華爲設備的交換機接口類型介紹及配置

一、什麼是vlan？
.
vlan就是虛擬局域網，是在二層交換機上將一個物理的LAN在邏輯上劃分成多個廣播域（多個vlan）的通信技術。同一個vlan內的主機可以直接通信，而不同vlan之間進行通行的話，則需要依賴三層網絡設備（三層交換機、路由器等）。
.
vlan具有靈活性和可擴展性等特點，使用vlan技術有以下好處：
.

1. 控制廣播，每個vlan都是獨立的廣播域，這樣就減少了廣播對網絡帶寬的佔用，提高了網絡傳輸效率，並且一個vlan出現了廣播風暴不會影響其他vlan。
2. 增強網絡安全性，由於只能在同一vlan內的端口之間交換數據，不同vlan的端口之間不能直接訪問，因此vlan可以限制不同部門之間的通信。從而提高了部門之間的安全性。
3. 簡化網絡管理，對於交換式以太網，如果對某些用戶重新進行網段分配，需要網絡管理員對網絡系統的物理結構重新進行調整，甚至需要追加網絡設備，這樣會增大網絡管理的工作量，而對於採用vlan技術的網絡來說，一個vlan可以根據部門職能，對象組或應用將不同地理位置的用戶劃分爲一個邏輯網段，在不改動網絡物理連接的情況下，可以任意地改變網段。

vlan分爲動態vlan和靜態vlan兩種：
.
1、靜態vlan：也稱爲基於端口的vlan，是目前最常見的vlan實現方式。靜態vlan就是指明交換機的某個端口屬於哪個vlan，需要手動配置，當主機連接到交換機端口上，主機就被分配到了對應vlan中。
.
2、動態vlan：動態vlan的實現方法很多，目前最普遍的實現方法是基於MAC地址的動態vlan。基於MAC地址的動態vlan，是根據主機的MAC地址自動將其指派到指定的vlan中，這種方式的vlan劃分，最大的優點是，當用戶物理位置移動時， 即從一個交換機移動到其他交換機時，所對應的vlan不會變，這種方法的缺點是初始化時所有的用戶都必須進行配置，如果用戶多的話，這種配置方法非常不方便，所以這種劃分方法不適用於大型局域網。
.
vlan的範圍參照：

Cisco和華爲的交換機設備所支持的vlan範圍（vlan ID）是一樣的，下面是具體的vlan範圍作用：

交換機所有的接口默認都屬於vlan 1，我們正常創建vlan時，使用的vlan ID取值範圍在2~1001之間，這些ID號足夠我們使用了。
.
關於vlan的介紹就不多敘述了，在vlan中還有一個概念，就是vlan標籤，這裏不解釋了，可以理解爲，交換機爲了區分某一個數據幀屬於哪個vlan而給數據幀本身打了一個標識，用於區分不同vlan的數據幀。
.
二、華爲交換機的三種接口模式。
.
華爲交換機的接口模式有三種：Access、Trunk和Hybrid。其中，Access、Trunk接口模式和Cisco交換機的接口模式一樣，Hybrid接口是華爲設備特有的接口模式，Hybrid接口和Trunk接口的相同之處是都可以允許多個vlan的流量通過並打標籤，不同之處在於Hybrid接口可以允許多個vlan的報文發送時不打vlan標籤。
.

華爲交換機的三種接口模式功能介紹如下：

• Access接口模式：Access接口必須加入某一vlan（這也是默認所有接口都屬於vlan1的原因），對交換機而言，該接口只能允許一個vlan流量通行，且不打vlan標籤，用於連接PC、服務器、路由器（非單臂路由）等設備。
• Trunk接口模式：該接口默認允許所有vlan通行（用於承載多個vlan通行），且對每個vlan通過打不同標識加以區分，主要用於連接交換機等設備。
• Hybrid接口模式：華爲交換機接口默認爲Hybrid模式（Cisco交換機默認爲Access模式），既可以實現Access接口的功能，也可以實現Trunk接口的功能，可以在沒有三層網絡設備（路由器、三層交換機）的情況下實現跨vlan通信和訪問控制（當然了，也有侷限性，就是各個vlan中的IP地址都屬於同一網段，否則，仍然需要通過三層網絡設備來進行通信，）。相對於Access接口和Trunk接口具有更高的靈活性與可控性。

關於Access和Trunk接口模式是在Cisco設備中就有的概念，其作用於特性完全和華爲設備一致，所以關於這兩個接口模式就不說了，下面寫一下Hybrid接口的作用。
.
Hybrid接口的作用體現爲可以實現流量隔離與互通：
.

• 流量隔離：Hybrid接口本身擁有強大的訪問控制能力，通過對接口的配置可以隔離來自於同一個vlan的流量，也可以隔離來自於不同vlan的流量。
• 流量互通：Hybrid接口可以使不同的vlan之間在二層實現通行。Cisco交換機設備需要藉助三層網絡設備纔可以實現不同vlan之間的通信，總的來說，二層的解決方案永遠比三層的解決方案要好，因爲二層的效率要高於三層。所涉及的網絡層次越高，效率越低。

hybrid接口的工作原理。
.
Hybrid接口能夠靈活地控制一個接口上數據幀vlan標籤的添加和移除。例如，在接口對端的設備是交換機的情況下，可以配置接口允許某一些vlan的數據幀攜帶vlan標籤通過該接口，而另外一些vlan則不攜帶vlan標籤發出。在接口對端是終端主機的情況下，可以配置發送到這些接口的數據幀不攜帶任何vlan標籤。
.
Hybrid接口的工作原理涉及接口的三個屬性，分別是untag列表、tag列表及PVID（port-base VLAN ID，基於端口的vlan ID）。
.
Hybrid接口的三個屬性介紹：

• untag列表：只在接口發送數據幀時起作用，如果需要發送的數據的vlan標籤在接口的untag列表中，那麼將去除標籤發送數據。
• tag列表：作用於接收被標記的數據幀和發送數據幀。其作用類似於一個允許的vlan標識列表，當接口收到帶有vlan標籤的數據幀時，該接口的tag列表相當於vlan的允許列表，不在列表中的數據幀將被丟棄；當接口發送數據幀時，數據的vlan標籤在接口的tag列表中，將保持標籤發送數據幀，否則丟棄數據幀。
• PVID：接口的默認PVID爲vlan 1，PVID只在接收沒有標記幀時起作用，PVID用於在接收未標記數據幀時給數據幀打上當前的PVID標識（有沒有覺得就是Cisco交換機把某個Access接口加入某個vlan後的特性？嗯，很相似，甚至就是這樣，不同的是，Cisco交換機的Access接口給接收的數據幀打標籤時，只能用於連接的是終端設備，而不能是交換機設備，而華爲的交換機就不一樣了，它可以給任何設備發送的數據幀進行打標籤，包括交換機、路由器、終端設備等）。
  .
  從上面的三個接口屬性可以看到，從功能特性上說，Hybrid接口中的untag列表和PVID列表，用於實現Access接口的特性，而tag列表用於實現Trunk特性，但又不侷限於此，因爲Hybrid接口相比於Access接口和Trunk接口可以更加靈活（同樣原理上也不是太容易理解，我更覺得就Cisco設備的那兩種接口類型就挺好，哈哈），適用於各種場景。
  1、根據PVID封裝802.1Q。
  .
  在網絡通過vlan隔離的情況下，可以將流量分爲兩種類型，一種是標記流量（已經打過vlan標籤了，交換機可以識別該數據幀屬於哪個vlan）；一種是未標記流量，也就是原始的數據幀（終端設備發送或接受的數據幀就是原始數據幀）。當交換機接收到一個標記流量時，將通過其802.1Q（）標籤來識別其vlan ID，但是當交換機接收到一個未標記流量時，將根據接口PVID對該流量進行802.1Q封裝，在華爲設備中，每種類型的接口都有默認的PVID，如下所示：
  
  任何進入交換機的流量都應該被標記，如果進入交換機的流量攜帶vlan標籤，那麼它本身是可以標識vlan信息的，如果進入交換機的流量未被標記（如終端設備發送到交換機的流量），將通過接口的PVID進行標記，而標記的目的則是爲後續的轉發做準備。Hybrid接口的PVID值默認是vlan 1，意味着所有接口默認都屬於vlan1。
  .
  2、根據untag列表和tag列表進行轉發

  交換機的Hybrid接口基於untag列表和tag列表接收或發送數據，其工作原理如下：
  .

  • 每個Hybrid接口都有一個默認的untag列表，其中包含一個或多個vlan編號，默認值爲vlan 1。
  • 每個Hybrid接口都有一個tag列表，默認值爲空，也可以設置包含一個或多個vlan編號。
  • Hybrid接口收到數據幀後，首先檢查該數據幀是否攜帶標籤，如果攜帶標籤，則檢查本接口的tag列表，若tag列表中存在數據幀封裝的vlan ID，則接受，否則丟棄；如果不攜帶標籤，那麼根據Hybrid接口的PVID進行標記。
  • Hybrid接口發送數據幀之前，檢查本接口的untag和tag列表，若數據幀封裝的vlan ID存在untag列表中，則去掉802.1Q封裝發送原始數據幀；若存在於tag列表中，則保留802.1Q封裝併發送帶標籤的數據幀；若兩個列表中都沒有數據幀的vlan ID，則不發送該數據幀。
  • 上述原理比較抽象，總的來說就是：
  • 數據包到達一個接口，若攜帶了vlan標籤（一般出現在交換機與交換機互聯的接口上），就只檢查tag列表，tag列表中有這個vlan ID，那麼就接收這個數據包，反之丟棄。可以理解爲tag列表就是一個白名單，在白名單上的vlan ID都允許通過，不在白名單上，就不允許通過；如果沒有攜帶vlan標籤，這樣就好辦了，交換機給該數據包打上該接口本身的PVID，就OK了。
  • 數據包要從某個接口發送出去的話，那麼需要檢查本接口的untag和tag這兩個列表。若數據包的vlan ID存在untag列表中，就給該數據去掉vlan ID，使其變成原始以太網數據幀（一般用於連接終端設備或路由器（單臂路由除外）時，相應的vlan ID會出現在untag列表，去掉vlan ID發送給終端設備或路由器，因爲終端設備或路由器（單臂路由除外）不能識別vlan ID）。若存在tag列表，則直接放行，保留數據原有的vlan ID。

從上面可以得出結論，接口收到數據包後的處理方式，和Hybrid接口的tag列表、PVID這兩個屬性有關；接口發送數據包時的處理方式，與Hybrid接口的untag列表和tag列表有關。
.
上個圖，來更直觀的看一下Hybrid接口收發數據幀時的處理流程吧！

Hybrid接口和Trunk接口都可以給多個vlan打標籤，也可以傳輸多個vlan的流量；但是Hybrid接口可以允許多個不同vlan的報文發送時不打標籤（把相應的vlan ID添加到untag列表中即可實現咯），而Trunk接口只允許默認vlan 的報文發送時不打標籤。

三種類型的接口可以共同存在一臺交換機上，但Trunk接口不能直接切換爲Hybrid接口，只能先設爲Access接口，再設置爲Hybrid接口（Hybrid接口可以直接設置爲Trunk接口，不管如何切換，都有一些限制，如Trunk接口切換至Access接口時，需要刪除或更改一些接口配置，纔可以更換爲Access接口，牽扯原理比較多，舉個栗子，華爲交換機設置爲Trunk接口時，需要手動允許所有vlan流量通過，纔可以正常工作，否則默認只允許vlan1的流量通過Trunk接口，這樣Trunk接口便沒有存在的意義了，而Access只允許一個vlan的流量通過，所以，若想從Trunk改爲Access，必須先更改原有的“允許所有vlan通過”相關的配置）。
.
囉嗦了這麼多，舉個栗子來配置一下吧，將理論應用到實際，纔可以更好使用該技術。
.
環境如下（只是單純的爲了舉栗子，不以生產環境來說）：

需要實現如下需求：

生產部客戶端和銷售部客戶端可以相互訪問，而且只能訪問服務器1。
財務部客戶端不能和任何部門通信，只能訪問服務器2。

配置如下：
1、自行配置各個PC及服務器的IP地址，無須配置網關，因爲各個vlan的IP地址處於同一網段。
2、配置交換機S1：

<S1>un ter mo            <!--關閉日誌提示消息-->
<S1>sys           <!--進入系統視圖-->
[S1]vlan ba 2 3 10           <!--創建相應vlan，vlan 1默認存在，不用創建-->
[S1]in g0/0/1           <!--進入該接口-->
[S1-GigabitEthernet0/0/1]port link-type hybrid           
<!--
         配置接口模式爲Hybrid，默認就是這個模式，
這裏只是爲了將命令寫下來，在以後的配置中將省略該步驟
                              -->
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 1           
<!--同上，默認所有接口的PVID爲vlan 1，也是爲了展示命令-->
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2   <!--將vlan 1-2加入untag列表-->
[S1-GigabitEthernet0/0/1]in g0/0/2            <!--進入該接口-->
[S1-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2  <!--將vlan 1-2加入untag列表-->
[S1-GigabitEthernet0/0/2]in g0/0/3           <!--進入該接口-->
[S1-GigabitEthernet0/0/3]port hybrid pvid vlan 10           <!--設置接口PVID爲vlan 10-->
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10  <!--將vlan 3和vlan 10加入untag列表-->
[S1-GigabitEthernet0/0/3]in g0/0/4            <!--進入該接口-->
[S1-GigabitEthernet0/0/4]port hybrid untagged vlan 1 to 2    <!--將vlan 1-2加入untag列表-->
[S1-GigabitEthernet0/0/4]port hybrid tagged vlan 3 10           <!--將vlan 3 10加入tag列表-->

2、配置交換機S2（所有配置命令字在S1的配置過程中都將註釋寫了下來）：

<S2>un ter mo
[S2]vlan ba 2 3 10
[S2]in g0/0/1            
[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 1 to 2
[S2-GigabitEthernet0/0/1]port hybrid tagged vlan 3 10
[S2-GigabitEthernet0/0/1]in g0/0/2           
[S2-GigabitEthernet0/0/2]port hybrid pvid vlan 2
[S2-GigabitEthernet0/0/2]port hybrid untagged vlan 1 to 2
[S2-GigabitEthernet0/0/2]in g0/0/3            
[S2-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
[S2-GigabitEthernet0/0/3]quit

3、至此，已經配置完成了，需要實現的需求已經實現了，再提示一下，這種方式僅限於各個vlan中的IP地址在同一網段上，若不屬於同一網段，那麼不同vlan之間的通信還需經過三層設備。

4、那麼，現在若想要生產部和財務部可以通信呢？可以配置如下：

[S1]in g0/0/1
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 10
[S1-GigabitEthernet0/0/1]in g0/0/3
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 1

經過上面的簡單配置，就又實現了生產部和財務部的通信，但也僅僅是實現了這兩個部門的通信，銷售部和生產部都處於vlan 1，但銷售部和財務部依然無法通信，仍需設置相應接口。
.
其實，在上述需求中還有另一種比較簡單，又不難理解的配置方法，我將思路說一下，有興趣的話，自行配置試試吧，我通過這種方法實現過，就是把S1的G0/0/4接口和S2的G0/0/1接口都設置爲Trunk接口模式，並且允許所有vlan流量通過，然後在需要通信的接口中設置爲Hybrid接口模式，並且將需要通信的雙方vlan ID加入到untag列表中，就可以通信了，比如，財務部需要和服務器1通信，它們分別屬於vlan 10和vlan 2，那麼，將交換機互聯的接口設置爲Trunk接口模式並且允許所有vlan流量通過後，在S1交換機連接財務部客戶端的接口中，設置爲Hybrid接口模式，並將vlan 10 和vlan 2添加到untag列表中，在S2交換機連接服務器1的接口中，將vlan 10 和vlan 2添加到untag列表中，即可實現這兩個處於不同vlan中的終端設備進行通信，整個通信過程與tag列表無關（注意設置相應接口的PVID標籤，以便將終端設備加入相應的vlan中）。