目录
Hybrid接口
Hybrid接口是华为设备的一种特殊二层接口模式,类似于之前介绍的Access接口和Trunk接口,是一个工作在二层的接口技术,可以对数据打 VLAN标签 或 不打VLAN标签 ,在正式介绍Hybrid接口之前,首先回顾下之前的VLAN知识。
VLAN的基本概念
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域(多个VLAN )的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内。
由于VLAN之间的隔离,所以一些类似蠕虫病毒等的攻击被限制在一个VLAN中,提高了安全性、同时也方便管理人员对网络进行管理。
Hybrid接口的特点
按照VLAN接口封装类型,华为交换机的接口主要有三种模式:Access 、Trunk和 Hybrid。其中Access 、Trunk接口和之前的 Cisco技术并无差异,Hybrid接口是华为设备特有的接口模式。
Hybrid接口和Trunk接口的相同之处是都可以允许多个VLAN的流量通过并打标签,
不同之处在于 Hybrid接口可以允许多个VLAN的报文发送时不打标签。
Hybrid接口作为华为交换机的特有属性接口,其特点如下:
- 华为交换机接口默认为Hybrid模式。
- 既可以实现 Access接口的功能,也可以实现Trunk接口的功能。
- 不借助三层设备即可实现跨VLAN通信和访问控制。
相对于 Access 接口和Trunk接口具有更高的灵活性与可控性。
Hybrid接口的作用体现为可以实现二层的流量隔离与互通。
流量隔离: Hybrid接口本身拥有强大的访问控制能力,通过对接口的配置可以隔离来自于同一个VLAN的流量,也可以隔离来自于不同VLAN的流量。
流量互通:Hybrid接口可以使不同的 VLAN之间在二层实现通信。
Hybrid工作原理
Hybrid接口能够灵活地控制一个接口上数据帧VLAN标签的添加和移除。
例如,在接口对端的设备是交换机的情况下,可以配置接口允许某一些VLAN的数据帧携带VLAN标签通过该接口,而另外一些VLAN则不携带VLAN标签发出,在接口对端设备是终端主机的情况下,可以配置发送到这些接口的数据帧不携带任何VLAN标签。
Hybrid接口的工作原理涉及接口的三个属性,分别是 untag列表,tag列表及PVID( Port- base VLAN
ID,基于端口的 VLAN ID)。
untag列表;对通过的数据帧进行去标签然后发送数据帧
tag列表:直接发送经过的数据帧,不进行特殊处理
PVID:默认的PVID是vlan1,如果经过的是空白数据帧,则打上这个PVID的标识。
交换机从F0/0接口接收到一个原始数据帧,所以用接口的PVID(VLAN3)进行标记并接收数据帧。交换机从F0/1接口接收到一个携带VLAN 9标签的数据帧、因VLAN 9在该接口的tag列表中,所以允许接收并保留其标签进入交换机。另外,当通过F0/2发送数据时,携带VLAN 3标签的数据顿,因其标签(VLAN 3)在接口F0/2接口的 untag列表中,所以发送原始的数据帧;携带VLAN 5标签的数据帧,因其标签(VLAN 5)在F0/2接口的tag列表中。所以保留标签,发送携带VLAN 5标签的数据帧;而携带VLAN 9标签的数据帧,在发送时,因其标签VLAN 9既不在接口F0/2的 untag列表中,又不在接口的tag列表中,所以直接丢弃数据。
在华为设备中,每种类型的接口都有默认的PVID,如表所示。
| 接口类型 |
PVID |
| Access | 其归属的VLAN |
| Trunk | 默认vlan1 |
| Hybrid | 默认vlan1 |
功能特性上说, Hybrid接ロ中的 untag列表和PVID用于实现Access 特性,而tag列表用于实现 Trunk特性。但又不限于此,因为 Hybrid接口相比于 Access接口和 Trunk接ロ可以更加灵活,适用各种场景。
PS:PVID封装的数据帧是通过802.1Q打了标签的
看这个图,理解一下vlan和PVID
Hybrid接口和 Trunk接口都可以给多个不同的VLAN打标签,也可以传输多个VLAN的流量;但是 Hybrid接ロ可以允许多个不同VLAN的报文发送时不打标签,而 Trunk接ロ只允许默认VLAN的报文发送时不打标签。
实验案例
某公司有生产部客户端、销售部客户端、财务部客户端和两台服务器提供网络资源,并且分别属于VLAN1、VLAN2、VLAN3和VLAN10。要求实现生产部客户端和销售部客户端只能访问服务器1,并且生产部客户端和销售部客户端之间可以相互访问。财务部客户端只能访问服务器2,并且和任何部门之间隔离。
面对这样的需求,传统的解决办法如下:
通过三层设备配置VLAN之间互通再通过ACL实现访问控制即可实现。
为服务器购买一块 Trunk网卡,将服务器和S2之间的链路配置为 Trunk链路,可以使其他三个VLAN通过,再配合二层ACL( 基于MAC地址实现过滤 )即可实现。
虽然通过三层设备和ACL可以满足需求,但是流量一旦通过三层转发,其转发效率就远远低于二层,购买Truk网卡又需要额外的成本支出,而通过华为的Hybrid接口可以轻而易举地解决类似问题。
要求:
生产部客户端和销售部客户端可以相互访问,且只能访问服务器1。
财务部客户端不能和任何部门通信,只能访问服务器2。
根据要求搭建好拓扑。
在s1上进行的操作
[s1]vlan batch 2 3 10
[S1]inter g0/0/1
[S1-GigabitEthernet0/0/1]port link-type hybrid //配置接口模式为 hybrid
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 1 //配置接口PVID为1
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2 //untag列表添加vlan1和vlan2
[S1-GigabitEthernet0/0/1]int g0/0/2
[S1-GigabitEthernet0/0/2]port link-type hybrid
[S1-GigabitEthernet0/0/2]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2
[S1-GigabitEthernet0/0/2]int g0/0/3
[S1-GigabitEthernet0/0/3]port link-type hybrid
[S1-GigabitEthernet0/0/3]port hybrid pvid vlan 10
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
[S1-GigabitEthernet0/0/3]int g0/0/4
[S1-GigabitEthernet0/0/4]port link-type hybrid
[S1-GigabitEthernet0/0/4]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/4]port hybrid untagged vlan 1 to 2
[S1-GigabitEthernet0/0/4]port hybrid tagged vlan 3 10
[S1-GigabitEthernet0/0/4]quit在S2上的配置
[S2]vlan batch 2 3 10
[S2]int g0/0/1
[S2-GigabitEthernet0/0/1]port link-type hybrid
[S2-GigabitEthernet0/0/1]port hybrid pvid vlan 1
[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2
[S2-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
[S2-GigabitEthernet0/0/1]int g0/0/2
[S2-GigabitEthernet0/0/2]port link-type hybrid
[S2-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[S2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2
[S2-GigabitEthernet0/0/2]int g0/0/3
[S2-GigabitEthernet0/0/3]port link-type hybrid
[S2-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
[S2-GigabitEthernet0/0/3]quit验证网络是否通信
PC>ping 10.1.1.13
Ping 10.1.1.13: 32 data bytes, Press Ctrl_C to break
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
--- 10.1.1.13 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC>ping 10.1.1.200
Ping 10.1.1.200: 32 data bytes, Press Ctrl_C to break
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
From 10.1.1.11: Destination host unreachable
--- 10.1.1.200 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet lossPC>ping 10.1.1.12
Ping 10.1.1.12: 32 data bytes, Press Ctrl_C to break
From 10.1.1.12: bytes=32 seq=1 ttl=128 time=32 ms
From 10.1.1.12: bytes=32 seq=2 ttl=128 time=31 ms
From 10.1.1.12: bytes=32 seq=3 ttl=128 time=31 ms
From 10.1.1.12: bytes=32 seq=4 ttl=128 time=31 ms
From 10.1.1.12: bytes=32 seq=5 ttl=128 time=47 ms
--- 10.1.1.12 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/34/47 ms
PC>ping 10.1.1.100
Ping 10.1.1.100: 32 data bytes, Press Ctrl_C to break
From 10.1.1.100: bytes=32 seq=1 ttl=255 time=79 ms
From 10.1.1.100: bytes=32 seq=2 ttl=255 time=46 ms
From 10.1.1.100: bytes=32 seq=3 ttl=255 time=32 ms
From 10.1.1.100: bytes=32 seq=4 ttl=255 time=47 ms
From 10.1.1.100: bytes=32 seq=5 ttl=255 time=46 ms
--- 10.1.1.100 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 32/50/79 msPC1 ping PC3不通,ping server2不会通信
但是可以和PC2、server1通信,因此达到了目的
