Hybrid接口的应用及配置
原理简述:
Hybrid接口既可以连接普通终端的接入链路也可以了解交换机之间的干道链路,它允许对个VLAN的帧通过,同时可以在出接口方向将某些VLAN帧的标签剥掉。
Hybrid接口处理VLAN帧的过程:
(1)收到一个二层帧,判断是否有VLAN标签。没有标签,则标记上Hybrid接口的PVID,进行下一步处理;有标签,判断该Hybrid接口是否允许该VLAN的帧进入,允许则进行下一步处理,否则将其丢弃。
(2)当数据帧从Hybrid接口发出时,交换机判断VLAN在本接口的属性是Untagged还是Tagged,如果是前者,先剥离该帧的VLAN标签,再发送;如果是后者,则直接发送帧。
通过配置Hybrid接口,能够实现对VLAN标签的灵活控制,既能实现Access接口的功能,又能实现Trunk接口的功能。
实验内容:
现通过配置Hybrid接口实现:处于不同楼层的HR部门和市场部门实现部门内部通信,而两部门之间不允许互相通信;IT部门可以访问任意部门。
实验目的:
(1)掌握配置Hybrid接口的方法;
(2)理解Hybrid接口处理Untagged数据帧的过程;
(3)理解Hybrid接口处理Tagged帧的过程;
(4)理解Hybrid接口的应用场景。
实验拓扑:
实验配置:
1.基本配置:根据实验要求配置PC的IP地址。完成后,使用ping命令测试主机之间的连通性。
在没有定义VLAN及接口类型前,默认情况下,交换机上所有的接口都是Hybrid接口,接口的PVID都是VLAN 1,即所有接口收到没有标签的二层数据帧,都被转发带VLAN 1中,并继续以Untagged的方式吧帧发送给同为VLAN 1的其他接口。故即使未做任何配置,主机之间默认仍然可以互相通信。
可以使用display port vlan命令查看接口的默认类型。使用display vlan命令查看接口与VLAN的对应关系。
[S1]dis port vlan Port Link Type PVID Trunk VLAN List ------------------------------------------------------------------------------- Ethernet0/0/1 hybrid 1 - Ethernet0/0/2 hybrid 1 - Ethernet0/0/3 hybrid 1 - Ethernet0/0/4 hybrid 1 -
由上面的显示可以看出:所有接口都默认属于VLAN 1,其他的交换机也如此,所以VLAN 1 内的主机可以互相通信。
2.实现组内通信、组间隔离:实现相同VLAN内的主机能够互通,不同VLAN间的主机不能通信。
(1)Access类型的接口仅属于一个VLAN,只能接收、转发相应VLAN的帧;
(2)Trunk类型的接口则默认属于所有的VLAN,任何Tagged帧都能经过Trunk接收和转发;
(3)Hybrid类型的接口则介于两者之间,可自主定义端口上能接收和转发哪些VLAN Tag的帧,并可决定VLAN Tag是否继续携带或者剥离。
方案一:使用Access和Trunk类型的接口实现
交换机与主机间用Access接口连接,交换机与交换机之间用Trunk类型接口连接。
[S1]vlan batch 10 20 [S1]int e0/0/4 [S1-Ethernet0/0/4]port link-type access //配置接口类型为Access接口 [S1-Ethernet0/0/4]port default vlan 20 //划分到相应的VLAN内 [S1-Ethernet0/0/4]int e0/0/3 [S1-Ethernet0/0/3]port link-type access [S1-Ethernet0/0/3]port default vlan 10 [S1-Ethernet0/0/3]int e0/0/2 [S1-Ethernet0/0/2]port link-type trunk //配置Trunk类型接口 [S1-Ethernet0/0/2]port trunk allow-pass vlan all //设置允许所有VLAN通过 ......
配置完成后,使用display vlan命令查看接口与VLAN的对应关系。
[S1]dis vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/1(U) Eth0/0/2(U) Eth0/0/5(D) Eth0/0/6(D)
Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D)
Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D)
Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D)
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D)
GE0/0/1(D) GE0/0/2(D)
10 common UT:Eth0/0/3(U) //已经划入相应的VLAN内
TG:Eth0/0/2(U)
20 common UT:Eth0/0/4(U)
TG:Eth0/0/2(U)
现在PC上测试相同VLAN间的主机的连通性,以及与不同的VLAN间的连通性。
PC>ping 192.168.1.3 //相同VLAN间通信正常 Ping 192.168.1.3: 32 data bytes, Press Ctrl_C to break From 192.168.1.3: bytes=32 seq=1 ttl=128 time=63 ms From 192.168.1.3: bytes=32 seq=2 ttl=128 time=46 ms From 192.168.1.3: bytes=32 seq=3 ttl=128 time=63 ms From 192.168.1.3: bytes=32 seq=4 ttl=128 time=46 ms From 192.168.1.3: bytes=32 seq=5 ttl=128 time=63 ms --- 192.168.1.3 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 46/56/63 ms PC>ping 192.168.1.2 //不同VLAN间无法互相通信 Ping 192.168.1.2: 32 data bytes, Press Ctrl_C to break From 192.168.1.1: Destination host unreachable From 192.168.1.1: Destination host unreachable From 192.168.1.1: Destination host unreachable From 192.168.1.1: Destination host unreachable From 192.168.1.1: Destination host unreachable --- 192.168.1.2 ping statistics --- 5 packet(s) transmitted 0 packet(s) received 100.00% packet loss
方案二:使用Hybrid接口类型实现
使用undo port default vlan命令恢复接口的默认VLAN,使用port link-type hybrid命令修改接口类型为Hybrid类型,port hybrid untagged vlan 20命令是交换机在该接口转发VLAN 20 的帧时,剥离掉相应的VLAN Tag 20,以Untagged的方式发送给PC机,port hybrid pvid vlan 20命令设置Hybrid接口的默认VLAN ID,即使得该端口上接收到PC发来的未带VLAN Tag的帧时,加上VLAN Tag 20,并转发到VLAN 20。
[S1]int e0/0/4 [S1-Ethernet0/0/4]undo port default vlan //恢复接口的默认VLAN [S1-Ethernet0/0/4]port link-type hybrid //配置接口类型为Hybrid接口 [S1-Ethernet0/0/4]port hybrid untagged vlan 20 //剥离掉VLAN 20的标签,以不带标签的形式发送给PC [S1-Ethernet0/0/4]port hybrid pvid vlan 20 //接收到PC发来的不带标签的VLAN Tag的帧,打上pvid为20的标签,并转发给VLAN 20 ...... ......
将交换机与交换机之间的接口修改为默认的Hybrid端口,使用port hybrid tagged vlan 10 20命令设置该链路仅接收带有VLAN Tag 10和20的帧,交换机也仅转发VLAN 10和VLAN 20 的帧到该链路。一般该命令配置在交换机互联的链路接口之上。
[S1]int e0/0/2 [S1-Ethernet0/0/2]port trunk allow-pass vlan 1 [S1-Ethernet0/0/2]undo port trunk allow-pass vlan 2 to 4094 [S1-Ethernet0/0/2]port hybrid tagged vlan 10 20
S1交换机将在E0/0/2接口接收到Tagged帧,根据VLAN Tag标识,向接口E0/0/4转发VLAN 20的帧,向接口E0/0/3转发VLAN 10的帧。相反的,接口E0/0/4接收到PC发送的未带Tag的帧转发给VLAN 20,端口E0/0/3接收到的未带Tag的帧转发给VLAN 10,并且这些帧发送到邻居交换机S1时,会保留原有Tag。
使用display vlan命令查看接口与VLAN的对应关系。
。。。。。。
10 common UT:Eth0/0/3(U)
TG:Eth0/0/2(U)
20 common UT:Eth0/0/4(U)
TG:Eth0/0/2(U)
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
10 enable default enable disable VLAN 0010
20 enable default enable disable VLAN 0020
3.实现IT部门对所有网络的访问
Hybrid接口既可以被加入多个VLAN中,又能够在将其余VLAN的帧转发到此接口时,剥离掉相应的VLAN Tag。
[S1]vlan 30 [S1-vlan30]int e0/0/1 [S1-Ethernet0/0/1]port hybrid pvid vlan 30
S1交换机收到VLAN 10、VLAN 20、VLAN 30的帧要能够从该接口上发送至PC。port hybrid untagged vlan 10 20 30命令是这3中帧会以Untagged 的形式从该接口发送出去。
[S1-Ethernet0/0/1]port hybrid untagged vlan 10 20 30 [S1-Ethernet0/0/4]port hybrid untagged vlan 20 30 [S1-Ethernet0/0/3]port hybrid untagged vlan 10 30 。。。。。。
配置完成后,使用ping命令测试IT部门与其他PC间的连通性,以及相同VLAN 间的主机的连通性。
PC>ping 192.168.1.4 Ping 192.168.1.4: 32 data bytes, Press Ctrl_C to break From 192.168.1.4: bytes=32 seq=1 ttl=128 time=62 ms From 192.168.1.4: bytes=32 seq=2 ttl=128 time=94 ms From 192.168.1.4: bytes=32 seq=3 ttl=128 time=62 ms From 192.168.1.4: bytes=32 seq=4 ttl=128 time=63 ms From 192.168.1.4: bytes=32 seq=5 ttl=128 time=62 ms --- 192.168.1.4 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 62/68/94 ms PC>ping 192.168.1.4 Ping 192.168.1.4: 32 data bytes, Press Ctrl_C to break From 192.168.1.4: bytes=32 seq=1 ttl=128 time=63 ms From 192.168.1.4: bytes=32 seq=2 ttl=128 time=78 ms From 192.168.1.4: bytes=32 seq=3 ttl=128 time=47 ms From 192.168.1.4: bytes=32 seq=4 ttl=128 time=62 ms From 192.168.1.4: bytes=32 seq=5 ttl=128 time=63 ms --- 192.168.1.4 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 47/62/78 ms PC>ping 192.168.1.3 Ping 192.168.1.3: 32 data bytes, Press Ctrl_C to break From 192.168.1.2: Destination host unreachable From 192.168.1.2: Destination host unreachable From 192.168.1.2: Destination host unreachable From 192.168.1.2: Destination host unreachable From 192.168.1.2: Destination host unreachable --- 192.168.1.3 ping statistics --- 5 packet(s) transmitted 0 packet(s) received 100.00% packet loss
常用方法:
在交换机上可以定义多个VLAN,每个VLAN都可以看做是一个广播域,通常情况下每个VLAN都会分配一个独立的IP网络,根据需要把相应的主机所在的接口划入到指定的VLAN中,并配置相应的网络IP地址,VLAN间通过路由来实现互相访问。
三层路由方式较Hybrid配置而言,需要在VLAN之间添加路由设备来实现访问控制。
控制VLAN访问使用Hybrid接口则简化了配置的复杂性,它仅需要在接口上自定义基于VLAN Tag短的过滤规则,来决定指定的VLAN的二层帧是否允许发送,它是通过二层实现VLAN间的访问控制,既不需要每个VLAN定义单独的IP网段,也不需要在VLAN间引入路由设备,配置较为灵活。