Hybrid特性是華為交換機(jī)的專有特性，該特性為局域網(wǎng)的搭建提供了更多的靈活性和安全性。那么就讓我們一起走進(jìn)hybrid世界，去體驗(yàn)hybrid特性給我們帶來的快樂。
　　首先讓我們來看一個(gè)網(wǎng)路拓?fù)鋱D：

　　這是一個(gè)公司的小型網(wǎng)絡(luò)拓?fù)鋱D，該公司現(xiàn)有財(cái)務(wù)和工程兩個(gè)部門以及一個(gè)文件服務(wù)器，分別處于不同的VLAN，現(xiàn)要求財(cái)務(wù)部和工程部都能訪問公司內(nèi)部文件服務(wù)器，但是財(cái)務(wù)部和工程部之間不能互相訪問?？吹竭@里，大家都想通過路由器或三層交換機(jī)做訪問控制列表實(shí)現(xiàn)，沒錯(cuò)是可以實(shí)現(xiàn)，但是現(xiàn)在只有二層設(shè)備。怎么辦？好辦。現(xiàn)在分別講一下在huawei和cisco環(huán)境下的解決方法。

　　Huawei環(huán)境:

　　在華為環(huán)境下我們可以利用華為專有的hybrid特性。首先我們先了解一下華為交換機(jī)的幾種接口類型。

　　Aaccess接口：access端口只能承載一個(gè)vlan的流量，通常用于交換機(jī)與PC相連的接口，當(dāng)access接口收到一個(gè)數(shù)據(jù)幀時(shí)，先判斷是否有vlan信息，如果沒有則打上自己的PVID，如果有則直接丟棄；當(dāng)access接口要轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)幀時(shí)，先判斷該數(shù)據(jù)幀的vlan是否和自己在一個(gè)vlan,如果是，則剝離vlan信息，再轉(zhuǎn)發(fā)，如果不是，則丟棄。

　　Trunk接口：trunk接口可以承載多個(gè)vlan的流量，但在華為交換機(jī)上默認(rèn)情況下只允許默認(rèn)vlan的流量通過，只允許對(duì)默認(rèn)vlan不打標(biāo)記。通常用于與其它交換機(jī)相連的接口。當(dāng)trunk接口收到一個(gè)數(shù)據(jù)幀時(shí)，先判斷是否允許該vlan的流量通過，如果允許，則轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進(jìn)行處理，如果不允許，則丟棄。Trunk接口發(fā)送數(shù)據(jù)幀時(shí)，同樣判斷是否允許該vlan通過，如果允許則轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進(jìn)行處理，如果不允許，則直接丟棄。

　　Hybrid接口：hybrid接口可以承載多個(gè)vlan的流量，可用在與PC或交換機(jī)相連的接口，與trunk接口的最大區(qū)別是可以對(duì)任何vlan打標(biāo)記或不打標(biāo)記。當(dāng)hybrid接口接收數(shù)據(jù)幀時(shí)，先判斷該數(shù)據(jù)幀是否有vlan信息，如果有，則看該接口是否對(duì)該vlan打標(biāo)記，如果對(duì)該vlan打標(biāo)記，則直接轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進(jìn)行處理；如果沒有明確說對(duì)該vlan打標(biāo)記，則丟棄。因?yàn)槟J(rèn)情況下，hybrid 接口只允許默認(rèn)vlan的數(shù)據(jù)幀通過，如果要允許其它的vlan 通過，就要對(duì)相應(yīng)的vlan打標(biāo)記。如果收到的數(shù)據(jù)幀沒有任何標(biāo)記，則標(biāo)記為自己的PVID。在接口上配置對(duì)某些vlan標(biāo)記所起的作用只是允許和不允許該vlan的數(shù)據(jù)幀通過的問題，在接口上配置為對(duì)某些vlan不打標(biāo)記時(shí)只在接口發(fā)送數(shù)據(jù)幀時(shí)起作用，當(dāng)接口收數(shù)據(jù)時(shí)，是不起作用的。hybrid 接口發(fā)送數(shù)據(jù)幀時(shí)，若該數(shù)據(jù)幀有標(biāo)記，則判斷該數(shù)據(jù)幀的標(biāo)記vlan和自己是否在同一個(gè)vlan，如果是在同一個(gè)vlan，則去掉標(biāo)記后轉(zhuǎn)發(fā)；如果該數(shù)據(jù)幀和自己不在同一個(gè)vlan，則判斷接口對(duì)該數(shù)據(jù)幀是標(biāo)記還是不標(biāo)記，如果是不標(biāo)記，則去掉標(biāo)記后再進(jìn)行轉(zhuǎn)發(fā)，如果是標(biāo)記，則直接轉(zhuǎn)發(fā)，若沒有明確說明是標(biāo)記，還是不標(biāo)記，則直接丟棄。如果要發(fā)送的數(shù)據(jù)幀沒有標(biāo)記，則直接轉(zhuǎn)發(fā)。當(dāng)把一個(gè)接口加入到vlan2后，再把該接口設(shè)置為hybrid接口時(shí)，該接口的PVID就變成了vlan2，同時(shí)對(duì)vlan2的數(shù)據(jù)幀不打標(biāo)記。

　　了解這些之后，我們就可以很容易的進(jìn)行配置了，配置過程如下：
[Switch1]vlan 2
[Switch1-vlan2]port ethernet 0/2
[Switch1]interface ethernet 0/2
[Switch1-ethernet0/2]port link-type hybrid
[Switch1-ethernet0/2]port hybrid vlan 1 untagged
[Switch1]interface ethernet 0/1
[Switch1-ethernet0/1]port link-type hybrid
[Switch1-ethernet0/1]port link-type hybrid vlan 2 untagged
[Switch2]vlan 3
[Switch2-vlan3]port ethernet 0/3
[Switch2]vlan 4
[Switch2-vlan4]port ethernet 0/4
[Switch2]interface ethernet 0/3
[Switch2-ethernet0/3]port link-type hybrid
[Switch2-ethernet0/3]port hybrid vlan 1 untagged
[Switch2]interface ethernet 0/4
[Switch2-ethernet0/4]port link-type hybrid
[Switch2-ethernet0/4]port hybrid vlan 1 untagged
[Switch2]interface ethernet 0/1
[Switch2-ethernet0/1]port link-type hybrid
[Switch2-ethernet0/1]port link-type hybrid vlan 3 4 untagged

　　為什么要對(duì)vlan1不打標(biāo)記呢？好吧，讓我們看一下整個(gè)流程。

　　根據(jù)我的配置，當(dāng)財(cái)務(wù)部們的PC發(fā)送一個(gè)數(shù)據(jù)到文件服務(wù)器時(shí)：

　　數(shù)據(jù)去------switch2的ethernet 0/3接口接收該數(shù)據(jù)，這時(shí)交換機(jī)會(huì)將該數(shù)據(jù)標(biāo)記為vlan3的數(shù)據(jù)，然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch2的ethernet 0/1接口，發(fā)現(xiàn)該接口對(duì)vlan3的數(shù)據(jù)不標(biāo)記，于是去掉標(biāo)記后再進(jìn)行轉(zhuǎn)發(fā)---------switch1的ethernet 0/1接口接收該數(shù)據(jù)幀，發(fā)現(xiàn)該數(shù)據(jù)是沒有任何標(biāo)記的，于是標(biāo)記為自己的PVID（vlan1），然后進(jìn)行轉(zhuǎn)發(fā)，這個(gè)時(shí)候數(shù)據(jù)發(fā)生了很大的變化，二層原本是被封裝為vlan3的數(shù)據(jù)現(xiàn)在變成了vlan1的，-------switch1的ethernet0/2，發(fā)現(xiàn)該接口對(duì)vlan1的數(shù)據(jù)是不標(biāo)記的，于是去掉標(biāo)記后進(jìn)行轉(zhuǎn)發(fā)，這時(shí)數(shù)據(jù)就到達(dá)了文件服務(wù)器。

　　數(shù)據(jù)回------switch1的ethernet 0/2接口接收該數(shù)據(jù)，這時(shí)交換機(jī)會(huì)將該數(shù)據(jù)標(biāo)記為vlan2的數(shù)據(jù)，然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch1的ethernet 0/1接口，發(fā)現(xiàn)該接口對(duì)vlan2的數(shù)據(jù)不標(biāo)記，于是去掉標(biāo)記后再進(jìn)行轉(zhuǎn)發(fā)---------switch2的ethernet 0/1接口接收該數(shù)據(jù)幀，發(fā)現(xiàn)該數(shù)據(jù)是沒有任何標(biāo)記的，于是標(biāo)記為自己的PVID（vlan1），然后進(jìn)行轉(zhuǎn)發(fā)，這個(gè)時(shí)候數(shù)據(jù)同樣發(fā)生了很大的變化，二層原本是被封裝為vlan2的數(shù)據(jù)幀，但現(xiàn)在變成了vlan1的，-------switch2的ethernet0/3，發(fā)現(xiàn)該接口對(duì)vlan1的數(shù)據(jù)是不標(biāo)記的，于是去掉標(biāo)記后進(jìn)行轉(zhuǎn)發(fā)，這時(shí)數(shù)據(jù)就到達(dá)了財(cái)務(wù)部門的PC。

　　工程部門和文件服務(wù)器的通訊是一樣的。

　　現(xiàn)在再來說一說財(cái)務(wù)部和工程部直間的通訊：

　　從財(cái)務(wù)部到市場(chǎng)部：數(shù)據(jù)去------switch1的ethernet 0/3接口接收該數(shù)據(jù)，這時(shí)交換機(jī)會(huì)將該數(shù)據(jù)標(biāo)記為vlan3的數(shù)據(jù)，然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch1的ethernet 0/4接口，發(fā)現(xiàn)該接口既沒有說明對(duì)vlan3的數(shù)據(jù)標(biāo)記還是不標(biāo)記，于是丟棄。既然去都去不了，還說什么回呢？

　　從市場(chǎng)部到財(cái)務(wù)部：數(shù)據(jù)去------switch2的ethernet 0/4接口接收該數(shù)據(jù)，這時(shí)交換機(jī)會(huì)將該數(shù)據(jù)標(biāo)記為vlan4的數(shù)據(jù)，然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch1的ethernet 0/3接口，發(fā)現(xiàn)該接口既沒有說明對(duì)vlan4的數(shù)據(jù)標(biāo)記還是不標(biāo)記，于是丟棄。

　　總結(jié)：hybrid接口確實(shí)是一個(gè)非常不錯(cuò)的特性，在安全性和靈活性方面有著非常廣泛的應(yīng)用價(jià)值。強(qiáng)烈建議先一定要把原理搞明白之后再去應(yīng)用到實(shí)際工作中，否則將會(huì)出現(xiàn)你無法預(yù)料和解決的問題。

最新評(píng)論