华为设备二层交换技术——Hybrid接口详解

一般状况下，公司对内网的使用远远高于对外网的使用。公司的内部网络是由二层交换网络构建的，因此二层网络设计的好坏直接影响公司的正常业务。好的设计不只使 功能获得体现，还能够应对一些未知的隐患，如线路损坏、设备损坏等。下面咱们主要对华为的二层设备进行了解，不过首先要了解的就是二层设备（交换机）主要的就是——VLAN。

1、VLAN的基本概念

在传统的交换机以太网中，全部的用户都在同一个广播域中，当网络规模较大时，广播包的数量会急剧增长，当广播包的数量占到总量的30%时，网络的传输的效率会明显的降低，特别是当某网络设备出现故障时，也会不停的想网络发送广播，从而致使广播风暴的产生，是网络通讯陷于瘫痪状态，那么怎么解决这个问题呢？

咱们可使用分隔广播域的方法来解决这个问题，分隔广播域有两种方法：

• 物理分隔：将网络从物理上划分为若干个小网络，再使用能隔离广播的路由设备将不一样的网络链接起来实现通讯；
• 逻辑分隔，将网络从逻辑上划分为若干个小的虚拟网络，即VLAN。VLAN工做在数据链路层，一个VLAN就是一个交换网络，其中的全部用户都在同一个广播域中，使各VLAN经过路由设备链接实现通讯；

使用物理分隔会有不少缺点，它会使局域网的设计缺少灵活性。例如：链接在同一台交换机上的用户只能划分在同一个网络中，而不能划分在多个不一样的网络中。

VLAN的产生给局域网的设计增长了灵活性，使得网络管理员在划分工做组时，再也不受限于用户所处的地理位置。VLAN能够在一个交换机上实现，也能够跨交换机实现。它能够根据网络用户的位置、做用或部门进行划分，如图：

VLAN具备灵活性和可扩展性等特色，使用VLAN技术有如下好处：
（1）控制广播：
每一个VLAN都是一个独立的广播域，这样就减小了广播对网络带宽的占用，提升了网络传输效率，而且每个VLAN出现广播风暴不会影响到其余的VLAN；
（2）加强网络安全性：
因为只能在同一VLAN内的端口之间交换数据，不一样VLAN的端口之间不能直接访问，所以VLAN能够限制个别主机访问服务器等资源。所以，经过划分VLAN能够提升网络的安全性；
（3）简化网络管理：
对于交换式以太网，若是对某些用户进行网段分配，须要网络管理员对网络系统的物理结构从新进行调整，甚至须要追加网络设备，这样会增大网络管理的工做量。而对于采用VLAN技术的网络来讲，一个VLAN能够根据部门职能、对象组会应用将不一样地理位置的用户划分为一个逻辑网段，在不改动网络物理链接的状况下能够任意地将工做站在工做组或子网之间移动。利用VLAN技术，大大减轻了网络管理和维护工做的负担，下降了网络维护的费用；

根据VLAN使用和管理的不一样，VLAN分为两种：
（1）静态VLAN
静态VLAN也称为基于端口的VLAN，是目前最多见的VLAN实现方式。
静态VLAN即明确指定交换机的端口属于哪一个VLAN，这须要网络管理员手动配置，当用户主机链接到交换机端口是，也就被分配到了相应的VLAN中；
（2）动态VLAN
动态VLAN的实现方式有不少种，目前最广泛的实现方式时基于MAC地址的动态VLAN。
基于MAC地址的动态VLAN是根据主机的MAC地址自动将其分配到相应的VLNA中，这种VLAN的划分方式优势：当用户物理位置移动时，不会从新分配VLAN，缺点：初始化时全部的用户都必须进行配置，配置任务很是繁重！

VLAN的范围，如图：

还有一些VLAN的封装过程，这里就不详细介绍了！

2、Hybrid接口的特色

按照VLAN接口封装类型，华为交换机的接口主要有三种模式：Access、Trunk和Hybrid。其中Access、Trunk接口和Cisco技术并没有差别，Hybrid接口是华为设备特有的接口模式。Hybrid接口和Trunk接口的相同之处是均可以容许多个VLAN的流量经过并打标签，不一样之处在于Hybrid接口能够容许多个VLAN的报文发送时不打标签。主要介绍华为交换机的Hybrid接口！

Hybrid接口做为华为交换机的特有属性接口，主要特色有：

• 华为交换机接口默认为Hybrid模式；
• 既能够实现Access接口的功能，也能够实现Trunk接口的功能；
• 不借助三层设备便可实现跨VLAN通讯和访问控制；
• 相对于Access接口和Trunk接口具备更高的灵活性与可控性；

Hybrid接口的做用主要体如今：

• 流量隔离：Hybrid接口自己拥有强大的访问控制能力，经过对接口的配置能够隔离来自同一个VLAN的流量，也能够隔离来自不一样VLAN的流量；
• 流量互通：Hybrid接口可使不一样的VLAN之间在二层实现通讯；

注意：二层的解决方案永远比三层的解决方案要好，由于二层的效率要高于三层。事实上，所涉及的层次越高，效率越低！

3、Hybrid接口的工做原理

Hybrid接口可以灵活地控制一个接口上数据帧VLAN标签的添加和移除。例如：在接口对端的设备是交换机的状况下，能够配置接口容许某一些VLAN的数据帧携带VLAN标签经过该接口，而另一些VLAN则不携带VLAN的标签发出。在接口对端设备是主机的状况下，能够配置发送到这些接口的数据帧不携带任何VLAN标签。

Hybrid接口的工做原理涉及到接口的三个属性，分别是：

• untag列表：只在接口发送数据帧时起做用，若是须要发送的数据的VLAN标签在接口的untag列表中，那么将去除标签发送数据；
• tag列表：做用与接收被标记的数据帧和发送数据帧。其做用相似于一个容许的VLAN标识列表。当接口接收到带有VLAN标签的数据帧时，该接口的tag列表至关于VLAN的容许列表，不在列表中的数据帧将被丢弃；当接口发送数据时，数据的VLAN标签在接口的tag列表中。将保持标签发送数据帧，不然将丢弃数据帧。
• PVID：接口默认的PVID为VLAN1，PVID只在接收未标记的帧时才起做用。PVID用于在接收未标记数据帧时会给数据帧打上当前的PVID标识；

从功能特性上来讲，Hybrid接口中的untag列表和PVID用于实现Access特性，而tag列表用于实现Trunk特性。但又不只仅是这样，由于Hybrid接口相比于Access接口和Trunk接口能够更加灵活，适用于各类场景。

（1）根据PVID封装802.1Q

在网络经过VLAN隔离的状况下，能够将流量分为两种类型：

• 一种是标记流量，即经过802.1Q打了标签的数据帧；
• 另外一种是未标记流量，也就是原始的以太网帧。

PVID工做原理：一般状况下由终端设备发送和接收的流量为未标记流量。当交换机接收到一个标记流量时，将经过其802.1Q标签来识别其VLAN ID，可是当交换机接收到一个未标记的流量时，将根据接口PVID对流量进行802.1Q封装。

在华为设备中，各类类型的接口都有默认的PVID，如图：

任何进入交换机的流量都应该被标记。若是进入交换机的流量携带VLAN标签，那么它自己是就能够标识VLAN信息的，若是进入交换机的流量未被标记，经将经过接口的PVID进行标记，而标记的目的则是为了后续转发时使用！

PVID标记进入交换机的数据帧的示意图以下：

（2）根据untag列表和tag列表进行转发

交换机的Hybrid接口基于untag列表和tag列表接收或发送数据，其工做原理以下：

• 每一个Hybrid接口默认都有一个untag列表，其中包含一个或多个VLAN编号，默认值为VLAN1；
• 每一个接口都有一个tag列表，默认值为空，也能够设置包含一个或多个VLAN编号；
• Hybrid接口收到数据帧后，首先检查该数据帧是否携带标签，若是携带标签，则检查本接口的tag列表。若tag列表中存在数据帧封装的VLAN ID，则接收，不然将丢弃；若是不携带标签，那么根据Hybrid接口的PVID进行标记；
• Hybrid接口发送数据帧以前，检查本接口的untag和tag列表，若数据帧封装的VLAN ID存在于untag列表中，则去掉802.1Q封装发送原始数据帧；若存在于tag列表中，则保留802.1Q封装并发送带标签的数据帧；若两个列表中均无数据帧的VLAN ID，则不发送；

数据发送时untag列表的做用，如图：

数据发送时tag列表的做用，如图：

Hybrid接口发送数据帧的基本原则，其对应的处理流程图以下：

Hybrid接口和Trunk接口均可以给不一样的VLAN打标签，也能够传输多个VLAN的流量；可是Hybrid接口能够容许多个不一样VLAN的报文发送时不打标签，而Trunk接口只容许默认VLAN的报文发送时不打标签。

三种类型的接口能够共存在一台以太网交换机上，但Trunk接口和Hybrid接口之间不能直接切换，指能先设为Access接口，再设置为其余类型的接口。

4、Hybrid接口的应用场景

Hybrid接口基于三个属性收发数据，在了解其工做原理的基础上，分析其工做过程。经过对Hybrid接口的配置，实现以下需求：

• PC1和PC2之间能够相互访问，且只能访问PC4；
• PC3不能与PC1和PC2之间不能够相互通讯，只能访问PC5；

实验图，以下：

看到实验需求、实验拓补图，应首先规划好untag列表中、tag列表中应该添加哪些VLAN信息来实现功能！

若是对PVID、untag列表、tag列表的工做明白的状况下，关于untag列表与tag列表中填写哪些VLAN，能够自行添加，这是其中一种方法。

注意：一般状况下，接口默认的PVID为1，默认untag列表中包含VLAN1.若是额外给接口设置PVID编号，那么必定要同时将编号放到tag列表或者untag列表中，不然将不能通讯。

（1）Hybrid的配置

1.配置终端设备的IP地址

略！

2.在交换机S一、交换机S2上分别建立VLAN二、VLAN3和VLAN10

[S1]vlan batch 2 3 10

[S2]vlan batch 2 3 10

3.在交换机S1和S2上配置Hybrid接口

S1交换机的配置以下：

[S1]int g0/0/2
[S1-GigabitEthernet0/0/2]port link-type hybrid 
//配置接口模式为Hybrid（默认就是Hybrid接口）
[S1-GigabitEthernet0/0/2]port hybrid pvid vlan 1
//配置接口的PVID为1（默认也是）
[S1-GigabitEthernet0/0/2]port hybrid untagged vlan 1 2
//将VLAN一、VLAN2加入untag列表
[S1-GigabitEthernet0/0/2]int g0/0/3
[S1-GigabitEthernet0/0/3]port link-type hybrid
[S1-GigabitEthernet0/0/3]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 1 2
[S1-GigabitEthernet0/0/3]int g0/0/4
[S1-GigabitEthernet0/0/4]port link-type hybrid
[S1-GigabitEthernet0/0/4]port hybrid pvid vlan 10
[S1-GigabitEthernet0/0/4]port hybrid untagged vlan 3 10
[S1-GigabitEthernet0/0/4]int g0/0/1
[S1-GigabitEthernet0/0/1]port link-type hybrid
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 2
[S1-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
//将VLAN三、VLAN10添加到tag列表中

S2交换机的配置以下：

[S2-GigabitEthernet0/0/3]int g0/0/1
[S2-GigabitEthernet0/0/1]port link-type hybrid
[S2-GigabitEthernet0/0/1]port hybrid pvid vlan 1
[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 1 2
[S2-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
[S2]int g0/0/2
[S2-GigabitEthernet0/0/2]port link-type hybrid
[S2-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[S2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 2
[S2-GigabitEthernet0/0/2]int g0/0/3
[S2-GigabitEthernet0/0/3]port link-type hybrid
[S2-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10

4.验证网络通讯

PC1的测试以下：

PC3的测试以下：

实验需求已经知足！
还有好多方法能够实现这样的需求，好比：
第一种：

按照图中方法自行配置便可！

第二种：

按照图中自行配置亦可！不过是对于交换机之间接口没有特殊要求的状况下！

———————— 本文至此结束，感谢阅读 ————————