Hybrid特性是華為交換機的專有特性，該特性為局域網(wǎng)的搭建提供了更多的靈活性和安全性。那么就讓我們一起走進hybrid世界，去體驗hybrid特性給我們帶來的快樂。
　　首先讓我們來看一個網(wǎng)路拓撲圖：

　　這是一個公司的小型網(wǎng)絡(luò)拓撲圖，該公司現(xiàn)有財務(wù)和工程兩個部門以及一個文件服務(wù)器，分別處于不同的VLAN，現(xiàn)要求財務(wù)部和工程部都能訪問公司內(nèi)部文件服務(wù)器，但是財務(wù)部和工程部之間不能互相訪問。看到這里，大家都想通過路由器或三層交換機做訪問控制列表實現(xiàn)，沒錯是可以實現(xiàn)，但是現(xiàn)在只有二層設(shè)備。怎么辦？好辦?，F(xiàn)在分別講一下在huawei和cisco環(huán)境下的解決方法。

　　Huawei環(huán)境:

　　在華為環(huán)境下我們可以利用華為專有的hybrid特性。首先我們先了解一下華為交換機的幾種接口類型。

　　Aaccess接口：access端口只能承載一個vlan的流量，通常用于交換機與PC相連的接口，當access接口收到一個數(shù)據(jù)幀時，先判斷是否有vlan信息，如果沒有則打上自己的PVID，如果有則直接丟棄；當access接口要轉(zhuǎn)發(fā)一個數(shù)據(jù)幀時，先判斷該數(shù)據(jù)幀的vlan是否和自己在一個vlan,如果是，則剝離vlan信息，再轉(zhuǎn)發(fā)，如果不是，則丟棄。

　　Trunk接口：trunk接口可以承載多個vlan的流量，但在華為交換機上默認情況下只允許默認vlan的流量通過，只允許對默認vlan不打標記。通常用于與其它交換機相連的接口。當trunk接口收到一個數(shù)據(jù)幀時，先判斷是否允許該vlan的流量通過，如果允許，則轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進行處理，如果不允許，則丟棄。Trunk接口發(fā)送數(shù)據(jù)幀時，同樣判斷是否允許該vlan通過，如果允許則轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進行處理，如果不允許，則直接丟棄。

　　Hybrid接口：hybrid接口可以承載多個vlan的流量，可用在與PC或交換機相連的接口，與trunk接口的最大區(qū)別是可以對任何vlan打標記或不打標記。當hybrid接口接收數(shù)據(jù)幀時，先判斷該數(shù)據(jù)幀是否有vlan信息，如果有，則看該接口是否對該vlan打標記，如果對該vlan打標記，則直接轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進行處理；如果沒有明確說對該vlan打標記，則丟棄。因為默認情況下，hybrid 接口只允許默認vlan的數(shù)據(jù)幀通過，如果要允許其它的vlan 通過，就要對相應(yīng)的vlan打標記。如果收到的數(shù)據(jù)幀沒有任何標記，則標記為自己的PVID。在接口上配置對某些vlan標記所起的作用只是允許和不允許該vlan的數(shù)據(jù)幀通過的問題，在接口上配置為對某些vlan不打標記時只在接口發(fā)送數(shù)據(jù)幀時起作用，當接口收數(shù)據(jù)時，是不起作用的。hybrid 接口發(fā)送數(shù)據(jù)幀時，若該數(shù)據(jù)幀有標記，則判斷該數(shù)據(jù)幀的標記vlan和自己是否在同一個vlan，如果是在同一個vlan，則去掉標記后轉(zhuǎn)發(fā)；如果該數(shù)據(jù)幀和自己不在同一個vlan，則判斷接口對該數(shù)據(jù)幀是標記還是不標記，如果是不標記，則去掉標記后再進行轉(zhuǎn)發(fā)，如果是標記，則直接轉(zhuǎn)發(fā)，若沒有明確說明是標記，還是不標記，則直接丟棄。如果要發(fā)送的數(shù)據(jù)幀沒有標記，則直接轉(zhuǎn)發(fā)。當把一個接口加入到vlan2后，再把該接口設(shè)置為hybrid接口時，該接口的PVID就變成了vlan2，同時對vlan2的數(shù)據(jù)幀不打標記。

　　了解這些之后，我們就可以很容易的進行配置了，配置過程如下：
[Switch1]vlan 2
[Switch1-vlan2]port ethernet 0/2
[Switch1]interface ethernet 0/2
[Switch1-ethernet0/2]port link-type hybrid
[Switch1-ethernet0/2]port hybrid vlan 1 untagged
[Switch1]interface ethernet 0/1
[Switch1-ethernet0/1]port link-type hybrid
[Switch1-ethernet0/1]port link-type hybrid vlan 2 untagged
[Switch2]vlan 3
[Switch2-vlan3]port ethernet 0/3
[Switch2]vlan 4
[Switch2-vlan4]port ethernet 0/4
[Switch2]interface ethernet 0/3
[Switch2-ethernet0/3]port link-type hybrid
[Switch2-ethernet0/3]port hybrid vlan 1 untagged
[Switch2]interface ethernet 0/4
[Switch2-ethernet0/4]port link-type hybrid
[Switch2-ethernet0/4]port hybrid vlan 1 untagged
[Switch2]interface ethernet 0/1
[Switch2-ethernet0/1]port link-type hybrid
[Switch2-ethernet0/1]port link-type hybrid vlan 3 4 untagged

　　為什么要對vlan1不打標記呢？好吧，讓我們看一下整個流程。

　　根據(jù)我的配置，當財務(wù)部們的PC發(fā)送一個數(shù)據(jù)到文件服務(wù)器時：

　　數(shù)據(jù)去------switch2的ethernet 0/3接口接收該數(shù)據(jù)，這時交換機會將該數(shù)據(jù)標記為vlan3的數(shù)據(jù)，然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch2的ethernet 0/1接口，發(fā)現(xiàn)該接口對vlan3的數(shù)據(jù)不標記，于是去掉標記后再進行轉(zhuǎn)發(fā)---------switch1的ethernet 0/1接口接收該數(shù)據(jù)幀，發(fā)現(xiàn)該數(shù)據(jù)是沒有任何標記的，于是標記為自己的PVID（vlan1），然后進行轉(zhuǎn)發(fā)，這個時候數(shù)據(jù)發(fā)生了很大的變化，二層原本是被封裝為vlan3的數(shù)據(jù)現(xiàn)在變成了vlan1的，-------switch1的ethernet0/2，發(fā)現(xiàn)該接口對vlan1的數(shù)據(jù)是不標記的，于是去掉標記后進行轉(zhuǎn)發(fā)，這時數(shù)據(jù)就到達了文件服務(wù)器。

　　數(shù)據(jù)回------switch1的ethernet 0/2接口接收該數(shù)據(jù)，這時交換機會將該數(shù)據(jù)標記為vlan2的數(shù)據(jù)，然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch1的ethernet 0/1接口，發(fā)現(xiàn)該接口對vlan2的數(shù)據(jù)不標記，于是去掉標記后再進行轉(zhuǎn)發(fā)---------switch2的ethernet 0/1接口接收該數(shù)據(jù)幀，發(fā)現(xiàn)該數(shù)據(jù)是沒有任何標記的，于是標記為自己的PVID（vlan1），然后進行轉(zhuǎn)發(fā)，這個時候數(shù)據(jù)同樣發(fā)生了很大的變化，二層原本是被封裝為vlan2的數(shù)據(jù)幀，但現(xiàn)在變成了vlan1的，-------switch2的ethernet0/3，發(fā)現(xiàn)該接口對vlan1的數(shù)據(jù)是不標記的，于是去掉標記后進行轉(zhuǎn)發(fā)，這時數(shù)據(jù)就到達了財務(wù)部門的PC。

　　工程部門和文件服務(wù)器的通訊是一樣的。

　　現(xiàn)在再來說一說財務(wù)部和工程部直間的通訊：

　　從財務(wù)部到市場部：數(shù)據(jù)去------switch1的ethernet 0/3接口接收該數(shù)據(jù)，這時交換機會將該數(shù)據(jù)標記為vlan3的數(shù)據(jù)，然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch1的ethernet 0/4接口，發(fā)現(xiàn)該接口既沒有說明對vlan3的數(shù)據(jù)標記還是不標記，于是丟棄。既然去都去不了，還說什么回呢？

　　從市場部到財務(wù)部：數(shù)據(jù)去------switch2的ethernet 0/4接口接收該數(shù)據(jù)，這時交換機會將該數(shù)據(jù)標記為vlan4的數(shù)據(jù)，然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch1的ethernet 0/3接口，發(fā)現(xiàn)該接口既沒有說明對vlan4的數(shù)據(jù)標記還是不標記，于是丟棄。

　　總結(jié)：hybrid接口確實是一個非常不錯的特性，在安全性和靈活性方面有著非常廣泛的應(yīng)用價值。強烈建議先一定要把原理搞明白之后再去應(yīng)用到實際工作中，否則將會出現(xiàn)你無法預(yù)料和解決的問題。

最新評論