思科交换机二层接口配置.pdf

128 Cisco 交换机配置与管理完全手册（第二版） 最系统的交换机配置与管理手册 4.1 IOS 交换机上的交换端口及配置与管理 Cisco IOS 交换机的交换端口（Switch Port）是仅与一个物理接口（不能是虚拟端口）关联的二 层接口，可属于一个或者多个 VLAN，具体是属于一个还是属于多个 VLAN 要视具体的交换端口 类型而定，将在下面介绍具体交换端口类型时介绍交换端口用来管理物理接口和关联二层协议， 不能处理路由和 Fallback Bridging（后退桥接） 注意，本节的内容相当重要，注意，本节的内容相当重要，也比较难懂也比较难懂 【说明】Fallback Bridging（后退桥接，也叫 VLAN 桥接）可以使不同的 VLAN 通过可路由端 口转发交换机不能路由的非 IP 流量（仅限非 IP 流量） ，比如 DECnet 协议的流量在后退桥接中， 每个 VLAN 有单独的生成树，通常称之为“VLAN 桥接生成树” ，用于防止环路从上述可以得 出，后退桥接是 VLAN 间通过可路由端口的一种相互进行非 IP 访问的解决方案 在 Cisco 交换机中，交换端口又可划分为：访问端口（Access Port） 、中继端口（Trunk Port） 、 隧道端口（Tunnel Port）3 种。

可以配置一个端口作为 Access 端口或 Trunk 端口，也可以在基于每 端口基础上运行 DTP（Dynamic Trunking Protocol，动态中继协议） ，通过与链路另一端的端口协商 设置为交换端口模式但你必须手动配置 Tunnel 端口作为一条连接到 IEEE 802.1Q 隧道的非对称链 路的一部分 可通过使用 switchport 接口配置模式命令来把一个当前工作在三层模式的接口转换成二层模式 接口；使用 no switchport 接口配置模式命令可以把工作在二层模式的接口转换成三层模式Cisco 交换机上默认所有的以太网接口均属于二层模式在转换二层模式接口为三层模式时，当前这个被 转换的二层接口配置信息将丢失，恢复到默认配置状态也就是二层交换端口被转换成三层可路由 端口后，原来配置的 VLAN 配置信息将丢失 4.1.1 理解两组重要概念 在正式介绍各种交换端口的数据帧收发原理之前，先要理解两组重要概念的比较：一是 Tag （标记）和 Untag（不标记）比较；二是 PVID 与 VID 的比较 1．Tag 与 Untag VLAN 标记也称帧标记，是 Cisco 开发的，用于标识中继链路上的不同数据帧。

它有两种不 同的标记格式，那就是通用的 IEEE 802.1Q VLAN 标记和 Cisco 私用的 ISL VLAN 标记Tag 就是 在数据帧的帧头“源 MAC 地址”和“目的 MAC 地址”字段前面（ISL VLAN 标记）或后面 （IEEE 802.1Q VLAN 标记）加上了一个 4B 的 VLAN 中继类型封装字段，以表明该数据帧产生 于哪个 VLAN 当一个以太网帧经过一条中继链路时，一个特定的 VLAN 标记将添加到帧中，然后再穿过中 继链路当这个数据帧到达中继链路的另一端时，原来添加的那个 VLAN 标记将被移除，然后依 据交换机中的 MAC 地址列表发往正确的访问链路端口，所以数据帧在目的端口接收后并没有使用 其任何 VLAN 信息，帧中的 VLAN 标记仅用作在转发数据时选择目的 VLAN 的依据（因为二层帧 只能在同一个 VLAN 内转发，当然可以在三层被路由） Untag 就是不在帧中插入这个 VLAN 标记信息，保持数据帧原来的格式，也称本地（Native） 格式一般来说，普通 PC 机网卡只能识别不带 VLAN 标记的本地格式数据帧，不能识别带 VLAN 标记的数据帧，所以在帧到达目的主机所连接的交换端口时要去掉帧中的 VLAN 标记。

有关 IEEE 802.1Q 和 ISL 这两种 VLAN 中继协议具体将在第 8 章介绍，在此不再赘述129 最系统的交换机配置与管理手册 第 4 章 Cisco IOS 交换机二层接口配置与管理 2．PVID 与 VID PVID 是 Port VLAN ID（端口 VLAN ID）的简称，是指端口所属 VLAN 的 VLAN IDVID 就 是指 VLAN ID，每个 VLAN 都有一个唯一的 VLAN ID因为访问（Access）端口仅可属于一个 VLAN，所以它的 PVID 实际上就相当于 VID（VLAN ID） 一个中继（Trunk）端口可以属于多个 VLAN，但一个 Trunk 端口只能有一个 PVID，也就是所分配给该 Trunk 端口的本地 VLAN（Native VLAN）的 VLAN IDTrunk 端口的本地 VLAN 指定是通过 switchport trunk native vlan vlan_id 的 接口配置命令进行的，也就相当于 Trunk 端口的 PVID 指定当一个 Trunk 端口接收到一个不带 VLAN 标记的数据帧时，会打上该中继端口的 PVID 所对应的默认 VLAN ID，把这个数据帧当成该 VLAN 中的数据帧来处理；而如果接收到的是与 PVID 对应的 VLAN 中的数据帧时，则会去掉帧中 的 VLAN 标记发往 PVID 对应的 VLAN 中。

有关交换端口和中继端口的数据帧收发规则将在 4.1.2 节和 4.1.3 节介绍 明白了以上两组概念后，就比较好理解下面将要介绍的各种交换端口的数据帧收发规则了 4.1.2 Access 端口及数据帧收发规则 交换机上的绝大多数以太网接口通常都设置为 Access 端口Access 端口通常用于直接连接终 端设备，如 PC 机，也可以用于交换机间的级联，但一般不这样配置，在本节后面将有具体说明 一个 Access 端口仅可属于并且承载一个 VLAN 内的通信（除非被配置成语音 VLAN 端口） 在 Access 端口上接收和发送的通信是不带 VLAN 标记的本地（Native）格式（因为它只能接收和 发送来自或去往一个 VLAN 的数据帧） ，到达一个 Access 端口的通信是假定来自该 Access 端口 所属的 VLAN如果一个 Access 端口接收了一个带有标记 ISL（Inter­Switch Link，交换机间链 路）或者 IEEE 802.1Q 标记的帧，则这个帧将被丢弃，Access 端口也不会学习这个数据帧的源 MAC 地址。

Access 端口的数据帧收发规则如下： ? Access 端口在收到一个数据帧（Access 端口通常是从终端端口通常是从终端 PC 中接收数据帧中接收数据帧）后，先判断 该数据帧中是否有 VLAN 标记信息如果没有 VLAN 标记，则打上该 Access 端口的 PVID 后继续转发（毕竟毕竟 Access 端口收到数据帧后是向其他端口发送的端口收到数据帧后是向其他端口发送的，可以识别带有，可以识别带有 VLAN 标记的数据帧标记的数据帧） ；如果有 VLAN 标记（这个数据帧肯定是来自其他非这个数据帧肯定是来自其他非 Access 端口 端口 和终端和终端 PC，因为，因为 Access 端口和终端端口和终端 PC 网卡不会发送带网卡不会发送带 VLAN 标记的数据帧标记的数据帧） ，则默认 直接丢弃 ? Access 端口上发送数据帧时，会先将数据帧中的 VLAN 信息去掉（因为因为 Access 端口发送 端口发送 数据帧一般是到终端数据帧一般是到终端 PC，，PC 中的网卡是不能识别中的网卡是不能识别 VLAN 标记的还有一种情况是发送 标记的。

还有一种情况是发送 到另一个相到另一个相同同 VLAN 中的中的 Access 端口，因为端口，因为 Access 端口也不接收带有端口也不接收带有 VLAN 标记的数 标记的数 据帧据帧） ，然后再直接发送，所以 Access 端口发送出去的数据帧都是不带 VLAN 标记的 根据以上 Access 端口收发数据帧的规则可知，Access 端口可以实现同一交换机上相同 VLAN 中的主机相互通信；也可以实现交换机级联时的不同交换机中相同 VLAN 主机间的数据帧交换， 但不能实现不同 VLAN 主机间的数据帧交换如果交换机级联端口设置为 Access 端口，则两交换 机只能进行级联端口所属 VLAN 主机间的通信，不能与其他 VLAN 主机间进行通信，而且两交换 机的级联端口还必须添加到相同 VLAN 中如级联的 SW1 和 SW2 交换机上都配置有 VLAN 2，并 且这两个级联端口都添加到 VLAN 2 中，则 SW1 和 SW2 交换机中的 VLAN 2 中的主机间可以直接130 Cisco 交换机配置与管理完全手册（第二版） 最系统的交换机配置与管理手册 通信。

但这显然不能实现交换机级联的最终目的，所以不常用除非级联的两个交换机的所有端口 都属于同一 VLAN 表 4­1 所示是根据上面介绍的 Access 端口接收或发送数据帧的规则而列举的示例（表中的 VLAN 2、VLAN 3 只是其中的两个 VLAN 例子，实际上可为其他任意已激活的 VLAN） 表 4­1 Access 端口数据帧处理示例 Access 端口的 PVID 接收数据帧的 VLAN ID 发送数据帧的 VLAN ID 处理结果 VLAN 2 无 ­­ 打上 VLAN 2 标记后继续转发 VLAN 2 VLAN 3 ­­ 丢弃 VLAN 2 ­­ VLAN 2 去掉 VLAN 2 标记后继续发送 VLAN 2 ­­ VLAN 3 去掉 VLAN 3 标记后继续发送 Cisco 交换机支持两种类型的 Access 端口： ? 静态 Access 端口（Static Access Port） ：它是被手动指派到一个 VLAN 中的（也可以通过 使用 IEEE 802.1x 的 RADIUS 服务器指派） ? 动态 Access 端口（Dynamic Access Port） ：它所属的 VLAN 成员资格是通过流入的帧学习到 的。

默认情况下，一个动态 Access 端口是不属于任何 VLAN 的成员，仅在发现了该端口属 于某个 VLAN 成员后才可以从该 VLAN 转发数据帧到该端口或者从该端口发送数据帧到该 VLAN交换机的动态 Access 端口是通过 VMPS（VLAN Membership Policy Server，VLAN 成员策略服务器）来指派到一个 VLAN 中的Catalyst 6500 系列交换机可以作为 VMPS， 但 Catalyst 3550/3750 这样比较低端的系列交换机不能作为 VMPS 服务器 4.1.3 Trunk 端口及数据帧收发规则 Trunk 端口通常用于交换机级联，或者交换机与路由器、防火墙的连接，用来承载多个 VLAN 的通信（不像不像 Access 端口那样只能属于并承载一个端口那样只能属于并承载一个 VLAN 的通信的通信） ，并且默认是 VLAN 数据帧库 中的所有 VLAN 的成员也就是说，默认情况下 Trunk 端口可以接收、转发或者发送所有来自或者 到达 VTP（VLAN 中继协议）域中所有 VLAN 的数据帧，但这并不是说但这并不是说 Trunk 端口可以实现不同端口可以实现不同 VLAN 间的数据帧通信，只是说它可以转发多个间的数据帧通信，只是说它可以转发多个 VLAN 。