巧用交換機(jī)的分局域網(wǎng)業(yè)務(wù)

VLAN簡(jiǎn)述

VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，它是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。所謂的VLAN技術(shù)，其實(shí)就是一個(gè)對(duì)TAG字段進(jìn)行操作的過程。通常計(jì)算機(jī)發(fā)送或接收的數(shù)據(jù)幀是不帶TAG字段（如果有TAG字段，計(jì)算機(jī)就會(huì)丟包），但數(shù)據(jù)幀進(jìn)入交換機(jī)內(nèi)部后，交換機(jī)會(huì)為數(shù)據(jù)幀增加一個(gè)TAG頭，再根據(jù)TAG頭中VLAN ID信息，按照規(guī)則對(duì)相應(yīng)的數(shù)據(jù)幀進(jìn)行處理。所有的交換機(jī)接口都有一個(gè)PVID（Port VLAN Identity），交換機(jī)端口會(huì)根據(jù)它的PVID，決定數(shù)據(jù)幀進(jìn)入或離開時(shí)數(shù)據(jù)幀頭部的TAG字段的處理方式。

交換機(jī)接口類型

對(duì)于日常使用的二、三層交換機(jī)，其端口接口類型可以分為三種：Access接口、Trunk接口和Hybrid接口，在這里筆者對(duì)三種端口類型作一簡(jiǎn)要介紹。Access接口只能承載一個(gè)VLAN的 流量，通常用于交換機(jī)與PC相連的接口，當(dāng)Access接口收到一個(gè)數(shù)據(jù)幀時(shí)，先判斷是否有VLAN信息，如果沒有則打上自己的PVID，如果有則直接丟棄；當(dāng)Access接口要轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)幀時(shí)，先判斷該數(shù)據(jù)幀的VLAN是否和自己在一個(gè)VLAN，如果是，則先剝離VLAN信息再轉(zhuǎn)發(fā)，如果不是，則丟棄；Trunk接口上可以承載多個(gè)VLAN的流量，一般用于交換機(jī)之間的鏈接。當(dāng)Trunk接口收到一個(gè)數(shù)據(jù)幀時(shí)，先判斷是否允許該VLAN的流量通過，如果允許則轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進(jìn)行處理；如果不允許則丟棄。Trunk接口發(fā)送數(shù)據(jù)幀時(shí)，同樣判斷是否允許該VLAN通過，如果允許則轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進(jìn)行處理；如果不允許則直接丟棄；Hybrid 類型的端口可以屬于多個(gè)VLAN，接收和發(fā)送多個(gè)VLAN的報(bào)文，可以用于交換機(jī)之間的連接，也可以用于連接用戶的計(jì)算機(jī)。它是一種混雜模式，同時(shí)具有了Access接口和Trunk接口的特點(diǎn)，實(shí)現(xiàn)了在一個(gè)Untagged端口允許報(bào)文以Tagged形式送出交換機(jī)。利用Hybrid屬性，定義分屬于不同的VLAN端口之間的互訪，這是Access接口和Trunk接口所不能實(shí)現(xiàn)的。Hybrid接口和Trunk接口的最大區(qū)別是可以對(duì)任何VLAN打標(biāo)記或不打標(biāo)記。

圖1 局域網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

Hybrid接口轉(zhuǎn)發(fā)數(shù)據(jù)幀的原理

當(dāng)Hybrid接口接收數(shù)據(jù)幀時(shí)，先判斷該數(shù)據(jù)幀是否有VLAN信息，如果有則看該接口是否對(duì)該VLAN打標(biāo)記，如果對(duì)該VLAN打標(biāo)記，則直接轉(zhuǎn)發(fā)到相應(yīng)的接口，由相應(yīng)的接口進(jìn)行處理；如果沒有對(duì)該VLAN打標(biāo)記，則丟棄（因?yàn)槟J(rèn)情況下，Hybrid接口只允許默認(rèn)VLAN的數(shù)據(jù)幀通過）。如果收到的數(shù)據(jù)幀沒有任何標(biāo)記，則標(biāo)記為自己的PVID。在接口上配置對(duì)某些VLAN標(biāo)記所起的作用，只是允許和不允許該VLAN的數(shù)據(jù)幀通過，且只在接口發(fā)送數(shù)據(jù)幀時(shí)起作用。Hybrid接口發(fā)送數(shù)據(jù)幀時(shí)，若該數(shù)據(jù)幀有標(biāo)記，則判斷該數(shù)據(jù)幀的標(biāo)記VLAN和自己是否在同一個(gè)VLAN，如果是在同一個(gè)VLAN，則去掉標(biāo)記后轉(zhuǎn)發(fā)；如果該數(shù)據(jù)幀和自己不在同一個(gè)VLAN，則判斷接口對(duì)該數(shù)據(jù)幀是標(biāo)記還是不標(biāo)記，如果是不標(biāo)記，則去掉標(biāo)記后再進(jìn)行轉(zhuǎn)發(fā)，如果是標(biāo)記則直接轉(zhuǎn)發(fā)，若沒有明確說明則直接丟棄。如果要發(fā)送的數(shù)據(jù)幀沒有標(biāo)記則直接轉(zhuǎn)發(fā)。

應(yīng)用Hybrid特性區(qū)分局域網(wǎng)業(yè)務(wù)實(shí)例

以筆者單位局域網(wǎng)的典型業(yè)務(wù)區(qū)分為例，應(yīng)用二層交換機(jī)就能實(shí)現(xiàn)不同VLAN之間同網(wǎng)段PC機(jī)互訪。如果利用路由器和三層交換機(jī)做訪問控制列表來實(shí)現(xiàn)業(yè)務(wù)區(qū)分，就要麻煩得多。單位一般的業(yè)務(wù)區(qū)分為A區(qū)、B區(qū)、C區(qū)和D區(qū)，其VLAN劃分分別為 ：vlan10，vlan20,vlan30 和vlan40。由于網(wǎng)絡(luò)安防和實(shí)際工作的需要，A區(qū)主機(jī)可以訪問B區(qū)、C區(qū)和D區(qū)主機(jī)；B區(qū)主機(jī)可以訪問A區(qū)主機(jī)，但不能訪問C區(qū)和D區(qū)主機(jī)；C區(qū)主機(jī)可以訪問A區(qū)和D區(qū)主機(jī)，但不能訪問B區(qū)主機(jī)；D區(qū)主機(jī)可以訪問A區(qū)和C區(qū)主機(jī)，但不能訪問B。其網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

以H3C 3100交換機(jī)為例加以說明，配置是通過Hybrid接口的PVID來表示一個(gè)端口，接收端口通過是否將VLAN設(shè)置為Untagged VLAN，來控制是否與PVID VLAN和該VLAN的端口互通。

//創(chuàng)建業(yè)務(wù)需要的VLAN，并將端口1劃分到VLAN1中；

[H3C]vlan 10

[H3C-vlan10]port ether net 1/0/1

//將 端 口ethernet 1/0/1配置為Hybrid類型；

[H3C]interface ethernet 1/0/1

[H3C-ethernet1/0/1]po rt link-type hybrid

//設(shè)置端口的PVID等于該端口所屬的VLAN；

[H3C-ethernet1/0/1]po rt hybrid pvid vlan 10

//將互通端口的PVID VLAN設(shè)置 為Untagged VLAN,接收數(shù)據(jù)幀時(shí)去掉VLAN10、VLAN20、VLAN30和VLAN40的標(biāo)識(shí)符，意思就是B區(qū)、C區(qū)和D區(qū)主機(jī)可以訪問A區(qū)主機(jī)；

[H3C-ethernet1/0/1]po rt hybrid vlan 10 20 30 40 untagged

其余3個(gè)端口VLAN、端口類型配置和上述配置基本相同，不同之處就是配置untagged時(shí)的允許的VLAN有所不同。

端口2具體配置如下：

[H3C-ethernet1/0/2]po rt hybrid pvid vlan 20

//將互通端口的PVID VLAN設(shè)置 為Untagged VLAN,接收數(shù)據(jù)幀時(shí)去掉VLAN10、VLAN20的標(biāo)識(shí)符，意思就是A區(qū)主機(jī)可以訪問B區(qū)主機(jī)；

[H3C-ethernet1/0/2]port hybrid vlan 10 20 untagged

端口3具體配置如下：

[H3C-ethernet1/0/3]po rt hybrid pvid vlan 30

//將互通端口的PVID VLAN設(shè)置 為Untagged VLAN,接收數(shù)據(jù)幀時(shí)去掉VLAN10、VLAN20的標(biāo)識(shí)符，意思就是A區(qū)、D區(qū)主機(jī)可以訪問C區(qū)主機(jī)；

[H3C-ethernet1/0/3]port hybrid vlan 10 30 40 untagged

端口4具體配置如下：

[H3C-ethernet1/0/4]port hybrid pvid vlan 40

//將互通端口的PVID VLAN設(shè)置為Untagged VLAN,接收數(shù)據(jù)幀時(shí)去掉VLAN10、VLAN20的標(biāo)識(shí)符，意思就是A區(qū)、C區(qū)主機(jī)可以訪問D區(qū)主機(jī)；

[H3C-ethernet1/0/4]port hybrid vlan 10 30 40 untagged

結(jié)語

在小型局域網(wǎng)中，利用應(yīng)用交換機(jī)的Hybrid接口特性即一個(gè)端口可以屬于多個(gè)不同的VLAN，來完成分屬不同VLAN內(nèi)的同網(wǎng)段PC機(jī)的訪問需求，和使用三層交換機(jī)的訪問控制列表來控制VLAN之間的互訪比較起來，利用交換機(jī)Hybrid混合端口方法用起來更為方便，也可以節(jié)約購買三層交換機(jī)的成本，降低了網(wǎng)絡(luò)的復(fù)雜度和維護(hù)難度，大家可以在平時(shí)的組網(wǎng)過程中試一試。