概要

各位老板们大家好， 这次带来一篇关于交换机运用最基础内容的文章。希望各位可以有所收获，大家一起提升下大脑知识存量。Let‘s go!!

交换机作为数据传输的核心设备，其端口模式的配置直接影响网络的灵活性与效率。无论是企业网络、点对点互联网络还是数据中心，合理选择交换机接口模式（Access、Trunk、Hybrid）是实现数据网络隔离和互通的关键。
我们知道，在交换机中最基本、最常用、也是几乎必用的功能就是VLAN，也就是虚拟局域网；怎么用好4096个VLAN是我们必须要懂得的东西，交换机就是通过三种端口模式Access、Trunk和Hybrid（华为私有），实现了对数据帧的差异化处理，让所有VLAN实现隔离与互联。接下来我们就探讨下它们的运行逻辑与实际应用。

---

三大模式简述

1. Access模式（单一VLAN的专属通道）
   核心逻辑：Access端口专为连接终端设备设计，仅允许单一VLAN的数据通过。进入端口的数据帧会被自动打上PVID（端口默认VLAN）标签，而离开端口时标签则会被剥离。
   典型场景：企业办公网络中，员工电脑或打印机等通过Access端口接入部门专属VLAN，实现业务隔离与安全管控。

2. Trunk模式(多VLAN流量的高速公路)
   核心逻辑：Trunk端口允许多个VLAN的数据通过，数据帧在传输过程中保留VLAN标签。它常用于交换机与交换机、交换机与路由器之间的互联，用法逻辑就是通过一条链路承载多业务流量。
   典型场景：数据中心核心交换机通过Trunk链路与接入层交换机通信，同时传输多个VLAN的流量。

3. Hybrid模式(灵活定制的混合通道)
   核心逻辑：Hybrid端口结合了Access与Trunk模式的优势，既能处理带标签的数据帧，也能处理无标签的数据帧。管理员可灵活指定哪些VLAN的数据需要打标签，哪些无需打标签，适用于复杂业务需求。
   典型场景：一台服务器需同时访问管理VLAN（无标签）和业务VLAN（带标签），Hybrid端口可直接满足该需求，无需额外配置多网卡。

测试拓扑

一如既往，我们使用华为的ensp模拟器完成这次实验，拓扑如下：

终端设备上我们都采用相同的网段10.1.1.0/24，最后一位与PC号一致，如PC3的ip就是10.1.1.3/24，后续的实验同样是这样配置。

配置与测试

（1）首先我们先来测试下利用Access接口达成蓝色区域可互访但无法与黄色区域互访。

SW1：

vlan batch 10 20

interface Ethernet0/0/1
port link-type access
port default vlan 10

interface Ethernet0/0/2
port link-type access
port default vlan 10

interface Ethernet0/0/4
port link-type access
port default vlan 20

完成配置后我们通过互ping验证结果，可看到由于黄色端与蓝色成功实现了隔离。

运行逻辑上就是蓝色区域PC3的数据包在从接口e0/0/2进入时会打上VLAN10的Tag，而携带VLAN10 Tag的数据包仅会转发到同样配置了接收VLAN10Tag的e0/0/2接口。

（2）我们再来测试下通过Trunk接口实现交换机之间的VLAN互联与隔离，要让蓝色区域只能访问蓝色，而黄色区域仅可以访问橙色，绿色区域仅能访问到紫色区域。

SW1：

vlan batch 10 20 30

interface Ethernet0/0/1
 port link-type access
 port default vlan 10

interface Ethernet0/0/2
 port link-type access
 port default vlan 10

interface Ethernet0/0/3
 port link-type access
 port default vlan 30

interface Ethernet0/0/4
 port link-type access
 port default vlan 20
 
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 20 30

SW2：

vlan batch 20 30

interface Ethernet0/0/1
 port link-type access
 port default vlan 20

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 20 30

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 30

SW3：

vlan batch 30

interface Ethernet0/0/1
 port link-type access
 port default vlan 30

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 30

接下来是互ping验证一下实验结果，图一可看到蓝色区域的PC3无法访问到其他的区域。

下图二可看到黄色区域的PC1是可ping到橙色区域PC5，但无法到达紫色区域的。

下图三可看到绿色区域的PC2是可ping到紫色区域PC6，但无法到达橙色区域的。

我们可通过捉包查看到黄色PC1ping橙色PC5和紫色PC6时，数据包中是什么个情况，直观了解到这个隔离是如何实现的。

可看到几个信息，802.1q协议、vlan tagID是20，目标一个是10.1.1.5的PC5一个是广播包，而由于广播包我们逻辑上目标PC6是只接受VLAN TagID20数据包的，因此无人回应，运行逻辑就是Trunk接口会放行携带预先设定好VLANTag的数据包，实验中就是20与30。

（3）最后我们需要实现黄色区域PC1可访问蓝色区域PC3,但不能访问PC4；以及绿色区域PC2在可访问紫色PC6的同时能访问橙色PC5，当然橙色和紫色也不能互访。

SW1:

vlan batch 10 20 30

interface Ethernet0/0/1
 port link-type access
 port default vlan 10

interface Ethernet0/0/2
 undo port de vl
 port link-ty hy
 port hybrid pvid vlan 10
 port hybrid untagged vlan 10 20

interface Ethernet0/0/3
 undo port de vl
 port link-ty hy
 port hybrid pvid vlan 30
 port hybrid untagged vlan 20 30

interface Ethernet0/0/4
 undo port de vl
 port link-ty hy
 port hybrid pvid vlan 20
 port hybrid untagged vlan 10 20

interface GigabitEthernet0/0/1
 undo port tr all vl 20 30
 port link-ty hy
 port hybrid tagged vlan 20 30

  #g0/0/1口修改只为展示实现类似Trunk接口的功能，可不做修改

SW2:

vlan batch 20 30

interface Ethernet0/0/1
 undo port de vl
 port link-ty hy
 port hybrid pvid vlan 20
 port hybrid untagged vlan 20 30

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 20 30

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 30

OK,接下来是验证环节；我们在下图可看到功能上完全实现了标题的需求，黄色区域PC1可访问蓝色区域PC3,但不能访问PC4；以及绿色区域PC2在可访问紫色PC6的同时能访问橙色PC5，橙色和紫色不能互访。

运行逻辑上就是可以设置在默认接收某个VLAN TagID数据包的同时，还能剥离所设定的VLAN Tag。当然，能够互通的前提是对端也能剥离你所默认携带的VLAN Tag。

小结

Access、Trunk与Hybrid三种模式都有各自所能承担及无法承担的工作，理解它们的差异与协作逻辑，是构建符合需求网络架构的基石，只有足够理解才能让技术更好落地实现客户各式各样需求。

以上就是这次网络基础篇七的全部内容，如有错误之处或各种想法等欢迎大家留言，我们一起聊一下。

一同努力，共同进步；祝各位老板天天开心，都发大财！

💬 欢迎在评论区留言分享你的想法，我们下次再见～