Hybrid
一、Vlan(虚拟局域网,Virtual local Area Network)
1、Vlan概述
用物理分割和逻辑分割的方式分割广播域。
2、Vlan的特点
(1)隔离广播
(2)方便管理
(3)提高安全
3、Vlan接口种类
(1)access接口
Access端口是交换机上用来连接用户主机的端口,它只能连接接人链路,并且只能允许唯一的 VLAN ID通过本端口。Access端口的特点是只允许符合PVID的流量通过。
(2)trunk接口
Trunk端口是交换机上用来和其他交换机连接的端口,它只能连接干道链路。Trunk端口允许多个VLAN的帧(带标签)通过。
(3)hybrid接口
Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。Hybrid端口既可以连接接人链路又可以连接干道链路。混杂端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的标签剥掉。华为设备默认的端口类型是Hybrid。
4、trunk封装标准
(1)isl(思科私有)
思科私有协议,主要用于维护交换机和路由器间的通信流量等 VLAN 信息
(2)dot1q(常用)
dot1q就是802.1q,是vlan的一种封装方式。
二、Hybrid
1、Hybrid概述
Hybrid是华为、H3C交换机的一种端口模式,这个接口也能够允许多个VLAN帧通过并且还可以指定哪些VLAN数据帧被剥离标签,主要实现高隔离度的波分和复用。
2、Hybrid特点
(1)华为交换机接口默认为Hybrid模式
(2)既可以实现Access接口的功能,也可以实现Trunk接口的功能
(3)不借助三层设备即可实现跨Vlan通信和访问控制
(4)Hybrid接口相对于Access接口和Trunk接口具有更高的灵活性和可控性
3、Hybrid作用
(1)流量隔离
(2)流量互通
4、接口属性
(1)untag表
UNTAG没有802.1Q协议,只是将这个端口划到一个VLAN而已
(2)tag表
TAG口是针对TRUNK而言只有打上TAG在这个口上才可以通过几个不同VLAN
(3)pvid(Port Vlan id)
PVID,代表端口的缺省VLAN。交换机从对端设备收到的帧有可能是不带VLAN标签的数据帧,但所有以太网帧在交换机中都是以带VLAN标签的形式来被处理和转发的,因此交换机必须给端口收到的不带VLAN标签的数据帧添加上VLAN标签。为了实现此目的,必须为交换机配置端口的缺省VLAN。当该端口收到不带VLAN标签的数据帧时,交换机将给它加上该缺省VLAN的VLAN标签。
5、根据pvid封装802.1q
接口类型 |
PVID |
access |
其所属的vlan |
trunk |
默认vlan1 |
hybrid |
默认vlan1 |
6、根据untag列表和tag列表进行收发
7、hybrid接口收发数据帧流程及口诀
出口检查:查untag表,有标脱;无标查tag表,有放通,无丢弃
进口检查:查有无标签,有标,查tag表,有放通,无丢弃;无标,打pvid后,放通
8、hybrid配置命令
(1)access类型配置
int g0/0/0
port hybrid pvid vlan 10
port hybrid untagged vlan 10
undo shutdown
(2)trunk类型配置
int g0/0/0
port hybrid tagged vlan 10 20
undo shut down
(3)上层接路由器配法
int g0/0/0
port hybrid untagged vlan 10 30
undo shutdown
(4)其他常用命令
undo port default vlan #初始化还原
port link-type hybrid #设置hybrid模式,华为交换机默认为hybrid模式
实验案例
某公司有生产部客户端、销售部客户端、财务部客户端和两台服务器提供网络资源,并且分别属于VLAN1、VLAN2、VLAN3和VLAN10。要求实现生产部客户端和销售部客户端只能访问服务器1,并且生产部客户端和销售部客户端之间可以相互访问。财务部客户端只能访问服务器2,并且和任何部门之间隔离。
面对这样的需求,传统的解决办法如下:
通过三层设备配置VLAN之间互通再通过ACL实现访问控制即可实现。
为服务器购买一块 Trunk网卡,将服务器和S2之间的链路配置为 Trunk链路,可以使其他三个VLAN通过,再配合二层ACL( 基于MAC地址实现过滤 )即可实现。
虽然通过三层设备和ACL可以满足需求,但是流量一旦通过三层转发,其转发效率就远远低于二层,购买Truk网卡又需要额外的成本支出,而通过华为的Hybrid接口可以轻而易举地解决类似问题。
要求:
生产部客户端和销售部客户端可以相互访问,且只能访问服务器1。
财务部客户端不能和任何部门通信,只能访问服务器2。
根据要求搭建好拓扑。
在s1上进行的操作
[s1]vlan batch 2 3 10
[S1]inter g0/0/1
[S1-GigabitEthernet0/0/1]port link-type hybrid //配置接口模式为 hybrid
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 1 //配置接口PVID为1
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2 //untag列表添加vlan1和vlan2
[S1-GigabitEthernet0/0/1]int g0/0/2
[S1-GigabitEthernet0/0/2]port link-type hybrid
[S1-GigabitEthernet0/0/2]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2
[S1-GigabitEthernet0/0/2]int g0/0/3
[S1-GigabitEthernet0/0/3]port link-type hybrid
[S1-GigabitEthernet0/0/3]port hybrid pvid vlan 10
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
[S1-GigabitEthernet0/0/3]int g0/0/4
[S1-GigabitEthernet0/0/4]port link-type hybrid
[S1-GigabitEthernet0/0/4]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/4]port hybrid untagged vlan 1 to 2
[S1-GigabitEthernet0/0/4]port hybrid tagged vlan 3 10
[S1-GigabitEthernet0/0/4]quit
在S2上的配置
[S2]vlan batch 2 3 10
[S2]int g0/0/1
[S2-GigabitEthernet0/0/1]port link-type hybrid
[S2-GigabitEthernet0/0/1]port hybrid pvid vlan 1
[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2
[S2-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
[S2-GigabitEthernet0/0/1]int g0/0/2
[S2-GigabitEthernet0/0/2]port link-type hybrid
[S2-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[S2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2
[S2-GigabitEthernet0/0/2]int g0/0/3
[S2-GigabitEthernet0/0/3]port link-type hybrid
[S2-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
[S2-GigabitEthernet0/0/3]quit
验证网络是否通信
PC>ping 10.1.1.13
Ping 10.1.1.13: 32 data bytes, Press Ctrl_C to break
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
--- 10.1.1.13 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC>ping 10.1.1.200
Ping 10.1.1.200: 32 data bytes, Press Ctrl_C to break
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
--- 10.1.1.200 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC>ping 10.1.1.12
Ping 10.1.1.12: 32 data bytes, Press Ctrl_C to break
From 10.1.1.12: bytes=32 seq=1 ttl=128 time=32 ms
From 10.1.1.12: bytes=32 seq=2 ttl=128 time=31 ms
From 10.1.1.12: bytes=32 seq=3 ttl=128 time=31 ms
From 10.1.1.12: bytes=32 seq=4 ttl=128 time=31 ms
From 10.1.1.12: bytes=32 seq=5 ttl=128 time=47 ms
--- 10.1.1.12 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/34/47 ms
PC>ping 10.1.1.100
Ping 10.1.1.100: 32 data bytes, Press Ctrl_C to break
From 10.1.1.100: bytes=32 seq=1 ttl=255 time=79 ms
From 10.1.1.100: bytes=32 seq=2 ttl=255 time=46 ms
From 10.1.1.100: bytes=32 seq=3 ttl=255 time=32 ms
From 10.1.1.100: bytes=32 seq=4 ttl=255 time=47 ms
From 10.1.1.100: bytes=32 seq=5 ttl=255 time=46 ms
--- 10.1.1.100 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 32/50/79 ms
PC1 ping PC3不通,ping server2不会通信
但是可以和PC2、server1通信,因此达到了目的