华为设备的交换机接口类型介绍及配置

一、什么是vlan？

vlan就是虚拟局域网，是在二层交换机上将一个物理的LAN在逻辑上划分成多个广播域（多个vlan）的通信技术。同一个vlan内的主机可以直接通信，而不同vlan之间进行通行的话，则需要依赖三层网络设备（三层交换机、路由器等）。

vlan具有灵活性和可扩展性等特点，使用vlan技术有以下好处：

1. 控制广播，每个vlan都是独立的广播域，这样就减少了广播对网络带宽的占用，提高了网络传输效率，并且一个vlan出现了广播风暴不会影响其他vlan。
2. 增强网络安全性，由于只能在同一vlan内的端口之间交换数据，不同vlan的端口之间不能直接访问，因此vlan可以限制不同部门之间的通信。从而提高了部门之间的安全性。
3. 简化网络管理，对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，这样会增大网络管理的工作量，而对于采用vlan技术的网络来说，一个vlan可以根据部门职能，对象组或应用将不同地理位置的用户划分为一个逻辑网段，在不改动网络物理连接的情况下，可以任意地改变网段。

vlan分为动态vlan和静态vlan两种：

1、静态vlan：也称为基于端口的vlan，是目前最常见的vlan实现方式。静态vlan就是指明交换机的某个端口属于哪个vlan，需要手动配置，当主机连接到交换机端口上，主机就被分配到了对应vlan中。

2、动态vlan：动态vlan的实现方法很多，目前最普遍的实现方法是基于MAC地址的动态vlan。基于MAC地址的动态vlan，是根据主机的MAC地址自动将其指派到指定的vlan中，这种方式的vlan划分，最大的优点是，当用户物理位置移动时， 即从一个交换机移动到其他交换机时，所对应的vlan不会变，这种方法的缺点是初始化时所有的用户都必须进行配置，如果用户多的话，这种配置方法非常不方便，所以这种划分方法不适用于大型局域网。

vlan的范围参照：

Cisco和华为的交换机设备所支持的vlan范围（vlan ID）是一样的，下面是具体的vlan范围作用：

交换机所有的接口默认都属于vlan 1，我们正常创建vlan时，使用的vlan ID取值范围在2~1001之间，这些ID号足够我们使用了。

关于vlan的介绍就不多叙述了，在vlan中还有一个概念，就是vlan标签，这里不解释了，可以理解为，交换机为了区分某一个数据帧属于哪个vlan而给数据帧本身打了一个标识，用于区分不同vlan的数据帧。

 

二、华为交换机的三种接口模式。

华为交换机的接口模式有三种：Access、Trunk和Hybrid。其中，Access、Trunk接口模式和Cisco交换机的接口模式一样，Hybrid接口是华为设备特有的接口模式，Hybrid接口和Trunk接口的相同之处是都可以允许多个vlan的流量通过并打标签，不同之处在于Hybrid接口可以允许多个vlan的报文发送时不打vlan标签。

华为交换机的三种接口模式功能介绍如下：

• Access接口模式：Access接口必须加入某一vlan（这也是默认所有接口都属于vlan1的原因），对交换机而言，该接口只能允许一个vlan流量通行，且不打vlan标签，用于连接PC、服务器、路由器（非单臂路由）等设备。
• Trunk接口模式：该接口默认允许所有vlan通行（用于承载多个vlan通行），且对每个vlan通过打不同标识加以区分，主要用于连接交换机等设备。
• Hybrid接口模式：华为交换机接口默认为Hybrid模式（Cisco交换机默认为Access模式），既可以实现Access接口的功能，也可以实现Trunk接口的功能，可以在没有三层网络设备（路由器、三层交换机）的情况下实现跨vlan通信和访问控制（当然了，也有局限性，就是各个vlan中的IP地址都属于同一网段，否则，仍然需要通过三层网络设备来进行通信，）。相对于Access接口和Trunk接口具有更高的灵活性与可控性。

关于Access和Trunk接口模式是在Cisco设备中就有的概念，其作用于特性完全和华为设备一致，所以关于这两个接口模式就不说了，下面写一下Hybrid接口的作用。

Hybrid接口的作用体现为可以实现流量隔离与互通：

• 流量隔离：Hybrid接口本身拥有强大的访问控制能力，通过对接口的配置可以隔离来自于同一个vlan的流量，也可以隔离来自于不同vlan的流量。
• 流量互通：Hybrid接口可以使不同的vlan之间在二层实现通行。Cisco交换机设备需要借助三层网络设备才可以实现不同vlan之间的通信，总的来说，二层的解决方案永远比三层的解决方案要好，因为二层的效率要高于三层。所涉及的网络层次越高，效率越低。

hybrid接口的工作原理。

Hybrid接口能够灵活地控制一个接口上数据帧vlan标签的添加和移除。例如，在接口对端的设备是交换机的情况下，可以配置接口允许某一些vlan的数据帧携带vlan标签通过该接口，而另外一些vlan则不携带vlan标签发出。在接口对端是终端主机的情况下，可以配置发送到这些接口的数据帧不携带任何vlan标签。

Hybrid接口的工作原理涉及接口的三个属性，分别是untag列表、tag列表及PVID（port-base VLAN ID，基于端口的vlan ID）。

Hybrid接口的三个属性介绍：

• untag列表：只在接口发送数据帧时起作用，如果需要发送的数据的vlan标签在接口的untag列表中，那么将去除标签发送数据。
• tag列表：作用于接收被标记的数据帧和发送数据帧。其作用类似于一个允许的vlan标识列表，当接口收到带有vlan标签的数据帧时，该接口的tag列表相当于vlan的允许列表，不在列表中的数据帧将被丢弃；当接口发送数据帧时，数据的vlan标签在接口的tag列表中，将保持标签发送数据帧，否则丢弃数据帧。
• PVID：接口的默认PVID为vlan 1，PVID只在接收没有标记帧时起作用，PVID用于在接收未标记数据帧时给数据帧打上当前的PVID标识（有没有觉得就是Cisco交换机把某个Access接口加入某个vlan后的特性？嗯，很相似，甚至就是这样，不同的是，Cisco交换机的Access接口给接收的数据帧打标签时，只能用于连接的是终端设备，而不能是交换机设备，而华为的交换机就不一样了，它可以给任何设备发送的数据帧进行打标签，包括交换机、路由器、终端设备等）。

从上面的三个接口属性可以看到，从功能特性上说，Hybrid接口中的untag列表和PVID列表，用于实现Access接口的特性，而tag列表用于实现Trunk特性，但又不局限于此，因为Hybrid接口相比于Access接口和Trunk接口可以更加灵活（同样原理上也不是太容易理解，我更觉得就Cisco设备的那两种接口类型就挺好，哈哈），适用于各种场景。

 

 

 

 

 

 

 

接口收到数据包后的处理方式，和Hybrid接口的tag列表、PVID这两个属性有关；接口发送数据包时的处理方式，与Hybrid接口的untag列表和tag列表有关。

上个图，来更直观的看一下Hybrid接口收发数据帧时的处理流程吧！