（已结算）【技术圆桌】第9期：IT攻城狮云上“出个摊”，交换机接口的几种工作模式你清楚吗？

大家好，我是深信社区技术顾问——yzy，主要从事网络安全、网络运维方面工作，受管理员小姐姐所邀参与【技术圆桌】话题发起人活动，本期想跟大家探讨下“网络交换机接口知识，看看你到底了解几个？”如果您对相关领域感兴趣，欢迎对本期话题进行探讨。如您有相关方面的问题和建议，欢迎回帖提问 !一起交流学习，精进技术！

---

【话题背景概述】
交换机的3种接口模式：access、trunk、hybird

Access接口：只能承载一个VLAN的流量，一般用于交换机与PC相连的接口

Trunk接口：可以承载多个vlan的流量，一般用于交换机和交换机相连的接口

Hybrid接口：可以承载多个vlan的流量，可用在与PC或交换机相连的接口

工作原理：

access接口收到一个数据帧时，先判断是否有vlan信息，如果没有则打上自己的PVID，如果有则直接丢。

当access接口要转发一个数据帧时，先判断该数据帧的vlan是否和自己在一个vlan,如果是则剥离vlan信息进行转发，如果不是则丢弃。

Trunk接口收到一个数据帧时，先判断有没有VLAN标签，如果无标签则打上该Trunk端口的PVID，如果有标签则直接转发，否则丢弃。

Trunk接口发送数据帧时，先对VLAN标签与Trunk端口的PVID进行比较，如果与PVID相等，则从报文中去掉VLAN标签再发送；如果与PVID不相等，Trunk接口允许该VLAN标签通过则直接转发。否则丢弃。

Hybrid接口接收数据帧时，先判断该数据帧是否有vlan标签，标签在untagged或tagged列表，则表示可以从此端口通过，对于untagged列表中的报文，在发送的时候去掉vlan标签后再从端口发送出去；对于tagged列表中的报文，在发送的时候带着vlan标签从端口发送出去。如果报文不在untagged或tagged列表的标签表示不允许通过，丢弃此报文。

Hybrid 接口发送数据帧时，先判断该数据帧是否有vlan信息，如果报文已经有标签且可以通过， 如果报文没标签且则打上PVID，再让带着PVID标签的报文通过。 如果不在untagged或tagged列表的标签表示不允许通过，丢弃此报文。

                                            

---

【本期圆桌话题讨论】

话题一：

①Trunk接口和Hybrid区别在哪里?

②PC接到Trunk接口是否能正常转发数据?

话题二：

拓扑描述：

两台PC配置了同网段IP地址，PC1和SW1互联使用Trunk接口，PC2和SW2互联使用Hybrid接口，交换机SW1 GE0/0/1使用Trunk接口，SW2 GE0/0/1使用Hybrid进行互联。

SW1配置如下：

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 2 to 4094

#

interface GigabitEthernet0/0/2

port link-type trunk

port trunk pvid vlan 10

port trunk allow-pass vlan 2 to 4094

SW2配置如下：

interface GigabitEthernet0/0/1

port hybrid tagged vlan 10

#

interface GigabitEthernet0/0/2

port hybrid pvid vlan 10

port hybrid untagged vlan 10

如上图，你认为PC1和PC2是否能正常访问？转发原理是什么？

欢迎交流探讨，活动结束后本人会做一个小总结，感谢参与！

【讨论时间】

2020年6月10日---2020年6月19日 23：59

【奖品设置】

1、基础回帖奖：凡有效回帖者可获得20S豆奖励；（回帖内容与话题相关且为个人原创）

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复即可获得100S豆打赏！

3、参与幸运奖：本帖设置800S豆回帖奖励，每次回复有机会获得20S豆；

4、趣味竞猜奖：为增加大家与楼主的亲密值，本着学习、娱乐两手抓的态度，特增设此奖，大家可以猜测楼主的生肖属相，第一个猜对者奖励666S豆（注：同一ID只能猜测一次）；

5、最佳回复奖：活动结束后，由话题发起人评选出1位最佳回复者，赠送热门学习书籍《内网安全攻防渗透测试实战指南》一本；

内网安全领域涉及的攻防技术一直都是渗透测试的核心技术，也是渗透测试高手们的“杀手锏”，鲜有示人。今天给大家推荐一本作为内网渗透测试的入门级书籍，值得所有初学者好好阅读。对于具有一定内网渗透测试经验的读者，本书更值得一读，因为内网渗透测试水平的高低就体现在经验丰富与否上，而每个内网渗透测试人员的经验都有值得学习和借鉴的地方。

---

【回帖规则】

1、回复须为个人原创且与话题相关，如回复无意义内容，管理员将判定为灌水，进行删除。

2、如恶意抄袭，以不良手段获取礼品行为，一经发现取消其获奖资格，并对账号进行1月以上禁言警示。

3、可盖楼回复但每个id回帖仅奖励一次，其他奖励可叠加，活动结束后将进行统一派发。

【技术圆桌】专题汇总——持续更新

了解详情请点击>>你也可以申请成为「技术聊主」，发技术话题领聊主赏金！

---

↓↓↓

欢迎大家回帖交流

如有交换机使用相关问题，欢迎留言提问

本期优秀回复用户：

  vlan 作为交换知识的核心灵魂，太重要了

   1  Hybrid接口对于发送帧的处理不同，可以指定vlan是不是带tag标签传输；trrunk口对于发送帧如果和PVID是一样的话 在允许的列表中的话 数据以untag的形式发送，vlan的数据如果和PVID是不一样的话,在允许的列表中的话 ,数据以tag的形式发送.

    2  这道题目设置的非常好，巧妙的利用vlan关于标签转发时动作，有相当的迷惑性。pc虽然不通，但是原因不在与PC与端口的接入，虽然平常工作中,pc接入交换机都是access接口，但用trunk接入pc也是可以通的，只要在SW1交换机上

  增加port trunk pvid vlan 10 就可以了。

          interface GigabitEthernet0/0/1

              port link-type trunk

                 port trunk pvid vlan 10

           port trunk allow-pass vlan 2 to 4094

   原理是这样的，当PC接入trunk 里，因为trunk上有pvid标签，允许的列表中的话 数据以untag的形式发送，当数据进入SW1交换机上G0/0/1 因为没有pvid，所以丢弃了。只要加下pvid标签通过，就可以让PC正常转发了。

理解 access 和 trunk 其实很简单，认准报文转发行为就好：
1、虚拟机发出的包是没有 tag 的。
2、access 口收到无 tag 的数据时，会对数据打上 access VLAN 的 tag 。
3、access 口收到有 tag 的数据时，无论是不是和 access VLAN 相同都会丢弃。
4、aceess 口发出无 tag 的数据时，（该情况不存在，因为至少会打 1 的标签）。
5、access 口发出有 tag 的数据时，与 access VLAN 相同的 tag 相同的会脱掉，不同的不会转发 。

6、trunk 口收到没有 tag 的数据时，会打上 pvid 的 tag 。
7、trunk 口收到有 tag 的数据时，查看是否允许，如果允许则收，不允许则丢。
8、trunk 口发出有 tag 的数据时，如果 tag = pvid 则把标签脱掉，如果 tag ≠ pvid，直接转发。
9、trunk 口发出没有 tag 的数据时，（该情况不存在，因为至少会打 1 的标签，pvid 默认也是 1 ）。

只要认准上面的行为，其实玩法还有很多的。

第一个问题：hybrid 加了 tag 和 untag 两个属性，tag 只对接受方向生效，untag 只对发送方向生效，这个和 trunk 是不太一样的，相对来说，hybrid 的配置会更加灵活吧，但也是实验的时候会玩儿一下，业务场景还是按常用的来。

第二个问题：PC 接到 trunk 也是可以转发数据的，因为入的时候会打 pvid ，出的时候只要控制它把 pvid 脱掉就OK了，比如说上面用 access 口接到网关，把 access 的 VLAN 写成和 pvid 相同，PC发出去的包在出交换机 access 的时候也会把 tag 脱掉，回来的时候也会在 access 打 tag ，在出 trunk 时脱掉。

①Trunk接口和Hybrid区别在哪里?
Trunk口可以透传多个Vlan数据带tag标签传输；Hybrid口可以同时允许多个Vlan带标签和多个Vlan不带标签通过，一般在无线组网用的较多如酒店环境；
②PC接到Trunk接口是否能正常转发数据?
交换机端口工作模式缺省的Pvid为vlan1；故一个端口未指明Pvid时，接受到的报文会打上Vlan1的tag，也就是能和Vlan1的终端通信；

如上图，你认为PC1和PC2是否能正常访问？转发原理是什么？
PC1能访问到PC2；SW1和SW2之间可以看做是Trunk互联，Pvid为Vlan1，都放通了Vlan10；而PC1去访问PC2时，SW1的G0/0/2口会给PC1数据打上Vlan10的标签，并查找自己的Vlan转发表转发到G0/0/1口，G0/0/1看到报文tag为Vlan10和端口Pivd不一致，但又允许Vlan10通过，则直接转发
到SW2的G0/0/1口；
SW2的G0/0/1口虽然未设置Pvid，但实际Pvid是Vlan1，而PC1报文的Tag为Vlan10，且允许Vlan10通过，故无需处理直接转发到G0/0/2口；G0/0/2收到报文时进行收报文规则处理，检测到报文带Tag且属于通过的Vlan，故直接发送给PC；发送给PC时进行发送报文规则处理，检测报文Tag同Pvid一致，故脱去报文的Tag以裸帧发送到PC2；

1、trunk可以允许多个VLAN通过,可以接收和发送多个VLAN 报文, 一般用于交换机与交换机相关的接口。trunk实现不同vlan之间通信，与pvid相同去标签
2、hybrid可以允许多个VLAN通过，可以接收和发送多个VLAN 报文，可以用于交换机的间连接也可以用于连接用户计算机

3、PC1到PC2的过程：
由于pc发出来的帧是不带标签的（untagged），当sw1 g0/0/2收到pc发来不带tag的数据帧时，给数据帧打上接口pvid的tag。查看接口是否允许通过，若允许通过进行透传。sw1的g0/0/1口发送帧时，该帧的vid在trunk允许发送列表中；若与端口的PVID相同时，则剥离tag发送。当sw2的g0/0/1收到不带tag的数据帧时，给数据帧打上pvid的tag，即打上接口的tagged10，查看vlan 是否允许通过,允许通过进行透传。sw2的g0/0/2在发出数据帧时，会打上接口的pvid 10,并查看看vlan是否在tagged列表或者untagged列表中。pc收到带tag的数据帧时会丢弃。
如果在sw2的g0/0/2接口，undo port hybrid pvid vlan 10 就能通信。

在PC2到PC1的过程：
由于pc发出来的包是不带标签的，sw2的g0/0/2口收到pc发来不带标签的的数据帧时，加上接口的pvid  10，然后进行转发。sw2的g0/0/1口发出去时，在tagged列表中，继续透传。当sw1g0/0/1收到带标签的数据帧时，看是否允许vlan通过，允许就透传vlan10，sw1的g0/0/2口看比较端口pvid和将要发送报文的vlan信息，两者相同则剥离发送，此时不等于接口的pvid，继续进行透传vlan10，pc收到带标签的帧无法处理会丢弃。若在sw1g0/0/2打上port trunk pvid vlan 10 也可以互相通信。

      Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口;　　Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。　　

      Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

      PC接到Trunk接口不能正常转发数据

1、Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。
2、pc接到trunk口理论上是不能转发数据的。
3、我是沙发！！！！！！！！！！！！！！！！！！！！1

技术圆桌最新一期出炉啦~~~:爱你:  ①Trunk接口和Hybrid区别在哪里?   ②PC接到Trunk接口是否能正常转发数据?  你知道么？

@风 @陈智强 @LY_FCC @DavidLin @胡亚运 @WUHANBIN @zh1392010 @围观的猪 @某公司_刘博 @澹台文远 @新手632248 @新手296910 @123456123456 @XLCK @信服宋晓飞 @木子凌 @爱德蒙·唐泰斯 @请君江南扫落花 @Duansc @RayYang @vito @sapphire @↖YANG↗ @老龟精 @新手802563 @云中骏马 @孙悟空 @zhongxiongjun @时光与你 @新手299185 @Brett @夏玉杰 @泡芙 @我比较皮 @Wkq @xslong @找不到用户名 @宇大大大大大大 @Kun @LHY @小白A @DEN9GZ @彭昱 @开开心心 @Wanderer @信z @A_达 @汪仲磊 @Wanglijun @Arinue

一、1、连接对象不同
      Trunk类型端口bai：可以允许du多个VLAN通过，可以接收和发送多个VLAN 报文，zhi一般用dao于交换机与交换机
      相关的接口。
       Hybrid类型端口：可以允许多个VLAN通过，可以接收和发送多个VLAN 报文，可以用于交换机的间连接也可以用于
      连接用户计算机。
      2、发送数据处理方法不同
       Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，但发送数据时：hybrid端口可以允许多个vlan的报文
       不打标签，而trunk端口只允许缺省vlan的报文不打标签，同一个交换机上不能hybrid和trunk并存。
    3、作用不同
       Trunk类型端口主要用在交换机之间互连，使交换机上不同VLAN共享线路。
       Hybrid类型端口：主要实现高隔离度的波分和复用。
二、pc接到trunk口理论上是能转发数据的，做了PVID就可以。

1、Trunk接口接收发送数据帧主要是看接口是否允许vlan通过；Hybrid接口收发数据帧时主要看接口是否打上标签再决定转发
2、PC接到Trunk接口理论上不能正常转发数据

楼主生肖鼠

Trunk类型的端口可以bai允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；
　　Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。
　　Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

Hybrid用场景：可用于安装了AC的接口，AC既要访问管理的VLAN，又要对接AP的VLAN。但又不是交换机对接交换机的场景，一个trunk不能满足要求。

①Trunk接口和Hybrid区别在哪里?
trunk接口是用于交换机与交换机连接，Hybrid接口主要是用于交换机与PC连接。trunk接口只允许一个vlan数据发送时不打标签，Hybrid接口允许多个vlan数据发送时不打标签
②PC接到Trunk接口是否能正常转发数据?
trunk口现在是把PVID设置成vlan10，所以能转发