交换机上的trunk，hybrid，access配置和应用(转)

交换机上的trunk，hybrid，access配置和应用

以太网端口的链路类型：

Access类型：端口只能属于一个vlan，一般用于连接计算机。

Trunk类型：端口可以属于端个vlan，可以接收和发送多个vlan报文，多用于交换机之间。

hybrid类型：端口可以属于多个vlan，可以接收和发送多个vlan的报文，可以用于交换机之间，也可以用于连接用户主机。  www.2cto.com

三种类型的端口可以共存在一台设备上，但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。例如：Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。

各端口链路类型设置指令:

操作命令设置端口为Access端口

port link-type access

设置端口为Hybrid端口   www.2cto.com

port link-type hybrid

设置端口为Trunk端口

port link-type trunk

恢复端口的链路类型为缺省的Access端口

undo port link-type

hybrid端口和trunk端口的区别：

Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

设置以太网端口缺省VLAN ID：

Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；

Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag的报文时，如果该报文的VLAN ID与端口缺省的VLAN ID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。

各缺省vlan id设置指令：

设置Hybrid端口的缺省VLAN ID

port hybrid pvid vlan vlan_id

设置Trunk端口的缺省VLAN ID

port trunk pvid vlan vlan_id

恢复Hybrid端口的缺省VLAN ID为缺省值

undo port hybrid pvid

恢复Trunk端口的缺省VLAN ID为缺省值

undo port trunk pvid

端口对报文的收发处理：

注意：

Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID必须一致，否则端口将不能正常转发报文。

各类型端口使用注意事项:

1.在一台以太网交换机上，Trunk端口和Hybrid端口不能同时被设置。

2.Trunk端口不能和isolate-user-vlan同时配置；Hybrid端口可以和isolate-user-vlan同时配置。但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN，则允许修改缺省VLAN ID，只有在解除映射后才能进行修改。

3.配置Trunk端口或Hybrid端口，并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意：本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。

4.当在交换机上使用isolate-user-vlan来进行二层端口隔离时，参与此配置的端口的链路类型会自动变成Hybrid类型。

5.Hybrid端口的应用比较灵活，主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规则的交换机上，利用Hybrid端口收发报文时的处理机制，来完成对同一网段的PC机之间的二层访问控制。

hybrid简单案例分析:

配置步骤：

[Switch-Ethernet0/1]int e0/1

[Switch-Ethernet0/1]port link-type hybrid

[Switch-Ethernet0/1]port hybrid pvid vlan 10

[Switch-Ethernet0/1]port hybrid vlan 10 20 untagged

[Switch-Ethernet0/1] int e0/2

[Switch-Ethernet0/2]port link-type hybrid

[Switch-Ethernet0/2]port hybrid pvid vlan 20

[Switch-Ethernet0/2]port hybrid vlan 10 20 untagged

此时inter e0/1和inter e0/2下的所接的PC是可以互通的，但互通时数据所走的往返vlan是不同的。

pc1访问pc2过程分析：

pc1所发出的数据，由inter0/1所在的pvid vlan10封装vlan10的标记后送入交换机，交换机发现inter e0/2允许vlan 10的数据通过，于是数据被转发到inter e0/2上，由于inter e0/2上vlan 10是untagged的，于是交换机此时去除数据包上vlan10的标记，以普通包的形式发给pc2，此时pc1->p2走的是vlan10

pc2访问pc1过程分析：  www.2cto.com

pc2所发出的数据，由inter0/2所在的pvid vlan20封装vlan20的标记后送入交换机，交换机发现inter e0/1允许vlan 20的数据通过，于是数据被转发到inter e0/1上，由于inter e0/1上vlan 20是untagged的，于是交换机此时去除数据包上vlan20的标记，以普通包的形式发给pc1，此时pc2->pc1走的是vlan20

注：tag就是普通的ethernet报文，报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；untag就是普通的ethernet报文，比tag报文少了4 bytes字节。

trunk链路的简单应用：

配置步骤：

Switch1

Switch(config)#int f0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed vlan all

Switch2

Switch(config)#int f0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed all

access链路的简单应用：

Switch2配置：

Switch#conf t

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#int f0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config)#int f0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch3配置：

Switch#conf t

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#int f0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config)#int f0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

项目实战：

项目要求：

1. PC1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1 、E0/2和 E0/3，端口分属于VLAN10、vlan20和vlan30；PC4和PC5分别连接到二层交换机SwitchB的端口E0/1和E0/2，端口分属于VLAN10和vlan20；

2. SwitchA通过端口E0/3，连接到SwitchB的端口E0/3；SwitchA的端口E0/3和SwitchB的端口E0/3均不是Trunk端口；

3. PC1的IP地址为10.1.1.1/24，PC2的IP地址为10.1.1.2/24，PC3的IP地址为10.1.1.3/24，PC4的IP地址为10.1.1.4/24，PC5的IP地址为10.1.1.5/24，现要实现各主机之间的通讯。

配置步骤：

SwitchA相关配置:

1. 创建（进入）VLAN10，将E0/1加入到VLAN10 
[SwitchA]vlan 10 
[SwitchA-vlan10]port Ethernet 0/1

2. 创建（进入）VLAN20，将E0/2加入到VLAN20 
[SwitchA]vlan 20 
[SwitchA-vlan20]port Ethernet 0/2

3. 创建（进入）VLAN30，将E0/3加入到VLAN30 
[SwitchA]vlan 30 
[SwitchA-vlan30]port Ethernet 0/3

4. 创建（进入）VLAN100，将G2/1加入到VLAN100 
[SwitchA]vlan 100 
[SwitchA-vlan100]port GigabitEthernet 2/1

5. 配置端口E0/1为Hybrid端口，能够接收VLAN20、30和100发过来的报文 
[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]port link-type hybrid

前面E0/1加到了VLAN10中，这里又将其端口类型设置为hybrid

[SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged

这里对vlan 10没有作操作指示，10实际上是该hybrid端口的PVID

6. 配置端口E0/2为Hybrid端口，能够接收VLAN10和100发过来的报文 
[SwitchA]interface Ethernet 0/2 
[SwitchA-Ethernet0/2]port link-type hybrid 
[SwitchA-Ethernet0/2]port hybrid vlan 10 100 untagged

7. 配置端口E0/3为Hybrid端口，能够接收VLAN10和100发过来的报文 
[SwitchA]interface Ethernet 0/3 
[SwitchA-Ethernet0/3]port link-type hybrid 
[SwitchA-Ethernet0/3]port hybrid vlan 10 100 untagged

8. 配置端口G2/1为Hybrid端口，能够接收VLAN10、20和30发过来的报文 
[SwitchA]interface GigabitEthernet 2/1 
[SwitchA-GigabitEthernet2/1]port link-type hybrid 
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 30 untagged

【补充说明】

对于Hybrid端口来说，可以同时属于多个VLAN。这些VLAN分别是该Hybrid端口的PVID，以及手工配置的”untagged”及”tagged”方式的VLAN。一定要注意对应端口的VLAN配置，保证报文能够被端口进行正常的收发处理。

此应用在二层网络中，对相同网段的主机进行访问权限的控制。

SwitchB相关配置:

1. 创建（进入）VLAN10，将E0/1加入到VLAN10 
[SwitchB]vlan 10 
[SwitchB-vlan10]port Ethernet 0/1

2. 创建（进入）VLAN20，将E0/2加入到VLAN20 
[SwitchB]vlan 20 
[SwitchB-vlan20]port Ethernet 0/2

3. 配置端口G1/1为Hybrid端口，能够接收并透传VLAN10和20发过来的报文 
[SwitchB]interface GigabitEthernet 2/1 
[SwitchB-GigabitEthernet2/1]port link-type hybrid 
[SwitchB-GigabitEthernet2/1]port hybrid vlan 10 20 tagged

课外延伸：

把当前以太网端口加入到指定VLAN：

把当前以太网端口加入到指定的VLAN中。Access端口只能加入到1个VLAN中，Hybrid端口和Trunk端口可以加入到多个VLAN中。

请在以太网端口视图下进行下列设置。

操作命令把当前Access端口加入到指定VLAN

port access vlan vlan_id

将当前Hybrid端口加入到指定VLAN

port hybrid vlan vlan_id_list { tagged | untagged }

把当前Trunk端口加入到指定VLAN

port trunk permit vlan { vlan_id_list | all }

把当前Access端口从指定VLAN删除

undo port access vlan

把当前Hybrid端口从指定VLAN中删除

undo port hybrid vlan vlan_id_list

把当前Trunk端口从指定VLAN中删除

undo port trunk permit vlan 
{ vlan_id_list | all }

需要注意的是：Access端口加入的VLAN必须已经存在并且不能是VLAN 1；Hybrid端口加入的VLAN必须已经存在；Trunk端口加入的VLAN不能是VLAN 1。

执行了本配置，当前以太网端口就可以转发指定VLAN的报文。Hybrid端口和Trunk端口可以加入到多个VLAN中，从而实现本交换机上的VLAN与对端交换机上相同VLAN的互通。Hybrid端口还可以设置哪些VLAN的报文打上标签，哪些不打标签，为实现对不同VLAN报文执行不同处理流程打下基础。

端口的广播风暴抑制比(broadcast-suppression)：

可以使用命令broadcast-suppression限制端口上允许通过的广播流量的大小，当广播流量超过用户设置的值后，系统将对广播流量作丢弃处理，使广播所占的流量比例降低到合理的范围，从而有效地抑制广播风暴，避免网络拥塞，保证网络业务的正常运行。以端口最大的广播流量的线速度百分比作为参数，百分比越小，表示允许通过的广播流量越小；当百分比为100时，表示不对该端口进行广播风暴抑制。

端口的流量控制(flow-control )：

当本端交换机和对端交换机都开启了流量控制功能后，如果本端交换机发生拥塞，它将向对端交换机发送消息，通知对端交换机暂时停止发送报文。对端交换机在接收到该消息后将暂停向本端发送报文，从而避免了报文丢失现象的发生。

将某些端口的配置拷贝到其它端口:

为了方便将某些端口的配置与指定端口保持一致，可以使用copy configuration命令将指定端口的配置拷贝到其他端口。

可以拷贝的配置包括VLAN、QoS、STP、端口配置：

VLAN配置包括：端口上允许通过的VLAN、端口缺省的VLAN ID。

QoS配置包括：端口限速、端口优先级、缺省的802.1p优先级。

STP配置包括：端口的STP使能/关闭、与端口相连的链路属性（如点对点或非点对点）、STP优先级、路径开销、报文发送速率限制、是否环路保护、是否根保护、是否为边缘端口。

端口配置包括：端口的链路类型、端口速率、双工模式。

说明：

如果将拷贝的源配置为聚合组ID，系统将以该聚合组中端口号最小的端口为源。

如果将拷贝的目的地配置为聚合组ID，则该聚合组内所有端口的配置都将改变为与源一致。

VLAN技术的好处：

隔离广播：在交换网络中，通过广播域的隔离，可以大大减少网络中泛洪的广播包，从而提高网络中的带宽利用率。

安全性：通过在二层网络划分VLAN，可以实现在二层网络中不同VLAN间的数据隔离。

故障隔离：通过VLAN的划分，由于将设备划分到不同的广播域当中，可以减小网络故障的影响，例如：arp病毒或arp攻击。

vlan常见故障解析：

VLAN内的主机不能和其他VLAN通信，原因可能是：

1.>;主机上错误的网关、IP地址和子网掩码设置

2.>;主机所连接的端口被划分到了错误的VLAN

3.>;交换机上的Trunk端口设置错误，例如缺省VLAN设置不匹配，允许的VLAN列表不正确等

4.>;路由器子接口或三层交换机SVI端口的IP地址和子网掩码设置错误

5.>;路由器或者三层交换机可能需要添加到达其他子网的路由

vlan 故障排查方法：

从低层（物理层）逐步向上排查，如端口和线缆无故障，则：

1.>;检查主机的网络设置是否匹配和正确

2.>;通过show vlan命令，确定VLAN内的端口划分正确

3.>;通过show interface trunk命令，检查Trunk链路两端的Trunk设置是否匹配且正确

4.>;通过show interface命令，确定是否设置了正确的IP地址和子网掩码

5.>;通过show ip route命令，确定各个子网都能够正确出现在路由表中

6.>;通过show interface subinterface 命令，检查路由器的子接口是否正确封装了802.1Q，并指定到了正确的VLAN

7.>;通过show interface命令，检查主机和交换机端口的速度和双工设置是否匹配