Hybrid
一、Vlan(虛擬局域網,Virtual local Area Network)
1、Vlan概述
用物理分割和邏輯分割的方式分割廣播域。
2、Vlan的特點
(1)隔離廣播
(2)方便管理
(3)提高安全
3、Vlan接口種類
(1)access接口
Access端口是交換機上用來連接用戶主機的端口,它只能連接接人鏈路,並且只能允許唯一的 VLAN ID通過本端口。Access端口的特點是只允許符合PVID的流量通過。
(2)trunk接口
Trunk端口是交換機上用來和其他交換機連接的端口,它只能連接干道鏈路。Trunk端口允許多個VLAN的幀(帶標簽)通過。
(3)hybrid接口
Hybrid端口是交換機上既可以連接用戶主機,又可以連接其他交換機的端口。Hybrid端口既可以連接接人鏈路又可以連接干道鏈路。混雜端口允許多個VLAN的幀通過,並可以在出端口方向將某些VLAN幀的標簽剝掉。華為設備默認的端口類型是Hybrid。
4、trunk封裝標准
(1)isl(思科私有)
思科私有協議,主要用於維護交換機和路由器間的通信流量等 VLAN 信息
(2)dot1q(常用)
dot1q就是802.1q,是vlan的一種封裝方式。
二、Hybrid
1、Hybrid概述
Hybrid是華為、H3C交換機的一種端口模式,這個接口也能夠允許多個VLAN幀通過並且還可以指定哪些VLAN數據幀被剝離標簽,主要實現高隔離度的波分和復用。
2、Hybrid特點
(1)華為交換機接口默認為Hybrid模式
(2)既可以實現Access接口的功能,也可以實現Trunk接口的功能
(3)不借助三層設備即可實現跨Vlan通信和訪問控制
(4)Hybrid接口相對於Access接口和Trunk接口具有更高的靈活性和可控性
3、Hybrid作用
(1)流量隔離
(2)流量互通
4、接口屬性
(1)untag表
UNTAG沒有802.1Q協議,只是將這個端口划到一個VLAN而已
(2)tag表
TAG口是針對TRUNK而言只有打上TAG在這個口上才可以通過幾個不同VLAN
(3)pvid(Port Vlan id)
PVID,代表端口的缺省VLAN。交換機從對端設備收到的幀有可能是不帶VLAN標簽的數據幀,但所有以太網幀在交換機中都是以帶VLAN標簽的形式來被處理和轉發的,因此交換機必須給端口收到的不帶VLAN標簽的數據幀添加上VLAN標簽。為了實現此目的,必須為交換機配置端口的缺省VLAN。當該端口收到不帶VLAN標簽的數據幀時,交換機將給它加上該缺省VLAN的VLAN標簽。
5、根據pvid封裝802.1q
接口類型 |
PVID |
access |
其所屬的vlan |
trunk |
默認vlan1 |
hybrid |
默認vlan1 |
|
|
|
6、根據untag列表和tag列表進行收發
7、hybrid接口收發數據幀流程及口訣
出口檢查:查untag表,有標脫;無標查tag表,有放通,無丟棄
進口檢查:查有無標簽,有標,查tag表,有放通,無丟棄;無標,打pvid后,放通
8、hybrid配置命令
(1)access類型配置
int g0/0/0
port hybrid pvid vlan 10
port hybrid untagged vlan 10
undo shutdown
(2)trunk類型配置
int g0/0/0
port hybrid tagged vlan 10 20
undo shut down
(3)上層接路由器配法
int g0/0/0
port hybrid untagged vlan 10 30
undo shutdown
(4)其他常用命令
undo port default vlan #初始化還原
port link-type hybrid #設置hybrid模式,華為交換機默認為hybrid模式
實驗案例
某公司有生產部客戶端、銷售部客戶端、財務部客戶端和兩台服務器提供網絡資源,並且分別屬於VLAN1、VLAN2、VLAN3和VLAN10。要求實現生產部客戶端和銷售部客戶端只能訪問服務器1,並且生產部客戶端和銷售部客戶端之間可以相互訪問。財務部客戶端只能訪問服務器2,並且和任何部門之間隔離。
面對這樣的需求,傳統的解決辦法如下:
通過三層設備配置VLAN之間互通再通過ACL實現訪問控制即可實現。
為服務器購買一塊 Trunk網卡,將服務器和S2之間的鏈路配置為 Trunk鏈路,可以使其他三個VLAN通過,再配合二層ACL( 基於MAC地址實現過濾 )即可實現。
雖然通過三層設備和ACL可以滿足需求,但是流量一旦通過三層轉發,其轉發效率就遠遠低於二層,購買Truk網卡又需要額外的成本支出,而通過華為的Hybrid接口可以輕而易舉地解決類似問題。
要求:
生產部客戶端和銷售部客戶端可以相互訪問,且只能訪問服務器1。
財務部客戶端不能和任何部門通信,只能訪問服務器2。
根據要求搭建好拓撲。
在s1上進行的操作
[s1]vlan batch 2 3 10
[S1]inter g0/0/1
[S1-GigabitEthernet0/0/1]port link-type hybrid //配置接口模式為 hybrid
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 1 //配置接口PVID為1
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2 //untag列表添加vlan1和vlan2
[S1-GigabitEthernet0/0/1]int g0/0/2
[S1-GigabitEthernet0/0/2]port link-type hybrid
[S1-GigabitEthernet0/0/2]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2
[S1-GigabitEthernet0/0/2]int g0/0/3
[S1-GigabitEthernet0/0/3]port link-type hybrid
[S1-GigabitEthernet0/0/3]port hybrid pvid vlan 10
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
[S1-GigabitEthernet0/0/3]int g0/0/4
[S1-GigabitEthernet0/0/4]port link-type hybrid
[S1-GigabitEthernet0/0/4]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/4]port hybrid untagged vlan 1 to 2
[S1-GigabitEthernet0/0/4]port hybrid tagged vlan 3 10
[S1-GigabitEthernet0/0/4]quit
在S2上的配置
[S2]vlan batch 2 3 10
[S2]int g0/0/1
[S2-GigabitEthernet0/0/1]port link-type hybrid
[S2-GigabitEthernet0/0/1]port hybrid pvid vlan 1
[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2
[S2-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
[S2-GigabitEthernet0/0/1]int g0/0/2
[S2-GigabitEthernet0/0/2]port link-type hybrid
[S2-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[S2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2
[S2-GigabitEthernet0/0/2]int g0/0/3
[S2-GigabitEthernet0/0/3]port link-type hybrid
[S2-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
[S2-GigabitEthernet0/0/3]quit
驗證網絡是否通信
PC>ping 10.1.1.13
Ping 10.1.1.13: 32 data bytes, Press Ctrl_C to break
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
--- 10.1.1.13 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC>ping 10.1.1.200
Ping 10.1.1.200: 32 data bytes, Press Ctrl_C to break
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
--- 10.1.1.200 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC>ping 10.1.1.12
Ping 10.1.1.12: 32 data bytes, Press Ctrl_C to break
From 10.1.1.12: bytes=32 seq=1 ttl=128 time=32 ms
From 10.1.1.12: bytes=32 seq=2 ttl=128 time=31 ms
From 10.1.1.12: bytes=32 seq=3 ttl=128 time=31 ms
From 10.1.1.12: bytes=32 seq=4 ttl=128 time=31 ms
From 10.1.1.12: bytes=32 seq=5 ttl=128 time=47 ms
--- 10.1.1.12 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/34/47 ms
PC>ping 10.1.1.100
Ping 10.1.1.100: 32 data bytes, Press Ctrl_C to break
From 10.1.1.100: bytes=32 seq=1 ttl=255 time=79 ms
From 10.1.1.100: bytes=32 seq=2 ttl=255 time=46 ms
From 10.1.1.100: bytes=32 seq=3 ttl=255 time=32 ms
From 10.1.1.100: bytes=32 seq=4 ttl=255 time=47 ms
From 10.1.1.100: bytes=32 seq=5 ttl=255 time=46 ms
--- 10.1.1.100 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 32/50/79 ms
PC1 ping PC3不通,ping server2不會通信
但是可以和PC2、server1通信,因此達到了目的