（VLAN）理解Hybrid接口的應用

實驗三：理解Hybrid接口的應用

實驗原理：

 

 

 

實驗內容：

    某企業二層網絡使用兩台S3700交換機S1和S2，且兩台設備在不同的樓層。網絡管理員規划了3個不同VLAN, HR部門使用VLAN 10，市場部門使用VLAN20, IT部門使用VLAN 30。現在需要讓處於不同樓層的HR部門和市場部門實現部門內部通信，而兩部門之間不允許互相通信; IT部門可以訪問任意部門。可以通過配置Hybrid接口來實現較復雜的VLAN控制。

實驗拓撲圖：

 

 

 

實驗編址如下：

 

 

 

   完成配置后，測試主機之間的連通性：

 在PC1上，使用ping命令：

 

可以看到，此時PC1訪問其他主機通信正常，其他主機上的測試過程省略。在沒有定義vlan及接口類型之前，默認情況下，交換機上所有接口都是Hybrid類型，接口的PVID是vlan1，即所有接口收到沒有標簽的二層數據幀，都被轉發到vlan1中，並繼續以Untagged的方式把幀發送至同為vlan1的其他接口，所以，即使未做任何配置，主機之間仍然可以互相通信。

在S1上使用display port vlan命令查看接口的默認類型：

 

可以觀察到，接口默認是Hybrid類型，接口PVID是VLAN1，其他接口也一樣，在交換機上使用display vlan命令查看接口和所屬vlan的對應關系。

 

 

 

第二步：.實現組內通信、組間隔離
  交換機接口的類型可以是Access、Trunk 和Hybrid。Acess 類型的接口僅屬於一一個VLAN,只能接收、轉發相應VLAN的幀;而Trunk類型接口則默認屬於所有VLAN, 任何Tagged幀都能經過Trunk接收和轉發; Hybrid類型接口則介於二者之間，可自主定義端口上能接收和轉發哪些VLAN Tag的幀，並可決定VLAN Tag是否繼續攜帶或者剝離。Access和Trunk類型接口是Hybrid類型接口的兩個特例，一一個僅支持一個VLAN的傳遞，一個默認支持所有VLAN的傳遞，而Access類型和Trunk類型的接口能做到的，Hybrid接口都能做到；

  目前要求實現HR部門和市場部門的員工終端可以進行部門內部通信，即VLAN 10內PC-2和PC-4之間可以自由訪問，VLAN20內PC-1和PC-3之間可以自由訪問，而兩個部門間的員工不能互相訪問，即VLAN 10和VLAN 20之間不能互相訪問。要實現此需求，可以使用Access和Trunk的配置方法，也可以僅使用Hybrid的配置方法。

    使用Trunk和Access類型接口的配置過程如下：
將S1上的E 0/0/2和S2.上的E 0/0/2 配置為Acess類型，並將相應的接口加入到VLAN 20。同理，將S1上的E 0/0/3 和S2上的E 0/0/3也配置為Access類型接口，並加入到VLAN 10。而交換機之間的互連鏈路的兩個E 0/0/1接口則配置為Trunk類型:

 

 

 

配置完成后，查看接口和vlan的對應關系：

 

 

 

可以觀察到，配置已經生效。

在PC1上測試與同vlan20的PC3的連通性，以及與vlan10內終端的連通性：

 

 

 

可以觀察到，在單台交換機及跨交換機間的訪問控制使用Trunk和Access類型接口實現了需求，但同樣的需求使用Hybrid實現會更靈活。

    S1的E 0/0/2接口連接PC-1主機，該接口收到的PC-1發送的Untagged的幀會被交換機轉發到VLAN 20。同樣，交換機從其他接口收到VLAN 20的發往PC-1的幀也會以Untagged的方式從E 0/0/2 接口發送。S1的E 0/0/3 接口連接PC-2主機，該接口收到Untagged的幀會被轉發到VLAN 10。如果交換機收到的VLAN 10的發往PC-2的幀也會以Untagged的方式從接口E 0/0/3發送。VLAN 10 和VLAN 20的幀也要經過交換機間鏈路發送至鄰居交換機S2。反之，S1收到來自鄰居交換機S2的Tagged的幀后，也會根據VLAN Tag轉發到相應的VLAN。

在S1的E/0/0/2接口上使用undo port default vlan 命令來恢復接口默認vlan：

 

 

 

配置port link-type hybrid 命令修改接口類型為默認的Hybrid類型：

 

 

 

配置port hybrid untagged vlan 20 命令 使得交換機在該接口轉發VLAN20的幀時，剝離掉相應的VLAN Tag 20，以Untagged的方式發送給PC：

 

 

 

配置port hybrid pvid vlan 20 命令使得交換機在該接口的默認VLAN ID，即使得該端口上接收到PC發來的未帶VLAN Tag 的幀時，加上VLAN Tag 20，並轉發到VLAN 20：

 

 

 

同樣在連接另一台終端的E0/0/3接口做同樣配置：

 

 

 

在連接交換機S2的E 0/0/1接口上修改端口類型為默認的Hybrid 類型，並使用porthybrid tagged vlan 10 20命令設置該鏈路僅接收帶有VLAN Tag 10和20的幀，而交換機也僅轉發VLAN 10和VLAN 20的幀到該鏈路。一般該命令配置在交換機互連的鏈路接口之上：

 

 

 

 S2交換機將在E 0/0/1接口接收到的Tagged幀,根據VLAN Tag標識,向接口E 0/0/2轉發VLAN20的幀，向接口E 0/0/3轉發VLAN 30的幀。反之，接口E 0/0/2接收到PC發送的未帶Tag的幀轉發到VLAN 20，端口E 0/0/3接收的到未帶Tag的幀會被轉發到VLAN 10，並且這些幀發送到鄰居交換機S1時，會保留原有Tag。

 S2上的配置和S1類似：

 

 

 

配置完成后，使用display vlan命令查看使用hybrid 配置下接口和vlan 的對應關系：

 

 

 

 

  可以觀察到，同樣的需求，Hybrid和Access、Trunk都能實現(測試省略)，但Hybrid的靈活性及解決復雜需求的能力是Access 和Trunk達不到的。

 第三步：實現網管員對所有網絡的訪問
   在實現各部門內部終端可以互相訪問，不同部門間的終端隔離訪問后，要求網絡管理員所在的IT部門(使用終端PC-5)能夠實現對所有部門的訪問。即要求實現VLAN 30訪問VLAN 10和VLAN 20，VLAN 10和VLAN 20之間仍然不允許互相訪問。如果S1的E 0/0/2接口仍是Access類型且屬於VLAN 10,則不能被其他VLAN訪問。若要VLAN30的終端能訪問VLAN 10的終端，則需要修改接口的配置，使其既能被VLAN 10訪問，又能被VLAN 30訪問，這就要求此接口同時要屬於多個VLAN,且端口所連設備是PC,不能識別帶VLAN Tag的幀，故此時只能使用Hybrid 類型接口。Hybrid端口既能被加入多個VLAN中,又能夠在將其余VLAN的幀轉發到此接口時，剝離掉相應的VLAN Tag。
    配置S1交換機，E 0/0/4接口是網絡管理員的PC終端，屬於VLAN 30，該接口收到的PC發送的Untagged幀要能夠發送至VLAN 30中，配置port hybrid pvid vlan 30命令設置Untagged幀加入至VLAN 30：

 

因為在華為交換機上，默認所有接口都為hybrid類型接口，所以在該接口下不需要修改配置。

 

 S1交換機收到VLAN 10、VLAN20和VLAN30 的幀也要能夠從該口發送至PC，配置port hybrid untagged vlan 10 20 30 命令使得上述3個vlan的幀會以untagged的方式從該接口發送出去：

 

 

 

 同理，端口E0/0/2接PC1,接口收到PC的Untagged幀需要發送至VLAN20，使用port hybrid pvid vlan 20命令。E 0/0/2接口同時也要能夠被VLAN 30和,VLAN 20的主機訪問，即VLAN 20和30的幀能夠從該接口發送出去，並以Untagged的方式發送至PC1：

 

 

 

  接口E 0/0/3收到Untagged的幀需發送至VLAN 10，同時VLAN 10和30的幀要能從該接口發送出去。

 

 

 

  VLAN10、VLAN20和VLAN30的幀要能夠發送至鄰居交換機S2，且要保留原有的VLAN Tag,以便於鄰居交換機S2根據VLAN Tag繼續轉發到相應的VLAN。同樣，鄰居交換機S2  發送過來的幀也會帶有相應的VLAN Tag, 所以S1與S2間互連的接口E0/0/1配置如下：

 

 

 

 

 

  

 同理在S2交換機上, E 0/0/1接口收到的帶有相應VLAN Tag標記的幀，如果是VLAN10的幀要能發送至接口E 0/0/3，如果是VLAN 20的幀要能發送至E 0/0/2。 而如果是VLAN 30的幀要能發送至接口E 0/0/2和E 0/0/3.VLAN10、20和30的幀都是以Untagged的方式發送至接口E 0/0/2 或E 0/0/3。反之，如果PC-3發出的Untagged的幀發送至接口E 0/0/2 時會進入到Hybrid接口PVID所指明的VLAN 20中，PC4 發出的Untagged的幀發送至接口E 0/0/3時會進入到Hybrid接口PVID所指明的VLAN 10中，具體配置過程如下：

 

 

 

S1和S2上全部配置完成后，使用ping命令在IT部門的網絡管理員的PC5上測試與不同部門內的各台主機間的連通性，以PC1為例：

 

 

 

可以觀察到，PC5所屬網絡管理員所在的vlan30能夠正常訪問到其他部門的所有終端，同理，選擇市場部門所在vlan20內的主機pc1上，測試與其他主機間的連通性，

測試PC1與本部門內的主機PC3的連通性：

 

可以正常通信。

 

測試PC1與外部門的主機PC2和PC4間的連通性：

 

 

 

測試PC1與IT部門網絡管理員主機PC5的連通性：

 

 

 

可以正常通信。

      在交換機上可以定義多個VLAN,每個VLAN都可以看做是一個廣播域，通常情況下每個VLAN都會分配-一個獨立的IP網絡，根據需要把相應主機所在的接口划入到指定的VLAN中，並配置相應的網絡IP地址，VLAN間通過路由來實現互相訪問。這是較為常用的方法。但是相比於基於端口的Hybrid配置，三層路由方式則不夠靈活，原因在於VLAN之間的訪問控制要借助於路由設備來實現。而控制VLAN訪問使用Hybrid接口則極大地簡化了配置的復雜性，它僅需在端口.上自主定義基於VLAN Tag的過濾規則，來決定指定的VLAN的二層幀是否允許發送;它是通過二層來實現VLAN間的訪問控制，既不需要每個VLAN定義單獨的IP網段，更不需要在VLAN間引入路由設備，配置更為靈活方便。