交换机PVID VID和tag的区别

Display interface ：[1] GigabitEthernet3/0/1 current state : DOWN 接口状态显示硬件链路的状态[2] IP Sending Frames Format is PKTFMT_ETHNT_2,Hardware address is 00e0-fc00-0010 接口的输出帧封装类型和MAC 地址显示接口的删除帧封装类型和MAC 地址[3] The Maximum Transmit Unit is 1500 接口的最大传输单元显示接口的最大传输单元[4] Media type is not sure, loopback not set 端口的连接线类型和环回状态显示接口的连接线类型和环回状态[5] Port hardware type is No Connector 端口的连接器硬件类型显示接口的连接器硬件类型[6] Unknown-speed mode, unknown-duplex mode 端口的实际速度和双工状态显示端口的实际速度和双工状态[7] Link speed type is autonegotiation, link duplex type is autonegotiation 端口是否是速度、双工的自协商配置显示端口速度、双工的自协商配置[8] Flow-control is not supported 端口流控状态显示端口的MDI 类型(不是缺省值的情况显示)目前以太网有MDI 和MDI-X 两种类型的接口。

MDI 称为介质相关接口，MDI-X 称为介质非相关接口。

市场上常见的以太网交换的端口都属于MDI-X 接口，而路由器和PC 的端口都属于MDI接口。

当MDI-X 接口和连接时，需要用直连网线( Normal Cable);当同一类型号的接口如MDI和MDI、MDI-X和MDI-X连接时，需要采用交叉网线(Cross Cable)。

什么是pvid Trunk（端⼝汇聚）的概念与设置pvid，就是指port vid。

并⾮单指华为设备。

⼀般来说，pvid和vid是同时应⽤的（只要是⽀持802.1q的交换机），pvid指的是帧进端⼝的策略，vid指的是帧出端⼝的策略。

进端⼝时如果帧没有vlan tag，就以pvid值给帧打上tag；如果有tag，就不改变其值。

Trunk（端⼝汇聚）的概念与设置在⼆层交换机的性能参数中，常常提到⼀个重要的指标：TRUNK，许多的⼆层交换机产品在介绍其性能时，都会提到能够⽀持TRUNK功能，从⽽可以为互连的交换机之间提供更好的传输性能。

那到底什么是TRUNK呢？使⽤TRUNK功能到底能给我们带来哪些应⽤⽅⾯的优势？还有在具体的交换机产品中怎样来配置TRUNK.下⾯我们来了解⼀下这些⽅⾯的知识。

⼀、什么是TRUNK？ TRUNK是端⼝汇聚的意思，就是通过配置软件的设置，将2个或多个物理端⼝组合在⼀起成为⼀条逻辑的路径从⽽增加在交换机和⽹络节点之间的带宽，将属于这⼏个端⼝的带宽合并，给端⼝提供⼀个⼏倍于独⽴端⼝的独享的⾼带宽。

Trunk是⼀种封装技术，它是⼀条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。

基于端⼝汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端⼝并⾏连接同时传输以提供更⾼带宽、更⼤吞吐量，⼤幅度提供整个⽹络能⼒。

⼀般情况下，在没有使⽤TRUNK时，⼤家都知道，百兆以太⽹的双绞线的这种传输介质特性决定在两个互连的普通10/100交换机的带宽仅为100M，如果是采⽤的全双⼯模式的话，则传输的最⼤带宽可以达到最⼤200M，这样就形成了⽹络主⼲和服务器瓶颈。

要达到更⾼的数据传输率，则需要更换传输媒介，使⽤千兆光纤或升级成为千兆以太⽹，这样虽能在带宽上能够达到千兆，但成本却⾮常昂贵（可能连交换机也需要⼀块换掉），更本不适合低成本的中⼩企业和学校使⽤。

PVID和‎V ID彻底‎研究（上）——PVID的‎作用及和V‎I D的区别‎Pvid和‎V id经常‎出现于二、三层交换机‎里，由于PVI‎D和VID‎的设置不合‎理，造成VLA‎N划分变得‎混乱。

本文就对P‎V ID和V‎I D进行了‎彻底研究。

pvid是‎交换机上的‎概念,说的是进入‎该端口的报‎文如果没有‎打vlan‎id就按p‎v id 的值‎打上，vid是报‎文上的vl‎a n tag的意‎思.不是同个概‎念哦.首先解释一‎下什么是P‎V ID，PVID英‎文解释为P‎o rt-base VLAN ID，是基于端口‎的VLAN‎ID，一个端口可‎以属于多个‎v lan，但是只能有‎一个PVI‎D，收到一个不‎带tag头‎的数据包时‎，会打上PV‎I D所表示‎的vlan‎号，视同该vl‎a n的数据‎包处理，所以也有人‎说PVID‎就是某个端‎口默认的v‎l an ID号。

默认情况下‎，简单的理解‎为：ACCES‎S端口接P‎C，VID=PVIDTRUNK‎端口级联，VID=全部，PVID=1简单的说，VID（VLAN ID）是VLAN‎的标识，定义其中的‎端口可以接‎收发自这个‎V LAN的‎包；而PVID‎（Port VLAN ID）定义这个u‎n tag端‎口可以转发‎哪个VLA‎N的包。

比如，当端口1同‎时属于VL‎A N1、VLAN2‎和VLAN‎3时，而它的PV‎I D为1，那么端口1‎可以接收到‎V LAN1‎，2，3的数据，但发出的包‎只能发到V‎L AN1中‎在网上发现‎一个比较好‎的解释是：PVID并‎不是加在帧‎头的标记，而是端口的‎属性，用来标识端‎口接收到的‎未标记的帧‎。

也就是说，当端口收到‎一个未标记‎的帧时，则把该帧转‎发到VID‎和本端口P‎V ID相等‎的VLAN‎中去。

为了验证这‎一说法，在S302‎6上做了以‎下实验：在S302‎6上选两个‎端口，连接两台主‎机A、B，按照下表给‎端口设置不‎同的PVI‎D 和VID‎，用A ping B，并在B上抓‎包，记录实验结‎果。

浅析交换机VLAN设置中VID和PVID区别与应用陈存田;殷伟伟【摘要】本文详细介绍了PVID和VID的基本概念,并举例说明在交换机VLAN划分时二者的区别与应用.【期刊名称】《黑龙江科技信息》【年(卷),期】2017(000)027【总页数】2页(P43-44)【关键词】PVID;VID;VLAN【作者】陈存田;殷伟伟【作者单位】山西省地震局,山西太原 030021;山西省地震局,山西太原 030021【正文语种】中文在交换机VLAN设置中经常会出现Pvid和Vid两个概念，由于对二者的基本概念不清导致PVID和VID的设置不合理，造成VLAN划分混乱从而影响网络的通讯。

本文对PVID和VID二者的概念进行详细的介绍并举例说明在交换机VLAN设置时两者的区别应用。

1.1 VLAN（Virtual Local Area Network）虚拟局域网，是由一些LAN网段构成的与物理位置无关的逻辑组。

它以软件方式实现逻辑组的划分与管理，逻辑组中的节点组成不受物理位置的局限。

电气与电子工程师协会于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。

VLAN的组网方式有基于端口划分VLAN、基于MAC地址划分VLAN、基于网络层地址划分VLAN、基于协议划分VLAN、基于策略划分VLAN，在日常的工作中经常使用的就是基于端口的划分方式，基于此种方式划分才会遇到本文中提到PVID、VID参数的问题。

1.2 PVID（Port-base VLAN ID）是基于交换机端口属性的VLAN ID，一个物理端口可以被划分属于多个vlan，但是该端口的PVID只能有一个。

当一个没有被标记的数据包通过该交换机端口时，此未被标记的数据包就会被打上标签，标签的值就是该端口PVID所设置的值，数据包处理方式按照和其VLAN ID数值相等的数据包方式处理。

1.3 VID即VLAN ID是VLAN标识用来标识不同的VLAN，通常用于定义其交换机端口可以接收该VLAN的数据包，最常见的基于端口的LVAN划分就是设置其端口的VID值。

基于802.1Q 的VLAN（pvid vid）在802.1q vlan 中，网卡（nic）不必去识别数据包头部分的802.1q 标记（tag），网卡只需发送和接收普通的以太网数据包。

如果数据包的目的地址在同一个网段内，那么，就采用普通的以太网协议进行通信。

只有当数据包的目的地址在另一台交换机上时，vlan 才进行判断是将此数据包丢弃还是进行转发。

在理解ieee 802.1q vlan 时，有两个非常重要的名词需要掌握：端口vlan 的id（port vlan id numbers，简写为pvid）和vlan 的id（vlan id numbers，简写为vid）。

这两个变量都是定义在端口上的，但是两者间有很大的区别。

用户可以仅为每个交换机端口定义一个pvid。

pvid 定义了交换机将向哪一个vlan 转发数据包，以及什么时候数据包会需要转发到另一台交换机的端口上，或者网络中的某个地方。

另外，用户也可以定义某个端口同时属于多个vlan（vids），使得它可以接收网络中多个vlan 的数据包。

pvid 和vid 这两个变量用于控制端口发送和接收vlan 数据流的能力，而两者之间的区别在于后者还允许信息可以在多个vlan 间共享。

802.1q vlan 网段：举例来说，假设vlan2 中连接在交换机的端口12 上的计算机发送出一个数据包，而且其端口vlan id（port vlan idnumber）是2（pvid=2）。

如果目的地址在另一个端口（通过查找转发地址表得到的），那么，交换机将看该目的端口（如端口10）是否属于vlan2。

如果端口10 不属于vlan2，那么该数据包将被丢弃，不会送到它的目的地址。

而如果端口10 属于vlan2，那么数据包将被送达其目的地址。

这就是基于端口vlan 的工作机制，实质就是端口12 发送出的数据包只会在vlan2中传送，因为它的端口vlan id（port vlan id number）是2（pvid=2）。

交换机对VLAN的tag处理交换机对VLAN的tag处理所有能感知VLAN的交换机，报文在交换机内部转发过程中都是带Tag的。

在交给交换芯片处理之前，或者交换芯片交给端口时会根据端口的设置添加或去掉Tag。

如果没有进行配置，默认所有的端口都处于Access模式，并且以Untag属于VLAN 1的。

一般来说，对端口来说与VLAN相关的有三个属性，PVID、Tag Vlan、Untag Vlan。

PVID有且只有一个，Tag Vlan和Untag Vlan可能有一个，多个，也可以没有，但两个至少其中一个有一个。

PVID的作用是:如果此端口收到一个Untag的报文，则交换机会根据PVID的值给此报文打上等于PVID的Tag，然后交给交换芯片处理;如果交换芯片要将一个报文从此端口发送，发现此报文的Tag值与PVID相同，则会将Tag去掉，然后从此端口发送出去。

Tag Vlan和Untag Vlan主要是用于报文发送的处理，如果交换芯片要将报文从此端口发送，发现报文的Tag在此端口的Tag Vlan中，且不等于PVID，则此报文将以Tag 的形式发送出去，如果在Untag Vlan中，则以Untag形式发出去。

如果报文的Tag既不在Tag Vlan中，也不在Untag Vlan中，则只有一种可能，交换芯片出毛病了:)。

这就是交换机处理Vlan Tag的基本原则了。

可以如图所示，即Tag 处理只在交换芯片的进、出时刻。

这里做了简化，假设一个报文从Port1入，从Port2出，期间可能经过的环节如上所示的1-5。

报文的Tag处理主要在1、5环节1:如果报文的是Untag的，则报文被加上Port1的PVID的tag，然后送给2层转发引擎L2。

如果报文的Tag不是Port1所属的VLAN，则报文丢弃。

环节5:如果报文此时的Tag等于Port2的PVID，则报文去Tag，变为Untag的，如果报文的Tag在端口的Untag列表里，报文去掉Tag，变为Untag。

PVID、VID认识几个概念：1、tagged port和untagged port：Untagged Port和tagged Port不是讲述物理端口的状态，而是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；tagged port连接交换机设备，untagged port 连接PC。

若某一端口在vlan设定中被指定为非标记端口untagged port, 所有从此端口转发出的数据包上都没有标记(untagged)。

若某一端口在vlan设定中被指定为标记端口tagged port, 所有从此端口转发出的数据包上都将有标记(tagged)。

2、PVID和VID：PVID是port-based vlan id，PVID 是非标记端口的vlan id 设定。

它实际是端口的一个属性，是基于端口的VLAN ID，一个端口可以属于多个vlan，但是只能有一个PVID，收到一个不带tag头的数据包时，会打上PVID所表示的vlan号，视同该vlan的数据包处理。

VID（VLAN ID）是VLAN的标识，定义其中的端口可以接收发自这个VLAN的包；而PVID（Port VLAN ID）定义这个untag端口可以转发哪个VLAN的包。

3、trunk和access模式：ACCESS端口、TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；Trunk端口就是在一个物理端口上增加这个交换机所有VLAN 的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；即ACCESS端口接PC，VID=PVID，TRUNK 端口级联，VID=全部，PVID=1。

交换机该怎么理解Hybird中Tag和Untag端口模式tag可以理解为标签，不过在交换机中是什么含义呢?tag和untag关系是什么?交换机中不同的情况适用的端口模式也不同，今天我们来看看Trunk和Hybird模式下存在端口缺省vlan的概念，需要的朋友可以参考下。

概述打不打标记Tag，untag以及交换机的各种端口模式是网络工程技术人员调试交换机时接触最多的概念了。

标记tag就是指VLAN的标签，数据包属于哪个VLAN的。

交换机三种端口模式Access vlan、Trunk vlan和Hybrid vlan三种，即以太网端口有三种链路类型：Access、Hybrid和Trunk。

在Trunk和Hybird模式下，存在端口缺省vlan的概念(pvid、native vlan id)。

PVID功能:交换机端口收到传统以太网帧时，在帧头添加4个字节变为802.1Q帧，当中最主要的是VLAN标识符(VLANidentifier，简称Vid)。

交换机以端口PVID之数值填入数据帧头的Vid字段。

交换机Hybird端口接收到802.1Q帧时：是否接收802.1Q的含有某个Vid数据帧，在于untagged或tagged两者之一是否含有这个Vid，含则收，无则弃。

untagged与tagged之分在于:untagged剥离数据帧头的Vlan标记，将802.1Q帧恢复为传统以太网帧后发送至下一交换机或计算机。

tagged保持802.1Q帧格式发送至下一交换机，若发送至计算机，非Vlan感知的计算机不能识别。

802.1Q数据帧格式Access、Hybrid和Trunk端口类型Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口;Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口;Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

VID规则引言概述VID（Virtual Identifier）规则是一种用于网络标识和标签分配的技术，它在网络管理和数据通信中起到了重要的作用。

VID规则通常应用于虚拟局域网（VLAN）的管理，用于对网络中的设备进行唯一标识和划分。

本文将深入探讨VID规则的定义、应用和最佳实践，帮助读者更好地理解这一网络技术。

1. VID规则的基本概念1.1 VID的定义1.1.1 什么是VID：VID，即Virtual Identifier，是用于唯一标识网络中虚拟局域网（VLAN）的标识符。

每个VLAN都被分配一个唯一的VID，以便在网络中进行区分。

1.1.2 VID的作用：VID充当VLAN的身份证，通过VID可以将数据包正确地发送到目标VLAN，实现网络中的隔离和划分。

1.2 VLAN与VID的关系1.2.1 什么是VLAN：VLAN（Virtual Local Area Network）是一种将单一的物理局域网划分成多个逻辑上的局域网的技术。

每个VLAN都有一个唯一的VID来标识自己。

1.2.2 VLAN标签：在数据包中，VLAN信息通常以标签的形式存在，该标签包含了VID等信息，帮助网络设备正确识别和处理数据包。

1.3 VID的编码方式1.3.1 VLAN T ag的结构：VID通常包含在VLAN Tag中，VLAN Tag的结构包括VID字段以及其他用于识别和管理的字段。

1.3.2 12位和4位VID：标准的VLAN Tag中，VID通常占据12位，但在一些场景下，也有使用4位VID的情况，这要根据实际网络需求而定。

2. VID规则的应用场景2.1 实现网络划分2.1.1 部门隔离：在企业内部网络中，不同的部门可能需要独立的网络环境，通过VID规则可以实现不同部门的网络隔离。

2.1.2 客户隔离：在服务提供商的网络中，不同的客户可能共享同一物理网络，通过VID规则可以确保客户之间的网络互不影响。

1、各种端口类型对各种数据帧的处理方法in=进交换器out=出交换机2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG 等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部接受到可以接受Untagged数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID 不起任何作用；4、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged数据帧；5、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged数据帧；收报文：Access端口：1、收到一个报文，判断是否有VLAN信息；如果没有打上端口的PVID，并进行交换转发，否则直接丢弃(缺省)；Trunk端口：1、收到一个报文，判断是否有VLAN信息；如果没有打上端口的PVID，并进行交换转发，否则判断该trunk 端口是否允许该VLAN的数据进入；如果可以则转发，否则丢弃；Hybrid端口：1、收到一个报文；2、判断是否有VLAN信息；如果没有则转到第3步，否则转到第4步；3、打上端口的PVID，并进行交换转发；4、判断该Hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃；发报文：Access端口：1、将报文的VLAN信息剥离，直接发送出去；Trunk端口：1、比较端口的PVID和将要发送报文的VLAN信息；2、如果两者相等则剥离VLAN信息，再发送；否则直接发送；Hybrid端口：1：判断该VLAN在本端口的属性(display interface即可看到该端口对哪些VLAN是untag,哪些VLAN是tag。

交换机端口untaged、taged、trunk、access 的区别分类：系统运维来源：网络首先，将交换机的类型进行划分，交换机分为低端(SOHO级)和高端(企业级)。

其两者的重要区别就是低端的交换机，每一个物理端口为一个逻辑端口，而高端交换机则是将多个物理端口捆绑成一个逻辑端口再进行的配置的。

cisco网络中，交换机在局域网中最终稳定状态的接口类型主要有四种：access/ trunk/ multi/ dot1q-tunnel。

1、access: 主要用来接入终端设备，如PC机、服务器、打印服务器等。

2、trunk: 主要用在连接其它交换机，以便在线路上承载多个vlan。

3、multi: 在一个线路中承载多个vlan，但不像trunk,它不对承载的数据打标签。

主要用于接入支持多vlan的服务器或者一些网络分析设备。

现在基本不使用此类接口，在cisco的网络设备中，也基本不支持此类接口了。

4、dot1q-tunnel: 用在Q-in-Q隧道配置中。

Cisco网络设备支持动态协商端口的工作状态，这为网络设备的实施提供了一定的方便（但不建议使用动态方式）。

cisco动态协商协议从最初的DISL（Cisco私有协议）发展到DTP（公有协议）。

根据动态协议的实现方式，Cisco网络设备接口主要分为下面几种模式：1、switchport mode access: 强制接口成为access接口，并且可以与对方主动进行协商，诱使对方成为access模式。

2、switchport mode dynamic desirable: 主动与对协商成为Trunk接口的可能性，如果邻居接口模式为Trunk/desirable/auto之一，则接口将变成trunk接口工作。

如果不能形成trunk 模式，则工作在access模式。

这种模式是现在交换机的默认模式。

3、switchport mode dynamic auto: 只有邻居交换机主动与自己协商时才会变成Trunk接口，所以它是一种被动模式，当邻居接口为Trunk／desirable之一时，才会成为Trunk。

VLAN PVID VID对于交换机来说，如果它所连接的以太网段的所有主机都能识别和发送这种带802.1Q 标签头的数据包，那么我们把这种端口称为Tag Aware端口；相反，如果该交换机端口说连接的以太网段有只要有一台主机不支持这种以太网桢头，那么交换机的这个端口我们称为Access端口，从目前的情况可以看出，所有的交换机的端口都属于后一种。

交换机是如何支持VLAN的呢？是这样的，比如交换机的1~4端口属于同一个VLAN，那么当1端口进来一个数据包是，交换机看到该数据包没有802.1Q标签头，那么，它会根据1号端口所属的VLAN组，自动给该数据包添加一个该VLAN的标签头，然后再将数据包交给数据库查询模块，数据库查询模块会根据数据包的目的地址和所属的VLAN进行路由，之后交给转发模块，转发模块看到这是一个包含标签头的数据包，而实际上发送的端口所连的以太网段的计算机不能识别这种数据包，所以，它会再将数据包进来是交换机给添加的标签头再去掉。

如果计算机支持这种标签头，那么就不需要交换机添加或删除标签头了，至于到底是添加还是删除要看交换机所连的以太网段的主机是否识别这种数据包，即该交换机的端口是哪种类型的端口。

当然，对于两个交换机互连的端口一般都是Tag Aware端口，这样，交换机和交换机之间交换数据包时是无须去掉标签头的。

处理流程包括3个步骤：1、接收过程：该过程负责接收数据包，数据包可以是带标签头的，也可以不带标签头，如果不带，交换机会知道根据该端口所属的VLAN添加上相应的标签头。

2、查找/路由过程：该过程根据数据包的目的MAC地址、VLAN标识已经数据库中注册的信息决定把数据包发送到哪个端口。

3、发送过程：将数据包发送到以太网段上，如果该网段的主机不能识别802.1Q标签头，那么就将该标签头去掉，如果是与其他交换机互连的端口，一般不去掉。

access trunk hybrid的区别1.Access端口（1）收到一个二层帧（2）判断是否有VLAN标签：没有则转到第3步，有则转到第4步（3）打上端口的PVID，并进行交换转发（4）若VLAN标签和PVID一致，转发VLAN帧；否则直接丢弃2.trunk端口（1）收到一个二层帧（2）判断是否有VLAN标签：没有则转到第3步，有则转到第4步（3）打上端口的PVID，并进行交换转发（4）判断该trunk端口是否允许该VLAN帧进入：允许则转发，否则直接丢弃（注意：trunk口允许或不允许VLAN帧，是对进入的帧而言的，对出去的帧没有限制。

fid解释VID就是VLAN ID,这个意思很明⽩.PVID就是PORT VID,当⼀个PORT属于多个VLAN时,当它收到不带TAG的数据时,它就给数据加上TAG,其中VID=PVID.FID就是FILTERING ID.在SHARE LEARNING环境中,共享地址学习的VLAN⽤⼀个FID来标识.下⾯这篇短⽂是中兴的⼯程师给我的，重点是介绍ZTE⼆层交换机中的FID==========以太⽹交换机中FID的概念和作⽤本⽂介绍以太⽹交换机中的⼀个新的概念FID，⾸先我们回顾⼀下通过vlan进⾏端⼝隔离的配置，及存在的⼀个问题，最后通过FID的设置解决这个问题。

还记得以前介绍的vlan端⼝隔离配置吗？创建vlan1，包含1, 24⼝创建vlan2，包含2, 24⼝...创建vlan23，包含23,24⼝创建vlan100，包含1,2,...,23,24⼝这样配置以后，端⼝1,2,...,23之间是隔离的，不能互相访问，24⼝上⾏，可以和1-23通信但实事证明存在这样⼀个问题，24⼝在转发⽤户下⾏数据时是⼴播⽅式转发到 1-23⼝。

抓包可以发现端⼝1⽤户的下⾏数据在2-23⼝都能抓到包(上⾏未能抓到)，说明隔离的是上⾏数据，下⾏却变成了⼀个HUB。

那么为什么会出现这种情况能？让我们来分析⼀下。

⼆层交换机有这样⼀张转发表：mac -> port，对于每个vlan⽽⾔，每个vlan都有⼀张这个表当PC1(端⼝1下的PC)发出上⾏包后，交换机的vlan1学到如下的⼀个条⽬vlan1 mac -> portPC1-mac -> 1当上⾏⼝三层设备(R1)回复PC1 的数据时，交换机的vlan100学到如下条⽬vlan100 mac -> portR1-mac -> 24当它在vlan100中要转发给PC1时，vlan100转发表中只有这样的条⽬vlan100 mac -> portR1-mac -> 24可见并没有满⾜PC1 mac地址的条⽬，于是它在vlan100⾥的端⼝(1-23⼝)⼴播。

Tag为IEEE802.1Q协议定义的VLAN的标记在数据帧中的标示；ACCESS端口，TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；这个数据交换的过程比较复杂，如果想解释的话，首先要了解一下几个IEEE802.1Q协议的定理；1、下面是定义的各种端口类型对各种数据帧的处理方法；in=进交换器out=出交换机2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID 上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部接受到可以接受Untagged数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged数据帧；以下是神州数码对命令的定义（各个厂家对命令的定义可能不一定一致，但是都必须遵循上面的定理）：1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；2、Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；在了解了以上的基础理论之后，我们在来看一下楼主的问题：一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化？我们先把上述的描述变换为IEEE802.1Q的标准描述：一个数据包从PC机发出经过（Untagged数据帧）ACCESS端口（PVID定义为100，VID=100=Untagged Port）->TRUNK端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的TRunk端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->另一个交换机的ACCESS端口（PVID定义为100，VID=100=Untagged Port）->PC数据包发生了怎么样的变化？（Untagged数据帧）首先假设两台交换机刚刚开机（MAC地址表为空）从PC机发出的数据帧进入交换机的ACCESS端口以后，会按照这个端口的PVID打100的Tag标记，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外），这个过程叫做VLAN Flood；参照上面的定理1；由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理5；由于Trunk端口在VID=100上为tagged Port，所以在发送数据帧出交换机的时候，不改变Tagged数据帧的结构；参照上面的定理1；到了另一个交换机的Trunk端口的时候，由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理6；另一个交换机的Trunk端口，接收到标记tag为100的tagged数据帧，并不作任何的更改；参照上面的定理1；另一个交换机收到到标记tag为100的tagged数据帧，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外）；参照交换机交换原理（受到一个未知目的MAC数据帧）；这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧；参照上面的定理5；另一个交换机的ACCESS端口在发出标记tag为100的tagged数据帧的时候，会去掉TAG标记，转发untagged数据帧给PC；参照上面的定理1；这样PC机就收到了这个数据；********************************************************************* ***************************Access、Hybrid和Trunk三种模式的理解Tag，untag以及交换机的各种端口模式是网络工程技术人员调试交换机时接触最多的概念了，然而笔者发现在实际工作中技术人员往往对这些概念似懂非懂，笔者根据自己的理解再结合一个案例，试图向大家阐明这些概念untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan 信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的下图说明了802.1Q封装tag报文帧结构带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。

PVID和VIDPVID和VID彻底研究（上）——PVID的作用及和VID的区别Pvid和Vid经常出现于二、三层交换机里，由于PVID和VID的设置不合理，造成VLAN 划分变得混乱。

本文就对PVID和VID进行了彻底研究。

首先解释一下什么是PVID，PVID英文解释为Port-base VLAN ID，是基于端口的VLAN ID.通俗的讲，指的是native Vlan，即不打Vlan标记的Vlan，一般默认为Vlan 1。

去超市买东西有个扫描设备扫描一下商品上的标签，然后价格就会出现商品上的标签就好比一个标记，而扫描器就好比解读这个标记的设备PVID和VID（标记）之间的关系就好比扫描器和商品标记的关系，不同的是PVID不仅用来解析ViD也用来生成VID终端设备比如电脑PC等，自身不具备产生标记的能力，因为数据帧格式是固定的，发送端自身不知道自身是哪个VLAN成员那么他自己当然不可能在帧内标记VLAN id了，标记和解标记都是由中间设备来完成的.交换机上的端口分为三种一种是接入层端口直连设备的，叫做Access；一种是交换机和交换机之间的端口负责汇聚的叫做Trunk，还有一种是Access与Trunk混合的模式，叫做Hybrid。

Access端口负责接终端设备，他收到一个帧的时候，如果帧这个没有标记他就用自己的pvid给他打上标记，他在发出一个帧时如果VID=PVID就去掉标记(解标记)以保证传送给终端设备的帧没有被变动过(中间设备添加了标记)，pvid是在划分vlan时候每个端口都有的属性，默认情况下思科交换机中每个端口初始pvid是1，表示他是vlan 1的成员们如果你给他划分了其他VLAN那么PVID相应会发生更改ACCESS端口的特点是只允许符合PVID的流量通过Trunk的意思是，它是一条中继链路，允许各种VLAN通过。

它的规则和Access差不多，当收到一个没有tag的标记的时候就用自己的pvid给他标记，当发送一个帧时候如果vid=pvid则去掉pvid，与Access不同的是，Trunk有一个属于自己的本征VLAN(Native VLAN,也叫PVID)，用来发送一些cdp，bpdu等交换机间联系的数据或者管理流量，从交换机自身产生的帧在发出去的时候是不会带标记的，因为VID=pvid所以标记被去掉，而对端接收到没有标记的帧时候就会用自身本征VLAN的信息给他加上标记，然后查看交换表如果发现目的地址是自己则去掉标记，如果发现目的mac地址不是自己则继续转发给其他Trunk同时去掉标记（因为一个交换机只有一个本征VLAN所有pvid=vid去掉标记）Hybrid是Access与Trunk的混合模式，它允许VID=pvid。

简单理解1、下面是定义的各种端口类型对各种数据帧的处理方法；in=进交换器out=出交换机2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；3、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port；4、PVID的作用只是在交换机从外部接受到可以接受Untagged数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；5、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged数据帧；6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged数据帧；收报文：Access端口：1、收到一个报文；2、判断是否有VLAN信息；如果没有则转到第3步，否则转到第4步；3、打上端口的PVID，并进行交换转发；4、直接丢弃(缺省)；Trunk端口：1、收到一个报文；2、判断是否有VLAN信息；如果没有则转到第3步，否则转到第4步；3、打上端口的PVID，并进行交换转发；4、判断该trunk端口是否允许该VLAN的数据进入；如果可以则转发，否则丢弃；Hybrid端口：1、收到一个报文；2、判断是否有VLAN信息；如果没有则转到第3步，否则转到第4步；3、打上端口的PVID，并进行交换转发；4、判断该Hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃；==================================================================发报文：Access端口：1、将报文的VLAN信息剥离，直接发送出去；Trunk端口：1、比较端口的PVID和将要发送报文的VLAN信息；2、如果两者相等则转到第3步，否则转到第4步；3、剥离VLAN信息，再发送；4、直接发送；Hybrid端口：1：判断该VLAN在本端口的属性(display interface即可看到该端口对哪些VLAN 是untag,哪些VLAN是tag。