【基础】一个实验搞定华为Hybrid-vlan的原理和配置

南天一柱

　　1.实验拓扑：

　　使用ENSP模拟器(版本V100R002C001.2.00.150)
　　2.   实验需求：
　　1)PC1和PC3属于VLAN10
　　2)PC2和PC4属于VLAN20
　　3)PC5和PC6属于VLAN30
　　4)VLAN10和20的成员都可以和VLAN30中
　　PC5通信，但是VLAN10和VLAN20的成
　　员之间不能通信(通过二层技术实现此需求，就是华为Hybrid-vlan技术的灵活之处)
　　3.  实验步骤：
　　1)  IP规划：//这里均配置为192.168.1.0网段
　　PC1:192.168.1.10
　　PC2:192.168.1.20
　　PC3:192.168.1.30
　　PC4:192.168.1.40
　　PC5:192.168.1.50
　　PC6:192.168.1.60
　　2)  根据实验需求，对LSW进行配置
　　LSW1：
　　<SW1>system-view
　　[SW1]vlan bat 10 20 30 //vlan bat命令可添加多条vlan
　　[SW1]int e0/0/1
　　[SW1-Ethernet0/0/1]porthybrid pvid vlan10 //将接口以加入到vlan10
　　[SW1-Ethernet0/0/1]porthybrid untagged vlan 10 //untagged是指当数据离开端口时脱掉标签，这相当于ACCESS接口，也可以说将该接口以untagged方式加入到VLAN10。
　　[SW1]int e0/0/2
　　[SW1]i-Ethernet0/0/2]porthybrid pvid vlan 20
　　[SW1-Ethernet0/0/2]porthybrid untagged vlan 20
　　[SW1]int g0/0/1
　　[SW1-GigabitEthernet0/0/1]porthybrid tagged vlan 10 20 30
　　//tagged是指当数据离开端口时带着标签，相当于TRUNK接口，也可以说将该接口以tagged方式同时加入到VLAN10 20 30
　　检查VLAN的配置结果：[SW1]display vlan

　　LSW2：
　　<SW2>system-view
　　[SW2]vlan bat 10 20 30
　　[SW2]int e0/0/3
　　[SW2-Ethernet0/0/3]porthybrid pvid vlan 10
　　[SW2-Ethernet0/0/3]porthybrid untagged vlan 10
　　[SW2-Ethernet0/0/3]inte0/0/4
　　[SW2-Ethernet0/0/4]porthybrid pvid vlan 20
　　[SW2-Ethernet0/0/4]porthybrid untagged vlan 20
　　[SW2-Ethernet0/0/4]inte0/0/5
　　[SW2-Ethernet0/0/5]porthybrid pvid vlan 30
　　[SW2-Ethernet0/0/5]porthybrid untagged vlan 30
　　[SW2-Ethernet0/0/5]inte0/0/6
　　[SW2-Ethernet0/0/6]porthybrid pvid vlan 30
　　[SW2-Ethernet0/0/6]porthybrid untagged vlan 30
　　[SW2]int g0/0/1
　　[SW2-GigabitEthernet0/0/1]porthybrid tagged vlan 10 20 30 //相当于中继端口。
　　检查VLAN的配置结果：

　　---------------以上是LSW-VLAN的配置-----------------
　　3)为了满足最后一个实验需求：VLAN10和20的成员都可以和VLAN30中的PC5通信，但是VLAN10和VLAN20的成员之间不能通信。
　　在现实的应用场景中，PC5可能是一台服务器，而不同VLAN的成员间是不可以进行通信的，如果想通信的话是必须依赖于三层设备的。但是因为有了Hybrid-VLAN技术就可以实现不依赖三层设备而直接在二层的通信了。想要PC5能够与别的VLAN通讯的话，那么只需要在它发出数据帧的时候让其余VLAN端口可以接收它的数据帧就可以了，但是默认其余VLAN的端口是不接收它的数据帧的。所以用hybrid-vlan技术对需要接收VLAN 30数据也就是PC5的数据帧的端口进行配置就可以了。也就是将端口以untagged的方式加入VLAN 30。并且告诉PC5的端口也允许需要接收它数据帧的端口的VLAN就可以实现通信了。
　　具体配置：
　　LSW1：
　　[SW1]inte0/0/1
　　[SW1-Ethernet0/0/1]porthybrid untagged vlan 30 //同时加入vlan30，untagged指数据离开端口前脱掉标签，相当于这个接口也属于VLAN30，所以30的流量也可以过来。
　　[SW1-Ethernet0/0/1]inte0/0/2
　　[SW1-Ethernet0/0/2]porthybrid untagged vlan 30
　　LSW2：
　　[SW2]inte0/0/3
　　[SW2-Ethernet0/0/3]porthybrid untagged vlan 30
　　[SW2-Ethernet0/0/3]inte0/0/4
　　[SW2-Ethernet0/0/4]porthybrid untagged vlan 30
　　[SW2]inte0/0/5
　　[SW2-Ethernet0/0/5]porthybrid untagged vlan 10 //流量能过了，广播报文也一样能过了！那么VLAN作用就没了吗？其实只是有限的广播放行了。
　　[SW2-Ethernet0/0/5]porthybrid untagged vlan 20
　　--------------------配置完成-----------------
　　配置完成后使用ping命令查看实验结果
　　用PC1 ping PC2:(不同成员间无法通信)

　　PC1 ping PC5（使用Hybrid-vlan技术可以实现通信）

　　用PC2 ping PC5（使用hybrid-VLAN技术，VLAN20成员可以实现通讯）

　　总结：通过Hybrid-vlan可以实现灵活的二层访问控制，但是IP是同一网段的，如果要让所有主机都连外网，还是要规划不同的IP段的，因为网关不可能相同。到时候不同VLAN成员虽然二层是通的，但是由于IP不在一段所以要通信还是要通过三层设备的。具体要根据工程需求，来灵活的使用Hybrid-vlan技术。