eNSP——Hybrid接口的应用

原理：

Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路，它允许多个VLAN的帧通过，并可以在出接口方向将某些VLAN帧的标签剥掉。

Hybrid接口处理VLAN帧的过程如下:

(1)收到一个二层帧，判断是否有VLAN标签。没有标签，则标记上Hybrid接口的PVID，进行下一-步处理;有标签，判断该Hybrid接口是否允许该VLAN的帧进入，允许则进行下一-步处理，否则丢弃。

(2)当数据帧从Hybrid接口发出时，交换机判断VLAN在本接口的属性是Untagged还是Tagged.如果是Untagged,先剥离帧的VLAN标签，再发送;如果是Tagged,则直接发送帧。通过配置Hybrid接口，能够实现对VLAN标签的灵活控制，既能够实现Access接口的功能，又能够实现Trunk接口的功能。

例子：

某企业二层网络使用两台S3700交换机S1和S2，且两台设备在不同的楼层。网络管理员规划了3个不同VLAN, HR部门使用VLAN 10，市场部门使用VLAN20，IT部门使用VLAN 30。现在需要让处于不同楼层的HR部门和市场部门实现部门内部通信,而两部门之间不允许互相通信; IT部门可以访问任意部门。可以通过配置Hybrid接口来实现较复杂的VLAN控制。

拓扑图：

实验编制：

1.基本配置

按照编址进行PC配置，并ping通

在没有定义VLAN及接口类型之前，默认情况下，交换机上所有接口都是Hybrid类型，接口的PVID是VLAN 1,即所有接口收到没有标签的二层数据帧，都被转发到VLAN1中，并继续以Untagged的方式把帧发送至同为VLAN1的其他接口。所以，即使未做任何配置，主机之间默认仍然可以互相通信。

2.实现组内通信，组间隔离。

交换机接口的类型可以是Acess、Trunk 和Hybrid。Access 类型的接口仅属于一个VLAN,只能接收、转发相应VLAN的帧;而Trunk类型接口则默认属于所有VLAN,任何Tagged帧都能经过Trunk接收和转发; Hybrid类型接口则介于二者之间，可自主定义端口上能接收和转发哪些VLAN Tag的帧，并可决定VLAN Tag是否继续携带或者剥离。Access和Trunk类型接口是Hybrid类型接口的两个特例，.一个仅支持一个VLAN的传递，一个默认支持所有VLAN的传递，而Access类型和Trunk类型的接口能做到的，Hybrid接口都能做到。

实现部门内部通信，在前面我们学过，可以用Access和Trunk的方法进行配置，前两个博客我们写过详细教程。

现在我们再操作一遍（S1 S2操作一样，第一个是我弄好又重新打了一遍，第二个是懒得弄了，Tab补齐的，其实步骤一样）

可以用display vlan 看一下VLAN对应关系表（S2等同）。

现在我们ping一下同部门的连通性（可以看到同部门的可以ping通，不同部门的不可以ping通）

上面是用的Access和Trunk 的配置方法，接下来我们用Hybrid的配置方法。

S1的E 0/0/2接口连接PC-1主机，该接口收到的PC-1发送的Untagged的帧会被交换机转发到VLAN20.同样，交换机从其他接口收到VLAN 20的发往PC-1的帧也会以Untagged的方式从E 0/0/2接口发送。S1的E 0/0/3 接口连接PC-2主机，该接口收到Untagged的帧会被转发到VLAN 10。如果交换机收到的VLAN 10的发往PC-2的帧也会以Untagged的方式从接口E 0/0/3 发送。VLAN 10和VLAN 20的帧也要经过交换机间链路发送至邻居交换机S2。反之，S1收到来自邻居交换机S2的Tagged的帧后，也会根据VLAN Tag转发到相应的VLAN

首先，在S1的 E 0/0/2接口上恢复接口的默认VLAN

再修改接口类型为默认的Hybrid类型

再使得交换机在该接口转发VLAN 20的帧时，剥离掉相应的 VLAN Tag20，以Untagged的方式发给PC。

设置Hybrid类型接口的默认VLAN ID，即使得该端口上接收到PC发来的未带 VLAN Tag的帧时，加上VLAN Tag 20，并转发到VLAN 20。

然后再另一台终端的E 0/0/3接口进行同样配置。

在连接交换机S2的E 0/0/1接口上修改端口类型为默认的Hybrid类型,并使用porthybrid tagged vlan 10 20命令设置该链路仅接收带有VLAN Tag 10和20的帧，

而交换机也仅转发VLAN 10和VLAN 20的帧到该链路。一般该命令配置在交换机互连的链路接口之上。

S2同样这么配置

现在我们看一下vlan配置。

并且可以和上面一样，同部门可以ping通，不同部门不可以

3.实现网络管理员对所有网络的访问

接下来我们要实现IT部门可以访问其他部门，也就是vlan30可以访问vlan10和vlan20，但vlan10和vlan20之间不能相互访问。

如果0/0/2接口仍是access类型的接口，属于vlan10，则不能被其他vlan访问。若要vlan30的终端能访问vlan10的终端，则需要修改端口的配置，这时候就要求接口同时属于多个VLAN，故此时只能使用hybrid。我们在交换机上划分vlan30，将接口加入，使从这个接口出去的加入vlan 30的标签

使vlan10 20 30的帧能够出接口

E0/0/2接口同时也要能够被VLAN30和.VLAN20的主机访问，即VLAN 20和30的帧能够从该接口发送出去，并以Untagged的方式发送至PC-1。PC3同理

VLAN10、VLAN20和VLAN30的帧要能够发送至邻居交换机S2，且要保留原有的VLAN Tag，以便于邻居交换机S2根据VLAN Tag继续转发到相应的VLAN。同样，邻居交换机S2发送过来的帧也会带有相应的VLAN Tag, 所以S1与S2间互连的接口E0/0/1配置如下。

S2 同样这么配置

我们看看实现效果

这样 PC5可以ping通其他几台PC，但是却不能被ping通。