Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路,它允许多个VLAN的帧通过,并可以在出接口方向将某些VLAN帧的标签剥掉。
Hybrid接口处理VLAN帧的过程如下:
(1)收到一个二层帧,判断是否有VLAN标签。没有标签,则标记上Hybrid接口的PVID,进行下一一步处理:有标签,判断该Hybrid接口是否允许该VLAN的帧进入,允许则进行下一步处理,否则丢弃。
(2)当数据帧从Hybrid接口发出时,交换机判断VLAN在本接口的属性是Untagged还是Tagged。如果是Untagged,先剥离帧的VLAN标签,再发送:如果是Tagged,则直接发送帧。
通过配置Hybrid接口,能够实现对VLAN标签的灵活控制,既能够实现Access接口的功能,又能够实现Trunk接口的功能。
2、 实验内容
某企业二层网络使用两台S3700交换机S1和S2,且两台设备在不同的楼层。网络管理员规划了3个不同VLAN, HR部门使用VLAN 10,市场部门使用VLAN20, IT部门使用VLAN 30。现在需要让处于不同楼层的HR部门和市场部门实现部门内部通信,而两部门之间不允许互相通信; IT部门可以访问任意部门。可以通过配置Hybrid接口来实现较复杂的VLAN控制。
3、 实验步骤
(1) 在eNSP仿真模拟上新建拓扑图如下所示
(2)按照如下编址表对PC1-5进行编址并且使用ping命令测试连通性
(3) 在S1上使用display port vlan 命令查看接口的默认类型
可以发现,默认情况下,交换机上所有的接口都是Hybrid类型,接口的VPID是VLAN 1,即所有的接口收到没有标签的二层数据帧,都被转发到VLAN1 中,并继续以Untagged 的方式把帧发送到同为VLAN 1 的其他接口中,所以,即使未做任何处理,主机之间仍然可以互相通信。
(4) 实现组内通信、组间隔离
交换机接口的类型可以是Access Trunk和Hybrid。Access 类型的接口仅属于一个VLAN,只能接收、转发相应VLAN的帧:而Trunk类型接口则默认属于所有VLAN,任何Tagged帧都能经过Trunk接收和转发: Hybrid类型接口则介于二者之间,可自主定义端口上能接收和转发哪些VLAN Tag的帧,并可决定VLAN Tag是否继续携带或者剥离。Access和Trunk类型接口是Hybrid类型接口的两个特例,一个仅支持一个VLAN的传递,一个默认支持所有VLAN的传递,而Access类型和Trunk类型的接口能做到的,Hybrid接口都能做到。
目前要求实现HR部门和市场部门的员工终端可以进行部门内部通信,即VLAN10内PC-2和PC-4之间可以自由访问,VLAN 20内PC-1和PC-3之间可以自由访问,而两个部门间的员工不能互相访问,即VLAN10和VLAN20之间不能互相访问。要实现此需求,我们现在使用Hybrid的配置方法。
4.1配置port link-type hybrid命令修改接口类型为默认的hybrid类型
4.2配置port hybrid untagged vlan 20命令使得交换机在该接口转发VLAN 20的帧时,剥高掉相应的VLAN Tag 20,以Untagged的方式发送给PC。
4.3配置port hybrid pvid vlan 20命令设置Hybrid类型接口的默认VLANID,即使得该端口.上接收到PC发来的未带VLAN Tag的帧时,加上VLAN Tag20,并转发到VLAN 20
4.4对E 0/0/3做上述同样的操作
4.5测试组内连通性
(5) 实现网管员对于所有网络的访问
5.1、配置S1交换机,E 0/0/4接口是网络管理员的PC終端,属于VLAN 30,该接口收到的PC发送的Untagged帧要能够发送至VLAN 30中,配置port hybrid pvid vlan 30命令设置Untagged帧加入至VLAN 30。
5.2、S1交换机收到VLAN 10、VLAN 20和VLAN 30的帧也要能够从该接口发送至PC,配置port hybrid untagged vlan 10 2030命令使得上述3个VLAN的帧会以Untagged的 方式从该接口发送出去。
5.3、同理,端口E0/0/2接PC-1,接口收到PC的Untagged帧需要发送至VLAN20,使用porthybridpvidvlan20命令。E0/0/2接口同时也要能够被VLAN30和VLAN20的主机访问,即VLAN 20和30的帧能够从该接口发送出去,并以Untagged的方式发送至PC-1。
5.4、 E0/0/3接口同时也要能够被VLAN30和VLAN10的主机访问,即VLAN 10和30的帧能够从该接口发送出去,并以Untagged的方式发送至PC-2。
5.5、VLAN10、VLAN20和VLAN30的帧要能够发送至邻居交换机S2,且要保留原有的VLAN Tag,以便于邻居交换机S2根据VLAN Tag继续转发到相应的VLAN.同样,邻居交换机S2发送过来的帧也会带有相应的VLANTag,所以S1与S2间互连的接口E0/0/1配置如下。
5.6、在S2上配置接口,方法如同S1
(6) 测试联通性,发现可以联通,实验结束。