交换机的VLAN端口可以分为Access、Trunk和Hybrid 3中类型。Access端口是交换机上用来直接连接用户终端的端口，它只允许属于该端口的缺省VLAN的帧通过；Access端口发往用户终端的帧一定不带VLAN标签。Trunk端口是交换机上用来连接其他交换机的端口，他可以允许属于多个VLAN的帧通过。Hybrid端口是交换机上既可以连接用户终端，又可以连接其他交换机的端口。Hybrid端口也可以允许属于多个VLAN的帧通过，并且可以在出端口的方向上将某些VLAN帧的标签剥掉。
 
对于没有配置PVID的 untagged hybrid 端口，即使配置了port hybrid untagged vlan 10 30 其所配置允许通过的vlan为（10 30） 。vlan 1 即使不在允许的列表中也默认允许通过（端口默认pvid 为vlan 1），可以与同一交换机上默认属于VLAN 1的主机通信，故untagged hybrid 端口必须配置PVID（接终端设备配置untag hybrid ,必须配置PVID ，否则 配置的untagged vlan 10 30 会不起作用，按照默认的vlan 1 继续转发）。
 
交换机每个VLAN下都有所属终端的Mac。
 
在一个广播域内，任何两台终端计算机之间都可以进行二层（数据链路层）通信。所谓二层通信，是指通信双方是以直接交换帧的方式来传递信息的，也即是，目的计算机所接收到的帧与源计算机发出的帧都是一模一样的，帧的目的MAC地址、源MAC地址、类型值、载荷数据、CRC等内容都没有发生任何改变。二层通信一定不会经过路由器（或具有三层功能的交换机）进行三层转发。
 
源计算机在向目的计算机传递信息时，如果源计算机发出的帧经过了路由器（或三层交换机）的转发，那么目的计算机接收的帧一定不再是源计算机发出的那个帧。至少目的MAC和源MAC地址一定不同。
 示例：
 本实用模拟了一个简单的公司网络场景，SW1和SW2尾楼层交换机，PC1和PC3属于公司的部门A,PC2和PC4属于公司的部门B,PC5属于部门A和B的上级部门C。在网络规划中，部门A属于VLAN 10 ，部门B属于VLAN 20 ，部门C属于VLAN30。公司希望通过VLAN划分和配置，使各个部门内部之间可以互相通信，部门A和部门B均能够与部门C进行通信，但是部门A与部门B间不能相互通信。
 拓扑如下：
 拓扑如下：
 
 hybrid端口类型可以允许不同VLAN的终端通信。
 
188 5699 2079
 LSW1:
 interface GigabitEthernet0/0/1
 port hybrid pvid vlan 10
 port hybrid untagged vlan 10 30
 
 
interface GigabitEthernet0/0/2
 port hybrid pvid vlan 20
 port hybrid untagged vlan 20 30
 
 
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 10 20 30
 
 
LSW2:
 interface GigabitEthernet0/0/1
 port hybrid pvid vlan 10
 port hybrid untagged vlan 10 30
 
 
interface GigabitEthernet0/0/2
 port hybrid pvid vlan 20
 port hybrid untagged vlan 20 30
 
 
interface GigabitEthernet0/0/3
 port hybrid pvid vlan 30
 port hybrid untagged vlan 10 20 30
 
 
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 10 20 30
 

 
 
以太网端口有 3种链路类型:access、trunk、hybrid
 
     Access类型端口只能属于1个VLAN用于连接计算机端口；
 
     Trunk类型端口可以允许多个VLAN通过可以接收和发送多个VLAN报文般用于交换机的间连接端口；
 
     Hybrid类型端口可以允许多个VLAN通过可以接收和发送多个VLAN报文可以用于交换机的间连接也可以用于连接用户计算机
 
     Hybrid端口和Trunk端口在接收数据时处理思路方法是样唯区别的处在于发送数据时:Hybrid端口可以允许多个VLAN报文发送时不打标签而Trunk端口只允许缺省VLAN报文发送时不打标签
 
     缺省VLAN:
 
     Access端口只属于1个VLAN所以它缺省VLAN就是它所在VLAN不用设置；Hybrid端口和Trunk端口属于多个VLAN所以需要设置缺省VLAN ID.缺省情况下Hybrid端口和Trunk端口缺省VLAN为VLAN 1；
 
     如果设置了端口缺省VLAN ID当端口接收到不带VLAN Tag报文后则将报文转发到属于缺省VLAN端口；当端口发送带有VLAN Tag报文时如果该报文VLAN ID和端口缺省VLAN ID相同则系统将去掉报文VLAN Tag然后再发送该报文
 
     注:对于华为交换机缺省VLAN被称为“Pvid Vlan” 对于思科交换机缺省VLAN被称为“Native Vlan”
 
     交换机接口出入数据处理过程:
 
     Acess端口收报文:收到个报文判断是否有VLAN信息:如果没有则打上端口PVID并进行交换转发如果有则直接丢弃(缺省)
 
     Acess端口发报文:
 
     将报文VLAN信息剥离直接发送出去
 
     trunk端口收报文:
 
     收到个报文判断是否有VLAN信息:如果没有则打上端口PVID并进行交换转发如果有判断该trunk端口是否允许该VLAN数据进入:如果可以则转发否则丢弃
 
     trunk端口发报文:
 
     比较端口PVID和将要发送报文VLAN信息如果两者相等则剥离VLAN信息再发送如果不相等则直接发送
 
     hybrid端口收报文:
 
     收到个报文判断是否有VLAN信息:如果没有则打上端口PVID并进行交换转发如果有则判断该hybrid端口是否允许该VLAN数据进入:如果可以则转发否则丢弃(此时端口上untag配置是不用考虑untag配置只对发送报文时起作用)
 
     hybrid端口发报文:
 
     1、判断该VLAN在本端口属性(disp erface 即可看到该端口对哪些VLAN是untag 哪些VLAN是tag)
 
     2、如果是untag则剥离VLAN信息再发送如果是tag则直接发送
 
     
 

一、  交换机以太网端口共有三种链路类型：Access、Trunk和Hybrid。
 
        1．Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；
         2．Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；
         3．Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。
 
        其中，Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签；不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。
 
        三种类型的端口可以共存在一台以太网交换机上，但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。例如：Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。
 
二、不同的端口类型在收发报文时的处理
 
        1.端口接收报文时
 
 
 
 
 
 
    

     端口类型
    
 
 
    

     报文中带有Vlan Tag
    
 
 
    

     报文中不带VlanTag
    
 
 
    

     Access
    
 
 
    

     检查Vlan Tag是否和本端口PVID相同
    
 
    

     如果相同，继续转发
    
 
    

     如果不同，丢弃该报文
    
 
 
    

     为报文打上本端口的PVID转发
    
 
 
    

     Trunk
    
 
 
    

     检查本端口是否允许这个Vlan Tag通过
    
 
    

     如果允许，保持报文Vlan Tag继续转发
    
 
    

     如果不允许，丢弃该报文
    
 
 
    

     同上
    
 
 
    

     Hybrid
    
 
 
    

     同上
    
 
 
    

     同上
    
 
        2.端口发出报文时
 
 
 
 
    

     Access
    
 
 
    

     去掉报文中的Vlan Tag进行转发
    
 
 
    

     Trunk
    
 
 
    

     检查报文中的Vlan Tag是否和本端口PVID相同
    
 
    

     如果相同，去掉Vlan Tag进行转发
    
 
    

     如果不同，保持Vlan Tag进行转发
    
 
 
    

     Hybrid
    
 
 
    

     先检查报文中的Vlan Tag在本端口需要如何处理
    
 
    

     如果是 untagged 方式，处理方式和Access端口相同
    
 
    

     如果是 tagged 方式，处理方式和Trunk端口相同
    
 

 首先，将交换机的类型进行划分，交换机分为低端(SOHO级)和高端(企业级)。
 其两者的重要区别就是低端的交换机，每一个物理端口为一个逻辑端口，而高端交换机则是将多个物理端口捆绑成一个逻辑端口再进行的配置的。
 
 cisco网络中，交换机在局域网中最终稳定状态的接口类型主要有四种：access/ trunk/ multi/ dot1q-tunnel。
 
 1、access: 主要用来接入终端设备，如PC机、服务器、打印服务器等。
 2、trunk: 主要用在连接其它交换机，以便在线路上承载多个vlan。
 3、multi: 在一个线路中承载多个vlan，但不像trunk,它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口，在cisco的网络设备中，也基本不支持此类接口了。
 4、dot1q-tunnel: 用在Q-in-Q隧道配置中。
 
 Cisco网络设备支持动态协商端口的工作状态，这为网络设备的实施提供了一定的方便（但不建议使用动态方式）。cisco动态协商协议从最初的DISL（Cisco私有协议）发展到DTP（公有协议）。根据动态协议的实现方式，Cisco网络设备接口主要分为下面几种模式：
 1、switchport mode access:  强制接口成为access接口，并且可以与对方主动进行协商，诱使对方成为access模式。
 2、switchport mode dynamic desirable:  主动与对协商成为Trunk接口的可能性，如果邻居接口模式为Trunk/desirable/auto之一，则接口将变成trunk接口工作。如果不能形成trunk模式，则工作在access模式。这种模式是现在交换机的默认模式。
 3、switchport mode dynamic auto:  只有邻居交换机主动与自己协商时才会变成Trunk接口，所以它是一种被动模式，当邻居接口为Trunk／desirable之一时，才会成为Trunk。如果不能形成trunk模式，则工作在access模式。
 4、switchport mode trunk:  强制接口成为Trunk接口，并且主动诱使对方成为Trunk模式，所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk接口。
 5、switchport nonegotiate:  严格的说，这不算是种接口模式，它的作用只是阻止交换机接口发出DTP数据包，它必须与switchport mode trunk或者switchport mode access一起使用。
 6、switchport mode dot1q-tunnel：　配置交换机接口为隧道接口（非Trunk），以便与用户交换机的Trunk接口形成不对称链路。
 
 
 
 
 
 
 
 什么是链路类型？
 vlan的链路类型可以分为接入链路和干道链路。
 （1）接入链路（access link）指的交换机到用户设备的链路，即是接入到户，可以理解为由交换机向用户的链路。由于大多数电脑不能发送带vlan tag的帧，所以这段链路可以理解为不带vlan tag的链路。
   (2)  干道链路（trunk link）指的交换机到上层设备如路由器的链路，可以理解为向广域网走的链路。这段链路由于要靠vlan来区分用户或者服务，所以一般都带有vlan tag。
 
 
 什么是端口类型？
 端口类型在以前主要分为两种，基本上用的也是access和trunk这两种端口。
 （1）access端口：它是交换机上用来连接用户电脑的一种端口，只用于接入链路。例如：当一个端口属于vlan 10时，那么带着vlan 10的数据帧会被发送到交换机这个端口上，当这个数据帧通过这个端口时，vlan 10 tag 将会被剥掉，到达用户电脑时，就是一个以太网的帧。而当用户电脑发送一个以太网的帧时，通过这个端口向上走，那么这个端口就会给这个帧加上一个vlan 10 tag。而其他vlan tag的帧则不能从这个端口上下发到电脑上。
 （2）trunk端口：这个端口是交换机之间或者交换机和上层设备之间的通信端口，用于干道链路。一个trunk端口可以拥有一个主vlan和多个副vlan，这个概念可以举个例子来理解：例如：当一个trunk端口有主vlan 10 和多个副vlan11、12、30时，带有vlan 30的数据帧可以通过这个端口，通过时vlan 30不被剥掉；当带有vlan 10的数据帧通过这个端口时也可以通过。如果一个不带vlan 的数据帧通过，那么将会被这个端口打上vlan 10 tag。这种端口的存在就是为了多个vlan的跨越交换机进行传递。
 也可以看出，这两种链路方式恰好对应两种端口方式，理解起来也不算困难。原理理解了，当看到交换机时，配置几遍就完全明白了。
 
 access和truck 主要是区分VLAN中交换机的端口类型
 truck端口为与其它交换机端口相连的VLAN汇聚口,access端口为交换机与VLAN域中主机相连的端口
 trunk一般是打tag标记的,一般只允许打了该tag标记的vlan 通过,所以该端口可以允许多个打tag标记的vlan 通过,而access端口一般是untag不打标记的端口,而且一个access vlan端口只允许一个access vlan通过.
 access,trunk,hybid是三种端口属性；
 具有access性质的端口只能属于一个vlan，且该端口不打tag；
 具有trunk性质的端口可以属于多个vlan，且该端口都是打tag的；
 具有hybid性质的端口可以属于多个vlan，至于该端口在vlan中是否打tag由用户根据具体情况而定；
 
 交换机三种端口模式Access、Hybrid和Trunk的理解
 端口有三种模式：access，hybrid，trunk。access性质的端口只能属于一个vlan，且该端口不打tag，trunk可以属于多个vlan，可以接收和发送多个vlan的报文，一般用于交换机之间的连接;hybrid也可以属于多个vlan，可以接收和发送多个vlan的报文，可以用于交换机之间的连接也可以用于交换机和用户计算机之间的连接。trunk和hybrid的区别主要是，hybrid端口可以允许多个vlan的报文不打标签，而 trunk端口只允许缺省vlan的报文不打标签，同一个交换机上不能hybrid和trunk并存。
 Tag，untag以及交换机的各种端口模式是网络工程技术人员调试交换机时接触最多的概念了，然而笔者发现在实际工作中技术人员往往对这些概念似懂非懂，笔者根据自己的理解再结合一个案例，试图向大家阐明这些概念untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；
 tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的
 带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。其中包含：
 2个字节的协议标识符（TPID)，当前置0x8100的固定值，表明该帧带有802.1Q的标记信息。
 2个字节的标记控制信息（TCI），包含了三个域。
 Priority域，占3bits，表示报文的优先级，取值0到7，7为最高优先级，0为最低优先级。该域被802.1p采用。
 规范格式指示符（CFI)域，占1bit，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring。
 VLAN ID域，占12bit，用于标示VLAN的归属。
 
 
 以太网端口有三种链路类型：Access、Hybrid和Trunk。
 Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；
 Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；
 Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。
 Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。
 在这里先要向大家阐明端口的缺省VLAN这个概念
 Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；
 Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。缺省情况下，Hybrid端口和Trunk端口的缺省VLAN为VLAN 1
 如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag的报文时，如果该报文的VLAN ID与端口缺省的VLAN ID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。
 注：对于华为交换机缺省VLAN被称为“Pvid Vlan”， 对于思科交换机缺省VLAN被称为“Native Vlan”
 
 交换机接口出入数据处理过程如下：
 Acess端口收报文:
 收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发,如果有则直接丢弃（缺省）
 Acess端口发报文：
 将报文的VLAN信息剥离，直接发送出去 
 trunk端口收报文：
 收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有判断该trunk端口是否允许该 VLAN的数据进入：如果可以则转发，否则丢弃
 trunk端口发报文：
 比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，如果不相等则直接发送
 hybrid端口收报文：
 收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃(此时端口上的untag配置是不用考虑的，untag配置只对发送报文时起作用)
 hybrid端口发报文：
 1、判断该VLAN在本端口的属性（disp interface 即可看到该端口对哪些VLAN是untag， 哪些VLAN是tag）
 2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送
 
 以下案例可以帮助大家深入理解华为交换机的hybrid端口模式：
         [Switch-Ethernet0/1]int e0/1
         [Switch-Ethernet0/1]port link-type hybrid
         [Switch-Ethernet0/1]port hybrid pvid vlan 10
         [Switch-Ethernet0/1]port hybrid vlan 10 20 untagged
         [Switch-Ethernet0/1] int e0/2
         [Switch-Ethernet0/2]port link-type hybrid
         [Switch-Ethernet0/2]port hybrid pvid vlan 20
         [Switch-Ethernet0/2]port hybrid vlan 10 20 untagged
       此时inter e0/1和inter e0/2下的所接的PC是可以互通的，但互通时数据所走的往返vlan是不同的。
       以下以inter e0/1下的所接的pc1访问inter e0/2下的所接的pc2为例进行说明
       pc1所发出的数据，由inter0/1所在的pvid vlan10封装vlan10的标记后送入交换机，交换机发现inter e0/2允许vlan 
       10的数据通过，于是数据被转发到inter e0/2上，由于inter e0/2上vlan 
       10是untagged的，于是交换机此时去除数据包上vlan10的标记，以普通包的形式发给pc2，此时pc1->p2走的是vlan10
       再来分析pc2给pc1回包的过程，pc2所发出的数据，由inter0/2所在的pvid 
       vlan20封装vlan20的标记后送入交换机，交换机发现inter e0/1允许vlan 20的数据通过，于是数据被转发到inter 
       e0/1上，由于inter e0/1上vlan 
       20是untagged的，于是交换机此时去除数据包上vlan20的标记，以普通包的形式发给pc1，此时pc2->pc1走的是vlan20
 
 Cisco 交换机 设备 access、trunk、hybrid 端口的处理流程
 为交换机设备上access、trunk、hybrid端口的处理流程：注：数据帧在交换机内部处理时，均带有vlan tag。
    a）access端口
      发送（从交换机内部往外发送）：
          带有vlan tag：删除tag后，发送
          不带vlan tag：不可能出现
      接收：
           带有vlan tag：若该tag等于该access端口的pvid，则可以接收，进入交换机内部       
           不带vlan tag：添加该access端口的pvid，进入交换机内部             
    b）trunk端口（允许发送native VLAN数据的时候，可以不加tag）
       发送（从交换机内部往外发送）：
             带有vlan tag：若tag等于该trunk端口的pvid，则删除tag后发送；否则保留tag直接发送
             不带vlan tag：不可能出现
       接收：
            带有vlan tag：保留该tag，进入交换机内部
            不带vlan tag：添加该trunk端口的pvid，进入交换机内部       
  c）hybrid端口（允许发送多个VLAN数据的时候，可以不加tag）
       发送（从交换机内部往外发送）：
          带有vlan tag：是否带tag进行发送，取决于用户配置（用户可以配置tagged list，untagged list）
           不带vlan tag：不可能出现
       接收：
           带有vlan tag：保留该tag，进入交换机内部
           不带vlan tag：添加该hybrid端口的pvid，进入交换机内部
 
 在设备上允许trunk和hybrid端口同时存在，但是不能将hybrid端口直接改为trunk端口（hybrid--》access---》trunk），反之亦然（早期是这样，现在不知道改没改）。id端口可以允许多个vlan的数据不带tag，而802.1q的trunk只能是native vlan（即pvid）对应的vlan的数据不带tag，应该说hybrid可以实现trunk端口的特性。实际使用时都可以用hybrid端口，而不用trunk。