【基础】一个实验搞定华为Hybrid-vlan的原理和配置

1.实验拓扑：

使用ENSP模拟器(版本V100R002C001.2.00.150)

2.   实验需求：

1)PC1和PC3属于VLAN10

2)PC2和PC4属于VLAN20

3)PC5和PC6属于VLAN30

4)VLAN10和20的成员都可以和VLAN30中

PC5通信，但是VLAN10和VLAN20的成

员之间不能通信(通过二层技术实现此需求，就是华为Hybrid-vlan技术的灵活之处)

3.  实验步骤：

1)  IP规划：//这里均配置为192.168.1.0网段

PC1:192.168.1.10

PC2:192.168.1.20

PC3:192.168.1.30

PC4:192.168.1.40

PC5:192.168.1.50

PC6:192.168.1.60

2)  根据实验需求，对LSW进行配置

LSW1：

<SW1>system-view

[SW1]vlan bat 10 20 30 //vlan bat命令可添加多条vlan

[SW1]int e0/0/1

[SW1-Ethernet0/0/1]porthybrid pvid vlan10 //将接口以加入到vlan10

[SW1-Ethernet0/0/1]porthybrid untagged vlan 10 //untagged是指当数据离开端口时脱掉标签，这相当于ACCESS接口，也可以说将该接口以untagged方式加入到VLAN10。

[SW1]int e0/0/2

[SW1]i-Ethernet0/0/2]porthybrid pvid vlan 20

[SW1-Ethernet0/0/2]porthybrid untagged vlan 20

[SW1]int g0/0/1

[SW1-GigabitEthernet0/0/1]porthybrid tagged vlan 10 20 30

//tagged是指当数据离开端口时带着标签，相当于TRUNK接口，也可以说将该接口以tagged方式同时加入到VLAN10 20 30

检查VLAN的配置结果：[SW1]display vlan 

LSW2：

<SW2>system-view

[SW2]vlan bat 10 20 30

[SW2]int e0/0/3

[SW2-Ethernet0/0/3]porthybrid pvid vlan 10

[SW2-Ethernet0/0/3]porthybrid untagged vlan 10

[SW2-Ethernet0/0/3]inte0/0/4

[SW2-Ethernet0/0/4]porthybrid pvid vlan 20

[SW2-Ethernet0/0/4]porthybrid untagged vlan 20

[SW2-Ethernet0/0/4]inte0/0/5

[SW2-Ethernet0/0/5]porthybrid pvid vlan 30

[SW2-Ethernet0/0/5]porthybrid untagged vlan 30

[SW2-Ethernet0/0/5]inte0/0/6

[SW2-Ethernet0/0/6]porthybrid pvid vlan 30

[SW2-Ethernet0/0/6]porthybrid untagged vlan 30

[SW2]int g0/0/1

[SW2-GigabitEthernet0/0/1]porthybrid tagged vlan 10 20 30 //相当于中继端口。

检查VLAN的配置结果：

---------------以上是LSW-VLAN的配置-----------------

3)为了满足最后一个实验需求：VLAN10和20的成员都可以和VLAN30中的PC5通信，但是VLAN10和VLAN20的成员之间不能通信。

在现实的应用场景中，PC5可能是一台服务器，而不同VLAN的成员间是不可以进行通信的，如果想通信的话是必须依赖于三层设备的。但是因为有了Hybrid-VLAN技术就可以实现不依赖三层设备而直接在二层的通信了。想要PC5能够与别的VLAN通讯的话，那么只需要在它发出数据帧的时候让其余VLAN端口可以接收它的数据帧就可以了，但是默认其余VLAN的端口是不接收它的数据帧的。所以用hybrid-vlan技术对需要接收VLAN 30数据也就是PC5的数据帧的端口进行配置就可以了。也就是将端口以untagged的方式加入VLAN 30。并且告诉PC5的端口也允许需要接收它数据帧的端口的VLAN就可以实现通信了。

具体配置：

LSW1：

[SW1]inte0/0/1

[SW1-Ethernet0/0/1]porthybrid untagged vlan 30 //同时加入vlan30，untagged指数据离开端口前脱掉标签，相当于这个接口也属于VLAN30，所以30的流量也可以过来。

[SW1-Ethernet0/0/1]inte0/0/2

[SW1-Ethernet0/0/2]porthybrid untagged vlan 30

LSW2：

[SW2]inte0/0/3

[SW2-Ethernet0/0/3]porthybrid untagged vlan 30

[SW2-Ethernet0/0/3]inte0/0/4

[SW2-Ethernet0/0/4]porthybrid untagged vlan 30

[SW2]inte0/0/5

[SW2-Ethernet0/0/5]porthybrid untagged vlan 10 //流量能过了，广播报文也一样能过了！那么VLAN作用就没了吗？其实只是有限的广播放行了。

[SW2-Ethernet0/0/5]porthybrid untagged vlan 20

--------------------配置完成-----------------

配置完成后使用ping命令查看实验结果

用PC1 ping PC2:(不同成员间无法通信)

PC1 ping PC5（使用Hybrid-vlan技术可以实现通信）

用PC2 ping PC5（使用hybrid-VLAN技术，VLAN20成员可以实现通讯）

总结：通过Hybrid-vlan可以实现灵活的二层访问控制，但是IP是同一网段的，如果要让所有主机都连外网，还是要规划不同的IP段的，因为网关不可能相同。到时候不同VLAN成员虽然二层是通的，但是由于IP不在一段所以要通信还是要通过三层设备的。具体要根据工程需求，来灵活的使用Hybrid-vlan技术。

本文转自Y.weisheng 51CTO博客，原文链接：http://blog.51cto.com/yuan2/1581468，如需转载请自行联系原作者