二层交换机 Hybrid 端口模式的应用

贾玉喜 崔晓红

   摘 要: 本文通过对 二层交换机各种端口模式的介绍,以实例 讨论了利用其中 Hybrid (混合)模式实现各端口之间隔离与互访的功能。

   关键词: 交换机端口; Hybrid 端口模式; VLAN

    通常,要实现交换机端口之间的隔离,最简单常用的方法就是划分 VLAN (虚拟局域网)。然而在具体应用中,往往又希望端口隔离后某些 VALN 之间能灵活互访。一般情况下,需要在二层交换机上实现隔离,然后在上联的三层交换机或路由器上实现 VLAN 之间的互访。

    实际上,只利用二层交换机同样可以完成隔离与互访的功能,这就是二层交换机 Hybrid (混合)端口模式的应用。

   1 交换机链路端口模式

   华为二层交换机一般有四种链路端口模式,分别是Access、 Trunk 、 Hybrid 和 Fabric 端口模式。

   1.1 Access 端口模式

    Access 类型的端口只能属于一个 VLAN , 所以它的缺省 VLAN 就是它所在的 VLAN ,不用设置。 一般作为连接计算机的端口。

   1.2 Trunk 端口模式

   Trunk 类型的端口可以属于多个 VLAN ,可以接收和发送多个 VLAN 的报文,一般作为交换机之间连接的端口。

   1.3 Hybrid 端口模式

    Hybrid 类型的端口可以属于多个 VLAN ,可以接收和发送多个 VLAN 的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。 Hybrid 端口模式的特点如下:

    Hybrid 属性是一种混和模式,实现了在一个 untagged ( 不打标签 ) 端口允许报文以 tagged (打标签)形式送出交换机。同时,可以利用 Hybrid 属性来定义分别属于不同 VLAN 端口之间的互访,这是 Access 和 Trunk 端口所不能实现的。

    Hybrid 端口还可以设置哪些 VLAN 的报文打上标签,哪些不打标签,为实现对不同 VLAN 报文执行不同处理流程打下了基础。

    如果设置了端口的缺省 VLAN ID ,当端口接收到不带 VLAN Tag 的报文后,则将报文转发到属于缺省 VLAN 的端口;当端口发送带有 VLAN Tag 的报文时,如果该报文的 VLAN ID 与端口缺省的 VLAN ID 相同,则系统将去掉报文的 VLAN Tag ,然后再发送该报文。

    Hybrid 与 Trunk 端口模式的区别是: Hybrid 端口可以允许多个 VLAN 的报文发送时不打标签 ( untagged ) ,而 Trunk 端口只允许缺省 VLAN 的报文发送时不打标签。

    1.4 Fabric 端口模式

     Fabric 端口是 IRF 中各 Unit 之间的端口,只用于各 Unit 之间的互联,不能连接用户。

   2 Hybrid 端口模式的应用

   通过介绍上述二层交换机各种链路端口模式,我们可以根据其不同特点来灵活完成其各种应用。

   下面以华为 Quidway S2116-EI 交换机为例,介绍利用二层交换机端口的 Hybrid 模式来灵活实现端口之间的隔离和互访。

   2.1 组网需求

    S2116-EI 交换机 1 至 4 端口和 5 至 8 端口分别连接四个部门,即每个部门连接两个端口, 15 端口接一台 WEB 服务器, 16 端口接一条上联的外网出口线。

   组网需求:

   四个部门之间互相隔离 但同时能访问 WEB 服务器;分别灵活控制四个部门对外网的访问。

   2.2 解决思路

    首先把每个端口都划分到不同的 VLAN 里,也就是说划分 16 个 VLAN ,每个 VLAN 一个端口。每个端口都配置为 hybrid 状态。 设置端口的 PVID 等于该端口所属的 VLAN 。将希望可以互通的端口的 PVID VLAN ,设置为 untagged VLAN ,这样从该端口发出的广播帧就可以到达本端口。 据此思路,配置其中 VLAN1 至 VLAN4 只可以访问 VLAN15 ( WEB 服务器 ) , VLAN5 至 VLAN8 既可以访问 VLAN15 又可以访问 VLAN16 ( 外网 ) , 即 VLAN15 可以让所有 VLAN 访问, VLAN16 可以让 VLAN5 至 VLAN 8 和 VLAN15 访问。 这样,把四个部门分别接到 1 至 4 端口和 5 至 8 端口,当四个部门需要访问外网的时候就通过交换机的 WEB 管理界面开启 5 至 8 端口,需要关闭外网时就直接关闭 5 至 8 端口。

   2.3 主要配置命令

   以 16 端口为例, S2116-EI 的主要配置命令如下:

    #

    [Quidway]vlan 16

    [Quidway]port Ethernet0/16

    [Quidway]interface Ethernet0/16

    [Quidway—Ethernet0/16] port link-type hybrid

    [Quidway—Ethernet0/16] port hybrid pvid vlan 16 [Quidway—Ethernet0/16] port hybrid vlan 5 to 8 15 untagged   实际上,这种配置是通过 hybrid 端口的 PVID 来唯一的表示一个端口,接收端口通过是否将 VLAN 设置为 untagged VLAN ,来控制是否与 PVID VLAN 为该 VLAN 的端口互通。 以下配置用以实现 WEB 界面管理。 首先查看交换机 flash 里面的文件。 ( 保证 WEB 界面管理文件已经在交换机 flash 中 ) #

    <Quidway>dir /all

    -rwxrwx 1 noone nogroup 442797 Apr 02 2000 13:09:50 wnm-xxx.zip

    <Quidway>system

   [Quidway]local-user admin

   [Quidway-luser-admin]service-type telnet level 3 [Quidway-luser-admin]password simple admin [Quidway-luser-admin] interface vlan 1 [Quidway-Vlan-interface1]ip address 192.168.0.2 255.255.255.0 在管理计算机的 IE 里输入 http://192.16.0.2 ,就可以进入 WEB 管理界面。

    3 结束语

    值的注意的是本例中因为有环路的 存在, 要在 S2116-EI 交换机上开启生成树协议,以免产生广播风暴。实际控制中,最好保证始终是单链路工作,也就是开启 1 至 4 号端口时关闭 5 至 8 端口;开启 5 至 8 端口时关闭 1 至 4 端口,这样可以减少交换机计算生成树的次数,有利于网络的稳定性。 至此我们已经实现了所有组网需求。可见,利用二层交换机的 Hybrid 端口模式,可以灵活便利地实现各端口间的隔离与互访功能。

(责任编辑:崔晓红)


                                                             关闭本页