華為設備二層交換技術——Hybrid接口詳解

通常情況下，公司對內網的使用遠遠高于對外網的使用。公司的內部網絡是由二層交換網絡構建的，所以二層網絡設計的好壞直接影響公司的正常業(yè)務。好的設計不僅使 功能得到體現，還可以應對一些未知的隱患，如線路損壞、設備損壞等。下面我們主要對華為的二層設備進行了解，不過首先要了解的就是二層設備（交換機）主要的就是——VLAN。

一、VLAN的基本概念

在傳統的交換機以太網中，所有的用戶都在同一個廣播域中，當網絡規(guī)模較大時，廣播包的數量會急劇增加，當廣播包的數量占到總量的30%時，網絡的傳輸的效率會明顯的下降，特別是當某網絡設備出現故障時，也會不停的想網絡發(fā)送廣播，從而導致廣播風暴的產生，是網絡通信陷于癱瘓狀態(tài)，那么怎么解決這個問題呢？

我們可以使用分隔廣播域的方法來解決這個問題，分隔廣播域有兩種方法：

• 物理分隔：將網絡從物理上劃分為若干個小網絡，再使用能隔離廣播的路由設備將不同的網絡連接起來實現通信；
• 邏輯分隔，將網絡從邏輯上劃分為若干個小的虛擬網絡，即VLAN。VLAN工作在數據鏈路層，一個VLAN就是一個交換網絡，其中的所有用戶都在同一個廣播域中，使各VLAN通過路由設備連接實現通信；

使用物理分隔會有很多缺點，它會使局域網的設計缺乏靈活性。例如：連接在同一臺交換機上的用戶只能劃分在同一個網絡中，而不能劃分在多個不同的網絡中。

VLAN的產生給局域網的設計增加了靈活性，使得網絡管理員在劃分工作組時，不再受限于用戶所處的地理位置。VLAN可以在一個交換機上實現，也可以跨交換機實現。它可以根據網絡用戶的位置、作用或部門進行劃分，如圖：

VLAN具有靈活性和可擴展性等特點，使用VLAN技術有以下好處：
（1）控制廣播：
每個VLAN都是一個獨立的廣播域，這樣就減少了廣播對網絡帶寬的占用，提高了網絡傳輸效率，并且每一個VLAN出現廣播風暴不會影響到其他的VLAN；
（2）增強網絡安全性：
由于只能在同一VLAN內的端口之間交換數據，不同VLAN的端口之間不能直接訪問，因此VLAN可以限制個別主機訪問服務器等資源。因此，通過劃分VLAN可以提高網絡的安全性；
（3）簡化網絡管理：
對于交換式以太網，如果對某些用戶進行網段分配，需要網絡管理員對網絡系統的物理結構重新進行調整，甚至需要追加網絡設備，這樣會增大網絡管理的工作量。而對于采用VLAN技術的網絡來說，一個VLAN可以根據部門職能、對象組會應用將不同地理位置的用戶劃分為一個邏輯網段，在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用VLAN技術，大大減輕了網絡管理和維護工作的負擔，降低了網絡維護的費用；

根據VLAN使用和管理的不同，VLAN分為兩種：
（1）靜態(tài)VLAN
靜態(tài)VLAN也稱為基于端口的VLAN，是目前最常見的VLAN實現方式。
靜態(tài)VLAN即明確指定交換機的端口屬于哪個VLAN，這需要網絡管理員手動配置，當用戶主機連接到交換機端口是，也就被分配到了相應的VLAN中；
（2）動態(tài)VLAN
動態(tài)VLAN的實現方式有很多種，目前最普遍的實現方式時基于MAC地址的動態(tài)VLAN。
基于MAC地址的動態(tài)VLAN是根據主機的MAC地址自動將其分配到相應的VLNA中，這種VLAN的劃分方式優(yōu)點：當用戶物理位置移動時，不會重新分配VLAN，缺點：初始化時所有的用戶都必須進行配置，配置任務非常繁重！

VLAN的范圍，如圖：

還有一些VLAN的封裝過程，這里就不詳細介紹了！

二、Hybrid接口的特點

按照VLAN接口封裝類型，華為交換機的接口主要有三種模式：Access、Trunk和Hybrid。其中Access、Trunk接口和Cisco技術并無差異，Hybrid接口是華為設備特有的接口模式。Hybrid接口和Trunk接口的相同之處是都可以允許多個VLAN的流量通過并打標簽，不同之處在于Hybrid接口可以允許多個VLAN的報文發(fā)送時不打標簽。主要介紹華為交換機的Hybrid接口！

Hybrid接口作為華為交換機的特有屬性接口，主要特點有：

• 華為交換機接口默認為Hybrid模式；
• 既可以實現Access接口的功能，也可以實現Trunk接口的功能；
• 不借助三層設備即可實現跨VLAN通信和訪問控制；
• 相對于Access接口和Trunk接口具有更高的靈活性與可控性；

Hybrid接口的作用主要體現在：

• 流量隔離：Hybrid接口本身擁有強大的訪問控制能力，通過對接口的配置可以隔離來自同一個VLAN的流量，也可以隔離來自不同VLAN的流量；
• 流量互通：Hybrid接口可以使不同的VLAN之間在二層實現通信；

注意：二層的解決方案永遠比三層的解決方案要好，因為二層的效率要高于三層。事實上，所涉及的層次越高，效率越低！

三、Hybrid接口的工作原理

Hybrid接口能夠靈活地控制一個接口上數據幀VLAN標簽的添加和移除。例如：在接口對端的設備是交換機的情況下，可以配置接口允許某一些VLAN的數據幀攜帶VLAN標簽通過該接口，而另外一些VLAN則不攜帶VLAN的標簽發(fā)出。在接口對端設備是主機的情況下，可以配置發(fā)送到這些接口的數據幀不攜帶任何VLAN標簽。

Hybrid接口的工作原理涉及到接口的三個屬性，分別是：

• untag列表：只在接口發(fā)送數據幀時起作用，如果需要發(fā)送的數據的VLAN標簽在接口的untag列表中，那么將去除標簽發(fā)送數據；
• tag列表：作用與接收被標記的數據幀和發(fā)送數據幀。其作用類似于一個允許的VLAN標識列表。當接口接收到帶有VLAN標簽的數據幀時，該接口的tag列表相當于VLAN的允許列表，不在列表中的數據幀將被丟棄；當接口發(fā)送數據時，數據的VLAN標簽在接口的tag列表中。將保持標簽發(fā)送數據幀，否則將丟棄數據幀。
• PVID：接口默認的PVID為VLAN1，PVID只在接收未標記的幀時才起作用。PVID用于在接收未標記數據幀時會給數據幀打上當前的PVID標識；

從功能特性上來說，Hybrid接口中的untag列表和PVID用于實現Access特性，而tag列表用于實現Trunk特性。但又不僅僅是這樣，因為Hybrid接口相比于Access接口和Trunk接口可以更加靈活，適用于各種場景。

（1）根據PVID封裝802.1Q

在網絡通過VLAN隔離的情況下，可以將流量分為兩種類型：

• 一種是標記流量，即通過802.1Q打了標簽的數據幀；
• 另一種是未標記流量，也就是原始的以太網幀。

PVID工作原理：通常情況下由終端設備發(fā)送和接收的流量為未標記流量。當交換機接收到一個標記流量時，將通過其802.1Q標簽來識別其VLAN ID，但是當交換機接收到一個未標記的流量時，將根據接口PVID對流量進行802.1Q封裝。

在華為設備中，各種類型的接口都有默認的PVID，如圖：

任何進入交換機的流量都應該被標記。如果進入交換機的流量攜帶VLAN標簽，那么它本身是就可以標識VLAN信息的，如果進入交換機的流量未被標記，經將通過接口的PVID進行標記，而標記的目的則是為了后續(xù)轉發(fā)時使用！

PVID標記進入交換機的數據幀的示意圖如下：

（2）根據untag列表和tag列表進行轉發(fā)

交換機的Hybrid接口基于untag列表和tag列表接收或發(fā)送數據，其工作原理如下：

• 每個Hybrid接口默認都有一個untag列表，其中包含一個或多個VLAN編號，默認值為VLAN1；
• 每個接口都有一個tag列表，默認值為空，也可以設置包含一個或多個VLAN編號；
• Hybrid接口收到數據幀后，首先檢查該數據幀是否攜帶標簽，如果攜帶標簽，則檢查本接口的tag列表。若tag列表中存在數據幀封裝的VLAN ID，則接收，否則將丟棄；如果不攜帶標簽，那么根據Hybrid接口的PVID進行標記；
• Hybrid接口發(fā)送數據幀之前，檢查本接口的untag和tag列表，若數據幀封裝的VLAN ID存在于untag列表中，則去掉802.1Q封裝發(fā)送原始數據幀；若存在于tag列表中，則保留802.1Q封裝并發(fā)送帶標簽的數據幀；若兩個列表中均無數據幀的VLAN ID，則不發(fā)送；

數據發(fā)送時untag列表的作用，如圖：

數據發(fā)送時tag列表的作用，如圖：

Hybrid接口發(fā)送數據幀的基本原則，其對應的處理流程圖如下：

Hybrid接口和Trunk接口都可以給不同的VLAN打標簽，也可以傳輸多個VLAN的流量；但是Hybrid接口可以允許多個不同VLAN的報文發(fā)送時不打標簽，而Trunk接口只允許默認VLAN的報文發(fā)送時不打標簽。

三種類型的接口可以共存在一臺以太網交換機上，但Trunk接口和Hybrid接口之間不能直接切換，指能先設為Access接口，再設置為其他類型的接口。

四、Hybrid接口的應用場景

Hybrid接口基于三個屬性收發(fā)數據，在了解其工作原理的基礎上，分析其工作過程。通過對Hybrid接口的配置，實現如下需求：

• PC1和PC2之間可以相互訪問，且只能訪問PC4；
• PC3不能與PC1和PC2之間不可以相互通信，只能訪問PC5；

實驗圖，如下：

看到實驗需求、實驗拓補圖，應首先規(guī)劃好untag列表中、tag列表中應該添加哪些VLAN信息來實現功能！

如果對PVID、untag列表、tag列表的工作明白的情況下，關于untag列表與tag列表中填寫哪些VLAN，可以自行添加，這是其中一種方法。

注意：通常情況下，接口默認的PVID為1，默認untag列表中包含VLAN1.如果額外給接口設置PVID編號，那么一定要同時將編號放到tag列表或者untag列表中，否則將不能通信。

（1）Hybrid的配置

1.配置終端設備的IP地址

略！

2.在交換機S1、交換機S2上分別創(chuàng)建VLAN2、VLAN3和VLAN10

[S1]vlan batch 2 3 10

[S2]vlan batch 2 3 10

3.在交換機S1和S2上配置Hybrid接口

S1交換機的配置如下：

[S1]int g0/0/2
[S1-GigabitEthernet0/0/2]port link-type hybrid 
//配置接口模式為Hybrid（默認就是Hybrid接口）
[S1-GigabitEthernet0/0/2]port hybrid pvid vlan 1
//配置接口的PVID為1（默認也是）
[S1-GigabitEthernet0/0/2]port hybrid untagged vlan 1 2
//將VLAN1、VLAN2加入untag列表
[S1-GigabitEthernet0/0/2]int g0/0/3
[S1-GigabitEthernet0/0/3]port link-type hybrid
[S1-GigabitEthernet0/0/3]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 1 2
[S1-GigabitEthernet0/0/3]int g0/0/4
[S1-GigabitEthernet0/0/4]port link-type hybrid
[S1-GigabitEthernet0/0/4]port hybrid pvid vlan 10
[S1-GigabitEthernet0/0/4]port hybrid untagged vlan 3 10
[S1-GigabitEthernet0/0/4]int g0/0/1
[S1-GigabitEthernet0/0/1]port link-type hybrid
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 1
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 2
[S1-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
//將VLAN3、VLAN10添加到tag列表中

S2交換機的配置如下：

[S2-GigabitEthernet0/0/3]int g0/0/1
[S2-GigabitEthernet0/0/1]port link-type hybrid
[S2-GigabitEthernet0/0/1]port hybrid pvid vlan 1
[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 1 2
[S2-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
[S2]int g0/0/2
[S2-GigabitEthernet0/0/2]port link-type hybrid
[S2-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[S2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 2
[S2-GigabitEthernet0/0/2]int g0/0/3
[S2-GigabitEthernet0/0/3]port link-type hybrid
[S2-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10

4.驗證網絡通信

PC1的測試如下：

PC3的測試如下：

實驗需求已經滿足！
還有好多方法可以實現這樣的需求，比如：
第一種：

按照圖中方法自行配置即可！

第二種：

按照圖中自行配置亦可！不過是對于交換機之間接口沒有特殊要求的情況下！

———————— 本文至此結束，感謝閱讀 ————————