一、回顧VLAN

• VLAN基本概念

VLAN即虛擬局域網，是將一個物理的LAN在邏輯上劃分成多個廣播域(多個VLAN)的通信技術。VLAN內的主機間可以直接通信，而VLAN間不能直接互通，從而將廣播報文限制在一個VLAN內。由于VLAN之間的隔離，所以一些類似蠕蟲病毒等的攻~擊被限制在一個VLAN中，提高了安全性，同時也方便管理人員對網絡進行管理。

• VLAN隔離廣播的方式

物理隔離：通過三層設備實現路由器

邏輯隔離：交換機通過VLAN劃分廣播域，將接口加入指定VLAN進行隔離

• 為什么要使用VLAN？

交換機不隔離廣播，因此整個交換網絡是個廣播域，廣播域過大會使網絡擁塞。為了解決這一個問題，我們用vlan技術，將偌大的廣播域隔離成一個個的小的區域，并且不同vlan區域間不能通信。

缺點：vlan技術雖然能隔離廣播，但是不同vlan之間不能通信，如果要通信，需要三層設備才能實現

• VLAN的劃分

Vlan的劃分并不是固定的，而是有多種不同的劃分方法：基于端口、基于協議、基于IP地址、基于MAC地址。其中最常用的就是基于端口的劃分，我們的學習也主要是圍繞著基于端口劃分。Vlan端口的劃分是邏輯上的，與物理位置沒有關系，不同地方的網絡一樣可以劃分到同一個vlan中。

• VLAN接口的類型和trunk的封裝

1)vlan的接口類型

Access：接入鏈路，一般客戶端到交換機使用

Trunk：中繼鏈路，負責承載多個vlan數據，同vlan跨交換機通信使用

2)vlan的封裝方式

ISL：Cisco私有協議不兼容其他廠商，占用帶寬資源過高

Dot1Q：所有廠商都支持公有協議，占用帶寬資源小

二、Hybrid接口是什么？

• Hybrid接口

Hybrid接口是華為設備的一種特殊二層接口模式，類似于之前介紹的Access接口和Trunk接口，是一個工作在二層的接口技術，可以對數據幀打VLAN標簽或不打VLAN標簽。

• Hybrid接口的特點

按照VLAN接口封裝類型，華為交換機的接口主要有三種模式：Access、Trunk和Hybrid；

可以實現access或者trunk鏈路的功能；

默認華為交換機接口工作在hybrid模式；

Hybrid接口可以允許多個vlan的報文發送時不打標簽；

hybrid可以實現不同vlan間通信或者限制不同vlan間通信；

hybrid接口靈活性強；

Hybrid接口的作用

流量隔離：簡單來說就是阻止特定VLAN間通信

流量互通：不同VLAN間通信

• Hybrid接口的三個屬性

1)untag列表

只在接口發送數據幀時起作用，如果需要發送的數據的VLAN標簽在接口的untag列表中，將去除標簽發送數據

2)tag列表

作用于接收被標記的數據幀和發送數據幀。當接口接收到帶有VLAN標簽的數據幀時，該接口的tag列表相當于VLAN的允許列表，不在列表中的數據幀將被丟棄，當接口發送數據時，數據的vlan標簽在接口的tag列表中，將保持標簽發送數據幀，否則丟棄數據幀

3)PVID

接口的默認PVID為VLAN1，PVID只在接收未標記幀時起作用，PVID用于在接收未標記數據幀時給數據幀打上當前的PVID標識

• 根據PVID封裝8021Q

網絡通過VLAN隔離的情況下，可以將流量分為兩種類型。一種是標記流量，即通過802.1Q打了標簽的數據幀；另一種是未標記流量，也就是原始的以太網幀。一般情況下由終端設備發送和接收的流量為未標記流量。當交換機接收到一個標記流量時，將通過其802.1Q標簽來識別其VLANID。但是當交換機接收到一個未標記流量時，將根據接口PVID對該流量進行802.1Q封裝。在華為設備中，每種類型的接口都有默認的PVID。

任何進入交換機的流量都應該被標記，如果進入交換機的流量攜帶vlan標簽，那么它本身是可以標識vlan信息的，如果進入交換機的流量未被標記(如終端設備發送到交換機的流量)，將通過接口的PVID進行標記，而標記的目的則是為后續的轉發做準備。Hybrid接口的PVID值默認是vlan 1，意味著所有接口默認都屬于vlan1。

• 根據untag和tag列表進行收發
• 交換機的Hybrid接口基于untag列表和tag列表接收或發送數據，其工作原理如下：
• .每個Hybrid接口都有一個默認的untag列表，其中包含一個或多個vlan編號，默認值為vlan 1
• .每個Hybrid接口都有一個tag列表，默認值為空，也可以設置包含一個或多個vlan編號。
• .Hybrid接口收到數據幀后，首先檢查該數據幀是否攜帶標簽，如果攜帶標簽，則檢查本接口的tag列表，若tag列表中存在數據幀封裝的vlan ID，則接受，否則丟棄；如果不攜帶標簽，那么根據Hybrid接口的PVID進行標記。
• .Hybrid接口發送數據幀之前，檢查本接口的untag和tag列表，若數據幀封裝的vlan ID存在untag列表中，則去掉802.1Q封裝發送原始數據幀；若存在于tag列表中，則保留802.1Q封裝并發送帶標簽的數據幀；若兩個列表中都沒有數據幀的vlan ID，則不發送該數據幀。

在數據發送時untag列表的應用如下圖：

tag列表處理數據幀的接收和發送如下圖：

以上是Hybrid接口收發數據幀的基本原則，其對應的處理流程如下圖：

Hybrid接口和Trunk接口都可以給多個vlan打標簽，也可以傳輸多個vlan的流量；但是Hybrid接口可以允許多個不同vlan的報文發送時不打標簽，而Trunk接口只允許默認vlan 的報文發送時不打標簽。

三種類型的接口可以共同存在一臺交換機上，但Trunk接口不能直接切換為Hybrid接口，只能先設為Access接口，再設置為Hybrid接口。例如，trunk接口不能直接被設置為hybrid接口，只能先設為access接口，再設置為hybrid接口。

下面來配置一個簡單的案例

需求如下：

公司內部網絡由一臺交換機四個VLAN構成，分別是VLAN10、VLAN20、VLAN30、VLAN100、公司要求VLAN10、VLAN20、VLAN30都可以訪問VLAN100，但VLAN10、VLAN20、VLAN30之間不能相互訪問。

開始配置：

1、按照拓撲圖配置PC的IP地址，不需要配置網關，此拓撲是同網段通信

2、配置交換機

[LSW1]VLAN batch 10 20 30 100 #批量創建vlan[LSW1]int eth 0/0/1 #進入接口[LSW1-Ethernet0/0/1]port link-type hybrid #接口配置為hybrid [LSW1-Ethernet0/0/1]port hybrid untagged vlan 10 100 #轉發數據移除vlan10和100的標識[LSW1-Ethernet0/0/1]port hybrid pvid vlan 10 #進入接口接收數據打標識為vlan10的標識[LSW1-Ethernet0/0/1]quit[LSW1]int eth 0/0/2 #進入接口[LSW1-Ethernet0/0/2]port link-type hybrid #接口配置為hybrid[LSW1-Ethernet0/0/2]port hybrid untagged vlan 20 100 #轉發數據移除vlan20和100的標識[LSW1-Ethernet0/0/2]port hybrid pvid vlan 20 #進入接口接收數據打標識為vlan20的標識[LSW1-Ethernet0/0/1]quit[LSW1]int eth 0/0/3 #進入接口[LSW1-Ethernet0/0/3]port link-type hybrid #接口配置為hybrid[LSW1-Ethernet0/0/3]port hybrid untagged vlan 30 100#轉發數據移除vlan30和100的標識 [LSW1-Ethernet0/0/3]port hybrid pvid vlan 30 #進入接口接收數據打標識為vlan30的標識[LSW1-Ethernet0/0/3]quit[LSW1]int eth 0/0/4 #進入接口[LSW1-Ethernet0/0/4]port link-type hybrid #接口配置為hybrid[LSW1-Ethernet0/0/4]port hybrid untagged vlan 10 20 30 100 #轉發數據移除vlan10、20、30和100的標識[LSW1-Ethernet0/0/4]port hybrid pvid vlan 100#進入接口接收數據打標識為vlan100的標識[LSW1-Ethernet0/0/4]quit

配置完成后以上要求即便實現，結果如下：

感謝閱讀，如有問題多多提議