一、回顾VLAN

• VLAN基本概念

VLAN即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域(多个VLAN)的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。由于VLAN之间的隔离，所以一些类似蠕虫病毒等的攻~击被限制在一个VLAN中，提高了安全性，同时也方便管理人员对网络进行管理。

• VLAN隔离广播的方式

物理隔离：通过三层设备实现路由器

逻辑隔离：交换机通过VLAN划分广播域，将接口加入指定VLAN进行隔离

• 为什么要使用VLAN？

交换机不隔离广播，因此整个交换网络是个广播域，广播域过大会使网络拥塞。为了解决这一个问题，我们用vlan技术，将偌大的广播域隔离成一个个的小的区域，并且不同vlan区域间不能通信。

缺点：vlan技术虽然能隔离广播，但是不同vlan之间不能通信，如果要通信，需要三层设备才能实现

• VLAN的划分

Vlan的划分并不是固定的，而是有多种不同的划分方法：基于端口、基于协议、基于IP地址、基于MAC地址。其中最常用的就是基于端口的划分，我们的学习也主要是围绕着基于端口划分。Vlan端口的划分是逻辑上的，与物理位置没有关系，不同地方的网络一样可以划分到同一个vlan中。

• VLAN接口的类型和trunk的封装

1)vlan的接口类型

Access：接入链路，一般客户端到交换机使用

Trunk：中继链路，负责承载多个vlan数据，同vlan跨交换机通信使用

2)vlan的封装方式

ISL：Cisco私有协议不兼容其他厂商，占用带宽资源过高

Dot1Q：所有厂商都支持公有协议，占用带宽资源小

二、Hybrid接口是什么？

• Hybrid接口

Hybrid接口是华为设备的一种特殊二层接口模式，类似于之前介绍的Access接口和Trunk接口，是一个工作在二层的接口技术，可以对数据帧打VLAN标签或不打VLAN标签。

• Hybrid接口的特点

按照VLAN接口封装类型，华为交换机的接口主要有三种模式：Access、Trunk和Hybrid；

可以实现access或者trunk链路的功能；

默认华为交换机接口工作在hybrid模式；

Hybrid接口可以允许多个vlan的报文发送时不打标签；

hybrid可以实现不同vlan间通信或者限制不同vlan间通信；

hybrid接口灵活性强；

Hybrid接口的作用

流量隔离：简单来说就是阻止特定VLAN间通信

流量互通：不同VLAN间通信

• Hybrid接口的三个属性

1)untag列表

只在接口发送数据帧时起作用，如果需要发送的数据的VLAN标签在接口的untag列表中，将去除标签发送数据

2)tag列表

作用于接收被标记的数据帧和发送数据帧。当接口接收到带有VLAN标签的数据帧时，该接口的tag列表相当于VLAN的允许列表，不在列表中的数据帧将被丢弃，当接口发送数据时，数据的vlan标签在接口的tag列表中，将保持标签发送数据帧，否则丢弃数据帧

3)PVID

接口的默认PVID为VLAN1，PVID只在接收未标记帧时起作用，PVID用于在接收未标记数据帧时给数据帧打上当前的PVID标识

• 根据PVID封装8021Q

网络通过VLAN隔离的情况下，可以将流量分为两种类型。一种是标记流量，即通过802.1Q打了标签的数据帧；另一种是未标记流量，也就是原始的以太网帧。一般情况下由终端设备发送和接收的流量为未标记流量。当交换机接收到一个标记流量时，将通过其802.1Q标签来识别其VLANID。但是当交换机接收到一个未标记流量时，将根据接口PVID对该流量进行802.1Q封装。在华为设备中，每种类型的接口都有默认的PVID。

任何进入交换机的流量都应该被标记，如果进入交换机的流量携带vlan标签，那么它本身是可以标识vlan信息的，如果进入交换机的流量未被标记(如终端设备发送到交换机的流量)，将通过接口的PVID进行标记，而标记的目的则是为后续的转发做准备。Hybrid接口的PVID值默认是vlan 1，意味着所有接口默认都属于vlan1。

• 根据untag和tag列表进行收发
• 交换机的Hybrid接口基于untag列表和tag列表接收或发送数据，其工作原理如下：
• .每个Hybrid接口都有一个默认的untag列表，其中包含一个或多个vlan编号，默认值为vlan 1
• .每个Hybrid接口都有一个tag列表，默认值为空，也可以设置包含一个或多个vlan编号。
• .Hybrid接口收到数据帧后，首先检查该数据帧是否携带标签，如果携带标签，则检查本接口的tag列表，若tag列表中存在数据帧封装的vlan ID，则接受，否则丢弃；如果不携带标签，那么根据Hybrid接口的PVID进行标记。
• .Hybrid接口发送数据帧之前，检查本接口的untag和tag列表，若数据帧封装的vlan ID存在untag列表中，则去掉802.1Q封装发送原始数据帧；若存在于tag列表中，则保留802.1Q封装并发送带标签的数据帧；若两个列表中都没有数据帧的vlan ID，则不发送该数据帧。

在数据发送时untag列表的应用如下图：

tag列表处理数据帧的接收和发送如下图：

以上是Hybrid接口收发数据帧的基本原则，其对应的处理流程如下图：

Hybrid接口和Trunk接口都可以给多个vlan打标签，也可以传输多个vlan的流量；但是Hybrid接口可以允许多个不同vlan的报文发送时不打标签，而Trunk接口只允许默认vlan 的报文发送时不打标签。

三种类型的接口可以共同存在一台交换机上，但Trunk接口不能直接切换为Hybrid接口，只能先设为Access接口，再设置为Hybrid接口。例如，trunk接口不能直接被设置为hybrid接口，只能先设为access接口，再设置为hybrid接口。

下面来配置一个简单的案例

需求如下：

公司内部网络由一台交换机四个VLAN构成，分别是VLAN10、VLAN20、VLAN30、VLAN100、公司要求VLAN10、VLAN20、VLAN30都可以访问VLAN100，但VLAN10、VLAN20、VLAN30之间不能相互访问。

开始配置：

1、按照拓扑图配置PC的IP地址，不需要配置网关，此拓扑是同网段通信

2、配置交换机

[LSW1]VLAN batch 10 20 30 100 #批量创建vlan[LSW1]int eth 0/0/1 #进入接口[LSW1-Ethernet0/0/1]port link-type hybrid #接口配置为hybrid [LSW1-Ethernet0/0/1]port hybrid untagged vlan 10 100 #转发数据移除vlan10和100的标识[LSW1-Ethernet0/0/1]port hybrid pvid vlan 10 #进入接口接收数据打标识为vlan10的标识[LSW1-Ethernet0/0/1]quit[LSW1]int eth 0/0/2 #进入接口[LSW1-Ethernet0/0/2]port link-type hybrid #接口配置为hybrid[LSW1-Ethernet0/0/2]port hybrid untagged vlan 20 100 #转发数据移除vlan20和100的标识[LSW1-Ethernet0/0/2]port hybrid pvid vlan 20 #进入接口接收数据打标识为vlan20的标识[LSW1-Ethernet0/0/1]quit[LSW1]int eth 0/0/3 #进入接口[LSW1-Ethernet0/0/3]port link-type hybrid #接口配置为hybrid[LSW1-Ethernet0/0/3]port hybrid untagged vlan 30 100#转发数据移除vlan30和100的标识 [LSW1-Ethernet0/0/3]port hybrid pvid vlan 30 #进入接口接收数据打标识为vlan30的标识[LSW1-Ethernet0/0/3]quit[LSW1]int eth 0/0/4 #进入接口[LSW1-Ethernet0/0/4]port link-type hybrid #接口配置为hybrid[LSW1-Ethernet0/0/4]port hybrid untagged vlan 10 20 30 100 #转发数据移除vlan10、20、30和100的标识[LSW1-Ethernet0/0/4]port hybrid pvid vlan 100#进入接口接收数据打标识为vlan100的标识[LSW1-Ethernet0/0/4]quit

配置完成后以上要求即便实现，结果如下：

感谢阅读，如有问题多多提议