華爲-交換技術Hybrid

VLAN的基本概念

vlan就是虛擬局域網，是在二層交換機上將一個物理的LAN在邏輯上劃分紅多個廣播域（多個vlan）的通訊技術。同一個vlan內的主機能夠直接通訊，而不一樣vlan之間進行通行的話，則須要依賴三層網絡設備（三層交換機、路由器等）。

Hybrid的特色

• 華爲交換機接口默認爲Hybrid模式
• 既能夠實現access接口功能，也能夠實現trunk接口功能
• 不借助三層設備便可實現跨vlan通訊和訪問控制
• 相對於access接口和trunk接口具備更高的靈活性和可控性
  hybrid的做用體現自己擁有強大的訪問控制功能，經過對接口的配置能夠隔離來自同一個vlan的流量，也能夠隔離來自不一樣vlan的流量。
  小結：二層（OSI)的解決檔案永遠比三層（OSI）的解決要好，由於二層的效率要高於三層。事實上，所涉及的層次（OSI）越高，效率越低

  Hybrid接口的工做原理

• untag列表：只在接口發送數據幀是起做用，若是須要發送的數據的vlan標籤在接口的untag列表中，那麼將去除標籤發送數據
• tag列表：做用於接收被標記的數據幀和發送數據幀。其做用相似於一個容許的vlan標識列表。當接口接受到帶有vlan標籤的數據幀是，該接口的tag列表至關於vlan的容許列表，不在該列表中的數據將被丟棄；當接口數據幀是，數據的vlan標籤在接口的tag列表中，將保持標籤發送數據幀，不然被丟棄數據幀。
• PVIP：接口默認的PVID爲vlan1。PVID只在接受未標記幀時起做用。PVID用於在接受未標記數據幀時給數據幀打上當前的PVID標識。
  小結：從功能特性上說。Hydrid接口中的untag列表和PVID用於實現access特性，而tag列表用於實現trunk特性。但有不限於於此，由於hybrid接口至關於access解口和trunk接口能夠更加靈活，適用各類場景

  根據PVID封裝802.1Q

  一、在網路經過vlan隔離狀況下，能夠將流量分爲兩種類型。一種是標記流量，即經過802.1q打了標籤的數據幀；另外一種是未標記流量，也就是原始的以太網幀。一般狀況下有終端設備發送和接受流量的流量爲未標記。當交換機接受到一個標記流量是，將經過其802.1q封裝。
  
  任何進入交換機的流量都應該被標記，若是進入交換機的流量攜帶vlan標籤，那麼他自己是能夠標識vlan信息的，若是進入交換機的流量未標記，將經過接口的PVID進行標記，而標記目的的則是爲後續的轉發作準備，Hybrid接口的PVID值默認是vlan 1，意味着全部接口默認都屬於vlan1。

  根據untag列表和tag列表進行轉發

• 每一個Hybrid接口默認都有一個untag列表，其中包含一個或者多個vlan編號，默認值爲vlan1
• 每一個接口都有一tag列表，默認值爲空，也能夠設置包含一個或者多個vlan編號
• Hybrid接口收到數據幀以前，首先檢查該數據幀是否攜帶標籤，若是攜帶標籤，則檢查本接口tag列表，若tag列表中存在數據幀封裝的vlan ID，則接收，不然丟棄；若是不攜帶標籤，那麼根據Hybrid接口的PVID進行標記
• Hybrid接口發送數據幀以前，檢查本接口untag和tag列表，若數據幀封裝的vlanid存在於unbag列表中，則去掉802.1q封裝發送原始數據幀；若存在於tag列表中，則保留802.1q封裝併發送帶標籤的數據幀；若兩個列表中均無數據幀的vlanID，則不發送。
  如下是Hybrid接口收發數據幀時的處理流程
  
  Hybrid接口和Trunk接口均可以給多個vlan打標籤，也能夠傳輸多個vlan的流量；可是Hybrid接口能夠容許多個不一樣vlan的報文發送時不打標籤（把相應的vlan ID添加到untag列表中便可實現咯），而Trunk接口只容許默認vlan 的報文發送時不打標籤。

三種類型的接口能夠共同存在一臺交換機上，但Trunk接口不能直接切換爲Hybrid接口，只能先設爲Access接口，再設置爲Hybrid接口（Hybrid接口能夠直接設置爲Trunk接口，無論如何切換，都有一些限制，如Trunk接口切換至Access接口時，須要刪除或更改一些接口配置，才能夠更換爲Access接口，牽扯原理比較多，舉個栗子，華爲交換機設置爲Trunk接口時，須要手動容許全部vlan流量經過，才能夠正常工做，不然默認只容許vlan1的流量經過Trunk接口，這樣Trunk接口便沒有存在的意義了，而Access只容許一個vlan的流量經過，因此，若想從Trunk改成Access，必須先更改原有的「容許全部vlan經過」相關的配置）。

下面是hybrid接口應用場景案例解析：
hybrid接口基於三個屬性收發數據，在瞭解工做基礎上，針對下圖所示的拓撲圖分析其工做過程，圖中全部的交換機接口皆爲hybrid接口，vlan信息，網段和hybrid信息見圖中標識，經過對hybrid接口的配置，實現以下需求：

• 生產部客戶端和銷售部客戶端能夠互相訪問，且只能訪問服務器1。
• 財務部客戶端不能喝任何部門通訊，只能訪問服務器2。
  
  hybrid的配置
• 配置終端設備和服務器IP及網絡參數
• 在交換機s1和s2上分別建立vlan2，vlan3和vlan10
  
  
• 在交換機s1和s2上配置hybrid接口
  S1交換機的配置以下
  
  S2交換機的配置以下
  經以上配置，就能夠實現財務部只能和服務器2通訊，且不能與服務器1通訊。在生產部能夠和其餘部門及服務器通訊，但不能與財務部和服務器2通訊該實驗說明，華爲hybrid接口能夠實現二層的vlan隔離及訪問的控制