华为路由器混杂hybrid接口的理解和应用

[SW1-Ethernet0/0/2]display this

interface Ethernet0/0/2

port hybrid pvid vlan 3 // PC从此接口发包时候默认打Vlan 3的标记

port hybrid untagged vlan 3 to 6 //此接口可以解开VLAN3 4 5 6的标记

此接口发出数据时，标记为Vlan3 但又可以接收vlan 3 vlan4 vlan5 vlan6 广播域的数据

注意

当输入port hybrid pvid vlan 3 也必须让此接口可以untagged Vlan3

port hybrid pvid vlan X

port hybrid untagged vlan X

实验文档链接

链接：https://pan.baidu.com/s/1dengES2H39EBbyA8QvFoMw

提取码：2021

可以将华为交换机的MAC地址表看做多张的 Vlan地址表

对比如下：

（以下仅为个人观点方便理解）

可以理解为每一个接口划分到Vlan时 此接口和接口的MAC会被记录到对应的Vlan表中

而从此接口发出的所有数据 将会在MAC地址的头部标记一个Vlan ID ，

而 port hybrid untagged vlan 200 to 205 此句可以理解为 此接口可以读取Vlan 200 到205的 6张 Vlan表里的数据

如果来自Vlan 100的数据包 根据此Vlan ID的表在本地并没有 因此无法通过

以下是实验应用：

搭建拓扑：

主要配置

SW1

interface MEth0/0/1

interface Ethernet0/0/1

port link-type access

port default vlan 2

interface Ethernet0/0/2

port hybrid pvid vlan 3

port hybrid untagged vlan 3 to 6

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/2

port link-type trunk

port trunk allow-pass vlan 2 to 4094

SW2

interface Ethernet0/0/3

port link-type access

port default vlan 2

interface Ethernet0/0/4

port hybrid pvid vlan 4

port hybrid untagged vlan 3 to 5

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 2 to 4094

interface GigabitEthernet0/0/2

port link-type trunk

port trunk allow-pass vlan 2 to 4094

SW3

interface Ethernet0/0/5

port hybrid pvid vlan 3

port hybrid untagged vlan 3 to 5

interface Ethernet0/0/6

port hybrid pvid vlan 6

port hybrid untagged vlan 3 5 to 6

interface GigabitEthernet0/0/2

port link-type trunk

port trunk allow-pass vlan 2 to 4094

以上部分不需要路由器参与 可以完成蓝色字体的实验要求

R1

为了正常的地址下发 vlan 2一个子接口 一个192.168.1.0 /24 的地址池 为VLan 3 4 6都分配一个子接口 公用一个地址池192.168.2.0/24

acl number 2000

rule 5 deny source 192.168.2.64 0.0.0.63

ip pool 13

gateway-list 192.168.1.254

network 192.168.1.0 mask 255.255.255.0

dns-list 8.8.8.8

ip pool 2456

gateway-list 192.168.2.62 192.168.2.126 192.168.2.190

network 192.168.2.0 mask 255.255.255.0

dns-list 8.8.8.8

interface GigabitEthernet0/0/2.1

dot1q termination vid 2

ip address 192.168.1.254 255.255.255.0

arp-proxy enable

arp broadcast enable

dhcp select global

interface GigabitEthernet0/0/2.2

dot1q termination vid 3

ip address 192.168.2.62 255.255.255.192

arp-proxy enable

arp broadcast enable

dhcp select global

interface GigabitEthernet0/0/2.3

dot1q termination vid 4

ip address 192.168.2.126 255.255.255.192

arp-proxy enable

arp broadcast enable

dhcp select global

interface GigabitEthernet0/0/2.4

dot1q termination vid 6

ip address 192.168.2.190 255.255.255.192

traffic-filter outbound acl 2000

arp-proxy enable

arp broadcast enable

dhcp select global

此时发现PC5可以经过路由器访问PC6

在路由器使用ACL来拒绝两段IP的访问