华为-交换技术Hybrid

VLAN的基本概念

vlan就是虚拟局域网，是在二层交换机上将一个物理的LAN在逻辑上划分红多个广播域（多个vlan）的通讯技术。同一个vlan内的主机能够直接通讯，而不一样vlan之间进行通行的话，则须要依赖三层网络设备（三层交换机、路由器等）。

Hybrid的特色

• 华为交换机接口默认为Hybrid模式
• 既能够实现access接口功能，也能够实现trunk接口功能
• 不借助三层设备便可实现跨vlan通讯和访问控制
• 相对于access接口和trunk接口具备更高的灵活性和可控性
  hybrid的做用体现自己拥有强大的访问控制功能，经过对接口的配置能够隔离来自同一个vlan的流量，也能够隔离来自不一样vlan的流量。
  小结：二层（OSI)的解决档案永远比三层（OSI）的解决要好，由于二层的效率要高于三层。事实上，所涉及的层次（OSI）越高，效率越低

  Hybrid接口的工做原理

• untag列表：只在接口发送数据帧是起做用，若是须要发送的数据的vlan标签在接口的untag列表中，那么将去除标签发送数据
• tag列表：做用于接收被标记的数据帧和发送数据帧。其做用相似于一个容许的vlan标识列表。当接口接受到带有vlan标签的数据帧是，该接口的tag列表至关于vlan的容许列表，不在该列表中的数据将被丢弃；当接口数据帧是，数据的vlan标签在接口的tag列表中，将保持标签发送数据帧，不然被丢弃数据帧。
• PVIP：接口默认的PVID为vlan1。PVID只在接受未标记帧时起做用。PVID用于在接受未标记数据帧时给数据帧打上当前的PVID标识。
  小结：从功能特性上说。Hydrid接口中的untag列表和PVID用于实现access特性，而tag列表用于实现trunk特性。但有不限于于此，由于hybrid接口至关于access解口和trunk接口能够更加灵活，适用各类场景

  根据PVID封装802.1Q

  一、在网路经过vlan隔离状况下，能够将流量分为两种类型。一种是标记流量，即经过802.1q打了标签的数据帧；另外一种是未标记流量，也就是原始的以太网帧。一般状况下有终端设备发送和接受流量的流量为未标记。当交换机接受到一个标记流量是，将经过其802.1q封装。
  
  任何进入交换机的流量都应该被标记，若是进入交换机的流量携带vlan标签，那么他自己是能够标识vlan信息的，若是进入交换机的流量未标记，将经过接口的PVID进行标记，而标记目的的则是为后续的转发作准备，Hybrid接口的PVID值默认是vlan 1，意味着全部接口默认都属于vlan1。

  根据untag列表和tag列表进行转发

• 每一个Hybrid接口默认都有一个untag列表，其中包含一个或者多个vlan编号，默认值为vlan1
• 每一个接口都有一tag列表，默认值为空，也能够设置包含一个或者多个vlan编号
• Hybrid接口收到数据帧以前，首先检查该数据帧是否携带标签，若是携带标签，则检查本接口tag列表，若tag列表中存在数据帧封装的vlan ID，则接收，不然丢弃；若是不携带标签，那么根据Hybrid接口的PVID进行标记
• Hybrid接口发送数据帧以前，检查本接口untag和tag列表，若数据帧封装的vlanid存在于unbag列表中，则去掉802.1q封装发送原始数据帧；若存在于tag列表中，则保留802.1q封装并发送带标签的数据帧；若两个列表中均无数据帧的vlanID，则不发送。
  如下是Hybrid接口收发数据帧时的处理流程
  
  Hybrid接口和Trunk接口均可以给多个vlan打标签，也能够传输多个vlan的流量；可是Hybrid接口能够容许多个不一样vlan的报文发送时不打标签（把相应的vlan ID添加到untag列表中便可实现咯），而Trunk接口只容许默认vlan 的报文发送时不打标签。

三种类型的接口能够共同存在一台交换机上，但Trunk接口不能直接切换为Hybrid接口，只能先设为Access接口，再设置为Hybrid接口（Hybrid接口能够直接设置为Trunk接口，无论如何切换，都有一些限制，如Trunk接口切换至Access接口时，须要删除或更改一些接口配置，才能够更换为Access接口，牵扯原理比较多，举个栗子，华为交换机设置为Trunk接口时，须要手动容许全部vlan流量经过，才能够正常工做，不然默认只容许vlan1的流量经过Trunk接口，这样Trunk接口便没有存在的意义了，而Access只容许一个vlan的流量经过，因此，若想从Trunk改成Access，必须先更改原有的“容许全部vlan经过”相关的配置）。

下面是hybrid接口应用场景案例解析：
hybrid接口基于三个属性收发数据，在了解工做基础上，针对下图所示的拓扑图分析其工做过程，图中全部的交换机接口皆为hybrid接口，vlan信息，网段和hybrid信息见图中标识，经过对hybrid接口的配置，实现以下需求：

• 生产部客户端和销售部客户端能够互相访问，且只能访问服务器1。
• 财务部客户端不能喝任何部门通讯，只能访问服务器2。
  
  hybrid的配置
• 配置终端设备和服务器IP及网络参数
• 在交换机s1和s2上分别建立vlan2，vlan3和vlan10
  
  
• 在交换机s1和s2上配置hybrid接口
  S1交换机的配置以下
  
  S2交换机的配置以下
  经以上配置，就能够实现财务部只能和服务器2通讯，且不能与服务器1通讯。在生产部能够和其余部门及服务器通讯，但不能与财务部和服务器2通讯该实验说明，华为hybrid接口能够实现二层的vlan隔离及访问的控制