华为--Hybrid

Hybrid

一、Vlan(虚拟局域网,Virtual local Area Network)

1、Vlan概述

用物理分割和逻辑分割的方式分割广播域。

2、Vlan的特点

(1)隔离广播
(2)方便管理
(3)提高安全

3、Vlan接口种类

(1)access接口

Access端口是交换机上用来连接用户主机的端口,它只能连接接人链路,并且只能允许唯一的 VLAN ID通过本端口。Access端口的特点是只允许符合PVID的流量通过。

(2)trunk接口

Trunk端口是交换机上用来和其他交换机连接的端口,它只能连接干道链路。Trunk端口允许多个VLAN的帧(带标签)通过。

(3)hybrid接口

Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。Hybrid端口既可以连接接人链路又可以连接干道链路。混杂端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的标签剥掉。华为设备默认的端口类型是Hybrid。

4、trunk封装标准

(1)isl(思科私有)
思科私有协议,主要用于维护交换机和路由器间的通信流量等 VLAN 信息
(2)dot1q(常用)
dot1q就是802.1q,是vlan的一种封装方式。

二、Hybrid

1、Hybrid概述

Hybrid是华为、H3C交换机的一种端口模式,这个接口也能够允许多个VLAN帧通过并且还可以指定哪些VLAN数据帧被剥离标签,主要实现高隔离度的波分和复用。

2、Hybrid特点

(1)华为交换机接口默认为Hybrid模式
(2)既可以实现Access接口的功能,也可以实现Trunk接口的功能
(3)不借助三层设备即可实现跨Vlan通信和访问控制
(4)Hybrid接口相对于Access接口和Trunk接口具有更高的灵活性和可控性

3、Hybrid作用

(1)流量隔离
(2)流量互通

4、接口属性

(1)untag表

UNTAG没有802.1Q协议,只是将这个端口划到一个VLAN而已

(2)tag表

TAG口是针对TRUNK而言只有打上TAG在这个口上才可以通过几个不同VLAN

(3)pvid(Port Vlan id)

PVID,代表端口的缺省VLAN。交换机从对端设备收到的帧有可能是不带VLAN标签的数据帧,但所有以太网帧在交换机中都是以带VLAN标签的形式来被处理和转发的,因此交换机必须给端口收到的不带VLAN标签的数据帧添加上VLAN标签。为了实现此目的,必须为交换机配置端口的缺省VLAN。当该端口收到不带VLAN标签的数据帧时,交换机将给它加上该缺省VLAN的VLAN标签。

5、根据pvid封装802.1q

接口类型

PVID

access

其所属的vlan

trunk

默认vlan1

hybrid

默认vlan1

华为--Hybrid

 

华为--Hybrid

 

6、根据untag列表和tag列表进行收发

华为--Hybrid
华为--Hybrid

7、hybrid接口收发数据帧流程及口诀

华为--Hybrid
出口检查:查untag表,有标脱;无标查tag表,有放通,无丢弃
进口检查:查有无标签,有标,查tag表,有放通,无丢弃;无标,打pvid后,放通

8、hybrid配置命令

(1)access类型配置

int g0/0/0
port hybrid pvid vlan 10

port hybrid untagged vlan 10

undo shutdown

(2)trunk类型配置

int g0/0/0

port hybrid tagged vlan 10 20

undo shut down

(3)上层接路由器配法

int g0/0/0

port hybrid untagged vlan 10 30

undo shutdown

(4)其他常用命令

undo port default vlan #初始化还原

port link-type hybrid #设置hybrid模式,华为交换机默认为hybrid模式

 

实验案例

某公司有生产部客户端、销售部客户端、财务部客户端和两台服务器提供网络资源,并且分别属于VLAN1、VLAN2、VLAN3和VLAN10。要求实现生产部客户端和销售部客户端只能访问服务器1,并且生产部客户端和销售部客户端之间可以相互访问。财务部客户端只能访问服务器2,并且和任何部门之间隔离。

华为--Hybrid

面对这样的需求,传统的解决办法如下:

通过三层设备配置VLAN之间互通再通过ACL实现访问控制即可实现。

为服务器购买一块 Trunk网卡,将服务器和S2之间的链路配置为 Trunk链路,可以使其他三个VLAN通过,再配合二层ACL( 基于MAC地址实现过滤 )即可实现。

虽然通过三层设备和ACL可以满足需求,但是流量一旦通过三层转发,其转发效率就远远低于二层,购买Truk网卡又需要额外的成本支出,而通过华为的Hybrid接口可以轻而易举地解决类似问题。

华为--Hybrid

要求:

生产部客户端和销售部客户端可以相互访问,且只能访问服务器1。

财务部客户端不能和任何部门通信,只能访问服务器2。

根据要求搭建好拓扑。

华为--Hybrid

在s1上进行的操作

[s1]vlan batch 2 3 10

[S1]inter g0/0/1

[S1-GigabitEthernet0/0/1]port link-type hybrid    //配置接口模式为 hybrid

[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 1    //配置接口PVID为1

[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2    //untag列表添加vlan1和vlan2

[S1-GigabitEthernet0/0/1]int g0/0/2

[S1-GigabitEthernet0/0/2]port link-type hybrid

[S1-GigabitEthernet0/0/2]port hybrid pvid vlan 1

[S1-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2

[S1-GigabitEthernet0/0/2]int g0/0/3

[S1-GigabitEthernet0/0/3]port link-type hybrid

[S1-GigabitEthernet0/0/3]port hybrid pvid vlan 10

[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10

[S1-GigabitEthernet0/0/3]int g0/0/4

[S1-GigabitEthernet0/0/4]port link-type hybrid

[S1-GigabitEthernet0/0/4]port hybrid pvid vlan 1

[S1-GigabitEthernet0/0/4]port hybrid untagged vlan 1 to 2

[S1-GigabitEthernet0/0/4]port hybrid tagged vlan 3 10

[S1-GigabitEthernet0/0/4]quit

在S2上的配置

[S2]vlan batch 2 3 10

[S2]int g0/0/1

[S2-GigabitEthernet0/0/1]port link-type hybrid

[S2-GigabitEthernet0/0/1]port hybrid pvid vlan 1

[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2

[S2-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10

[S2-GigabitEthernet0/0/1]int g0/0/2

[S2-GigabitEthernet0/0/2]port link-type hybrid

[S2-GigabitEthernet0/0/2]port hybrid pvid vlan 2

[S2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2

[S2-GigabitEthernet0/0/2]int g0/0/3

[S2-GigabitEthernet0/0/3]port link-type hybrid

[S2-GigabitEthernet0/0/3]port hybrid pvid vlan 3

[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10

[S2-GigabitEthernet0/0/3]quit

验证网络是否通信

PC>ping 10.1.1.13

Ping 10.1.1.13: 32 data bytes, Press Ctrl_C to break

From 10.1.1.11: Destination host unreachable

From 10.1.1.11: Destination host unreachable

From 10.1.1.11: Destination host unreachable

From 10.1.1.11: Destination host unreachable

From 10.1.1.11: Destination host unreachable

 

--- 10.1.1.13 ping statistics ---

5 packet(s) transmitted

0 packet(s) received

100.00% packet loss

PC>ping 10.1.1.200

Ping 10.1.1.200: 32 data bytes, Press Ctrl_C to break

From 10.1.1.11: Destination host unreachable

From 10.1.1.11: Destination host unreachable

From 10.1.1.11: Destination host unreachable

From 10.1.1.11: Destination host unreachable

From 10.1.1.11: Destination host unreachable

 

--- 10.1.1.200 ping statistics ---

5 packet(s) transmitted

0 packet(s) received

100.00% packet loss

PC>ping 10.1.1.12

Ping 10.1.1.12: 32 data bytes, Press Ctrl_C to break

From 10.1.1.12: bytes=32 seq=1 ttl=128 time=32 ms

From 10.1.1.12: bytes=32 seq=2 ttl=128 time=31 ms

From 10.1.1.12: bytes=32 seq=3 ttl=128 time=31 ms

From 10.1.1.12: bytes=32 seq=4 ttl=128 time=31 ms

From 10.1.1.12: bytes=32 seq=5 ttl=128 time=47 ms

 

--- 10.1.1.12 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 31/34/47 ms

 

PC>ping 10.1.1.100

Ping 10.1.1.100: 32 data bytes, Press Ctrl_C to break

From 10.1.1.100: bytes=32 seq=1 ttl=255 time=79 ms

From 10.1.1.100: bytes=32 seq=2 ttl=255 time=46 ms

From 10.1.1.100: bytes=32 seq=3 ttl=255 time=32 ms

From 10.1.1.100: bytes=32 seq=4 ttl=255 time=47 ms

From 10.1.1.100: bytes=32 seq=5 ttl=255 time=46 ms

 

--- 10.1.1.100 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 32/50/79 ms

PC1 ping PC3不通,ping server2不会通信

但是可以和PC2、server1通信,因此达到了目的

上一篇:理解vue中less的scoped和/deep/工作原理


下一篇:弹窗的简单实现