本实验基于《HCNA网络技术实验指南》
原理概述:
Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路,它允 许多个VLAN的帧通过,并可以在出接口方向将某些VLAN帧的标签剥掉。
Hybrid接口处理VLAN帧的过程如下:
(1)收到一个二层帧,判断是否有VLAN标签。没有标签,则标记上Hybrid接口 的PVID.进行下一步处理;有标签.判断该Hybrid接口是否允许该VLAN的帧进入” 允许则进行下一步处理,否则丢弃°
(2)当数据帧从Hybrid接口发出时,交换机判断VLAN在本接口的属性是Untagged 还是Taggedo如果是Untagged.先剥离帧的VLAN标签,再发送;如果是Tagged,则直接发送帧中
通过配置Hybrid接口,能够实现对VLAN标签的灵活控制,既能够实现Access接 口的功能,又能够实现Trunk接口的功能。
实验目的:
•掌握配置Hybrid接口的方法
•理解Hybrid接口处理Untagged数据帧过程
•理解Hybrid接口处理Tagged数据帧过程
•理解Hybrid接口的应用场景
实验内容:
某企业二层网络使用两台S3700交换机S1和S2,且两台设备在不同的楼层。网络 管理员规划了 3个不同VLAN, HR部门使用VLAN 10,市场部门使用VLAN 20, IT部门使用VLAN 30.
现在需要让处于不同楼层的HR部门和市场部门实现部门内部通信” 而两部门之间不允许互相通信;IT部门可以访问任意部门口可以通过配置Hybrid接口 来实现较复杂的VLAN控制。
实验拓扑:
实验编址:
|
设备 |
接口 |
ip地址 |
子网掩码 |
默认网关 |
|
PC-1 |
Ethernet 0/0/1 |
192.168.1.1 |
255,255.255.0 |
N/A |
|
PC-2 |
Ethernet 0/0/1 |
192.168.1.2 |
255255.255.0 |
N/A |
|
PC-3 |
Ethernet 0/0/1 |
192.168.1.3 |
255255.255,0 |
N/A |
|
PC-4 |
Ethernet 0/0/1 |
192.168.1.4 |
255.255.255.0 |
N/A |
|
PC-5 |
Ethernet 0/0/1 |
192.168.1.100 |
255.255255.0 |
N/A |
实验步骤 :
1.基本配置
按照实验编址表为PC机配置IP地址,完成配置后,测试主机之间的连通性
可以观察到,此时PC-1访问其他主机通信正常,PC4,5主机上的测试过程省略。在没有定文VLAN及接口类型之前,默认情况下,交换机上所有接口都是Hybrid
类型,接口的PVID是VLAN 1,即所有接口收到没有标签的二层数据帧,都被转发到 VLAN 1中,并继续以Untagged的方式把帧发送至同为VLAN 1的其他接口。所以,
即使不做任何配置,主机之间默认仍然可以互相通信。
在LWS1上使用display port vlan命令査看接口的默认类型
可以观察到,接口默认是Hybrid类型,接口 PVID是VLAN 1,其他接口也一样。 在交换机上使用display vlan命令查看接口和所属VLAN的对应关系。
可以观察到,所有接口都默认属于VLAN 1,其他交换机也都一样,因此VLAN 1 内所有的主机都可以直接访问。
2.实现组内通信,组间隔离
交换机接口的类型可以是Access, Trunk和Hybrid。Access类型的接口仅属于一个 VLAN,只能接收、转发相应VLAN的帧;而Trunk类型接口则默认属于所有VLAN, 任何Tagged帧都能经过Trunk接收和转发;Hybrid类型接口则介于二者之间,可自主定义端口上能接收和转发哪些VLAN Tag的帧,并可决定VLAN Tag是否继续携带或者剥离。Access和Trunk类型接口是Hybrid类型接口的两个特例,一个仅支持一个VLAN 的传递,一个默认支持所有VLAN的传递、而Access类型和Trunk类型的接口能做到的, Hybrid接口都能做到。
目前要求实现HR部门和市场部门的员工终端可以进行部门内部通信,即VLAN 10 内PC-2和PC-4之间可以自由访问.VLAN 20内PC-1和PC-3之间可以自由访问,而两 个部门间的员工不能互相访问,即VLAN 10和VLAN20之间不能互相访问。
要实现此需求,可以使用Access和Trunk的配置方法也可以仅使用Hybrid的配置方法。
使用Trunk和Access类型接口的配置过程如下:
将S1上的E 0/0/2和S2上的E 0/0/2配置为Access类型,并将相应的接口加入到 VLAN 20。同理,将S1上的E 0/0/3和S2上的E 0/0/3也配置为Access类型接口,并加入到VLAN 10.而交换机之间的互连链路的两个E 0/0/1接口则配置为Trunk类型。
配置完成后,查看接口和VLAN的对应关系
可以观察到,配置已经生效。
在PC-1上测试与同VLAN 20的PC-3的连通性以及与VLAN 10内终端的连通性
可以观察到,在单台交换机及跨交换机间的访问控制使用Trunk和Access类型接口 实现了需求.但同样的需求使用Hybrid实现会更灵活。
使用Hybrid类型接口的配置过程如下:
(配置之前删除之前配置,重新打开,否则E 0/0/1 trunk接口不能直接修改为hybrid接口,需使用undo命令删除之前trunk接口配置命令)
创建VLAN 10, VLAN 20
配置port link-type hybrid命令修改接口类型为默认的Hybrid类型口
配置port hybrid untagged vlan 20命令使得交换机在该接口转发VLAN 20的帧时, 剥离掉相应的VLAN Tag 20,以Untaggd的方式发送给PC。
配置port hybrid pvid vlan 20命令设置Hybrid类型接口的默认VLAN ID,即使 得该端口上接收到PC发来的未带VLAN Tag的帧时,加上VLAN Tag 20,并转发到 VLAN 20,
同样在连接另一台终端的E 0/0/3接口做同样配置。
在连接交换机S2的E 0/0/1接口上修改端口类型为默认的Hybrid类型 并使用port hybrid tagged vlan 10 20命令设置该链路仅接收带
有VLAN Tag 10和20的帧,而交换机也仅转发VLAN 10和VLAN 20的帧到该链路。一般该命令配置在交换机互连的链路接口之上
S2交换机将在E 0/0/1接口接收到的Tagged帧,根据VLAN Tag标识,向接口 E 0/0/2 转发VLAN 20的帧.向接口 E 0/0/3转发VLAN 30的帧。反之,接口 E 0/0/2接收到PC 发送的未带Tag的帧转发到VLAN 20,端口 E 0/0/3接收的到未带Tag的帧会被转发到 VLAN 10,并且这些帧发送到邻居交换机S1时,会保留原有Tag。
S2上的配置和S1类似
配置完成后,使用display vlan命令杳看使用Hybrid配置下接口和VLAN的对应关系。
可以观察到,同样的需求,Hybrid和Access. Trunk都能实现(测试省略),但Hybrid 的灵活性及解决复杂需求的能力是Access和Trunk达不到的。
3.实现网管员对所有网络的访问
在实现各部门内部终端可以互相访问,不同部门间的终端隔离访问后要求网络管理员所在的IT部门(使用终端PC-5)能够实现对所有部门的访问。即要求实现VLAN 30 访问VLAN 10和VLAN 20, VLAN 10和VLAN 20之间仍然不允许互相访问。如果S1的E 0/0/2接口仍是Access类型且属于VLAN 10,则不能被其他VLAN访问。若要VLAN 30的终端能访问VLAN 10的终端,则需要修改接□的配置,使其既能被VLAN 10访问, 又能被VLAN 30访问,这就要求此接口同时要属于多个VLAN.且端口所连设备是PC, 不能识别带VLAN Tag的帧,故此时只能使用Hybrid类型接口" Hybrid端口既能被加入 多个VLAN中,又能够在将其余VLAN的帧转发到此接口吋,剥离荐相应的VLAN Tago
配置S1交换机,E 0/0/4接口是网络管理员的PC终端,属于VLAN 30.该接口收 到的PC发送的UntHgged帧要能够发送至VLAN 30中,配置port hybrid pvid vlan 30 命令设置Unladed帧加入至VLAN 30。
因为在华为交换上,默认所有接口都为Hybrid类型接口,所以在该接口下不需要修改配置。
S1交换机收到VLAN 10. VLAN 20和VLAN 30的帧也要能够从该接口发送至PC, 配置port hybrid untagged vlan 10 20 30命令使得上述3个VLAN的帧会以Untagged的 方式从该接口发送出去.
同理.端口E 0/0/2接PC-1,接口收到PC的Untagged帧需要发送至VLAN 20,使用 port hybrid pvid vlan 20 命令。E 0/0/2 接口同时也要能够被 VLAN 30 和 VLAN 20 的主机访问,即VLAN 20和30的帧能够从该接口发送出去,并以Untagged的方式发 送至PC-1。
接口 E 0/0/3收到Untagged的帧需发送至VLAN 10,同时VLAN 10和30的帧要能从该接口发送出去。
VLAN 10. VLAN20和VLAN30的帧要能够发送至邻居交换机S2,且要保留原有的 VLAN Tag,以便于邻居交换机S2根据VLAN Tag继续转发到相应的VLAN,同样,邻 居交换机S2发送过来的帧也会带有相应的VLAN Tag,所以S1与S2间互连的接口 E 0/0/1配置如下。
同理在S2交换机上, E 0/0/1接口收到的带有相应VLAN Tag标记的帧,如果是VLAN 10的帧要能发送至接口 E 0/0/3,如果是VLAN 20的帧要能发送至E 0/0么 而如果是 VLAN 30的帧要能发送至接口 E 0/0/2和E 0/0/3oVLAN 10.20和30的帧都是以Untagged 的方式发送至接口 E 0/0/2或E 0/0/3o反之,如果PG3发出的Untagged的帧发送至接 口 E 0/0/2时会进入到Hybrid接口 PVID所指明的VLAN 20中,卩C-4发出的Urita甌词 的帧发送至接口 E 0/0/3时会进入到Hybrid接口 PVID所指明的VLAN 10中,具体配置过程如下
S1和S2上全部配置完成后,使用ping命令在IT部门的网络管理员的PC-5上测试 与不同部门内的各台主机间的连通性,以PC-1为例
可以观察到,PC-5所属网络管理员所在的VLAN 30,能够正常访问到其他部门的 所有终端。
同理.选择市场部门所在VLAN 20内的主机PC-1,测试其与其他主机间的连通性。
测试PC-1与本部门内的主机PC-3间的连通性。
可以正常通信,
测试PC-1与外部门的主机PC-2和PC-4间的连通性
不能正常通信,实现了设计要求
测试PC-1与IT部门网络管理员主机PC-5间的连通性
可以正常通信。
在交换机上可以定义多个VLAN,每个VLAN都可以看做是一个广播域,通常情况下每个VLAN都会分配一个独立的IP网络,根据需要把相应主机所在的接口划入到指 定的VLAN中,并配置相应的网络IP地址, VLAN间通过路由来实现互相访问。这是较为常用的方法.但是相比于基于端口的Hybrid配置,三层路由方式则不够灵活,原因在于VLAN之间的访问控制要借助于路由设备来实现口而控制VLAN访问使用Hybrid 接口则极大地简化了配置的复杂性.它仅需在端口上自主定义基于VLAN Tag的过滤规则,来决定指定的VLAN的二层帧是否允许发送;它是通过二层来实现VLAN间的访问控制,既不需要每个VLAN定义单独的IP网段,更不需要在VLAN间引入路由设备, 配置更为灵活方便。
若想保存此配置需要使用save命令
原文地址:https://www.cnblogs.com/swl0221/p/11936218.html