|
華為交換機的端口hybrid端口屬性配置
1 交換機端口鏈路類型介紹
交換機以太網端口共有三種鏈路類型:Access,、Trunk和Hybrid,。
l Access類型的端口只能屬于1個VLAN,一般用于連接計算機的端口,;
l Trunk類型的端口可以屬于多個VLAN,,可以接收和發(fā)送多個VLAN的報文,,一般用于交換機之間連接的端口;
l Hybrid類型的端口可以屬于多個VLAN,,可以接收和發(fā)送多個VLAN的報文,,可以用于交換機之間連接,也可以用于連接用戶的計算機,。
其中,,Hybrid端口和Trunk端口的相同之處在于兩種鏈路類型的端口都可以允許多個VLAN的報文發(fā)送時打標簽;不同之處在于Hybrid端口可以允許多個VLAN的報文發(fā)送時不打標簽,,而Trunk端口只允許缺省VLAN的報文發(fā)送時不打標簽,。
三種類型的端口可以共存在一臺以太網交換機上,但Trunk端口和Hybrid端口之間不能直接切換,,只能先設為Access端口,,再設置為其他類型端口。例如:Trunk端口不能直接被設置為Hybrid端口,,只能先設為Access端口,,再設置為Hybrid端口。
2 各類型端口使用注意事項
配置Trunk端口或Hybrid端口,,并利用Trunk端口或Hybrid端口發(fā)送多個VLAN報文時一定要注意:本端端口和對端端口的缺省VLAN ID(端口的PVID)要保持一致,。
當在交換機上使用isolate-user-vlan來進行二層端口隔離時,參與此配置的端口的鏈路類型會自動變成Hybrid類型,。
Hybrid端口的應用比較靈活,,主要為滿足一些特殊應用需求。此類需求多為在無法下發(fā)訪問控制規(guī)則的交換機上,,利用Hybrid端口收發(fā)報文時的處理機制,,來完成對同一網段的PC機之間的二層訪問控制。
3各類型端口在接收和發(fā)送報文時的處理
1) 端口接收報文時的處理:
|
端口接收到的報文類型
|
報文幀結構中攜帶VLAN標記
|
報文幀結構中不攜帶VLAN標記
|
|
Access端口
|
丟棄該報文
|
為該報文打上VLAN標記為本端口的PVID
|
|
Trunk端口
|
判斷本端口是否允許攜帶該VLAN標記的報文通過,。如果允許則報文攜帶原有VLAN標記進行轉發(fā),,否則丟棄該報文
|
同上
|
|
Hybrid端口
|
同上
|
同上
|
2) 端口發(fā)送報文時的處理:
|
Access端口
|
剝掉報文所攜帶的VLAN標記,進行轉發(fā)
|
|
Trunk端口
|
首先判斷報文所攜帶的VLAN標記是否和端口的PVID相等,。如果相等,,則剝掉報文所攜帶的VLAN標記,進行轉發(fā),;否則報文將攜帶原有的VLAN標記進行轉發(fā)
|
|
Hybrid端口
|
首先判斷報文所攜帶的VLAN標記在本端口需要做怎樣的處理,。如果是untagged方式轉發(fā),則處理方式同Access端口,;
如果是tagged方式轉發(fā),,則處理方式同Trunk端口
|
Tag通常是對進入端口的報文打上標簽,untagged則是對出端口的報文去除標簽,。
簡記: Access端口只連接到計算機,,此種類型的端口只能和相同vlan-id主機通信;連接到計算機,,從計算機接收報文時打上標記,,發(fā)送到計算機剝離標記;
Trunk端口常用于交換機之間的連接,,可以接收和發(fā)送多個vlan-id標記的報文,,即多種標簽報文混合在trunk管道上混跑,只有允許的才可以發(fā)送和接收,。發(fā)送和接收都攜帶報文標簽,。可設置一個PVID標簽,與此PVID相同的VLAN-ID數據,接收加上PVID,發(fā)送剝離此PVID.
Hybrid端口可連接計算機,,也可以連接在交換機之間,。Hybrid端口連接到計算機時,都要在hybrid命令后加上untagged,,因為計算機的網卡是不能接收帶標簽報文的,。雖然hybrid端口在聲明時,只聲明其屬于某一個vlan,,但如果在hybrid命令后加上多個vlan-id,,如:
[Qw_A-Eth 0/1]port hybrid vlan 20 30 100 untagged
則表明該vlan可以和多個vlan-id的主機通信。這是和access端口不相同的地方,。這個有點類似于把一個主機劃分到多個vlan中,,或者更準確地講,一個vlan內主機可以和多個vlan通信,。當Hybrid端口用于連接在交換機之間時,,則與trunk端口一樣使用。
功能需求和組網實例說明
功能需求及組網說明實例一:
『配置環(huán)境參數』
1. PC1,、PC2和PC3分別連接到二層交換機SwitchA的端口E0/1 ,、E0/2和 E0/3,端口分屬于VLAN10,、20和30,,服務器連接到端口G2/1,屬于VLAN100,。
2. PC1的IP地址為10.1.1.1/24,,PC2的IP地址為10.1.1.2/24,PC3的IP地址為10.1.1.3/24,,服務器的IP地址為10.1.1.254/24,。
『組網需求』
1. PC1和PC2之間可以互訪;
2. PC1和PC3之間可以互訪,;
3. PC1,、PC2和PC3都可以訪問服務器,;
4. 其余的PC間訪問均禁止。
『交換機Hybrid端口配置流程』
利用Hybrid端口的特性――一個端口可以屬于多個不同的VLAN,,來完成分屬不同VLAN內的同網段PC機的訪問需求,。
『圖1配置過程』
【SwitchA相關配置】
1. 創(chuàng)建(進入)VLAN10,將E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1 E0/1加到了VLAN10中
2. 創(chuàng)建(進入)VLAN20,,將E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3. 創(chuàng)建(進入)VLAN30,,將E0/3加入到VLAN30
[SwitchA]vlan 30
[SwitchA-vlan30]port Ethernet 0/3
4. 創(chuàng)建(進入)VLAN100,將G2/1加入到VLAN100
[SwitchA]vlan 100
[SwitchA-vlan100]port GigabitEthernet 2/1
5. 配置端口E0/1為Hybrid端口,,能夠接收VLAN20,、30和100發(fā)過來的報文
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
前面E0/1加到了VLAN10中,這里又將其端口類型設置為hybrid
[SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged
這里對vlan 10沒有作操作指示,,10實際上是該hybrid端口的PVID
6. 配置端口E0/2為Hybrid端口,,能夠接收VLAN10和100發(fā)過來的報文
[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]port link-type hybrid
[SwitchA-Ethernet0/2]port hybrid vlan 10 100 untagged
7. 配置端口E0/3為Hybrid端口,能夠接收VLAN10和100發(fā)過來的報文
[SwitchA]interface Ethernet 0/3
[SwitchA-Ethernet0/3]port link-type hybrid
[SwitchA-Ethernet0/3]port hybrid vlan 10 100 untagged
8. 配置端口G2/1為Hybrid端口,,能夠接收VLAN10,、20和30發(fā)過來的報文
[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 30 untagged
【補充說明】
對于Hybrid端口來說,可以同時屬于多個VLAN,。這些VLAN分別是該Hybrid端口的PVID,,以及手工配置的”untagged”及”tagged”方式的VLAN。一定要注意對應端口的VLAN配置,,保證報文能夠被端口進行正常的收發(fā)處理,。
此應用在二層網絡中,對相同網段的主機進行訪問權限的控制,。
功能需求及組網說明實例二:
『配置環(huán)境參數』
1. PC1,、PC2和PC3分別連接到二層交換機SwitchA的端口E0/1 、E0/2和 E0/3,,端口分屬于VLAN10,、20和30;PC4和PC5分別連接到二層交換機SwitchB的端口E0/1和E0/2,,端口分屬于VLAN10和20,;
2. SwitchA通過端口G2/1,連接到SwitchB的端口G1/1,;SwitchA的端口G2/1和SwitchB的端口G1/1均不是Trunk端口,;
3. PC1的IP地址為10.1.1.1/24,PC2的IP地址為10.1.1.2/24,,PC3的IP地址為10.1.1.3/24,,PC4的IP地址為10.1.1.4/24,PC5的IP地址為10.1.1.5/24,。
『組網需求』
1. PC1和PC3之間可以互訪,;
2. PC2和PC3之間可以互訪,;
3. PC1和PC4之間可以互訪;
4. PC2和PC5之間可以互訪,;
5. 其余PC之間均禁止互相訪問,。
『圖2配置過程』
【SwitchA相關配置】
1. 創(chuàng)建(進入)VLAN10,將E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2. 創(chuàng)建(進入)VLAN20,,將E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3. 創(chuàng)建(進入)VLAN30,將E0/3加入到VLAN30
[SwitchA]vlan 30
[SwitchA-vlan30]port Ethernet 0/3
4. 配置端口E0/1為Hybrid端口,,能夠接收VLAN30發(fā)過來的報文
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
[SwitchA-Ethernet0/1]port hybrid vlan 30 untagged
5. 配置端口E0/2為Hybrid端口,,能夠接收VLAN30發(fā)過來的報文
[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]port link-type hybrid
[SwitchA-Ethernet0/2]port hybrid vlan 30 untagged
6. 配置端口E0/3為Hybrid端口,能夠接收VLAN10和20發(fā)過來的報文
[SwitchA]interface Ethernet 0/3
[SwitchA-Ethernet0/3]port link-type hybrid
[SwitchA-Ethernet0/3]port hybrid vlan 10 20 untagged
7. 配置端口G2/1為Hybrid端口,,能夠接收并透傳VLAN10和20發(fā)過來的報文
[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 tagged
G2/1設置為Hybrid端口,且其功能等效于Trunk,,可以不把它加入到某個VLAN中,同時要帶標簽傳輸不同vlan標簽的報文。
【SwitchB相關配置】
1. 創(chuàng)建(進入)VLAN10,,將E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2. 創(chuàng)建(進入)VLAN20,,將E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3. 配置端口G1/1為Hybrid端口,能夠接收并透傳VLAN10和20發(fā)過來的報文
[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 tagged
功能需求及組網說明實例三:
『配置環(huán)境參數』
1. 交換機E0/1和E0/2屬于vlan10
2. 交換機E0/3屬于vlan20
3. 交換機E0/4和E0/5屬于vlan30
4. 交換機E0/23連接Server1
5. 交換機E0/24連接Server2
6. Server1和Server2分屬于vlan40和vlan50
7. PC和Server都在同一網段
8. E0/10連接BAS設備,,屬于vlan60
『組網需求』
1. 利用二層交換機端口的hybrid屬性靈活實現vlan之間的靈活互訪,;
2. Vlan10、vlan20和vlan30的PC均可以訪問Server 1,;
3. vlan 10,、20以及vlan30的4端口的PC可以訪問Server 2;
4. vlan 10中的2端口的PC可以訪問vlan 30的PC,;
5. vlan 20的PC可以訪問vlan 30的5端口的PC,;
6. vlan10的PC訪問外網需要將vlan信息送到BAS,而vlan20,、30則不需要,。
『端口hybrid屬性配置流程』
hybrid屬性是一種混雜模式,實現了在一個untagged端口允許報文以tagged形式送出交換機,。同時可以利用hybrid屬性定義分屬于不同的vlan的端口之間的互訪,,這是access和trunk端口所不能實現的。在一臺交換機上不允許trunk端口和hybrid端口同時存在,。
1. 先創(chuàng)建業(yè)務需要的vlan
[SwitchA]vlan 10
[SwitchA]vlan 20
[SwitchA]vlan 30
[SwitchA]vlan 40
[SwitchA]vlan 50
2. 每個端口,,都配置為 hybrid狀態(tài)
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
3. 設置端口的pvid等于該端口所屬的vlan
[Switch-Ethernet0/1]port hybrid pvid vlan 10
4. 將希望可以互通的端口的pvid vlan,設置為untagged vlan,,這樣從該端口發(fā)出的廣播幀就可以到達本端口
[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged
實際上,,這種配置是通過 hybrid 端口的 pvid 來唯一的表示一個端口,接收端口通過是否將 vlan 設置為 untagged vlan,,來控制是否與 pvid vlan 為 該 vlan 的端口互通,。
5. 以下各端口類似:
[Switch-Ethernet0/1]int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 10
[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/2]int e0/3
[Switch-Ethernet0/3]port link-type hybrid
[Switch-Ethernet0/3]port hybrid pvid vlan 20
[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged
[Switch-Ethernet0/3]int e0/4
[Switch-Ethernet0/4]port link-type hybrid
[Switch-Ethernet0/4]port hybrid pvid vlan 30
[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/4]int e0/5
[Switch-Ethernet0/5]port link-type hybrid
[Switch-Ethernet0/5]port hybrid pvid vlan 30
[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged
[Switch-Ethernet0/5]int e0/23
[Switch-Ethernet0/23]port link-type hybrid
[Switch-Ethernet0/23]port hybrid pvid vlan 40
[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged
[Switch-Ethernet0/24]int e0/24
[Switch-Ethernet0/24]port link-type hybrid
[Switch-Ethernet0/24]port hybrid pvid vlan 50
[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged
6. 在上行口E0/10上允許vlan10以tagged形式送出,,其它為untagged
[SwitchA]interface Ethernet 0/10
[SwitchA-Ethernet0/10]port link-type hybrid
[SwitchA-Ethernet0/10]port hybrid pvid vlan 60
[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged
[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged
本例中需求比較復%E
|
