问一个VLAN访问的问题，求原理

wangbin2010jy

图一
我想问下我这里画了个简单的VLAN图，三台PC分别设置为      192.168.1.2（VLAN 20）     192.168.1.6(vlan 1)      192.168.1.3(vlan 30  
这里用的都是二层交换机SWITCH 1   0/1-2 划分的是VLAN 20  0/6 端口用的是默认VLAN 1  SWITCH 2 0/1-2 划分的是VLAN30 。

（S1）



（S2）
现在情况是两个不同VLAN接口用线连接（连线链路方式不是TRUNK方式），192.168.1.2与192.168.1.3之间可以通，192.168.1.6与两者不通。
这里我想问下两个交换机分别为VLAN 20 与VLAN 30为什么可以通呢（S1端口0/2 VALN 20------连线-------S2端口0/1 vlan 30)，这里想问下大神这样的方式为什么会通呢，能用数据的流转方式及原理解释下吗？谢谢大神

aawwqq521

拓扑

上图是我的拓扑图
R1和R2用的主干链路，更改本地vlan为vlan2

R1的F1/0端口设置为vlan2,access端口；f1/3为默认vlan1，没设置端口模式；f1/2为vlan3，access端口
截图如下

R1的vlan配置

R2的f1/0端口设置为vlan3,access端口；f1/3为默认vlan1，没设置端口模式；f1/2为vlan2，access端口
截图如下

R2的vlan配置

开启wireshark抓R2的f1/1流量包,现在我们来设置R3到R7的ip地址
并分别用R7pingR8，即192.168.1.1 ping 192.168.1.2;

r7Pr8

r8

R3pingR6,即192.168.2.1 ping 192.168.2.2;

r3pr6

r6

R5pingR4,即192.168.3.2 ping 192.168.3.1;

r5pr4

r4

从上图看，相同vlan之间都可正常PING通，然后我们去wireshark看抓到的包（因为各种类型的包太多，我们只看其中的arp包）

这个包是R7pingR8，即192.168.1.1 ping 192.168.1.2（连接它们的端口都在默认vlan1里面）。能看出数据包在主干链路上是打了vlan1的标签的，根据trunk口转发机制，交换机内部都是带有标签的数据帧，trunk口除了剥离和本地vlan相同的数据帧以外，其他数据帧都是原封不动的直接转发。所以vlan1的标签应该是R7进入端口的时候打的标签。

这个包是R3pingR6,即192.168.2.1 ping 192.168.2.2（连接它们的端口都在vlan2里面）；能看出在主干链路上数据包并没有任何标签。为何呢？因为数据包从access端口进来是打了vlan2标签的，当交换机把这个包交给trunk口准备转发时，trunk口发现vlan标签和本地vlan相同，根据转发机制，trunk口把vlan标签剥离然后转发。这就是上面看到的在主干链路里数据包没有vlan标签的原因。

R5pingR4,即192.168.3.2 ping 192.168.3.1（连接它们的端口都在vlan3里面）；能看出数据包在主干链路上是打了vlan3的标签的，根据trunk口转发机制，vlan3并不是本地vlan，所以vlan3的标签应该是在R5进入端口时打的标签，trunk口直接转发该帧。
从实验可以看出，所有数据进入交换机内部时，都会打标签，方便交换机处理。至于本地vlan的作用主要是解决以前交换机主干链路和hub相连时，hub下的PC识别不了带标签的数据帧的办法，交换机收到hub发过来的数据帧打上本地vlan标签实现和远端通信，交换机转发和本地vlan标签的帧时，剥离头部让hub下的PC能识别。

junyi_de

因为你sw1和sw2都是配置的access模式。

当192.168.1.2 第一次ping 192.168.1.3的时候，会发送arp请求，这个broadcast arp会被sw1转发到所有配置了vlan 20或者允许此vlan 20的trunk接口（源接口除外），这样arp包就到达了sw2。sw2和sw1做同样的事，转发此arp包到所有access vlan 30的接口，192.168.1.3就能reply arp request了。至此pc0和pc1都知道了对方的mac，发送数据包能完成数据封装了，ping也就能成功了。

ping不通pc2是因为别人发给它的arp request包它根本收不到，或者他发出去的arp request sw1由于vlan不匹配不转发出去。

当然你在真机上sw1和sw2都会收到native vlan mismatch的错误信息的，如果你开启cdp的话。

btlass

acc口入数据加VLAN标记，出数据只允许打该VLAN的出去且同时掉VLAN标记，你1.6入打了VLAN1进了SW1，我想问根据前面的原则，数据怎么出去？能通才怪。1.2入的时候打VLAN20，出SW1时标记被去掉变成普通包，入SW2被打上VLAN30，能从0/2口出去且被去掉VLAN30标记，当然能通了。多VLAN交换机之间不配TR口你配置VLAN有什么意义？

索玛

（1）vlan的标记是个本地有效的，也就是说switch1上vlan 20和vlan 1之间是不通的。所以192.168.1.2（vlan20标记）和192.168.1.6（vlan 1标记）之间相互不能访问。
（2）基于上面的原理，都是access口，那就是看一下access的打标记的问题了，switch1的fa0/1口是vlan 20，那192.168.1.2在进入fa0/1时，打上vlan 20标记，而到192.168.1.3时，是从switch1的fa0/2口出去，因为fa0/2口也是vlan 20，出去的流量就是拿掉vlan20的标记，所以switch1和switch2之间的链路是标准的二层帧，是不打任何标记的。当包从switch2的fa0/1进入时，打上vlan 30的标记，从fa0/2出去时，拿掉vlan30的标记，这样，192.168.1.2和192.168.1.3之间就可能通信了。

Rockyw

可以用实时模式抓包看看

wangbin2010jy

谢谢，各位

John.xie

btlass 发表于 2017-9-13 18:55
acc口入数据加VLAN标记，出数据只允许打该VLAN的出去且同时掉VLAN标记，你1.6入打了VLAN1进了SW1，我想问根 ...

觉得你的分析是正确的。

John.xie

btlass 发表于 2017-9-13 18:55
acc口入数据加VLAN标记，出数据只允许打该VLAN的出去且同时掉VLAN标记，你1.6入打了VLAN1进了SW1，我想问根 ...

觉得你的分析是正确的。

q466265670

学习