交换机PVID VID和tag的区别

PVID和VID彻底研究（上）

——PVID的作用及和VID的区别

Pvid和Vid经常出现于二、三层交换机里，由于PVID和VID的设置不合理，造成VLAN划分变得混乱。本文就对PVID和VID进行了彻底研究。

首先解释一下什么是PVID，PVID英文解释为Port-base VLAN ID，是基于端口的VLAN ID.

通俗的讲，指的是native Vlan，即不打Vlan标记的Vlan，一般默认为Vlan 1。

去超市买东西有个扫描设备扫描一下商品上的标签，然后价格就会出现

商品上的标签就好比一个标记，而扫描器就好比解读这个标记的设备

PVID和VID（标记）之间的关系就好比扫描器和商品标记的关系，不同的是PVID不仅用来解析ViD也用来生成VID

终端设备比如电脑PC等，自身不具备产生标记的能力，因为数据帧格式是固定的，发送端自身不知道自身是哪个VLAN成员那么他自己当然不可能在帧内标记VLAN id了，标记和解标记都是由中间设备来完成的.

交换机上的端口分为三种一种是接入层端口直连设备的，叫做Access；一种是交换机和交换机之间的端口负责汇聚的叫做Trunk，还有一种是Access与Trunk混合的模式，叫做Hybrid。

Access端口负责接终端设备，他收到一个帧的时候，如果帧这个没有标记他就用自己的pvid给他打上标记，他在发出一个帧时如果VID=PVID就去掉标记(解标记)以保证传送给终端设备的帧没有被变动过(中间设备添加了标记)，pvid 是在划分vlan时候每个端口都有的属性，默认情况下思科交换机中每个端口初始pvid是1，表示他是vlan 1的成员们如果你给他划分了其他VLAN那么PVID 相应会发生更改

ACCESS端口的特点是只允许符合PVID的流量通过

Trunk的意思是，它是一条中继链路，允许各种VLAN通过。它的规则和Access 差不多，当收到一个没有tag的标记的时候就用自己的pvid给他标记，当发送一个帧时候如果vid=pvid则去掉pvid，与Access不同的是，Trunk有一个属于自己的本征VLAN(Native VLAN,也叫PVID)，用来发送一些cdp，bpdu等交换机间联系的数据或者管理流量，从交换机自身产生的帧在发出去的时候是不会带标记的，因为VID=pvid所以标记被去掉，而对端接收到没有标记的帧时候就会用自身本征VLAN的信息给他加上标记，然后查看交换表如果发现目的地址是自己

则去掉标记，如果发现目的mac地址不是自己则继续转发给其他Trunk同时去掉标记（因为一个交换机只有一个本征VLAN所有pvid=vid去掉标记）

Hybrid是Access与Trunk的混合模式，它允许VID=pvid。Hybrid与Trunk 一样，在该端口上可以传送多个vlan的包，一般用于交换机与交换机之间，或者交换机与服务器之间的链接。如果收到的数据包不带vlan，则加上pvid进行转发；如果收到的数据包带vlan，则判断该端口是否允许该vlan进入，如果可以则进行转发，否则丢弃。

在网上发现一个比较好的解释是：PVID并不是加在帧头的标记，而是端口的属性，用来标识端口接收到的未标记的帧。也就是说，当端口收到一个未标记的帧时，则把该帧转发到VID和本端口PVID相等的VLAN中去。

为了验证这一说法，在S3026上做了以下实验：

在S3026上选两个端口，连接两台主机A、B，按照下表给端口设置不同的PVID 和VID，用A ping B，并在B上抓包，记录实验结果。

注：结果中“有”表示抓包有ICMP的包（但ping不通），“无”表示没有，“通”表示可以ping通。VID为“无”表示该端口没有加到任何VLAN里。

所有结果为“无”的可以解释为：当端口1收到无标记的帧后，转发到VID＝PVID ＝1的端口去，由于端口2无VID，故主机B收不到包。

所有结果为“有”的可以解释为：当端口1收到无标记的帧后，转发到VID＝PVID ＝1的端口去，由于端口2的VID＝1，故主机B收到ICMP的ECHO包，并发出ECHO Reply，由于此种情况下端口1的VID不等于1，故B的Reply并不能到达A。所以只有当两个端口的PVID和VID一样时，才可以互通。

到此我和大家一样有个疑问，一个VLAN干吗要设置PVID和VID两种标识呀？反正只有当PVID＝VID时才能互通，只有一个不就够了吗？请往下看。

当所有VLAN都在一个交换机里时，确实只需要一个标识就够了，但跨设备的VLAN 就需要另一种标识，这就是802.1Q的VLAN ID，即VID。

我们知道802.1Q的VLAN是在二层帧里加进VLAN标识，俗称打tag，而计算机不能解析这种二层的帧，所以交换机的一个端口在分到一个VLAN时有tag和untag属性两种属性，tag端口用来连接设备，untag端口用来连接计算机。Tag 端口出去的帧一般都打上了tag，tag中的VID有的来自PVID，有的则来自其它tag端口中本身就含有tag的帧。

设备互连时，由tag中的VID决定了一个二层帧属于哪个VLAN，而计算机不具备打tag的功能，所以只有给连接计算机的端口添加一个属性，用来决定计算机发出的未标记的帧属于哪个VLAN，这个属性就是PVID。

到此我们理解了PVID的含义和作用，但似乎只有untag端口下的PVID才具有意义，而实际上tag端口也有PVID属性，PVID对tag端口会造成什么影响呢？请看中篇。

PVID和VID彻底研究（中）

——PVID值对TAG端口影响

在上篇，我们理解了PVID的含义和作用，本篇将通过实验，分别在S3026和S3526上研究PVID值对tag端口的影响。首先在S3026上进行实验，如下图所示：

我们将用到3个端口：Port 1、2、3，

各端口PVID设置如下：

Port 1：PVID = n

Port 2：PVID = 2

Port 3：PVID = 3

创建2个VLAN：

vlan2：VID = 2，包含Port 1 (tag)、Port 2 (untag)

vlan3：VID = 3，包含Port 1 (tag)、Port 3 (untag)

将3台主机A、B、C分别接在Port 1、2、3上，

分别用主机B、C去ping主机A，在主机A上抓包。

实际上tag端口接计算机是没有意义的，因为计算机无法解析打了tag的二层包文，但通过抓包软件可以抓到这种二层报文，通过这种方法可以进行分析。

实验时主机B和C可以是同一台计算机，只不过接到不通端口上，为了方便说明，将它们分开表示。

实验结果如下：

当n = 1时，可以看到来自B和C的包头前都含有802.1Q的Packet，B、C都不能ping通A（ping不通是由于主机A无法解析打了tag的二层包,他们的Packet 中含有各自端口PVID打的TAG,通过Tag端口,原样发送了）；

当n = 2时，可以看到来自B的包头前不含有802.1Q的Packet，而来自C的有，仅B可ping通A；；

当n = 3时，可以看到来自C的包头前不含有802.1Q的Packet，而来自B的有，仅C可ping通A；；

通过分析，得出S3026转发机制大致如下：

1、由主机B发出的包到接口2（由于此时B不知道A的MAC地址，会发出arp 广播包）

2、根据接口2的PVID的值（PVID＝2），发往VID=2的VLAN中的所有接口

3、接口1属于VLAN 2，所以接口1能收到此包

4、此时如果VLAN 2中接口1是tag端口，则将接口1的PVID值和VID进行比较：

如果PVID=VID则从接口1出去的包不打tag

如果PVID!=VID则从接口1出去的包打tag

由此可见，以前设为tag端口的PVID不起作用的说法在S3026上并不适用，正确的说法应该是：S3026上的某个VLAN中的tag端口，在转发在此VLAN中包时