VLAN間通信單臂路由實驗

1、VLAN間通信 單臂路由 目標(biāo)：通過路由器進(jìn)行多個VLAN互聯(lián)環(huán)境：1. 交換機(jī)為二層交換機(jī)，支持VLAN劃分；2. 路由器只有1個Ethernet接口實施：采用單臂路由，即在路由器上設(shè)置多個邏輯子接口，每個子接口對應(yīng)于一個VLAN。由于物理路由接口只有一個，各子接口的數(shù)據(jù)在物理鏈路上傳遞要進(jìn)行標(biāo)記封裝。Cisco設(shè)備支持ISL和802.1q協(xié)議。華為設(shè)備只支持802.1q。單臂路由的配置實例（略）-在學(xué)習(xí)單臂路由的配置之前，建議大家先學(xué)好VLAN，起碼要知道VLAN是怎么配置的，這樣學(xué)單臂路由就輕松多了。先來了解一下什么是單臂路由，為什么要用到單臂路由。VLAN（虛擬局域網(wǎng)）技術(shù)是路由交換中

2、非?；A(chǔ)的技術(shù)。在網(wǎng)絡(luò)管理實踐中，通過在交換機(jī)上劃分適當(dāng)數(shù)目的vlan，不僅能有效隔離廣播風(fēng)暴，還能提高網(wǎng)絡(luò)安全系數(shù)及網(wǎng)絡(luò)帶寬的利用效率。劃分vlan之后，vlan與vlan之間是不能通信的，只能通過路由或三層交換來實現(xiàn)。我們知道路由器實現(xiàn)路由功能通常是數(shù)據(jù)報從一個接口進(jìn)來然后另一個接口出來，現(xiàn)在路由器與交換機(jī)之間通過一條主干現(xiàn)實通信或數(shù)據(jù)轉(zhuǎn)發(fā)，也就是說路由器僅用一個接口實現(xiàn)數(shù)據(jù)的進(jìn)與出，因為我們形象地稱它為單臂路由。單臂路由是解決vlan間通信的一種廉價而實用的解決方案。下面請看圖，PC-A和PC-B分別屬于vlan10和vlan20，Switch2950是一個cisco的二層交換機(jī)，型號2

3、950，欲實現(xiàn)vlan10和vlan20的通信，我們要增加一個路由器來轉(zhuǎn)發(fā)vlan之間的數(shù)據(jù)包，路由器與交換機(jī)之間使用單條鏈路相連（圖中畫紅線），這條鏈路也叫主干，所有數(shù)據(jù)包的進(jìn)出都要通過路由器2600的f0/0端口來現(xiàn)實數(shù)據(jù)轉(zhuǎn)發(fā)。接下來，結(jié)合以上網(wǎng)絡(luò)拓?fù)涮接懸幌聠伪勐酚傻呐渲?。圖中路由器是cisco的2600系列，交換機(jī)采用cisco的2950.一、配置交換機(jī)二、配置路由器三、驗證最后配置PC-A和PC-B的IP地址和子網(wǎng)掩碼，具體請看圖。下面試試PC-A 主機(jī) ping PC-B主機(jī)。實驗結(jié)果能Ping通，配置成功。驗結(jié)果能Ping通，配置成功。-單臂路由（Vlan間路由)眾多中小企業(yè)內(nèi)部

4、網(wǎng)絡(luò)結(jié)構(gòu)都很簡單，僅僅是用一臺交換機(jī)將所有員工機(jī)以及服務(wù)器連接到一起，然后通過光纖訪問internet而已。當(dāng)然為了保證部分主機(jī)的安全性以及分割內(nèi)部廣播包提高網(wǎng)絡(luò)傳輸速度，采取諸如劃分VLAN，分配不同子網(wǎng)的方法來實現(xiàn)。通過劃分VLAN可以讓在同一臺交換機(jī)不同端口的客戶機(jī)不能互相訪問，有效的隔離了網(wǎng)絡(luò)。通過VLAN劃分網(wǎng)絡(luò)固然可以解決安全和廣播風(fēng)暴的頻繁出現(xiàn)，但是對于那些既希望隔離又希望對某些客戶機(jī)進(jìn)行互通的公司來說，劃分VLAN的同時為不同VLAN建立互相訪問的通道也是必要的。 眾所周知可以使用三層交換機(jī)來實現(xiàn)，但是大多數(shù)情況企業(yè)網(wǎng)絡(luò)搭建初期購買的僅僅是二層可管理型交換機(jī)，如果要購買三層交換

5、機(jī)實現(xiàn)VLAN互通功能的話，以前的二層設(shè)備將被丟棄。這樣就造成了極大的浪費(fèi)。那么有沒有什么辦法在仍然使用二層設(shè)備的基礎(chǔ)上，實現(xiàn)三層交換機(jī)的功能呢?一、三層交換機(jī)的原理:在告訴各位讀者解決方法前我們需要首先了解三層交換機(jī)的工作原理。理論上講一臺三層交換機(jī)可以看做是一個二層交換機(jī)+一個路由模塊，實際使用中各個廠商也是通過將路由模塊內(nèi)置于交換機(jī)中實現(xiàn)三層功能的。在傳輸數(shù)據(jù)包時先發(fā)向這個路由模塊，由其提供路由路徑然后再由交換機(jī)轉(zhuǎn)發(fā)相應(yīng)的數(shù)據(jù)包。二、單臂路由原理:既然仍然要使用以前的二層設(shè)備，那么我們可以通過添加一臺路由器解決上面提到的企業(yè)網(wǎng)絡(luò)升級問題。這臺路由器就相當(dāng)于三層交換機(jī)的路由模塊，只是我們將

6、其放到了交換機(jī)的外部。具體原理拓?fù)浯蠹铱梢钥闯鲈趓outer路由器與交換機(jī)之間是通過外部線路連接的，這個外部線路只有一條，但是他在邏輯上是分開的，需要路由的數(shù)據(jù)包會通過這個線路到達(dá)路由器，經(jīng)過路由后再通過此線路返回交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。所以大家給這種拓?fù)浞绞狡鹆艘粋€形象的名字單臂路由。說白了，單臂路由就是包從哪個口進(jìn)去，又從哪個口出來，而不象傳統(tǒng)網(wǎng)絡(luò)拓?fù)渲袛?shù)據(jù)包從某個接口進(jìn)入路由器又從另一個接口離開路由器。那么什么時候要用到單臂路由呢?在企業(yè)內(nèi)部網(wǎng)絡(luò)中劃分了VLAN，當(dāng)VLAN 之間有部分主機(jī)需要通信,但交換機(jī)不支持三層交換，這時候可以采用一臺支持802.1Q的路由器實現(xiàn)VLAN的互通。我們只需要在

7、以太口上建立子接口，并分配IP地址作為該VLAN的網(wǎng)關(guān)，同時啟動802.1Q協(xié)議即可。小提示:一個物理接口當(dāng)成多個邏輯接口來使用時，往往需要在該接口上啟用子接口。通過一個個的邏輯子接口實現(xiàn)物理端口以一當(dāng)多的功能。三、實戰(zhàn)單臂路由:筆者所在公司恰恰遇到了上面說的問題，原來使用交換機(jī)連接內(nèi)部網(wǎng)，劃分了VLAN。但是現(xiàn)在需要讓這些VLAN實現(xiàn)互通，筆者購買了一臺華為2621路由器來實施單臂路由解決此問題。具體拓?fù)鋱D如圖1所示。交換機(jī)連接了多個網(wǎng)段，有10.91.30.*/24， 10.83.224.*/24,10.83.225.*/24,10.83.226.*/24。每個網(wǎng)段都處在不同的VLAN中。

8、所有數(shù)據(jù)包都通過光纖連接到核心設(shè)備。由于交換機(jī)上的光纖接口只對于10.91.30.*/24有效，所以其他網(wǎng)段的計算機(jī)在沒有路由器的前提下都無法正常上網(wǎng)。這時我們就需要通過華為2621路由器為他們指明路由下一跳的地址，完成數(shù)據(jù)包的傳輸。(1)交換機(jī)上配置:交換機(jī)上劃分VLAN以及將不同接口和網(wǎng)段加入不同VLAN的操作這里就不詳細(xì)說明了導(dǎo)是榭鮒?0.83.224.*對應(yīng)VLAN302,10.83.225.*對應(yīng)VLAN303,10.83.226.*對應(yīng) VLAN304，10.83.227.*對應(yīng)VLAN305。下一條的路由地址為10.82.6.113，對應(yīng)的VLAN號是307。 自己注：一定記著配

9、置trunk端口(2)路由器上的配置:本實戰(zhàn)路由器上的配置是關(guān)鍵，需要將連接交換機(jī)設(shè)備的那個接口設(shè)置為多個子接口。第一步:用console線連接路由器，進(jìn)入ethernet 0端口，并啟用該接口。int ethernet 0undo shut(如圖2)圖2：進(jìn)入E0端口并啟用第二步:不要對ethernet 0直接操作，為其添加多個子接口。int ethernet 0.1int ethernet 0.2int ethernet 0.3int ethernet 0.4int ethernet 0.5第三步:為每個子接口設(shè)置trunk模式，并添加到對應(yīng)的VLAN中。我們以ethernet0.1為例子

10、，其他幾個子接口設(shè)置命令類似。int ethernet0.1vlan dot1q vid 302(如圖3)圖3：為子接口設(shè)置trunk模式（自己注：在CISCO中，interface f0/0.1 F0/0.2然后配置：encapsulation doq1 1 （vlan 1） 2 3）小提示:在設(shè)置trunk模式時需要我們定義trunk所使用的協(xié)議，一般來說有 ISL和dot1q兩種協(xié)議提供給我們選擇，如果你的設(shè)備都是CISCO的話使用哪個都可以，但是如果你的設(shè)備有CISCO還有別的公司的產(chǎn)品的話就必須使用802.1q協(xié)議了，筆者這樣的網(wǎng)絡(luò)環(huán)境，由于路由器是華為2621，所以必須使用802.

11、1q協(xié)議進(jìn)行trunk通訊。筆者開始就盲目的設(shè)置為 ISL結(jié)果網(wǎng)絡(luò)始終不通，后來才想到這個問題。第四步:接下來我們還需要使用ip address命令為每個子接口設(shè)置好IP地址。第五步:為路由器添加一個缺省路由，指向光纖通往核心設(shè)備的IP地址。ip route-static 0.0.0.0 0.0.0.0 10.82.6.114第六步:保存所有設(shè)置后使用dis cur命令查看當(dāng)前配置列表。(如圖4)四、常見問題:在配置單臂路由過程中要特別注意以下幾個問題:(1)不要對ethernet0進(jìn)行任何配置，我們只需要對其子接口進(jìn)行劃分和設(shè)置即可。(2)不要忘記將ethernet0開啟，使用命令undo

12、shut，這樣所有子接口會同時開啟。(3)如果有防病毒ACL等列表的話不要忘記在最后添加到ethernet0上。(4)由于單臂路由數(shù)據(jù)包進(jìn)出都使用同一個接口必然對該路由器的硬件要求比較高，所以在實際使用中不要隨便找一臺低端路由器充數(shù)，穩(wěn)定和較大內(nèi)存是擔(dān)當(dāng)單臂路由器的設(shè)備所必須的。(5)在設(shè)置TRUNK類型時候要根據(jù)實際情況選擇是ISL還是802.1q協(xié)議。(6)所有配置命令都需要在路由器沒有連接交換機(jī)的狀態(tài)下進(jìn)行，當(dāng)所有設(shè)置信息輸入完畢并保存后才可以使用網(wǎng)線將路由器和交換機(jī)連接。為什么呢?因為單臂路由很消耗路由器的資源，所以如果在配置過程中已經(jīng)將該路由器連接到了單臂拓?fù)渲心敲摧斎朊?，顯示命令

13、會變得非常緩慢。筆者剛開始就是這樣邊連接邊設(shè)置的，發(fā)現(xiàn)路由器跟死機(jī)一樣，執(zhí)行一個dis cur顯示配置信息命令居然要等待十分鐘以上，也可能是內(nèi)網(wǎng)中已經(jīng)有的病毒在發(fā)送大量數(shù)據(jù)包造成的?？傊€是設(shè)置完畢再連接網(wǎng)絡(luò)比較保險。五、單臂路由的缺點(diǎn):單臂路由的缺點(diǎn)也是顯而易見的，一方面他非常消耗路由器CPU與內(nèi)存的資源，在一定程度上影響了網(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)男?，另一方面將本來可以由三層交換機(jī)內(nèi)部完成的工作交給了額外的設(shè)備完成，對于連接線路要求也是非常高的。另外通過單臂路由將本來劃分得好好的VLAN徹底打破，原有的提高安全性與減少廣播數(shù)據(jù)包等措施起到的效果也大大降低了。當(dāng)然不管怎么說單臂路由仍然是企業(yè)網(wǎng)絡(luò)升級

14、，經(jīng)費(fèi)緊張時一個不錯的選擇?？偨Y(jié):單臂路由方式僅僅是對現(xiàn)有網(wǎng)絡(luò)升級時采取的一種策略，在企業(yè)內(nèi)部網(wǎng)絡(luò)中劃分了 VLAN，當(dāng)VLAN之間有部分主機(jī)需要通信,但交換機(jī)不支持三層交換，這時我們使用該方法來解決實際問題。由于單臂路由存在著很多這樣或那樣的缺點(diǎn)，所以不建議大家在網(wǎng)絡(luò)搭建初期就使用這種方式建立拓?fù)?。再給個cisco的命令以參考實驗設(shè)備：一臺2620路由器一臺2950交換機(jī)兩臺PC實驗?zāi)康模簩W(xué)習(xí)VLAN間的單臂路由配置實現(xiàn)！實驗步驟：RouterenRouter#conf tRouter(config)#int f0/0Router(config-if)#no shRouter(config-

15、if)#int f0/0.10Router(config-subif)#encapsulation dot1q 10Router(config-subif)#ip add 192.168.1.1 255.255.255.0Router(config-subif)#no shRouter(config-subif)#int f0/0.20Router(config-subif)#encapsulation dot1q 20Router(config-subif)#ip add 192.168.2.1 255.255.255.0Router(config-subif)#no shSwitchenS

16、witch#vlan databaseSwitch(vlan)#vlan 10 name text10Switch(vlan)#vlan 20 name text20Switch(vlan)#applySwitch(config-if)#int f0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#int f0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#int f0/12Switch(config-if)#switchport mode

17、trunkSwitch(config-if)#switchport trunk encapsulation dot1qpc1c:/ip /ip 192.168.1.10 255.255.255.0c:/ip /dg 192.168.1.1pc2c:/ip /ip 192.168.2.10 255.255.255.0c:/ip /dg 192.168.2.1實驗測試：PC1可以和PC2通信！實驗總結(jié)：注意以下命令：Router(config-subif)#encapsulation dot1q 10路由器的封狀方式 為DOT1Q 后面的10為 F0/0.10Switch(config-if)#s

18、witchport trunk encapsulation dot1q交換機(jī)的F0/12為 TRUNK 封裝方式為 DOT1Q單臂路由實驗是一個基本的路由實驗，現(xiàn)在把我個人的配置方法寫出來，和大家一起探討。以下是拓?fù)鋱D?。ū緦嶒炘贐OSON模擬實驗中完成） ？ 首先對SW進(jìn)行VLAN配置？ >enable？ #(config)hostname sw？ #(config)vlan database進(jìn)入vlan配置模式？ #(config)vlan 10 name test1劃分vlan并命名？ #(config)vlan 20 name test2？ #(config)exit退出vlan

19、配置模式？ #(config)int f0/1進(jìn)入端口f0/1？ 將相應(yīng)端口劃分到相應(yīng)的vlan中？ #(config)switchport access vlan 10？ #(config)int f0/2？ #(config)switchport access vlan 20？ 我們知道，如果沒有路由支持的情況下，vlan10與vlan 20 是不能進(jìn)行通信的。這里，我們就用到單臂路由來作為各vlan 間的橋梁。在這個實驗里，我們要用到dot1q封裝協(xié)議。同時，在交換機(jī)上配置trunk,并進(jìn)行封裝。？ #(config)int f0/12？ #(config)switchport mode

20、 trunk？ #(config)switchport trunk encapsulation dot1q？ 在交換機(jī)上配置trunk,并進(jìn)行封裝。？ 由于本節(jié)只探討單臂路由，所以交換機(jī)就配置到這里？ 下面進(jìn)行router配置？ >enable？ #(config)int e0進(jìn)入e0并激活？ #(config)no shut？ #(config)int e0.10 建立子接口，并分配IP地址，這里的IP將成？ 為后面加入各vlan電腦的網(wǎng)關(guān)？ #(config)encapsulation dot1q 10？ #(config)ip add 192.168.1.1 255.255.255

21、.0？ #(config)no shut？ #(config)exit？ #(config)int e0.20？ #(config)encapsulation dot1q 20？ #(config)ip add 192.168.2.1 255.255.255.0？ #(config)no shut？ 現(xiàn)在我們對pc 進(jìn)行配置，這里介紹兩種方法，一種圖形界面，一種命令界面。首先用圖形#winipcfg 當(dāng)輸入些命后有一個圖形界面彈出，把相應(yīng)的IP與網(wǎng)關(guān)填上。以PC1為例，我們就應(yīng)填入。192.168.1.X 255.255.255.0網(wǎng)關(guān)：192.168.1.1一. 1.實驗器材： 2811路由

22、器一臺，2690交換器一臺，二臺pc機(jī) 2.先在交換機(jī)上配置二個vlan vlan 2: 網(wǎng)關(guān)：192.168.1.33 255.255.255.224 網(wǎng)絡(luò)id：192.168.1.32 pc0:192.168.1.34 255.255.255.224 vlan 3: 網(wǎng)關(guān)：192.168.1.65 255.255.255.224 網(wǎng)絡(luò)id：192.168.1.64 pc1:192.168.1.66 255.255.255.224 二.配置： 1.配置路由器： Routerenable Router#configure terminal Router(config)#interface fa

23、stEthernet 0/0 Router(config-if)#no ip address Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 0/0.1 Router(config-subif)#encapsulation dot1Q 2 Router(config-subif)#ip address 192.168.1.33 255.255.255.224 Router(config-subif)#no shutdown Router(config-subif

24、)#exit Router(config)#interface fastEthernet 0/0.2 Router(config-subif)#encapsulation dot1Q 3 Router(config-subif)#ip address 192.168.1.65 255.255.255.224 Router(config-subif)#no shutdown Router(config-subif)#end Router#show running-config 2.配置交換機(jī)： Switchenable Switch#configure terminal Switch(confi

25、g)#interface fastEthernet 0/3 Switch(config-if)#switchport mode trunk Switch(config-if)#exit Switch(config)#vlan 2 Switch(config-vlan)#name wangchao2 Switch(config-vlan)#vlan 3 Switch(config-vlan)#name wangchao3 Switch(config-vlan)#exit Switch(config)#interface fastEthernet 0/1 Switch(config-if)#swi

26、tchport mode access Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config)#interface fastEthernet 0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 3 Switch(config-if)#end Switch#show running-config 3.配置pc機(jī)： pc0: 網(wǎng)關(guān)：192.168.1.33 ip：192.16

27、8.1.34 子網(wǎng)掩碼：255.255.255.224（/27） pc1: 網(wǎng)關(guān)：192.168.1.65 ip：192.168.1.66 子網(wǎng)掩碼：255.255.255.224（/27）路由模擬PC進(jìn)行單臂路由實驗實驗環(huán)境說明：1.利用路由器R1、R2模擬PC，關(guān)閉其路由功能；2.將路由器R1的Fa0/0端口的ip設(shè)為：192.168.1.2/24，默認(rèn)網(wǎng)關(guān)設(shè)為：192.168.1.1；3.將路由器R2的Fa0/0端口的ip設(shè)為：192.168.0.2/24，默認(rèn)網(wǎng)關(guān)設(shè)為：192.168.0.1；4.將交換機(jī)SW1關(guān)閉路由功能，作為二層交換機(jī)使用，并劃分VLAN14、VLAN15兩個VLA

28、N；5.將交換機(jī)SW1的Fa1/14端口加入到VLAN14中，將Fa1/15端口加入到VLAN15中；6.在路由器R3的Fa0/0接口啟用子接口Fa0/0.14（ip設(shè)為：192.168.0.1/24）、Fa0/0.15（ip設(shè)為：192.168.1.1/24）并封裝相應(yīng)的VLAN號；實驗結(jié)果要求R1、R2能夠互相ping通對方。實驗配置過程：交換機(jī)SW1的配置清單：1.劃分VLAN：SW1#vlan dataSW1(vlan)#vlan 14SW1(vlan)#vlan 15SW1(vlan)#exit2.將端口加入到相應(yīng)的VLAN：SW1(config)#int fa1/14SW1(con

29、fig-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#switchport mod accSW1(config-if)#switchport acc vlan 14SW1(config-if)#exitSW1(config)#int fa1/15SW1(config-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#switchport mod accSW1(config-if)#switchport acc vlan 15SW1(config-if)#exit3.為Fa1/13端口配置干道：SW1(config)#int fa1/13SW1(config-if)#switchport mod trunkSW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#no shutSW1(config-if)#exit4.關(guān)閉交換機(jī)的路由功能：SW1(config)#no ip rou