原理概述:
Hybrid接口既可以连接普通终端的接入链路,又可以连接交换机间的干道链路,它允许多个VLAN帧通过,并且在出接口方向将某些VLAN帧的标签剥掉。
Hybrid接口处理VLAN帧的过程:(1)收到一个二层帧,判断是否有VLAN标签。没有则标记上Hybrid接口的PVID,进行下一步处理;有标签,则判断Hybrid接口是否允许该VLAN的帧进入,允许则进行下一步处理,否则丢弃。
(2)当数据帧从Hybrid接口发出时,交换机判断VLAN在本接口的属性是Untagged还是Tagged。如果是Untagged,先剥离帧的VLAN标签,再发送;如果是Tagged,则直接发送帧。
通过配置Hybrid接口,能够实现对VLAN标签的灵活控制,既能够实现Access接口的和功能,又能实现Trunk接口的功能。
实验目的:
实验内容:
实验拓扑
Hybrid 接口的应用拓扑:
实验编址:
实验步骤:
1.基本配置
按照实验编址为PC配置IP地址,把所有PC都按编址表配好
配置完后,,测试主机之间的连通性
在PC-1上,使用ping命令
可以看到,此时PC-1访问其他主机通信正常,其他主机上的测试过程省略。
在没有定义VLAN及接口类型之前,,,默认情况下,交换机上所有接口都是Hybrid类型,接口的PVID是VLAN 1,即所有接口收到 没有标签的二层数据帧,都被转发到 VLAN 1中,并继续以Untagged的方式把帧发送至同为VLAN 1的其他接口,,,,所以即使未做任何配置,主机之间默认仍然可以互相通信。
在S1上使用 display port vlan命令查看接口的默认类型。
可以看到,接口默认类型是Hybrid,接口PVID是 VLAN 1,其他接口也一样。。在交换机上使用display vlan命令查看接口和所属VLAN 的对应关系。
可以看到,所有接口都默认属于VLAN 1,其他交换机也打偶一样,因此VALN 1内所有的主机都可以 直接访问。
2.实现组内通信,,组间隔离
交换机接口的类型,可以是Access、Trunk和Hybrid。Access类型的接口仅属于一个VLAN,,,,只能接收、转发相应VLAN的帧;而Trunk类型接口则默认属于所有VLAN任何Tagged帧都能经过Trunk接收和转发; Hybrid类型接口则介于二者之间,可自主定义端口上能接收和转发那些VLAN Tag帧,并可决定VLAN Tag是否继续携带或者剥离。。Access和Trunk类型接口是Hybrid类型接口的两个特例,,,一个仅支持一个VLAN传递,,一个默认支持所有VLAN的传递,而Access类型和Trunk类型的接口能做到的,Hybrid接口都能做到。
目前要求,,实现HR和市场部门的员工终端可以进行各自部门内通信,,即VLAN 10内pc-2和pc-4间可以自由访问,,VLAN 20内pc-1和pc-3可以只有访问,,,而VLAN 10和VLAN 20间不能访问。。要实现此要求,可以使用 Access和Trunk的配置方法,,也可以仅适用Hybrid的配置方法。
使用Trunk和Access类型接口的配置过程如下:
将S1上E 0/0/2和S2上的 E0/0/2配置为Access类型,并将相应的接口加入到VALN 20。同理,将S1上的 E0/0/3和S2上的 E0/0/3也配置为Access类型接口,并加入到VLAN 10.而交换机之间的互连链路的两个E 0/0/1则配置为Trunk类型。
配置完后,,,查看接口和VLAN 的对应关系。
可以看到,配置已经生效。
在PC-1上则是同VLAN 20的PC-3的连通性,,,以及与VLAN 10内终端的连通性
可以看到,在单台交换机及跨交换机间的访问 控制使用Trunk和Access类型接口实现啦需求,,但同样的需求使用Hybrid实现会给更灵活。
S1的E0/0/2接口连接PC-1主机,,该接口收到的PC-1发送的Untagged的帧会被交换机转发到VLAN 20。同样,交换机从其他接口收到VLAN 20的发往PC-1的帧也会以Untagged的方式从E 0/0/2接口发送。S1的E 0/0/3接口连接PC-2主机,,该接口收到Untagged的帧会被转发到VLAN 10。如果交换机收到的VLAN 10的发往PC-2的帧也会以Untagged的方式从接口E 0/0/3发送。VLAN 10和 VLAN 20的帧也要经过交换机间链路发送至邻居交换机S2。反之,,,S1收到来自邻居交换机S2的Tagged的帧后,,,也会根据VLAN Tag转发到相应的VLAN。
在S1的E 0/0/2接口上使用 undo port default vlan命令来恢复接口默认VLAN。
配置port link-type hybrid命令修改接口类型为默认的Hybrid类型
配置port hybrid untagged vlan 20命令使得交换机在该接口转发VALN 20的帧时,剥离掉相应的VLAN Tag 20,以Untagged的方式发送给PC。
配置port hybrid pvid vlan 20命令设置Hybrid类型接口的默认VLAN ID,即使得该端口上接收到PC发来的未带VLAN Tag的帧时,,,,加上VLAN Tag 20,并转发到VLAN 20
同样的步骤,在连接另一台终端的E 0/0/3接口做同样配置
在连接交换机S2的E 0/0/1接口上修改端口类型为默认的 Hybrid类型,,并使用port hybrid tagged vlan 10 20命令设置该链路仅接收导游VLAN Tage 10和20 的帧,,,而交换机也仅转发VLAN 10和VLAN 20的帧到该链路。。。。。一般该命令配置在交换机互连的链路接口之上。
此时出现了错误,,,,原因是,,我们上面对interface ethernet0/0/1接口配置时,将其设置为啦Trunk模式,,,应该同端口2和端口3一样先undo的
箭头指的那句就是罪魁祸首,,,undo port trunk allow-pass vlan all 就行了
S2交换机在E 0/0/1接口接收到的Tagged帧,根据VLAN Tage 标识,,向接口E 0/0/2转发VLAN 20的帧,,向接口E 0/0/3转发VLAN 30的帧。。反之,接口E 0/0/2接收到PC发送的未带Tag的帧转发到 VLAN20,,端口E 0/0/3接收的到未带T阿哥的帧会被转发到VLAN 10,,,并且这些帧发送到邻居交换机S1时,,会保留原有的Tag。
S2上的配置类似于S1
配置完后,,,display vlan命令查看使用Hybrid配置下接口和VLAN 的对应关系。
可以看到,,,同样的需求,Hybrid和Access、Trunk都能实现,,但Hybrid的灵活性及解决复杂需求的能力是Access和Trunk打不到的。。
3.实现网管员对所有网络的访问。。。
在实现各部门内部终端可以互相访问,,,不同部门间的终端隔离访问后,,,,,要求网库管理员所在的IT部门(终端PC-5)能实现对所有部门的访问。。既要求实现VLAN 30访问VLAN 10和20,,,VLAN 10和20之间仍不允许互相访问。。如果S1的E 0/0/2接口仍是Access类型且属于VLAN 10,则不能被其他VLAN访问,若要VLAN 30的终端能访问VLAN 10的终端,,则需要修改接口的配置,,使其既能被VLAN 10访问,又能被VLAN 30访问,,这就要求此接口同时要属于多个VLAN,且端口所连设备是PC,不能识别带VLAN Tag的帧,,所以,此时只能使用Hybrid类型接口。Hybrid端口既能被加入多个VLAN 中,又能够在将其余VLAN的帧转发到此接口时,,剥离相应的VLAN Tage。
配置S1交换机,,,,E 0/0/4接口是网络管理员的PC终端,,属于VLAN 30,该接口收到的PC发送的 Untagged帧,要能够发送至VLAN 30中,配置port hybrid pvid vlan 30命令设置Untagged帧加入至VLAN 30。
因为在华为交换机上,,默认所有接口都为Hybrid 类型接口,,所以在该接口下不需要修改配置。。
S1交换机收到VLAN 10、20、30的帧,,也要能从该接口发送至PC,,,配置port hybrid untagged vlan 10 20 30命令使得上述3个 VLAN 的帧会以Untagged的方式从该接口发送出去
同理,,,,端口E 0/0/2接PC-1,,接收到PC的Untagged帧 需要发送至VLAN 20,,使用
port hybrid pvid vlan 20命令。E 0/0/2接口同时也要被VLAN 30和VLAN 20的主机访问,,,即VLAN 20和30的帧能够从该接口发送出去,,,并以Untagged的方式,发送至PC-1
。。而接口E 0/0/3收到U扭秧歌的的帧 徐法松孩子VLAN 10,同时VLAN 10和30的帧要能从该接口发送出去。
VLAN 10、20和30的帧要能够发送至 邻居交换机S2,且要保留原有的VALN Tag,以便于 邻居交换机S2根据VLAN Tag继续转发到相应的VLAN。。。。同样,,邻居交换机S2发送过来的帧,,,也会带有相应的VLAN Tag,,,所以S1和S2至互连的接口 E 0/0/1配置如下:
同理,,,,,在S2交换机上,,,E 0/0/1接口收到的带有相应VLAN Tag标记的帧,,,如果是VLAN 10(20)的帧 要能发送至接口,,E 0/0/3(0/0/2),,如果是VLAN 30的帧要能发送至接口 E 0/0/2和E 0/0/2。反之,,,,,,,如果PC-3发出的Untagged的帧发送至接口 E 0/0/2时会进入到Hybrid 接口PVID所指明的VLAN 20中,,,PC-4发出的Untagged的帧会发送至接口 E 0/0/3时会进入到 Hybrid接口 PVID所指明的 VLAN 10中,,,,具体配置如下:
现在S1和S2上 ,,已经全部配置完成啦,,使用ping命令 在IT部门的管理员的PC-5上测试与不同部门内的各主机间的连通性。
可以看到,,,PC-5所属网络管理员所在的VLAN 30,能够正常访问其他部门的所有终端。。
现在我们在PC-1上看看 与内部门PC-3的连通性,和不同部门PC-2和PC-4的连通性
测试PC-1与IT部门 网络管理员主机PC-5间的连通性。
在交换机上可以定义多个VLAN ,每个VLAN 都可以看做是一个广播域,,,,通常情况下,每个VLAN都会分配一个独立的IP网路,,根据需要把相应主机所在的接口划入到指定的VLAN中,并配置相应的网络IP地址,,VLAN 间通过路由来实现互相访问,,,这是较为常用的方法。。但是相比于基于端口的Hybrid配置,三层路由方式则不够灵活,,,,Hybrid既不需要每个VLAN定义单独的IP网段,,更不需要在VLAN 间引入路由设备,,配置更为灵活方便。
思考:
答:PC-5与PC-4的连通性正常。。在交换机hybrid接口删除port hybrid pvid命令后,,接口的PVID变为缺省(缺省=默认)vlan 1.。所以,PC-5与PC-4互访的报文经过S1和S2间端口时使用的VLAN Tag是 VLAN 1.