全，就是因为对于交换机来说，起初都是在一个大的广播域，所以就默认都放在vlan1里，只是默认。
对于不通vlan信息在trunk干道上传输，跟本征vlan没有什么直接关系，交换机access口划入的vlan不用，在数据帧由PC进入交换机时，会绑上一个接口所属vlan的标记，当这个数据帧到了trunk接口的时候，这个绑着的4个字节的标就会压进数据帧中，改变了数据帧的结构，传输到另外一台交换机的trunk接口时，标就会被拆出来，还原成数据帧绑着一个标，交换机会首先看绑着的标，查找自己端口所属绑标里的vlan id，进一步交换机会查看自己的CAM表，查找目的mac地址，这样通信就完成了，通信的过程和本征vlan没有直接关系
楼主你认为管理vlan和本征vlan是一个意思，这个是不对的，因为可能你习惯用本征vlan作为管理vlan，其实不然，在实际当中，管理vlan最好用一个没用的vlan，比如vlan999这种不太可能用到的vlan，会比较安全，当然本征vlan也是可以修改的，在trunk干道配置的时候，后面有native的小feature
================================================================================
其实楼主，我认为，本征vlan不打标就是为了兼容一些不支持vlan的交换机，正如你所说，其说所谓的管理vlan就针对telnet本设备的vlan地址，远程telnet可以管理该交换机，对交换机做一些配置和修改，不用亲自到交换机前进行配置，最重要的是，像vtp这样在干道trunk上传输的管理协议，都是通过trunk的本征vlan传输的，这就是作用　　==================================================================================
　　Access、Hybrid和Trunk三种模式的理解
　　untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；
tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的
　　下图说明了802.1Q封装tag报文帧结构
　　带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。其中包含：
2个字节的协议标识符（TPID)，当前置0x8100的固定值，表明该帧带有802.1Q的标记信息。
2个字节的标记控制信息（TCI），包含了三个域。
Priority域，占3bits，表示报文的优先级，取值0到7，7为最高优先级，0为最低优先级。该域被802.1p采用。
规范格式指示符（CFI)域，占1bit，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring。
VLAN ID域，占12bit，用于标示VLAN的归属。
　　
以太网端口有三种链路类型：Access、Hybrid和Trunk。
Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；
Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；
Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。
Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。
　　在这里先要向大家阐明端口的缺省VLAN这个概念
Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；
Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。缺省情况下，Hybrid端口和Trunk端口的缺省VLAN为VLAN 1
如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag的报文时，如果该报文的VLAN ID与端口缺省的VLAN ID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。
注：对于华为交换机缺省VLAN被称为“Pvid Vlan”， 对于思科交换机缺省VLAN被称为“Native Vlan”
　　
　　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　
综上所述，以下列举
　　Switch  收发  Switch对标记的处理 remark
Access (接收) Tagged = PVID 不接收 注：部分高端产品可能接收。
Access (接收) Tagged ≠ PVID 不接收 注：部分高端产品可能接收。
Access (接收) Untagged 接收 增加tag＝PVID 从PC
　　Access (发送) Tagged = PVID 转发 删除tag
Access (发送) Tagged ≠ PVID 不转发 不处理
Access (发送) Untagged 无此情况 无此情况 无此情况
　　Trunk  (接收) Tagged = PVID 接收 不修改tag
Trunk  (接收) Tagged ≠ PVID 接收 不修改tag
Trunk  (接收) Untagged 接收 增加tag＝PVID
Trunk  (发送) Tagged = PVID If Passing then 转发 删除tag
Trunk  (发送) Tagged ≠ PVID If Passing then 转发 不修改tag
Trunk  (发送) Untagged 无此情况 无此情况 无此情况（注）
　　Hybrid (接收) Tagged = PVID 接收 不修改tag 对端是trunk
Hybrid (接收) Tagged ≠ PVID 接收 不修改tag 对端是trunk
Hybrid (接收) Untagged 接收 增加tag＝PVID 类Trunk
Hybrid (发送) Tagged = PVID Tag 和 untag 中列出的vlan可以passing 看Tag项和untag项
Hybrid (发送) Tagged ≠ PVID Tag 和 untag 中列出的vlan可以passing 看Tag项和untag项
Hybrid (发送) Untagged 无此情况 无此情况 无此情况（注）
　　
另外需要注意的是：
　　（1）Trunk端口不能和isolate-user-vlan同时配置；Hybrid端口可以和isolate-user-vlan同时配置。但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN，则不允许修改缺省VLAN ID，只有在解除映射后才能进行修改。
　　（2） 本Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID必须一致，否则报文将不能正确传输