VLAN的基本概念

vlan就是虚拟局域网,是在二层交换机上将一个物理的LAN在逻辑上划分成多个广播域(多个vlan)的通信技术。同一个vlan内的主机可以直接通信,而不同vlan之间进行通行的话,则需要依赖三层网络设备(三层交换机、路由器等)。

Hybrid的特点

  • 华为交换机接口默认为Hybrid模式
  • 既可以实现access接口功能,也可以实现trunk接口功能
  • 不借助三层设备即可实现跨vlan通信和访问控制
  • 相对于access接口和trunk接口具有更高的灵活性和可控性
    hybrid的作用体现本身拥有强大的访问控制功能,通过对接口的配置可以隔离来自同一个vlan的流量,也可以隔离来自不同vlan的流量。
    小结:二层(OSI)的解决档案永远比三层(OSI)的解决要好,因为二层的效率要高于三层。事实上,所涉及的层次(OSI)越高,效率越低

    Hybrid接口的工作原理

  • untag列表:只在接口发送数据帧是起作用,如果需要发送的数据的vlan标签在接口的untag列表中,那么将去除标签发送数据
  • tag列表:作用于接收被标记的数据帧和发送数据帧。其作用类似于一个允许的vlan标识列表。当接口接受到带有vlan标签的数据帧是,该接口的tag列表相当于vlan的允许列表,不在该列表中的数据将被丢弃;当接口数据帧是,数据的vlan标签在接口的tag列表中,将保持标签发送数据帧,否则被丢弃数据帧。
  • PVIP:接口默认的PVID为vlan1。PVID只在接受未标记帧时起作用。PVID用于在接受未标记数据帧时给数据帧打上当前的PVID标识。
    小结:从功能特性上说。Hydrid接口中的untag列表和PVID用于实现access特性,而tag列表用于实现trunk特性。但有不限于于此,因为hybrid接口相当于access解口和trunk接口可以更加灵活,适用各种场景

    根据PVID封装802.1Q

    1、在网路通过vlan隔离情况下,可以将流量分为两种类型。一种是标记流量,即通过802.1q打了标签的数据帧;另一种是未标记流量,也就是原始的以太网帧。通常情况下有终端设备发送和接受流量的流量为未标记。当交换机接受到一个标记流量是,将通过其802.1q封装。
    华为-交换技术Hybrid_第1张图片
    任何进入交换机的流量都应该被标记,如果进入交换机的流量携带vlan标签,那么他本身是可以标识vlan信息的,如果进入交换机的流量未标记,将通过接口的PVID进行标记,而标记目的的则是为后续的转发做准备,Hybrid接口的PVID值默认是vlan 1,意味着所有接口默认都属于vlan1。

    根据untag列表和tag列表进行转发

  • 每个Hybrid接口默认都有一个untag列表,其中包含一个或者多个vlan编号,默认值为vlan1
  • 每个接口都有一tag列表,默认值为空,也可以设置包含一个或者多个vlan编号
  • Hybrid接口收到数据帧之前,首先检查该数据帧是否携带标签,如果携带标签,则检查本接口tag列表,若tag列表中存在数据帧封装的vlan ID,则接收,否则丢弃;如果不携带标签,那么根据Hybrid接口的PVID进行标记
  • Hybrid接口发送数据帧之前,检查本接口untag和tag列表,若数据帧封装的vlanid存在于unbag列表中,则去掉802.1q封装发送原始数据帧;若存在于tag列表中,则保留802.1q封装并发送带标签的数据帧;若两个列表中均无数据帧的vlanID,则不发送。
    以下是Hybrid接口收发数据帧时的处理流程
    华为-交换技术Hybrid_第2张图片
    Hybrid接口和Trunk接口都可以给多个vlan打标签,也可以传输多个vlan的流量;但是Hybrid接口可以允许多个不同vlan的报文发送时不打标签(把相应的vlan ID添加到untag列表中即可实现咯),而Trunk接口只允许默认vlan 的报文发送时不打标签。

三种类型的接口可以共同存在一台交换机上,但Trunk接口不能直接切换为Hybrid接口,只能先设为Access接口,再设置为Hybrid接口(Hybrid接口可以直接设置为Trunk接口,不管如何切换,都有一些限制,如Trunk接口切换至Access接口时,需要删除或更改一些接口配置,才可以更换为Access接口,牵扯原理比较多,举个栗子,华为交换机设置为Trunk接口时,需要手动允许所有vlan流量通过,才可以正常工作,否则默认只允许vlan1的流量通过Trunk接口,这样Trunk接口便没有存在的意义了,而Access只允许一个vlan的流量通过,所以,若想从Trunk改为Access,必须先更改原有的“允许所有vlan通过”相关的配置)。

下面是hybrid接口应用场景案例解析:
hybrid接口基于三个属性收发数据,在了解工作基础上,针对下图所示的拓扑图分析其工作过程,图中所有的交换机接口皆为hybrid接口,vlan信息,网段和hybrid信息见图中标识,通过对hybrid接口的配置,实现如下需求:

  • 生产部客户端和销售部客户端可以互相访问,且只能访问服务器1。
  • 财务部客户端不能喝任何部门通信,只能访问服务器2。
    华为-交换技术Hybrid_第3张图片
    hybrid的配置
  • 配置终端设备和服务器IP及网络参数
  • 在交换机s1和s2上分别创建vlan2,vlan3和vlan10
    华为-交换技术Hybrid
    华为-交换技术Hybrid
  • 在交换机s1和s2上配置hybrid接口
    S1交换机的配置如下
    华为-交换技术Hybrid_第4张图片
    S2交换机的配置如下
    华为-交换技术Hybrid_第5张图片
    经以上配置,就可以实现财务部只能和服务器2通信,且不能与服务器1通信。
    在生产部可以和其他部门及服务器通信,但不能与财务部和服务器2通信
    该实验说明,华为hybrid接口可以实现二层的vlan隔离及访问的控制