理解Hybird接口的应用

前面我们介绍了access，trunk接口配置，现在让我们再来介绍介绍Hybird接口的应用吧，优点大大的。

首先我们还是先说一下实验吧！

上面的内容对大家很有帮助，读一下很好！

下面的是我自己建的拓扑！

让我们进入正题吧！

首先还是一如既往的配置主机,实验编码刚刚发了，我现在就以PC5为模板

配置完PC机后，我们先通过access与trunk对交换机进行配置！

原理还是很简单的，让同部门的可以通信，不同部门的拒绝访问，但是IT部门却可以访问任意部门

我们先将IT部门放在外边，先搞一下其他两个部门吧！让他们完成同部门通信，不同部门不通信。

既然已经配置好了PC机，那么就让我们试验一下是否能ping通：我们还是以PC1 为例，具体情况如下图

再用PC3 试一下与PC4的连通性

经过上面的结果我们看到了PC机之间的配置都是没有问题的。

我们可以观察到，此时PC1 访问其他主机通信正常，其他主机的测试过程省略。在没有定义VLAN及接口类型之前，默认情况下，交换机上的所有借口都是Hybird类型，接口的PVID是VLAN1 ，即所有借口收到没有标签的二层数据帧，都被转发到VLAN 1中，并继续以Untagged的方式把帧发送至同为VLAN1的其他接口。所以即使未做任何配置，主机之间默认是可以通信的。在进行配置之前可以通过指令display port vlan命令查看接口的默认类型，在交换机上使用 display vlan命令查看接口和所属的VLAN的对应关系。

交换机的接口类型可以使Access Trunk 和Hybird。Access类型的接口仅属于一个VLAN，只能接收、转发相应VLAN的帧；而Trunk接口默认属于所有VLAN，任何Tagged帧都能经过Trunk接口接收和转发；Hybird接口则位于二者之间，可自主定义端口上能接收和转发那些VLAN Tag的帧，并可决定VLAN Tag是否继续携带或者剥离。Access和Trunk类型的接口是Hybird类型接口的两个特例，一个仅支持一个VLAN的传递，一个默认支持所有VLAN的传递，而Access类型和Trunk类型的接口都能做到的，Hybird接口都能实现。

好了，接下来我们就来进行交换机的配置吧！（实现组内通信，组间隔离），可以使用Access和Trunk配置方法。也可以仅用Hybird配置方法。

VLAN 10 内的PC2与PC4 之间可以自由访问，VLAN 20 内的PC1和PC3之间可以自由访问，而两个部门之间不可访问，即VLAN10和VLAN20 之间不可以互相访问。

一、使用Trunk与Access配置的方法。

将S1 上的 E 0/0/2和S2上的E 0/0/2配置为Assess 类型，并将相应的接口加入到VLAN 20 。同理将S1上的E 0/0/3和S2上的E 0/0/3也配置为Access接口类型，并加入到VLAN10 而交换机之间的互连的链路两个E 0/0/1 接口则配置为Trunk类型。具体代码我就不写了，图片很明白。

这个是S1的：（别忘了先自己创建连个VLAN10 与VLAN20）

我们看一下结果！

接下来这个是S2的

我们看一下成功了！

通过上面我们可以观察到，在单台交换机及跨交换机的访问控制使用Trunk和Access类型接口实现了需求，但同样的需求使用Hybird实现会更灵活。

既然这个成功了，那么我们就来看一下使用Hybird的效果吧！

首先在S1接口上使用undo port default vlan 命令来恢复默认接口VLAN，

再配置port link-type hybrid 命令修改接口为默认的Hybrid类型，

配置port hybrid untagged vlan 20命令使得交换机在接口转发VLAN 20 的帧时，剥离掉相应的VLAN，以untagged的方式发送给PC

配置port hybrid pvid vlan 20 命令设置Hybrid接口的默认类型VLAN ID，即使得端口上接收到PC发来的未带的VLAN Tag的帧时，加上 VLAN Tag 20 ，并转发到VLAN20 上。

同样在连接另一台终端的E0/0/3接口做同样的配置。

interface ethernet0/0/3

undo port default vlan

port link-type hybrid

port hybrid untagged vlan 10

port hybrid pvid vlan 10

z在连接交换机S2的E0/0/1的接口上修改类型为默认的Hybrid类型，并使用port hybrid tagged vlan10 20 命令设置该链路仅接受带有VLAN Tag 10和20 的帧，而交换机也仅转发VLAN10和VLAN20的帧到该链路。一般该命令配置在交换机互连的链路接口上。

interface ethernet 0/0/1

undo port trunk allow-pass vlan all（这步一定要写，恢复接口的默认VLAN）

port trunk allow-pass vlan 1

port link-type hybrid

port hybrid tagged vlan 10 20

我们看一下没有问题。

S2交换机将在E0/0/1接口接收到的Tagged帧，根据VLAN Tag标识，向接口0/0/2转发VLAN 20 的帧，向接口0/0/3转发VLAN 30 的帧。反之，接口E0/0/2接收到PC发送的未带Tag 的帧转发到VLAN 20 ，接收端口E0/0/3接受到未带Tag的帧会被转发到VLAN 10，并且这些帧发送到邻居交换机S1时，会保留原有的Tag。

S2的配置与S1相近。

好了，配置完成我们来看一下结果吧！

我们还是以PC1 做一下试验吧!

没有错误的喽！

我们可以观察到，同样的需求，Hybrid和Access、Trunk都能实现，但Hybrid的灵活性及解决复杂需求的能力是其他俩个所达不到的

三、最后让我们实现网管员对所有网络的访问环节吧。

既要保证相同部门之间可以互相访问，不同的部门不可以互访，又要保证管理员可以访问任何部门这一要求。即VLAN30 可以访问VLAN20 和VLAN10，但是VLAN 10 和VLAN20 之间却不能互访。如果S1接口的E0/0/2接口仍是Access类型，且属于VLAN10，则不能被其他VLAN访问。若要VLAN30 的终端能访问VLAN10 终端，则需要修改端口的配置，使其既能被VLAN10 访问，又能被VLAn30 访问，这就要求此接口要属于多个VLAN，且端口所连设备是PC，不能识别带VLAN Tag的帧，故此时只能使用Hybrid类型接口，剥离掉相应的VLAN Tag 。

配置S1交换机，E0/0/4接口是网络管理员的PC终端，且属于VLAN30 ，该接口收到PC发送的Untagged帧要能够发送至VLAN30，配置port hybrid pvid vlan 30 命令设置Untagged帧加入到VLAN 30

（因为在华为交换机上，默认所有接口都为Hybrid类型接口，所以在该接口下不需要修改配置）

S2交换机收到 VLAN 10、VLAN20 和VLAN30 的帧也能够从该接口发送至PC，配置 port hybrid untagged vlan10 20 30 命令是哦上述三个VLAN以Untagged的方式从接口发送出去。

同理，端口E0/0/2接PC1 ，接收到PC的Untagged帧需要发送至VLAN 20 ，使用port hybrid untagged vlan 20 命令。E0/0/2 接口同时也能够被VLAN 30 和VLAN20 的主机访问，即VLAN20和VLAN30 的帧能够从该接口发送出去，并以Untagged的方式发送至PC1，使用port hybrid untagged vlan 20 30的命令。对于端口0/0/3的配置也一样：port hybrid untagged vlan 10 30的命令。

VLAN 10、VLAN20 和VLAN30的帧要能继续发送至相邻的交换机，且保留原有的VLAN Tag，以便于邻居交换机根据VLAN Tag继续转发到相应的VLAN。同样，邻居交换机发送过来的帧也会带有相应的VLAN Tag，所以S1与S2之间的互连接口E0/0/1配置如下。

interface Ethernet0/0/1

port hybrid tagged vlan 10 20 30（两个接口配置一样）