eNSP-Hybrid 接口的应用

Hybrid 接口的应用

原理概述

Hybrid 接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路，它允许多个VLAN 的帧通过，并可以在出接口方向将某些VLAN 帧的标签剥掉。

Hybrid 接口处理VLAN 帧的过程如下：

(I) 收到一个二层帧，判断是否有VLAN 标签。没有标签，则标记上Hybrid 接口的PVID, 进行下一步处理；有标签，判断该Hybrid 接口是否允许该VLAN 的帧进入，允许则进行下一步处理，否则丢弃。

(2) 当数据帧从Hybrid 接口发出时，交换机判断VLAN 在本接口的属性是Untagged还是Tagged。如果是Untagged , 先剥离帧的VLAN 标签再发送；如果是Tagged则直接发送帧。

通过配置Hybrid 接口，能够实现对VLAN 标签的灵活控制，既能够实现Access 接口的功能，又能够实现Trunk 接口的功能。。

实验内容

某企业二层网络使用两台S3700 交换机S1和S2, 且两台设备在不同的楼层。网络管理员规划了3 个不同VLAN, HR 部门使用VLAN 10, 市场部门使用VLAN20, IT 部门使用VLAN30 。现在需要让处于不同楼层的HR 部门和市场部门实现部门内部通信，而两部门之间不允许互相通信； IT 部门可以访问任意部门。可以通过配置Hybrid 接口来实现较复杂的VLAN 控制。

实验拓扑

理解Hybrid 接口的应用拓扑如图 所示。

实验编址

我们配置一下相关信息

设备	接口	IP地址	子网掩码	默认网关
PC-1	Ethernet0/0/1	192.168.1.1	255.255.255.0	N/A
PC-2	Ethernet0/0/1	192.168.1.2	255.255.255.0	N/A
PC-3	Ethernet0/0/1	192.168.1.3	255.255.255.0	N/A
PC-4	Ethernet0/0/1	192.168.1.4	255.255.255.0	N/A
PC-5	Ethernet0/0/1	192.168.1.100	255.255.255.0	N/A

实验步骤

1.基础配置

按照实验编址表为PC 配置IP 地址，如图所示的配置过程适用于所有终端。

完成配置后，测试主机之间的连通性。在PC- 1 上， 使用ping 命令。可以观察到，此时PC-1访问其他主机通信正常，其他主机上的测试过程省略。

在没有定义VLAN 及接口类型之前，默认情况下，在没有定义VLAN 及接口类型之前，交换机上所有接口都是Hybrid类型，接口的PVID 是VLAN 1, 即所有接口收到没有标签的二层数据帧，都被转发到VLAN 1 中，并继续以Untagged 的方式把帧发送至同为VLAN 1 的其他接口。所以，即使未做任何配置， 主机之间默认仍然可以互相通信。

在S1 上使用display port vlan 命令查看接口的默认类型。可以观察到，接口默认是Hybrid 类型，接口PVID 是VLAN 1, 其他接口也一样

在交换机上使用display vlan 命令查看接口和所属VLAN 的对应关系。

可以观察到，所有接口都默认属于VLAN 1, 其他交换机也都一样，因此VLAN 1内所有的主机都可以直接访问。

2. 实现组内通信、组间隔离

交换机接口的类型可以是Access 、Trunk 和Hybrid。Access 类型的接口仅属于一个VLAN, 只能接收、转发相应 VLAN 的帧；而Trunk 类型接口则默认属于所有 VLAN，任何Tagged 帧都能经过 Trunk 接收和转发； Hybrid 类型接口则介于二者之间，可自主定义端口上能接收和转发哪些 VLAN Tag 的帧，并可决定 VLAN Tag 是否继续携带或者剥离。Access 和Trunk 类型接口是Hybrid 类型接口的两个特例，一个仅支待一个VLAN的传递，一个默认支持所有VLAN 的传递，而Access 类型和Trunk 类型的接口能做到的，Hybrid 接口都能做到。

目前要求实现HR部门和市场部门的员工终端可以进行部门内部通信，即VLAN 10 内PC-2 和PC-4 之间可以自由访问， VLAN20 内的PC-1 和PC-3 之间可以自由访问，而两个部门间的员工不能互相访问，即 VLAN 10 和 VLAN20 之间不能互相访问。要实现此需求，可以使用 Access 和 Trunk 的配置方法，也可以仅使用Hybrid 的配置方法。

3.使用Trunk 和Access 类型接口的配置过程

将S1 上的E 0/0/2 和S2 上的E 0/0/2 配置为Access 类型，并将相应的接口加入到VLAN 20 。同理，将S 1上的E 0/0/3 和S2 上的E 0/0/3 也配置为Access 类型接口，并加入到VLAN 10 。而交换机之间的互连链路的两个E 0/0/ 1 接口则配置为Trunk 类型。

配置完成后， 查看接口和VLAN 的对应关系。

在PC-1 上测试与同VLAN20 的PC-3 的连通性，以及与VLAN 10 内终端的连通性。

可以观察到，在单台交换机及跨交换机间的访问控制使用Trunk 和Access 类型接口实现了需求， 但同样的需求使用Hybrid 实现会更灵活。

S1 的E 0/0/2 接口连接PC-1 主机，该接口收到 PC-1 发送的 Untagged 的帧会被交换机转发到 VLAN20。同样，交换机从其他接口收到 VLAN20 的发往PC-1的帧也会以Untagged 的方式从E 0/0/2 接口发送。S1 的E 0/0/3 接口连接PC-2 主机，该接口收到Untagged 的帧会被转发到 VLAN 10 。如果交换机收到的 VLAN 10 的发往 PC-2 的帧也会以 Untagged 的方式从接口E 0/0/3 发送。VLAN 10 和 VLAN 20 的帧也要经过交换机间链路发送至邻居交换机 S2 。反之，S1 收到来自邻居交换机 S2 的Tagged 的帧后，也会根据VLAN Tag 转发到相应的VLAN 。

在S1的E 0/0/2 接口上使用undo port default vlan 命令用来恢复接口默认VLAN 。

配置port link-type hybrid 命令修改接口类型为默认的Hybrid 类型。

配置port hybrid untagged vlan 20 命令使得交换机在该接口转发VLAN20 的帧时，剥离掉相应的VLANTag20, 以Untagged 的方式发送给PC 。

配置port hybrid pvid vlan 20 命令设置Hybrid 类型接口的默认VLANID, 即使得该端口上接收到PC 发来的未带VLAN Tag 的帧时，加上VLAN Tag 20, 并转发到VLAN 20 。

同样在连接另一台终端的E 0/0/3 接口做同样配置。

[Sl] interface Ethernet0/0/3 [S1-Ethernet0/0/3] undo port default vlan [Sl·Ethernet0/0/3] port link-type hybrid [Sl- Ethernet0/0/3] port hybrid untagged vlan 10 [S l·Ethernet0/0/3] port hybrid pvid vlan 10

在连接交换机S1的E 0/0/1 接口上修改端口类型为默认的Hybrid 类型，并使用port hybrid tagged vlan 10 20 命令设置该链路仅接收带有VLAN Tag 10 和20 的帧，而交换机仅转发VLAN 1 0 和VLAN20 的帧到该链路。一般该命令配置在交换机互连的链路接口之上

[S1] interface Ethernet0/0/1 [Sl- Ethernet0/0/l] undo port trunk allow-pass vlan all [Sl- Ethernet0/0/l] port trunk allow-pass vlan 1 [Sl- Ethernet0/0/1] port link-type hybrid [Sl- Ethernet0/0/l] port hybrid tagged vlan 10 20

S2 交换机将在E 0/0/1 接口接收到的Tagged 帧，根据VLAN Tag 标识，向接口E /0/2转发 VLAN20 的帧，向接口E 0/0/3 转发VLAN 30 的帧。反之，接口E 0/0/2 接收到PC发送的未带 Tag 的帧转发到VLAN 20, 端口E 0/0/3 接收的到未带 Tag 的帧会被转发到VLAN 10, 并且这些帧发送到邻居交换机S1 时，会保留原有Tag 。

S2 上的配置和S1 类似， 这里不再解释。

[S2] interface ethernet0/0/2 [S2- ethernet0/0/2] undo port default vlan (S2- ethernet0/0/2] port link-type hybrid [S2- ethernet0/0/2] port hybrid untagged vlan 20 (S2- ethernet0/0/2] port hybrid pvid vlan 20 [S2-Ethernet0/0/2] interface ethernet0/0/3 [S2-Ethernet0/0/3] undo port default vlan [S2-Ethernet0/0/3] port link-type hybrid [S2-Ethernet0/0/3] port hybrid untagged vlan 10 [S2-Ethernet0/0/3] port hybrid pvid vlan 10 [S2-Ethernet0/0/3] interface ethernet 0/0/1 [S2- Ethernet0/0/l] undo port trunk allow-pass vlan all [S2-Ethernet0/0/l] port trunk allow-pass vlan 1 [S2-Ethernet0/0/1] port link-type hybrid [S2-Etbemet0/0/1] port hybrid tagged vlan 10 20

配置完成后，使用display vlan 命令查看使用Hybrid 配置下接口和VLAN 的对应关系。

可以观察到，同样的需求，Hybrid 和Access 、Trunk 都能实现，但Hybrid的灵活性及解决复杂需求的能力是Access 和Trunk 达不到的。

4. 实现网管员对所有网络的访问

在实现各部门内部终端可以互相访问，不同部门间的终端隔离访问后，要求网络管理员所在的 IT 部门（使用终端PC-5 ) 能够实现对所有部门的访问。即要求实现VLAN 30 访问VLAN 10 和 VLAN 20；而且 VLAN 10 和VLAN20 之间仍然不允许互相访问。如果S1的E 0/0/2 接口仍是Access 类型且属于VLAN 10, 则不能被其他VLAN 访问。若要 VLAN 30 的终端能访问 VLAN 10 的终端，则需要修改接口的配置，使其既能被 VLAN 10 访问，又能被 VLAN30 访问，这就要求此接口同时要属于多个VLAN, 且端口所连设备是PC，不能识别带VLAN Tag 的帧，故此时只能使用Hybrid 类型接口。Hybrid 端口既能被加入多个VLAN 中， 又能够在将其余VLAN 的帧转发到此接口时，剥离掉相应的VLAN Tag 。

配置 S1 交换机， E 0/0/4 接口是网络管理员的PC 终端， 属于VLAN 30, 该接口收到的 PC 发送的 Untagged 帧要能够发送至 VLAN 30 中，配置 port hybrid pvid vlan 30命令设置 Untagged 帧加入至 VLAN 30 。

[S1]vlan30 [Sl-vlan30]interface Ethernet 0/0/4 [S-Ethernet 0/0/4] port hybrid pvid vlan 30

因为在华为交换上，默认所有接口都为Hybrid 类型接口，所以在该接口下不需要修改配置。

S1 交换机收到 VLAN 10 、VLAN20 和VLAN30 的帧也要能够从该接口发送至PC，配置 port hybrid untagged vlan 10 20 30 命令使得上述 3 个 VLAN 的帧会以Untagged 的方式从该接口发送出去。

同理，端口E 0/0/2 接PC-1, 接口收到PC 的Untagged 帧需要发送至 VLAN20, 使用port hybrid pvid vlan 20 命令。E 0/0/2 接口同时也要能够被 VLAN 30 和 VLAN20 的主机访问，即 VLAN20 和 30 的帧能够从该接口发送出去，并以Untagged 的方式发送至PC-1 。

接口E 0/0/3 收到Untagged 的帧需发送至VLAN 10, 同时VLAN 10 和30 的帧要能从该接口发送出去。

VLAN10 、VLAN20 和VLAN30 的帧要能够发送至邻居交换机S2 , 且要保留原有的VLANTag, 以便于邻居交换机S2 根据VLANTag 继续转发到相应的VLAN 。同样， 邻居交换机S2 发送过来的帧也会带有相应的VLAN Tag, 所以SI 与S2 间互连的接口E 0/0/1 配置如下。

[S1] interface Ethernet0/0/1 [S1- Ethernet0/0/1] port hybrid tagged vlan 10 20 30 [S2] interface Ethernet0/0/1 [S2- Ethernet0/0/l] port hybrid tagged vlan 10 20 30

同理在S2 交换机上， E 0/0/1 接口收到的带有相应 VLANTag 标记的帧，如果是 LAN 10 的帧要能发送至接口E 0/0/3, 如果是VLAN 20 的帧要能发送至E 0/0/2 。而如果是VLAN 30 的帧要能发送至接口E 0/0/2 和E 0/0/3 。VLAN10 、20 和30 的帧都是以 Untagged 的方式发送至接口E 0/0/2 或E 0/0/3 。反之，如果PC-3 发出的Untagged 的帧发送至接口

E 0/0/2 时会进入到Hybrid 接口PVID 所指明的VLAN 20 中， PC-4 发出的Untagged的帧发送至接口E 0/0/3 时会进入到Hybrid 接口PVID 所指明的VLAN 10 中，具体配置过程如下。

[S2] interface Ethernet0/0/2 [S2- Ethernet0/0/2] port hybrid untagged vlan 20 30 [S2] interface Ethernet0/0/3 [S2- Ethernet0/0/3] port hybrid untagged vlan 10 30

S1 和S2 上全部配置完成后，使用ping 命令在IT 部门的网络管理员的PC-5 上测试与不同部门内的各台主机间的连通性，以PC-1 为例。可以观察到， PC-5 所属网络管理员所在的VLAN 30, 能够正常访问到其他部门的所有终端。

同理，选择市场部门所在VLAN20 内的主机PC-1 , 测试其与其他主机间的连通性。测试PC- 1 与本部门内的主机PC-3 间的连通性，从结果可以看出，可以正常通信。

测试PC- 1 与外部门的主机PC-2 和PC-4 间的连通性。，从结果可以看出，不能正常通信， 实现了设计要求。

测试PC-1 与IT 部门网络管理员主机PC- 5 间的连通性，可以正常通信。

 

在交换机上可以定义多个VLAN, 每个VLAN 都可以看作是一个广播域， 通常情况下每个VLAN 都会分配一个独立的 IP 网络，根据需要把相应主机所在的接口划入到指定的VLAN 中，并配置相应的网络IP 地址， VLAN 间通过路由来实现互相访问。这是较为常用的方法。但是相比于基于端口的Hybrid 配置，三层路由方式则不够灵活， 原因在于VLAN 之间的访问控制要借助于路由设备来实现。而控制VLAN 访问使用 Hybrid 接口则极大地简化了配置的复杂性， 它仅需在端口上自主定义基于VLAN Tag 的过滤规则，来决定指定的VLAN 的二层帧是否允许发送；它是通过二层来实现VLAN 间的访问控制，既不需要每个VLAN 定义单独的IP 网段，更不需要在VLAN 间引入路由设备，配置更为灵活方便。