前言:
本篇文章,本人結合自己所學以及上網查閱相關資料,總結出關於Hybrid接口的產生,作用,優點以及工作流程,附帶與Cisco的比較。篇幅較長,還需讀者耐心閱讀;由於牽扯到過多的交換知識,但並不是本篇的重心,以下是參考閱讀的資料
網絡100問之交換技術(壹)
網絡100問之交換技術(貳)
VLAN的產生及作用
交換基礎思維導圖
一、混雜接口詳解(HUAWEI)
1.1 產生
任何東西的存在都有意義,那麼爲什麼華爲的交換機會比思科的多出個混雜模式呢?
1.首先,可以在沒有三層網絡設備(路由器、三層交換機)的情況下實現跨vlan通信和訪問控制(前提是各個vlan中的IP地址都屬於同一網段,否則,仍然需要通過三層網絡設備來進行通信,但是在思科設備上,就算是相同的網段跨VLAN通信沒有三層的路由是不可能的,詳情請點擊以上的參考資料來進行查閱)。相對於Access接口和Trunk接口具有更高的靈活性與可控性。
2.其次,兩大優點促進着Hybrid的使用,即流量隔離、流量互通
流量隔離:Hybrid接口本身擁有強大的訪問控制能力,通過對接口的配置可以隔離來自於同一個vlan的流量,也可以隔離來自於不同vlan的流量。
流量互通:Hybrid接口可以使不同的vlan之間在二層實現通行。Cisco交換機設備需要藉助三層網絡設備纔可以實現不同vlan之間的通信,總的來說,二層的解決方案永遠比三層的解決方案要好,因爲二層的效率要高於三層。所涉及的網絡層次越高,效率越低。再者說,交換機的二層可以實現硬件加速,提高效率妥妥的~
3.Hybrid接口能夠靈活地控制一個接口上數據幀vlan標籤的添加和移除。
1.2 華爲交換機接口模式介紹
-
Access接口模式:Access接口必須加入某一vlan(這也是默認所有接口都屬於vlan1的原因),對交換機而言,該接口只能允許一個vlan流量通行,且不打vlan標籤,用於連接PC、服務器、路由器(非單臂路由)等設備,一般連接的是終端設備
-
Trunk接口模式:該接口默認允許所有vlan通行(用於承載多個vlan通行),且對每個vlan通過打不同標識加以區分,主要用於連接交換機
-
Hybrid接口模式:華爲交換機接口默認爲Hybrid模式(Cisco交換機默認爲Access模式),既可以實現Access接口的功能,也可以實現Trunk接口的功能,可以在沒有三層網絡設備的情況下實現跨vlan通信和訪問控制,相對於Access接口和Trunk接口具有更高的靈活性與可控性。
Hybrid接口與Trunk接口的比較:
相同之處在於兩種鏈路類型的接口都可以允許多個VLAN的報文發送時打標籤(或標記,tag的翻譯)
不同之處在於Hybrid接口可以允許多個VLAN的報文發送時不打標籤,而Trunk端口只允許缺省VLAN的報文發送時不打標籤。
1.3HUAWEI_VLAN接口詳解
1、 只要流量進入華爲的設備將馬上打上標籤;——華爲設備內部轉發的流量均存在標籤
解釋:
華爲的交換機每個接口默認運行Hybrid,則未帶標籤的流量進入交換機後,直接打入PVID1,即所有的接口都屬於VLAN1
2、 華爲設備交換機上所有的接口存在轉發允許列表,只有被轉發允許列表允許的流量,才能從該接口進入或轉出;
即下文要提到的tagged
3、 從某個接口轉出時,除查看允許列表外,還需要定義是否標記;
即下文要提到的untagged
4、 若某個流量從交換機某個接口進入時,沒有標籤,將被標記上該接口pvlanid;
即所有接口都要存在標記,沒有標籤的就打上PVID 1
5、 若某個流量從交換機的某個接口進入時,存在標籤,將匹配該接口的允許列表,若被允許則可以進入,若未被允許將被丟棄;
6、 PC若接收到存在標記的流量,將丟棄;
PC屬於終端設備,即網絡的終點,節點,並不會對識別帶標籤的流量
無論接口爲任何模式,均匹配以上6條規則
1.3 Hybrid接口的三個屬性
1.3.1untagged
只在接口發送數據幀時起作用,如果需要發送的數據的vlan標籤在接口的untagged列表中,那麼將去除標籤,然後發送數據。
1.3.2tagged
用於接收被標記的數據幀和發送數據幀,其作用類似於一個允許的vlan標識列表,當接口收到帶有vlan標籤的數據幀時,該接口的tag列表相當於vlan的允許列表,不在列表中的數據幀將被丟棄;當接口發送數據幀時,數據的vlan標籤在接口的tag列表中,將保持標籤發送數據幀,否則丟棄數據幀,若數據幀沒有標記,那麼就用PVID進行標記,什麼是PVID?往下看吧
解釋:
這裏可以把tagged當作一個白名單
1.3.3 PVID
接口的默認PVID爲vlan 1,PVID只在接收沒有標記幀時起作用,PVID用於在接收未標記數據幀時給數據幀打上當前的PVID標識(Cisco交換機的Access接口會爲沒有標籤的數據幀打上標記,但是打標記時,只能用於連接的是終端設備,而不能是交換機設備,而華爲的交換機就不一樣了,它可以給任何設備發送的數據幀進行打標籤,包括交換機、路由器、終端設備等,深入理解了Hybrid後,你就會將“妙啊~”送給HUAWEI_Switch)。
1.4混雜接口的工作方式
- 當switch的接口接收到一個數據幀後,先查看此數據幀有沒有攜帶標籤
1.若攜帶,檢查本接口的tag列表,若tag列表中存在數據幀封裝的VALN ID,則接收;若不存在,直接丟棄;
2.若不攜帶,那就根據Hybrid接口的PVID進行標記(注意:PVID默認爲1,即交換機默認的將所有接口劃分至VLAN1,這裏的PVID其實就是VLAN ID,即混雜模式下,換了一種叫法而已)
這裏的tag列表相當於一個白名單,存在於白名單的VLAN ID就允許通過,不在白名單上的,就不允許通過
- Switch要發出數據幀時,那麼需要檢查本接口的untagged和tagged這兩個列表。若數據包的vlan ID存在untagged列表中,就給該數據去掉vlan ID,使其變成原始以太網數據幀(一般用於連接終端設備或路由器(單臂路由除外),因爲終端設備或路由器(單臂路由除外)不能識別vlan ID)。若存在tag列表(一般用於連接交換機的接口),則直接放行,保留數據原有的vlan ID。
小結:
從上面可以得出結論,接口收到數據包後的處理方式,和Hybrid接口的tag列表、PVID這兩個屬性有關;接口發送數據包時的處理方式,與Hybrid接口的untag列表和tag列表有關。
hybrid屬性是一種混雜模式,實現了在一個untagged端口允許報文以tagged形式送出交換機。同時可以利用hybrid屬性定義分屬於不同的vlan的端口之間的互訪,這是access和trunk端口所不能實現的。在一臺交換機上不允許trunk端口和hybrid端口同時存在。
1.5使用表格來進行比較說明
- 接口接收報文時的處理
| 接口類型 | 數據幀攜帶VALN標籤 | 數據幀不攜帶VLAN標籤 |
|---|---|---|
| Access | 丟棄 | 爲該報文打上VLAN標記爲本接口的PVID |
| Trunck | 判斷本接口是否允許攜帶該VLAN標記的報文通過。如果允許則報文攜帶原有VLAN標記進行轉發,否則丟棄 | 同上 |
| Hybrid | 檢查本接口的tag列表,若tag列表中存在數據幀封裝的VALN ID,則接收;若不存在,直接丟棄; | 同上 |
- 接口發送報文時的處理
| 接口類型 | 處理方式 |
|---|---|
| Access | 去掉數據幀的VLAN標記,進行轉發 |
| Trunk | 首先判斷報文所攜帶的VLAN標記是否和端口的PVID相等。如果相等,則剝掉報文所攜帶的VLAN標記,進行轉發;否則報文將攜帶原有的VLAN標記進行轉發 |
| Hybrid | 檢查本接口的untag和tag這兩個列表。若數據包的vlan ID存在於untag列表中,處理方式與Access相同,若數據包的vlan ID存在於tag列表,則直接放行,保留數據原有的vlan ID,處理方式與Trunk相同 |
1.6總結
華爲vlan:
1、任何流量在一個交換機內部轉發時必須攜帶標籤
2、PC接收到的流量必須爲正常流量,不識別攜帶標籤的流量
流量進入一個接口時,先看該流量是否攜帶標籤:
1、若未攜帶標籤將壓入該接口的PVID,之後先查看本接口的允許列表是否允許該vlan,若允許將在交換機上尋找出口,否則丟棄;
2、若攜帶標籤,直接查詢本接口的允許列表是否允許該vlan;
注:在流量進入接口時,僅關注vlan允許列表中的數字,不關注是否標記;
流量從一個接口出時,查詢該接口的vlan允許列表,關注是否標記;
不同的接口模式的配置權限:
接入模式:該接口的pvid和允許列表必須爲同一個vlan,且允許列表中只能爲允許一個vlan,必然是不標記;
中繼模式:該接口的允許列表可以在存在多個,但是不能自主定義該接口允許列表中,是否對某個vlan的流量進行標記;永久規則爲PVID對應vlan不標記,其他vlan全部標記;
混雜模式:該接口的允許列表可以存在多個,可以自主定義對各個vlan的是否標記;
1.7配置
1.7.1各類接口模式
接入模式:只能允許一個VLAN通過(允許列表無法直接定義);PVLAN就是允許VLAN;且一定爲不標記
[sw1]interfaceGigabitEthernet 0/0/5
[sw1-GigabitEthernet0/0/5]port link-type access
[sw1-GigabitEthernet0/0/5]port default vlan 2
中繼模式:所有VLAN均可手動添加到允許列表中,默認僅pvlan在允許列表,且pvlan的出規則爲不標
記,其他VLAN出規則爲標記;
[sw1]interfaceGigabitEthernet 0/0/6
[sw1-GigabitEthernet0/0/6]port link-type trunk
[sw1-GigabitEthernet0/0/6]port trunk pvidvlan 2
[sw1-GigabitEthernet0/0/6]port trunk allow-pass vlan all
混雜模式:所有VLAN均可手動添加到允許列表中,且可以在允許通過時,定義是否標記;
默認PVLAN 爲VLAN1,出向規則爲不標記;一旦PVLAN被修改,那麼需要手工添加該VLAN到允許列表,同時可以定義是否標記;
[sw1]interfaceGigabitEthernet 0/0/7
[sw1-GigabitEthernet0/0/7]port hybrid tagged vlan 2 to 3
[sw1-GigabitEthernet0/0/7]port hybrid untagged vlan 4 to 5
[sw1]display port vlan active查看接口的VLAN轉發規則;
1.7.2 VLAN
1、創建vlan
[SWA]vlan 10
[SWA-vlan10]quit
[SWA]vlan batch 2 to 3 5 10 批量創建vlan2-3,5,10
2、接口劃入vlan
單個接口修改接口模式爲access
[SWA]interface GigabitEthernet 0/0/5
[SWA-GigabitEthernet0/0/5]port link-type access
批量修改爲access
[Huawei]port-group 1
[Huawei]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10
[Huawei]port link-type access
單個將接口劃分到vlan
[SWA]interface GigabitEthernet0/0/5
[SWA-GigabitEthernet0/0/5]port default vlan 3
批量將接口劃分到vlan2
[Huawei]vlan 2
[Huawei-vlan2]port GigabitEthernet 0/0/1 to 0/0/2
3、trunk幹道
進入接口後先修改接口類型爲trunk模式;再定義該trunk幹道可以允許通過的vlan;默認trunk幹道的PVLAN-類似cisco的native vlan爲vlan1,默認對vlan1 的流量不標記,且其他添加到允許列表也可正常通過
[SWA-GigabitEthernet0/0/1]port link-type trunk
[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all 允許所有vlan通過
[Huawei-GigabitEthernet0/0/1]port default vlan 3 修改trunk幹道上的pvlan,注一旦pvlan不是默認的vlan1 了,那麼需要在允許條件中添加新的PVLAN;此時原有的vlan1 不再是pvlan,需要手工將其添加到允許列表中;
將接口模式修改爲hybrid (注意,華爲交換機的接口模式默認爲hybrid,在hybrid中指定的PVID其實就是以上第二部步中的將接口劃入VLAN,這個要銘記,PVID其實就是VID【VLAN ID】,換了一種叫法而已)
[SW1]interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1]port hybrid pvid vlan 10
[SW1-GigabitEthernet0/0/1]port hybrid tagged vlan 10
[SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 20 30 100
4、vlan間路由器
單臂路由—子接口—交換機連接路由器的那個交換機接口修改trunk模式
[RTA]interface GigabitEthernet0/0/1.1
[RTA-GigabitEthernet0/0/1.1]dot1q termination vid 2
[RTA-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24
[RTA-GigabitEthernet0/0/1.1]arp broadcast enable
[RTA]interface GigabitEthernet0/0/1.2
[RTA-GigabitEthernet0/0/1.2]dot1q termination vid 3
[RTA-GigabitEthernet0/0/1.2]ip address 192.168.3.254 24
[RTA-GigabitEthernet0/0/1.2]arp broadcast enable
DHCP 池塘配置
dhcp enable 先全局開啓DHCP服務
再接口開啓dhcp服務,每個子接口單獨開啓
[r1]interfaceGigabitEthernet 0/0/0.1
[r1-GigabitEthernet0/0/0.1]dhcp select global
再定義池塘
ip pool v3
gateway-list 192.168.2.1
network 192.168.2.0 mask 255.255.255.0
dns-list 114.114.114.114
二、實驗配置演示
以上的理論說了這麼多,不乏枯燥與乏味,下面就來實戰鞏固一下
2.1實驗一(小試牛刀)
實驗拓撲及需求如下
實驗需求:
VLAN需求:
PC1、2、3、路由器對應的分別是VLAN10、20、30、100
業務需求:
PC1和PC2之間可以互訪;
PC1和PC3之間可以互訪;
PC1、PC2和PC3都可以訪問服務器;
其餘的PC間訪問均禁止。
分析:
PC1連接交換機的接口的PVID就是其所處的VLAN,所以是10,此接口進入時需要匹配tagged列表,所以tagged就是VLAN
10,PC1要與PC2、3、路由器所處的VLAN
20、30、100能通,所以untagged列表要出現這三個VLAN號;其他設備分析方式相同
詳細配置:
創建VLAN
[SW1]vlan 10
[SW1]vlan 20
[SW1]vlan 30
[SW1]vlan 100
[SW1-GigabitEthernet0/0/1]di th
#
interface GigabitEthernet0/0/1
port hybrid pvid vlan 10
port hybrid tagged vlan 10
port hybrid untagged vlan 20 30 100
#
return
[SW1]int g0/0/2
[SW1-GigabitEthernet0/0/2]di th
#
interface GigabitEthernet0/0/2
port hybrid pvid vlan 20
port hybrid tagged vlan 20
port hybrid untagged vlan 10 100
#
return
[SW1-GigabitEthernet0/0/3]di th
#
interface GigabitEthernet0/0/3
port hybrid pvid vlan 30
port hybrid tagged vlan 30
port hybrid untagged vlan 10 100
#
return
[SW1-GigabitEthernet0/0/4]di th
#
interface GigabitEthernet0/0/4
port hybrid pvid vlan 100
port hybrid tagged vlan 100
port hybrid untagged vlan 10 20 30
#
return
測試:
PC1可以ping通所有設備
PC2不能ping通PC3,但是都可以ping通路由器
2.2 實驗二(進階)
實驗拓撲如下
實驗需求:
在2.1.1的實驗需求上,添加以下需求
PC1不能訪問PC4
PC2、PC3可以訪問PC4
PC4可以訪問路由器
分析:
- PC2、3可以訪問PC4則在其連接交換機的接口上的untagged裏添加VLAN40,PC4連接交換機的接口上的untagged上添加VLAN
20 30 100,路由器連接交換機的接口上的untagged列表添加VLAN 40;- 對於兩交換機相連的接口爲了區分不同的VLAN,則要對所有的VLAN打上標記,即在tagged上添加VLAN 10 20 30 40 100
詳細配置:
創建VLAN
[SW1]vlan 40
[SW2]vlan 10
[SW2]vlan 20
[SW2]vlan 30
[SW2]vlan 100
在PC2、3、路由器連接交換機的接口上添加untagged vlan 40
[SW1-GigabitEthernet0/0/2]port hybrid untagged vlan 40
[SW1-GigabitEthernet0/0/3]port hybrid untagged vlan 40
[SW1-GigabitEthernet0/0/4]port hybrid untagged vlan 40
在PC4連接交換機的接口上配置PVID、tagged、untagged
[SW2-GigabitEthernet0/0/2]di th
#
interface GigabitEthernet0/0/2
port hybrid pvid vlan 40
port hybrid tagged vlan 40
port hybrid untagged vlan 20 30 100
#
return
在兩交換機相連的接口上要配置允許tagged列表爲vlan所有
[SW1-GigabitEthernet0/0/5]di th
#
interface GigabitEthernet0/0/5
port hybrid tagged vlan 1 to 4094
#
return
[SW2-GigabitEthernet0/0/1]di th
#
interface GigabitEthernet0/0/1
port hybrid tagged vlan 1 to 4094
#
return
實驗測試:
PC1不能ping通PC4
PC4可以ping通PC2、3、路由器
到這裏,本編文章就到尾聲了~ 感謝收看