Hybrid特性是華為交換機(jī)的專有特性,該特性為局域網(wǎng)的搭建提供了更多的靈活性和安全性���。那么就讓我們一起走進(jìn)hybrid世界�,去體驗(yàn)hybrid特性給我們帶來(lái)的快樂(lè)����。
首先讓我們來(lái)看一個(gè)網(wǎng)路拓?fù)鋱D:
這是一個(gè)公司的小型網(wǎng)絡(luò)拓?fù)鋱D�����,該公司現(xiàn)有財(cái)務(wù)和工程兩個(gè)部門以及一個(gè)文件服務(wù)器����,分別處于不同的VLAN,現(xiàn)要求財(cái)務(wù)部和工程部都能訪問(wèn)公司內(nèi)部文件服務(wù)器�����,但是財(cái)務(wù)部和工程部之間不能互相訪問(wèn)�����?�?吹竭@里�����,大家都想通過(guò)路由器或三層交換機(jī)做訪問(wèn)控制列表實(shí)現(xiàn)�,沒(méi)錯(cuò)是可以實(shí)現(xiàn),但是現(xiàn)在只有二層設(shè)備���。怎么辦�?好辦。現(xiàn)在分別講一下在huawei和cisco環(huán)境下的解決方法����。
Huawei環(huán)境:
在華為環(huán)境下我們可以利用華為專有的hybrid特性。首先我們先了解一下華為交換機(jī)的幾種接口類型����。
Aaccess接口:access端口只能承載一個(gè)vlan的流量,通常用于交換機(jī)與PC相連的接口��,當(dāng)access接口收到一個(gè)數(shù)據(jù)幀時(shí)��,先判斷是否有vlan信息��,如果沒(méi)有則打上自己的PVID����,如果有則直接丟棄;當(dāng)access接口要轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)幀時(shí)���,先判斷該數(shù)據(jù)幀的vlan是否和自己在一個(gè)vlan,如果是�����,則剝離vlan信息���,再轉(zhuǎn)發(fā),如果不是��,則丟棄����。
Trunk接口:trunk接口可以承載多個(gè)vlan的流量,但在華為交換機(jī)上默認(rèn)情況下只允許默認(rèn)vlan的流量通過(guò)��,只允許對(duì)默認(rèn)vlan不打標(biāo)記��。通常用于與其它交換機(jī)相連的接口���。當(dāng)trunk接口收到一個(gè)數(shù)據(jù)幀時(shí)���,先判斷是否允許該vlan的流量通過(guò),如果允許�����,則轉(zhuǎn)發(fā)到相應(yīng)的接口,由相應(yīng)的接口進(jìn)行處理�,如果不允許,則丟棄�����。Trunk接口發(fā)送數(shù)據(jù)幀時(shí)�����,同樣判斷是否允許該vlan通過(guò)��,如果允許則轉(zhuǎn)發(fā)到相應(yīng)的接口���,由相應(yīng)的接口進(jìn)行處理���,如果不允許,則直接丟棄�����。
Hybrid接口:hybrid接口可以承載多個(gè)vlan的流量�,可用在與PC或交換機(jī)相連的接口,與trunk接口的最大區(qū)別是可以對(duì)任何vlan打標(biāo)記或不打標(biāo)記�����。當(dāng)hybrid接口接收數(shù)據(jù)幀時(shí),先判斷該數(shù)據(jù)幀是否有vlan信息�,如果有,則看該接口是否對(duì)該vlan打標(biāo)記���,如果對(duì)該vlan打標(biāo)記,則直接轉(zhuǎn)發(fā)到相應(yīng)的接口�����,由相應(yīng)的接口進(jìn)行處理�����;如果沒(méi)有明確說(shuō)對(duì)該vlan打標(biāo)記����,則丟棄。因?yàn)槟J(rèn)情況下�����,hybrid 接口只允許默認(rèn)vlan的數(shù)據(jù)幀通過(guò)�,如果要允許其它的vlan 通過(guò)����,就要對(duì)相應(yīng)的vlan打標(biāo)記�。如果收到的數(shù)據(jù)幀沒(méi)有任何標(biāo)記,則標(biāo)記為自己的PVID���。在接口上配置對(duì)某些vlan標(biāo)記所起的作用只是允許和不允許該vlan的數(shù)據(jù)幀通過(guò)的問(wèn)題��,在接口上配置為對(duì)某些vlan不打標(biāo)記時(shí)只在接口發(fā)送數(shù)據(jù)幀時(shí)起作用�����,當(dāng)接口收數(shù)據(jù)時(shí)��,是不起作用的��。hybrid 接口發(fā)送數(shù)據(jù)幀時(shí)��,若該數(shù)據(jù)幀有標(biāo)記��,則判斷該數(shù)據(jù)幀的標(biāo)記vlan和自己是否在同一個(gè)vlan����,如果是在同一個(gè)vlan��,則去掉標(biāo)記后轉(zhuǎn)發(fā);如果該數(shù)據(jù)幀和自己不在同一個(gè)vlan�����,則判斷接口對(duì)該數(shù)據(jù)幀是標(biāo)記還是不標(biāo)記�����,如果是不標(biāo)記�����,則去掉標(biāo)記后再進(jìn)行轉(zhuǎn)發(fā)��,如果是標(biāo)記�,則直接轉(zhuǎn)發(fā)�,若沒(méi)有明確說(shuō)明是標(biāo)記,還是不標(biāo)記�����,則直接丟棄�。如果要發(fā)送的數(shù)據(jù)幀沒(méi)有標(biāo)記,則直接轉(zhuǎn)發(fā)���。當(dāng)把一個(gè)接口加入到vlan2后�����,再把該接口設(shè)置為hybrid接口時(shí)����,該接口的PVID就變成了vlan2,同時(shí)對(duì)vlan2的數(shù)據(jù)幀不打標(biāo)記�����。
了解這些之后����,我們就可以很容易的進(jìn)行配置了,配置過(guò)程如下:
[Switch1]vlan 2
[Switch1-vlan2]port ethernet 0/2
[Switch1]interface ethernet 0/2
[Switch1-ethernet0/2]port link-type hybrid
[Switch1-ethernet0/2]port hybrid vlan 1 untagged
[Switch1]interface ethernet 0/1
[Switch1-ethernet0/1]port link-type hybrid
[Switch1-ethernet0/1]port link-type hybrid vlan 2 untagged
[Switch2]vlan 3
[Switch2-vlan3]port ethernet 0/3
[Switch2]vlan 4
[Switch2-vlan4]port ethernet 0/4
[Switch2]interface ethernet 0/3
[Switch2-ethernet0/3]port link-type hybrid
[Switch2-ethernet0/3]port hybrid vlan 1 untagged
[Switch2]interface ethernet 0/4
[Switch2-ethernet0/4]port link-type hybrid
[Switch2-ethernet0/4]port hybrid vlan 1 untagged
[Switch2]interface ethernet 0/1
[Switch2-ethernet0/1]port link-type hybrid
[Switch2-ethernet0/1]port link-type hybrid vlan 3 4 untagged
為什么要對(duì)vlan1不打標(biāo)記呢��?好吧�,讓我們看一下整個(gè)流程。
根據(jù)我的配置�,當(dāng)財(cái)務(wù)部們的PC發(fā)送一個(gè)數(shù)據(jù)到文件服務(wù)器時(shí):
數(shù)據(jù)去------switch2的ethernet 0/3接口接收該數(shù)據(jù),這時(shí)交換機(jī)會(huì)將該數(shù)據(jù)標(biāo)記為vlan3的數(shù)據(jù)�����,然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch2的ethernet 0/1接口,發(fā)現(xiàn)該接口對(duì)vlan3的數(shù)據(jù)不標(biāo)記��,于是去掉標(biāo)記后再進(jìn)行轉(zhuǎn)發(fā)---------switch1的ethernet 0/1接口接收該數(shù)據(jù)幀���,發(fā)現(xiàn)該數(shù)據(jù)是沒(méi)有任何標(biāo)記的��,于是標(biāo)記為自己的PVID(vlan1)���,然后進(jìn)行轉(zhuǎn)發(fā),這個(gè)時(shí)候數(shù)據(jù)發(fā)生了很大的變化��,二層原本是被封裝為vlan3的數(shù)據(jù)現(xiàn)在變成了vlan1的�����,-------switch1的ethernet0/2�,發(fā)現(xiàn)該接口對(duì)vlan1的數(shù)據(jù)是不標(biāo)記的���,于是去掉標(biāo)記后進(jìn)行轉(zhuǎn)發(fā)�����,這時(shí)數(shù)據(jù)就到達(dá)了文件服務(wù)器�。
數(shù)據(jù)回------switch1的ethernet 0/2接口接收該數(shù)據(jù),這時(shí)交換機(jī)會(huì)將該數(shù)據(jù)標(biāo)記為vlan2的數(shù)據(jù)��,然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch1的ethernet 0/1接口��,發(fā)現(xiàn)該接口對(duì)vlan2的數(shù)據(jù)不標(biāo)記��,于是去掉標(biāo)記后再進(jìn)行轉(zhuǎn)發(fā)---------switch2的ethernet 0/1接口接收該數(shù)據(jù)幀�����,發(fā)現(xiàn)該數(shù)據(jù)是沒(méi)有任何標(biāo)記的��,于是標(biāo)記為自己的PVID(vlan1)��,然后進(jìn)行轉(zhuǎn)發(fā)���,這個(gè)時(shí)候數(shù)據(jù)同樣發(fā)生了很大的變化�����,二層原本是被封裝為vlan2的數(shù)據(jù)幀����,但現(xiàn)在變成了vlan1的,-------switch2的ethernet0/3�����,發(fā)現(xiàn)該接口對(duì)vlan1的數(shù)據(jù)是不標(biāo)記的�,于是去掉標(biāo)記后進(jìn)行轉(zhuǎn)發(fā),這時(shí)數(shù)據(jù)就到達(dá)了財(cái)務(wù)部門的PC�����。
工程部門和文件服務(wù)器的通訊是一樣的����。
現(xiàn)在再來(lái)說(shuō)一說(shuō)財(cái)務(wù)部和工程部直間的通訊:
從財(cái)務(wù)部到市場(chǎng)部:數(shù)據(jù)去------switch1的ethernet 0/3接口接收該數(shù)據(jù),這時(shí)交換機(jī)會(huì)將該數(shù)據(jù)標(biāo)記為vlan3的數(shù)據(jù)����,然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch1的ethernet 0/4接口,發(fā)現(xiàn)該接口既沒(méi)有說(shuō)明對(duì)vlan3的數(shù)據(jù)標(biāo)記還是不標(biāo)記����,于是丟棄���。既然去都去不了�,還說(shuō)什么回呢?
從市場(chǎng)部到財(cái)務(wù)部:數(shù)據(jù)去------switch2的ethernet 0/4接口接收該數(shù)據(jù)����,這時(shí)交換機(jī)會(huì)將該數(shù)據(jù)標(biāo)記為vlan4的數(shù)據(jù),然后根據(jù)mac地址表轉(zhuǎn)發(fā)到相應(yīng)的接口--------switch1的ethernet 0/3接口�����,發(fā)現(xiàn)該接口既沒(méi)有說(shuō)明對(duì)vlan4的數(shù)據(jù)標(biāo)記還是不標(biāo)記�,于是丟棄。
總結(jié):hybrid接口確實(shí)是一個(gè)非常不錯(cuò)的特性����,在安全性和靈活性方面有著非常廣泛的應(yīng)用價(jià)值。強(qiáng)烈建議先一定要把原理搞明白之后再去應(yīng)用到實(shí)際工作中�����,否則將會(huì)出現(xiàn)你無(wú)法預(yù)料和解決的問(wèn)題��。
