[SW1-Ethernet0/0/2]display this
interface Ethernet0/0/2
port hybrid pvid vlan 3 // PC从此接口发包时候默认打Vlan 3的标记
port hybrid untagged vlan 3 to 6 //此接口可以解开VLAN3 4 5 6的标记
此接口发出数据时,标记为Vlan3 但又可以接收vlan 3 vlan4 vlan5 vlan6 广播域的数据
注意
当输入port hybrid pvid vlan 3 也必须让此接口可以untagged Vlan3
port hybrid pvid vlan X
port hybrid untagged vlan X
实验文档链接
链接:https://pan.baidu.com/s/1dengES2H39EBbyA8QvFoMw
提取码:2021
可以将华为交换机的MAC地址表看做多张的 Vlan地址表
对比如下:
(以下仅为个人观点方便理解)
可以理解为每一个接口划分到Vlan时 此接口和接口的MAC会被记录到对应的Vlan表中
而从此接口发出的所有数据 将会在MAC地址的头部标记一个Vlan ID ,
而 port hybrid untagged vlan 200 to 205 此句可以理解为 此接口可以读取Vlan 200 到205的 6张 Vlan表里的数据
如果来自Vlan 100的数据包 根据此Vlan ID的表在本地并没有 因此无法通过
以下是实验应用:
搭建拓扑:
主要配置
SW1
interface MEth0/0/1
interface Ethernet0/0/1
port link-type access
port default vlan 2
interface Ethernet0/0/2
port hybrid pvid vlan 3
port hybrid untagged vlan 3 to 6
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
SW2
interface Ethernet0/0/3
port link-type access
port default vlan 2
interface Ethernet0/0/4
port hybrid pvid vlan 4
port hybrid untagged vlan 3 to 5
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
SW3
interface Ethernet0/0/5
port hybrid pvid vlan 3
port hybrid untagged vlan 3 to 5
interface Ethernet0/0/6
port hybrid pvid vlan 6
port hybrid untagged vlan 3 5 to 6
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
以上部分不需要路由器参与 可以完成蓝色字体的实验要求
R1
为了正常的地址下发 vlan 2一个子接口 一个192.168.1.0 /24 的地址池 为VLan 3 4 6都分配一个子接口 公用一个地址池192.168.2.0/24
acl number 2000
rule 5 deny source 192.168.2.64 0.0.0.63
ip pool 13
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
dns-list 8.8.8.8
ip pool 2456
gateway-list 192.168.2.62 192.168.2.126 192.168.2.190
network 192.168.2.0 mask 255.255.255.0
dns-list 8.8.8.8
interface GigabitEthernet0/0/2.1
dot1q termination vid 2
ip address 192.168.1.254 255.255.255.0
arp-proxy enable
arp broadcast enable
dhcp select global
interface GigabitEthernet0/0/2.2
dot1q termination vid 3
ip address 192.168.2.62 255.255.255.192
arp-proxy enable
arp broadcast enable
dhcp select global
interface GigabitEthernet0/0/2.3
dot1q termination vid 4
ip address 192.168.2.126 255.255.255.192
arp-proxy enable
arp broadcast enable
dhcp select global
interface GigabitEthernet0/0/2.4
dot1q termination vid 6
ip address 192.168.2.190 255.255.255.192
traffic-filter outbound acl 2000
arp-proxy enable
arp broadcast enable
dhcp select global
此时发现PC5可以经过路由器访问PC6
在路由器使用ACL来拒绝两段IP的访问