Access、Hybrid和Trunk三种模式的理解

预备知识：
Tag，untag以及交换机的各种端口模式是网络工程技术人员调试交换机时接触最多的概念了，然而笔者发现在实际工作中技术人员往往对这些概念似懂非懂，笔者根据自己的理解再结合一个案例，试图向大家阐明这些概念

untag就是普通的ethernet报文，普通PC机的网卡是可以识别这样的报文进行通讯；
tag报文结构的变化是在源mac地址和目的mac地址之后，加上了4bytes的vlan信息，也就是vlan tag头；一般来说这样的报文普通PC机的网卡是不能识别的

带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。其中包含：
2个字节的协议标识符（TPID)，当前置0x8100的固定值，表明该帧带有802.1Q的标记信息。
2个字节的标记控制信息（TCI），包含了三个域。
Priority域，占3bits，表示报文的优先级，取值0到7，7为最高优先级，0为最低优先级。该域被802.1p采用。
规范格式指示符（CFI)域，占1bit，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring。
VLAN ID域，占12bit，用于标示VLAN的归属。

以太网端口的三种链路类型：Access、Hybrid和Trunk：
Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；
Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；
Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。
Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

在这里大家要理解端口的缺省VLAN这个概念
Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；
Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。缺省情况下，Hybrid端口和Trunk端口的缺省VLAN为VLAN 1
如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag的报文时，如果该报文的VLAN ID与端口缺省的VLAN ID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。

注：对于华为交换机缺省VLAN被称为“Pvid Vlan”， 对于思科交换机缺省VLAN被称为“Native Vlan”

交换机接口出入数据处理过程：

Acess端口收报文:
收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发,如果有则直接丢弃（缺省）

Acess端口发报文：
将报文的VLAN信息剥离，直接发送出去

trunk端口收报文：?
收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有判断该trunk端口是否允许该 VLAN的数据进入：如果可以则转发，否则丢弃

trunk端口发报文：
比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，如果不相等则直接发送

hybrid端口收报文：?
收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃(此时端口上的untag配置是不用考虑的，untag配置只对发送报文时起作用)

hybrid端口发报文：
1、判断该VLAN在本端口的属性（disp interface 即可看到该端口对哪些VLAN是untag， 哪些VLAN是tag）
2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送

以下案例可以帮助大家深入理解华为交换机的hybrid端口模式
[Switch-Ethernet0/1]int e0/1
[Switch-Ethernet0/1]port link-type hybrid
[Switch-Ethernet0/1]port hybrid pvid vlan 10
[Switch-Ethernet0/1]port hybrid vlan 10 20 untagged
[Switch-Ethernet0/1] int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 20
[Switch-Ethernet0/2]port hybrid vlan 10 20 untagged
此时inter e0/1和inter e0/2下的所接的PC是可以互通的，但互通时数据所走的往返vlan是不同的。
以下以inter e0/1下的所接的pc1访问inter e0/2下的所接的pc2为例进行说明

pc1所发出的数据，由inter0/1所在的pvid vlan10封装vlan10的标记后送入交换机，交换机发现inter e0/2允许vlan 10的数据通过，于是数据被转发到inter e0/2上，由于inter e0/2上vlan 10是untagged的，于是交换机此时去除数据包上vlan10的标记，以普通包的形式发给pc2，此时pc1->p2走的是vlan10

再来分析pc2给pc1回包的过程，pc2所发出的数据，由inter0/2所在的pvid vlan20封装vlan20的标记后送入交换机，交换机发现inter e0/1允许vlan 20的数据通过，于是数据被转发到inter e0/1上，由于inter e0/1上vlan 20是untagged的，于是交换机此时去除数据包上vlan20的标记，以普通包的形式发给pc1，此时pc2->pc1走的是vlan20

==========================

再来看看另一篇文章：
很多人都搞不清楚hybrid tag和untag吧，本人刚开始也是，官方资料都很含糊不清，只能自己理解了
先来看看Access,Hybrid,Trunk三种模式对数据包的处理

表1-2 端口对收发报文的处理

端口类型

对接收报文的处理

发送报文时的处理

当接收到的报文不带Tag时

当接收到的报文带有Tag时

Access端口

接收该报文，并为报文添加缺省VLAN的Tag

l????? 当VLAN ID与缺省VLAN ID相同时：接收该报文

l????? 当VLAN ID与缺省VLAN ID不同时：丢弃该报文

由于VLAN ID就是缺省VLAN ID，不用设置，去掉Tag后发送

Trunk端口

l????? 当VLAN ID与缺省VLAN ID不同时，但VLAN ID是该端口允许通过的VLAN ID时：接收该报文

l????? 当VLAN ID与缺省VLAN ID不同时，且VLAN ID是该端口不允许通过的VLAN ID时：丢弃该报文

l????? 当VLAN ID与缺省VLAN ID相同时：去掉Tag，发送该报文

l????? 当VLAN ID与缺省VLAN ID不同时：保持原有Tag，发送该报文

Hybrid端口

当报文中携带的VLAN ID是该端口允许通过的VLAN ID时，发送该报文，并可以通过port hybrid vlan命令配置端口在发送该VLAN（包括缺省VLAN）的报文时是否携带Tag

是不是看糊涂了？ hybrid端口在接受数据时处理和Trunk端口一样 如果带了tag并且和端口对应PVID不同，看是否允许通过，是则通过，不是则丢弃 如果带了tag并且和端口对应PVID相同，允许通过 如果不带tag则标记为PVID所在的vlan 注意！如果你不设置PVID对应的vlan是tag还是untag，数据还是无法通过！就算接收到的帧的tag和PVID对应vlan一致 下面是个例子 interface GigabitEthernet1/0/48 port link-type hybrid port hybrid vlan 10 untagged undo port hybrid vlan 1 port hybrid pvid vlan 20 # interface GigabitEthernet1/0/47 port link-type hybrid port hybrid vlan 10 20 untagged undo port hybrid vlan 1 port hybrid pvid vlan 10 看似可以通，是吗？但事实是48口可以收到47发过来的广播，48却无法将数据发送出去，因为你没有允许vlan 20的数据通过！只要port hybrid vlan 20 untagged/tagged就行 配置变成如下 interface GigabitEthernet1/0/48 port link-type hybrid port hybrid vlan 10 20 untagged undo port hybrid vlan 1 port hybrid pvid vlan 20 # interface GigabitEthernet1/0/47 port link-type hybrid port hybrid vlan 10 20 untagged undo port hybrid vlan 1 port hybrid pvid vlan 10 PC ping 路由器，来看看流程，PC接在48口上，路由在47口 1.PC发送ICMP echo request，到了交换机的48口，交换机发现此帧没有tag，打上PVID也就是vlan 20的tag，然后进入交换机内部。 2.交换机发现47口允许带vlan 20 tag的帧出去，就送往47口，47口根据设置，发出此帧，并且剥离了vlan 20的tag。 3.路由器收到icmp echo request，发送icmp echo reply，到交换机的47口，交换机发现此帧没有tag，打上PVID也就是vlan 10的tag，然后进入交换机内部。 4.交换机发现47口允许带vlan 10 tag的帧出去，就送往48口，48口根据设置，发出此帧，并且剥离了vlan 10的tag。 5.PING完成 就是这样，tag与untag的设置只对hybrid口发送数据时起作用