思科eiccie认证中MUX VLAN、 端口隔离 、 端口安全简述，’MUX VLAN (Multiplex VLAN )提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。

为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同-VLAN内端口之间的隔离。

在安全性要求较高的网络中，交换机可以开启端口安全功能，禁止非法MAC地址设备接入网络；当学习到的MAC地址数量达到上限后不再学习新的MAC地址，只到MAC地址的设备通信。

1、MUX VLAN：

对于企业来说。希望企业内部员工之间可以互相访问，而企业外来访客之间是隔离的，可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工，此时不但需要耗费大量的VLAN ID，还增加了网络维护的难度。MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。

MUX VLAN分为主VLAN和从VLAN，从VLAN又分为隔离型从VLAN和互通型从VLAN。

主VLAN（Principal VLAN）：Principal port可以和MUX VLAN内的所有接口进行通信。

隔离型从VLAN（Separate VLAN）：Separate port只能和Principal port进行通信，和其他类型的接口实现完全隔离。

每个隔离型从VLAN必须绑定一个主VLAN。

互通型从VLAN（Group VLAN）：Group port可以和Principal port进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separate port通信。每个互通型从VLAN必须绑定一个主VLAN。

[if !supportLists]2、[endif]端口隔离

端口隔离分为二层隔离三层互通和二层三层都隔离两种模式：

如果用户希望隔离同一VLAN内的广播报文，但是不同端口下的用户还可以进行三层通信，则可以将隔离模式设置为二层隔离三层互通；

如果用户希望同一vlan不同端口下用户彻底无法通信，则可以将隔离模式配置为二层三层均隔离。

端口隔离技术也有缺点，一是计算机之间共享不能实现；二是隔离只能在一台交换机上实现，不能在堆叠交换机之间实现，如果是堆叠环境，只能改成交换机之间级连。

[if !supportLists]3、[endif]端口安全

如果说网络中存在非法用户时，可以使用端口安全技术保证网络的安全。一般使用在如下场景：①应用在接口层设备：通过配置端口安全可以防止仿冒用户从其他端口攻击；②应用在汇聚层设备，通过配置端口安全可以控制接入用户的数量。

端口安全（Port Security），从基本原理上讲，Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址，并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时，端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络，并增强安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。

端口安全的类型：

端口安全( Port Security )通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC )阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。

[if !supportLists]1、[endif]接口使能端口安全功能时，接口上之前学习到的动态MAC地址表项将被删除，之后学习到的MAC地址将变为安全动态MAC地址。

[if !supportLists]2、[endif]接口使能Sticky MAC功能时，接口上的安全动态MAC地址表项将转化为StickyMAC地址，之后学习到的MAC地址也变为Sticky MAC地址。

[if !supportLists]3、[endif]接口去使能端口安全功能时，接口上的安全动态MAC地址将被删除，重新学习动态MAC地址。

[if !supportLists]4、[endif]接口去使能Sticky MAC功能时，接口上的Sticky MAC地址会转换为安全动态MAC地址。

超过安全MAC地址限制后得到的动作：

接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。缺省情况下，保护动作是restrict。

Restrict：丢弃源MAC地址不存在的报文并上报警。推荐使用该动作。 注：设备收到非法MAC地址的报文时，每30s至少警告1次，至多警告2次。

Protect：只丢弃源MAC地址不存在的报文，不上告报警。

Shutdown：接口状态被置为error-down，并上报告警。 默认情况下，接口关闭后不会自动恢复，只能由管理员手动恢复。

MUX VLAN 、 端口隔离 、 端口安全简述

MUX VLAN (Multiplex VLAN )提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。

为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同-VLAN内端口之间的隔离。

在安全性要求较高的网络中，交换机可以开启端口安全功能，禁止非法MAC地址设备接入网络；当学习到的MAC地址数量达到上限后不再学习新的MAC地址，只到MAC地址的设备通信。

1、MUX VLAN：

对于企业来说。希望企业内部员工之间可以互相访问，而企业外来访客之间是隔离的，可通过配置每个访客使用不同的VLAN来实现。但如果企业拥有大量的外来访客员工，此时不但需要耗费大量的VLAN ID，还增加了网络维护的难度。MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信，而企业外来访客之间的互访是隔离的。

MUX VLAN分为主VLAN和从VLAN，从VLAN又分为隔离型从VLAN和互通型从VLAN。

主VLAN（Principal VLAN）：Principal port可以和MUX VLAN内的所有接口进行通信。

隔离型从VLAN（Separate VLAN）：Separate port只能和Principal port进行通信，和其他类型的接口实现完全隔离。

每个隔离型从VLAN必须绑定一个主VLAN。

互通型从VLAN（Group VLAN）：Group port可以和Principal port进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separate port通信。每个互通型从VLAN必须绑定一个主VLAN。

端口隔离
端口隔离分为二层隔离三层互通和二层三层都隔离两种模式：

如果用户希望隔离同一VLAN内的广播报文，但是不同端口下的用户还可以进行三层通信，则可以将隔离模式设置为二层隔离三层互通；

如果用户希望同一vlan不同端口下用户彻底无法通信，则可以将隔离模式配置为二层三层均隔离。

端口隔离技术也有缺点，一是计算机之间共享不能实现；二是隔离只能在一台交换机上实现，不能在堆叠交换机之间实现，如果是堆叠环境，只能改成交换机之间级连。

端口安全
思科新本eiccie认证必备MUX VLAN 、 端口隔离 、 端口安全简述如果说网络中存在非法用户时，可以使用端口安全技术保证网络的安全。一般使用在如下场景：①应用在接口层设备：通过配置端口安全可以防止仿冒用户从其他端口攻击；②应用在汇聚层设备，通过配置端口安全可以控制接入用户的数量。

端口安全（Port Security），从基本原理上讲，Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址，并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时，端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络，并增强安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。

端口安全的类型：

端口安全( Port Security )通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC )阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。

接口使能端口安全功能时，接口上之前学习到的动态MAC地址表项将被删除，之后学习到的MAC地址将变为安全动态MAC地址。
	
接口使能Sticky MAC功能时，接口上的安全动态MAC地址表项将转化为StickyMAC地址，之后学习到的MAC地址也变为Sticky MAC地址。
	
接口去使能端口安全功能时，接口上的安全动态MAC地址将被删除，重新学习动态MAC地址。
	
接口去使能Sticky MAC功能时，接口上的Sticky MAC地址会转换为安全动态MAC地址。
超过安全MAC地址限制后得到的动作：

接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。缺省情况下，保护动作是restrict。

Restrict：丢弃源MAC地址不存在的报文并上报警。推荐使用该动作。 注：设备收到非法MAC地址的报文时，每30s至少警告1次，至多警告2次。

Protect：只丢弃源MAC地址不存在的报文，不上告报警。

Shutdown：接口状态被置为error-down，并上报告警。 默认情况下，接口关闭后不会自动恢复，只能由管理员手动恢复。

VLAN端口类型
VLAN简介
基于端口划分VLAN
VLAN接口
链路类型
端口类型
交换机三种端口模式Access、Hybrid和Trunk
VLAN帧格式
以太网端口有三种链路类型：Access、Hybrid和Trunk
交换机接口出入数据处理过程
Cisco

VLAN简介
VLAN（Virtual Local Area Network，虚拟局域网）技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通，而处于不同VLAN的主机不能够直接互通。
基于端口划分VLAN
VLAN可以基于端口进行划分。它按照设备端口来定义VLAN成员，将指定端口加入到指定VLAN中之后，端口就可以转发该VLAN的报文。

在某VLAN内，可根据需要配置端口加入Untagged端口列表或Tagged端口列表（即配置端口为Untagged端口或Tagged端口），从Untagged端口发出的该VLAN报文不带VLAN Tag，从Tagged端口发出的该VLAN报文带VLAN Tag。

端口的链路类型分为三种。在端口加入某VLAN时，对不同链路类型的端口加入的端口列表要求不同：

Access：端口只能发送一个VLAN的报文，发出去的报文不带VLAN Tag。该端口只能加入一个VLAN的Untagged端口列表。
Trunk：端口能发送多个VLAN的报文，发出去的端口缺省VLAN的报文不带VLAN Tag，其他VLAN的报文都必须带VLAN Tag。在端口缺省VLAN中，该端口只能加入Untagged端口列表；在其他VLAN中，该端口只能加入Tagged端口列表。
Hybrid：端口能发送多个VLAN的报文，端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag，某些VLAN的报文不带VLAN Tag。在不同VLAN中，该端口可以根据需要加入Untagged端口列表或Tagged端口列表。

VLAN接口
不同VLAN间的主机不能直接通信，通过设备上的VLAN接口，可以实现VLAN间的三层互通。VLAN接口是一种三层的虚拟接口，它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口，VLAN接口的IP地址可作为本VLAN内网络设备的网关地址，对需要跨网段的报文进行基于IP地址的三层转发。

注意事项

VLAN 1为系统缺省VLAN，用户不能手工创建和删除。

VLAN1为端口缺省VLAN的编号。端口收到不带VLAN Tag的报文时，会在缺省VLAN中传输；发送缺省VLAN的报文时，Access和Trunk端口会去掉VLAN Tag再发送，Hybrid端口可配置是否去掉VLAN Tag再发送。Access端口的缺省VLAN就是它所在的VLAN，Trunk端口和Hybrid端口可以允许多个VLAN通过，能够配置端口缺省VLAN。

根据端口在转发报文时对VLAN Tag的不同处理方式，可将端口的链路类型分为三种：


Access：端口只能发送一个VLAN的报文，发出去的报文不带VLAN Tag。一般用于和不能识别VLAN Tag的用户终端设备相连，或者不需要区分不同VLAN成员时使用。
Trunk：端口能发送多个VLAN的报文，发出去的端口缺省VLAN的报文不带VLAN Tag，其他VLAN的报文都必须带VLAN Tag。通常用于网络传输设备之间的互连。
Hybrid：端口能发送多个VLAN的报文，端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag，某些VLAN的报文不带VLAN Tag。一般用于相连的网络设备或用户终端中，部分识别VLAN Tag、部分不识别VLAN Tag的情况。

链路类型
vlan的链路类型可以分为接入链路和干道链路。


（1）接入链路（access link）指的交换机到用户设备的链路，即是接入到户，可以理解为由交换机向用户的链路。由于大多数电脑不能发送带vlan tag的帧，所以这段链路可以理解为不带vlan tag的链路。


（2）干道链路（trunk link）指的交换机到上层设备如路由器的链路，可以理解为向广域网走的链路。这段链路由于要靠vlan来区分用户或者服务，所以一般都带有vlan tag。


端口类型
端口类型在以前主要分为两种，基本上用的也是access和trunk这两种端口。


（1）access端口：它是交换机上用来连接用户电脑的一种端口，只用于接入链路。例如：当一个端口属于vlan 10时，那么带着vlan 10的数据帧会被发送到交换机这个端口上，当这个数据帧通过这个端口时，vlan 10 tag 将会被剥掉，到达用户电脑时，就是一个以太网的帧。而当用户电脑发送一个以太网的帧时，通过这个端口向上走，那么这个端口就会给这个帧加上一个vlan 10 tag。而其他vlan tag的帧则不能从这个端口上下发到电脑上。


（2）trunk端口：这个端口是交换机之间或者交换机和上层设备之间的通信端口，用于干道链路。一个trunk端口可以拥有一个主vlan和多个副vlan，这个概念可以举个例子来理解：例如：当一个trunk端口有主vlan 10 和多个副vlan11、12、30时，带有vlan 30的数据帧可以通过这个端口，通过时vlan 30不被剥掉；当带有vlan 10的数据帧通过这个端口时也可以通过。如果一个不带vlan 的数据帧通过，那么将会被这个端口打上vlan 10 tag。这种端口的存在就是为了多个vlan的跨越交换机进行传递。

也可以看出，这两种链路方式恰好对应两种端口方式，理解起来也不算困难。原理理解了，当看到交换机时，配置几遍就完全明白了。


access和truck 主要是区分VLAN中交换机的端口类型

truck端口为与其它交换机端口相连的VLAN汇聚口,access端口为交换机与VLAN域中主机相连的端口

trunk一般是打tag标记的,一般只允许打了该tag标记的vlan 通过,所以该端口可以允许多个打tag标记的vlan 通过,而access端口一般是untag不打标记的端口,而且一个access vlan端口只允许一个access vlan通过.


access,trunk,hybid是三种端口属性；

具有access性质的端口只能属于一个vlan，且该端口不打tag；

具有trunk性质的端口可以属于多个vlan，且该端口都是打tag的；

具有hybid性质的端口可以属于多个vlan，至于该端口在vlan中是否打tag由用户根据具体情况而定；


交换机三种端口模式Access、Hybrid和Trunk
端口有三种模式：access，hybrid，trunk。

access性质的端口只能属于一个vlan，且该端口不打tag，trunk可以属于多个vlan，可以接收和发送多个vlan的报文，一般用于交换机之间的连接;hybrid也可以属于多个vlan，可以接收和发送多个vlan的报文，可以用于交换机之间的连接也可以用于交换机和用户计算机之间的连接。trunk和hybrid的区别主要是，hybrid端口可以允许多个vlan的报文不打标签，而 trunk端口只允许缺省vlan的报文不打标签，同一个交换机上不能hybrid和trunk并存。
VLAN帧格式
IEEE802.1Q标准，vlan帧的格式



tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的 带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。其中包含：

2个字节的协议标识符（TPID)，当前置0x8100的固定值，表明该帧带有802.1Q的标记信息。
2个字节的标记控制信息（TCI），包含了三个域。
Priority域，占3bits，表示报文的优先级，取值0到7，7为最高优先级，0为最低优先级。该域被802.1p采用。
规范格式指示符（CFI)域，占1bit，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring。
VLAN ID域，占12bit，用于标示VLAN的归属。


以太网端口有三种链路类型：Access、Hybrid和Trunk

Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；
Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；
Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。


缺省VLAN

Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；
Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。缺省情况下，Hybrid端口和Trunk端口的缺省VLAN为VLAN 1

如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口；
当端口发送带有VLAN Tag的报文时，如果该报文的VLAN ID与端口缺省的VLAN ID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。


注：对于华为交换机缺省VLAN被称为“Pvid Vlan”， 对于思科交换机缺省VLAN被称为“Native Vlan”
交换机接口出入数据处理过程

Acess端口收报文:

收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发,如果有则直接丢弃（缺省）
Acess端口发报文：

将报文的VLAN信息剥离，直接发送出去
trunk端口收报文：

收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有判断该trunk端口是否允许该 VLAN的数据进入：如果可以则转发，否则丢弃
trunk端口发报文：

比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，如果不相等则直接发送
hybrid端口收报文：

收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃(此时端口上的untag配置是不用考虑的，untag配置只对发送报文时起作用)
hybrid端口发报文：

– 1、判断该VLAN在本端口的属性（disp interface 即可看到该端口对哪些VLAN是untag， 哪些VLAN是tag）

– 2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送

配置华为交换机的hybrid端口模式：
[Switch-Ethernet0/1]int e0/1
[Switch-Ethernet0/1]port link-type hybrid
[Switch-Ethernet0/1]port hybrid pvid vlan 10
[Switch-Ethernet0/1]port hybrid vlan 10 20 untagged
[Switch-Ethernet0/1] int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 20
[Switch-Ethernet0/2]port hybrid vlan 10 20 untagged

分析：

此时inter e0/1和inter e0/2下的所接的PC是可以互通的，但互通时数据所走的往返vlan是不同的。
以下以inter e0/1下的所接的pc1访问inter e0/2下的所接的pc2为例进行说明

pc1所发出的数据，由inter0/1所在的pvid vlan10封装vlan10的标记后送入交换机，交换机发现inter e0/2允许vlan 10的数据通过，于是数据被转发到inter e0/2上，由于inter e0/2上vlan 10是untagged的，于是交换机此时去除数据包上vlan10的标记，以普通包的形式发给pc2，此时pc1->p2走的是vlan10

再来分析pc2给pc1回包的过程，pc2所发出的数据，由inter0/2所在的pvid

vlan20封装vlan20的标记后送入交换机，交换机发现inter e0/1允许vlan 20的数据通过，于是数据被转发到inter e0/1上，由于inter e0/1上vlan 20是untagged的，于是交换机此时去除数据包上vlan20的标记，以普通包的形式发给pc1，此时pc2->pc1走的是vlan20

Cisco
Cisco 交换机 设备 access、trunk、hybrid 端口的处理流程

为交换机设备上access、trunk、hybrid端口的处理流程：注：数据帧在交换机内部处理时，均带有vlan tag。

a）access端口

发送（从交换机内部往外发送）：

带有vlan tag：删除tag后，发送
不带vlan tag：不可能出现

接收：
带有vlan tag：若该tag等于该access端口的pvid，则可以接收，进入交换机内部
不带vlan tag：添加该access端口的pvid，进入交换机内部

b）trunk端口（允许发送native VLAN数据的时候，可以不加tag）

发送（从交换机内部往外发送）：
带有vlan tag：若tag等于该trunk端口的pvid，则删除tag后发送；否则保留tag直接发送
不带vlan tag：不可能出现

接收：
带有vlan tag：保留该tag，进入交换机内部
不带vlan tag：添加该trunk端口的pvid，进入交换机内部

c）hybrid端口（允许发送多个VLAN数据的时候，可以不加tag）

发送（从交换机内部往外发送）：
带有vlan tag：是否带tag进行发送，取决于用户配置（用户可以配置tagged list，untagged list）
不带vlan tag：不可能出现

接收：
带有vlan tag：保留该tag，进入交换机内部
不带vlan tag：添加该hybrid端口的pvid，进入交换机内部

另外需要注意的是：

（1）Trunk端口不能和isolate-user-vlan同时配置；Hybrid端口可以和isolate-user-vlan同时配置。但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN，则不允许修改缺省VLAN ID，只有在解除映射后才能进行修改。

（2） 本Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID必须一致，否则报文将不能正确传输。

目录
VLAN的概念及优势
VLAN的种类
静态VLAN的配置
1.vlan的范围
2.vlan基本配置
3.vlan配置命令
4.交换网络的链路
5.vlan的标识
端口类型
access
Trunk
Hybrid

VLAN的概念及优势
在传统的交换式以太网中，所有的用户都在同一个广播域中，当网络规模较大时，网络的传输效率将会明显下降。这时我们使用分隔广播域的方法来解决这个，分隔广播域有两种方法。

1）物理分隔。将网络从物理上划分为诺干个小网络，然后使用能隔离广播的路由设备将不同的网络连接起来实现通信。

2）逻辑分隔。将网络从逻辑上划分为干个小的虚拟网络，即VLAN（虚拟局域网）。VLAN工作在OSI参考模型的数据链路层，一个VLAN就是一个交换网络，其中的所有用户都在同一个广播域中，各VLAN通过路由设备的连接实现通信。

优势：控制广播、增强网络安全性、简化网络管理。
VLAN的种类
静态vlan：基于端口划分静态vlan（常用）

动态vlan：基于MAC地址划分动态vlan（少用）
静态VLAN的配置
1.vlan的范围




vlan的ID范围
范用
用途




0、4095
保留
仅限系统使用，用户不能查看和使用这些vlan


1
正常
cisco默认的vlan，用户能够使用该vlan，但不能删除它


2-4094
正常
用于以太网的vlan，用户可以创建、使用和删除这些vlan


2.vlan基本配置
（1）创建vlan。

（2）将交换机的端口加入到相应的vlan中。

（3）验证vlan的配置。
3.vlan配置命令
显示当前vlan信息

【SW1】dis vlan
添加

【SW1】vlan 10

【SW1-vlan 10】quit
批量添加

【SW1】vlan batch 20 30 40
删除

【SW1】undo vlan 10
4.交换网络的链路




在交换网络中，有两种类型链路：接入链路和中继链路。


接入链路：通常属于一个vlan。图中主机与交换机之间连接的链路就是接入链路。


中继链路：可以承载多个vlan。图中交换机与交换机之间的链路就是中继链路。


5.vlan的标识
在以太网上实现中继，有两种封装类型

ISL（Cisco私有标准）
IEEE 802.1q

下图为IEEE 802.1q类型



端口类型
access
将端口加入vlan，Access口只能属于一个vlan，一般用于连接计算机端口。

【sw1】int e0/0/0 (进入端口模式)

【sw1-Ethernet 0/0/0】port link-type access (定义二层端口模式）

【sw1-Ethernet 0/0/0】port default vlan 10 (将端口加入到vlan中）

【sw1-Ethernet 0/0/0】undo shutdown



将端口从vlan删除

【sw1-Ethernet 0/0/1】undo port default vlan

【sw1-Ethernet 0/0/1】port link-type hybrid (将端口类型恢复成默认的hybrid）

【sw1-Ethernet 0/0/1】dis this (查看当前端口模式、状态）


同时将多个端口加入vlan

【sw1】port-group 1（新增组1）

【sw1-port-group-1】group-member Ethernet 0/0/1 to Ethernet 0/0/20 (组1成员是e0/0/1到e0/0/20）

【sw1-port-group-1】port link-type access

【sw1-port-group-1】port default vlan 30



端口恢复默认配置，注意执行完命令后，接口会被shutdown

【sw1】clear configuration interface e0/0/1


Trunk
Trunk端口可以允许多个vlan通过，可以接收和发送多个vlan报文，一般用于交换机与交换机相关的接口。

【sw1】int e0/0/1

【sw1-Ethernet 0/0/1】port link-type trunk (定义二层端口模式）

【sw1-Ethernet 0/0/1】port trunk allow-pass vlan 10 20 30 （vlan后面跟all所有vlan都能通过）（配置trunk端口允许通过的vlan）


Hybrid
华为hybrid vlan 混合端口（人力控制经过端口时是否脱去vlan标签）hybrid接口是华为设备的特殊的二层接口模式，hybrid和trunk接口的相同之处都可以允许多个vlan的流量通过并打标签，不同之处在于hybrid接口可以允许多个vlan的报文发送时不打标签。
hybri接口作为华为交换机的特有属性接口，主要特点有：

华为交换机接口默认为hybrid模式;即可以实现access接口的功能，也可以实现trunk接口的功能；不借助三层设备即可实现跨vlan通信和访问控制；相对于access接口和trunk接口具有更高的灵活性与可控性。
hybrid 可以根据需要以tagged或者untagged方式加入某个vlan或者多个vlan。
心法口决：

数据帧出口检查：查untag表，有标是，脱标；无标时，查tag表，有则放行，无则丢掉。

数据帧进口检查：先查有无标签，有标时，查tag表，有则放通，无标则丢弃；无标时，打上PVID后，放通。



可以理解成access

【huawei】int e0/0/1可理解成access

【huawei-Ethernet 0/0/1】port link-type hybrid

【huawei-Ethernet 0/0/1】port hybrid pvid vlan10

把pvid当成vlanid，从pc到交换机进口数据帧是没标签的，所以要给数据打上标签再送进交换机。

【huawei-Ethernet 0/0/1】port hybrid untagged vlan 10   (在untag表里添加vlan id，如果数据帧要从此接口出时就要先查untag表，若发现有对应的vlan id的标签就会脱掉此标签再发送出去。）

【huawei-Ethernet 0/0/1】undo shutdown



可以理解成trunk

【huawei】int e0/0/4

【huawei-Ethernet 0/0/4】port link-type hybird

【huawei-Ethernet 0/0/4】port hybird tagged vlan 10 20 30  （在tag表里添加vlan id，如果数据帧要从此接口出时就要先查untag表，如没有会再查tag表，若发现有对应的vlan id的标签就会放通，否则丢弃）

【huawei-Ethernet 0/0/4】undo shutdown



交换机接路由器的配法

【huawei】int e0/0/4

【huawei-Ethernet 0/0/4】port link-type hybrid

【huawei-Ethernet 0/0/4】port hybrid untag vlan 10 30  (经过端口时脱去vlan 10 30 标签）

【huawei-Ethernet 0/0/4】undo shutdown


还原交换机配置

【huawei】int e0/0/1

【huawei-Ethernet 0/0/1】undo port default vlan 初始化还原

【huawei-Ethernet 0/0/1】port link-type hybrid   （将这个口变为hybrid模式，华为交换机默认hybrid）