1、VLAN間通信 單臂路由 目標：通過路由器進行多個VLAN互聯(lián)環(huán)境：1. 交換機為二層交換機，支持VLAN劃分；2. 路由器只有1個Ethernet接口實施：采用單臂路由，即在路由器上設置多個邏輯子接口，每個子接口對應于一個VLAN。由于物理路由接口只有一個，各子接口的數(shù)據(jù)在物理鏈路上傳遞要進行標記封裝。Cisco設備支持ISL和802.1q協(xié)議。華為設備只支持802.1q。單臂路由的配置實例（略）-在學習單臂路由的配置之前，建議大家先學好VLAN，起碼要知道VLAN是怎么配置的，這樣學單臂路由就輕松多了。先來了解一下什么是單臂路由，為什么要用到單臂路由。VLAN（虛擬局域網(wǎng)）技術是路由交換中

2、非?；A的技術。在網(wǎng)絡管理實踐中，通過在交換機上劃分適當數(shù)目的vlan，不僅能有效隔離廣播風暴，還能提高網(wǎng)絡安全系數(shù)及網(wǎng)絡帶寬的利用效率。劃分vlan之后，vlan與vlan之間是不能通信的，只能通過路由或三層交換來實現(xiàn)。我們知道路由器實現(xiàn)路由功能通常是數(shù)據(jù)報從一個接口進來然后另一個接口出來，現(xiàn)在路由器與交換機之間通過一條主干現(xiàn)實通信或數(shù)據(jù)轉發(fā)，也就是說路由器僅用一個接口實現(xiàn)數(shù)據(jù)的進與出，因為我們形象地稱它為單臂路由。單臂路由是解決vlan間通信的一種廉價而實用的解決方案。下面請看圖，PC-A和PC-B分別屬于vlan10和vlan20，Switch2950是一個cisco的二層交換機，型號2

3、950，欲實現(xiàn)vlan10和vlan20的通信，我們要增加一個路由器來轉發(fā)vlan之間的數(shù)據(jù)包，路由器與交換機之間使用單條鏈路相連（圖中畫紅線），這條鏈路也叫主干，所有數(shù)據(jù)包的進出都要通過路由器2600的f0/0端口來現(xiàn)實數(shù)據(jù)轉發(fā)。接下來，結合以上網(wǎng)絡拓撲探討一下單臂路由的配置。圖中路由器是cisco的2600系列，交換機采用cisco的2950.一、配置交換機二、配置路由器三、驗證最后配置PC-A和PC-B的IP地址和子網(wǎng)掩碼，具體請看圖。下面試試PC-A 主機 ping PC-B主機。實驗結果能Ping通，配置成功。驗結果能Ping通，配置成功。-單臂路由（Vlan間路由)眾多中小企業(yè)內部

4、網(wǎng)絡結構都很簡單，僅僅是用一臺交換機將所有員工機以及服務器連接到一起，然后通過光纖訪問internet而已。當然為了保證部分主機的安全性以及分割內部廣播包提高網(wǎng)絡傳輸速度，采取諸如劃分VLAN，分配不同子網(wǎng)的方法來實現(xiàn)。通過劃分VLAN可以讓在同一臺交換機不同端口的客戶機不能互相訪問，有效的隔離了網(wǎng)絡。通過VLAN劃分網(wǎng)絡固然可以解決安全和廣播風暴的頻繁出現(xiàn)，但是對于那些既希望隔離又希望對某些客戶機進行互通的公司來說，劃分VLAN的同時為不同VLAN建立互相訪問的通道也是必要的。 眾所周知可以使用三層交換機來實現(xiàn)，但是大多數(shù)情況企業(yè)網(wǎng)絡搭建初期購買的僅僅是二層可管理型交換機，如果要購買三層交換

5、機實現(xiàn)VLAN互通功能的話，以前的二層設備將被丟棄。這樣就造成了極大的浪費。那么有沒有什么辦法在仍然使用二層設備的基礎上，實現(xiàn)三層交換機的功能呢?一、三層交換機的原理:在告訴各位讀者解決方法前我們需要首先了解三層交換機的工作原理。理論上講一臺三層交換機可以看做是一個二層交換機+一個路由模塊，實際使用中各個廠商也是通過將路由模塊內置于交換機中實現(xiàn)三層功能的。在傳輸數(shù)據(jù)包時先發(fā)向這個路由模塊，由其提供路由路徑然后再由交換機轉發(fā)相應的數(shù)據(jù)包。二、單臂路由原理:既然仍然要使用以前的二層設備，那么我們可以通過添加一臺路由器解決上面提到的企業(yè)網(wǎng)絡升級問題。這臺路由器就相當于三層交換機的路由模塊，只是我們將

6、其放到了交換機的外部。具體原理拓撲大家可以看出在router路由器與交換機之間是通過外部線路連接的，這個外部線路只有一條，但是他在邏輯上是分開的，需要路由的數(shù)據(jù)包會通過這個線路到達路由器，經(jīng)過路由后再通過此線路返回交換機進行轉發(fā)。所以大家給這種拓撲方式起了一個形象的名字單臂路由。說白了，單臂路由就是包從哪個口進去，又從哪個口出來，而不象傳統(tǒng)網(wǎng)絡拓撲中數(shù)據(jù)包從某個接口進入路由器又從另一個接口離開路由器。那么什么時候要用到單臂路由呢?在企業(yè)內部網(wǎng)絡中劃分了VLAN，當VLAN 之間有部分主機需要通信,但交換機不支持三層交換，這時候可以采用一臺支持802.1Q的路由器實現(xiàn)VLAN的互通。我們只需要在

7、以太口上建立子接口，并分配IP地址作為該VLAN的網(wǎng)關，同時啟動802.1Q協(xié)議即可。小提示:一個物理接口當成多個邏輯接口來使用時，往往需要在該接口上啟用子接口。通過一個個的邏輯子接口實現(xiàn)物理端口以一當多的功能。三、實戰(zhàn)單臂路由:筆者所在公司恰恰遇到了上面說的問題，原來使用交換機連接內部網(wǎng)，劃分了VLAN。但是現(xiàn)在需要讓這些VLAN實現(xiàn)互通，筆者購買了一臺華為2621路由器來實施單臂路由解決此問題。具體拓撲圖如圖1所示。交換機連接了多個網(wǎng)段，有10.91.30.*/24， 10.83.224.*/24,10.83.225.*/24,10.83.226.*/24。每個網(wǎng)段都處在不同的VLAN中。

8、所有數(shù)據(jù)包都通過光纖連接到核心設備。由于交換機上的光纖接口只對于10.91.30.*/24有效，所以其他網(wǎng)段的計算機在沒有路由器的前提下都無法正常上網(wǎng)。這時我們就需要通過華為2621路由器為他們指明路由下一跳的地址，完成數(shù)據(jù)包的傳輸。(1)交換機上配置:交換機上劃分VLAN以及將不同接口和網(wǎng)段加入不同VLAN的操作這里就不詳細說明了導是榭鮒?0.83.224.*對應VLAN302,10.83.225.*對應VLAN303,10.83.226.*對應 VLAN304，10.83.227.*對應VLAN305。下一條的路由地址為10.82.6.113，對應的VLAN號是307。 自己注：一定記著配

9、置trunk端口(2)路由器上的配置:本實戰(zhàn)路由器上的配置是關鍵，需要將連接交換機設備的那個接口設置為多個子接口。第一步:用console線連接路由器，進入ethernet 0端口，并啟用該接口。int ethernet 0undo shut(如圖2)圖2：進入E0端口并啟用第二步:不要對ethernet 0直接操作，為其添加多個子接口。int ethernet 0.1int ethernet 0.2int ethernet 0.3int ethernet 0.4int ethernet 0.5第三步:為每個子接口設置trunk模式，并添加到對應的VLAN中。我們以ethernet0.1為例子

10、，其他幾個子接口設置命令類似。int ethernet0.1vlan dot1q vid 302(如圖3)圖3：為子接口設置trunk模式（自己注：在CISCO中，interface f0/0.1 F0/0.2然后配置：encapsulation doq1 1 （vlan 1） 2 3）小提示:在設置trunk模式時需要我們定義trunk所使用的協(xié)議，一般來說有 ISL和dot1q兩種協(xié)議提供給我們選擇，如果你的設備都是CISCO的話使用哪個都可以，但是如果你的設備有CISCO還有別的公司的產(chǎn)品的話就必須使用802.1q協(xié)議了，筆者這樣的網(wǎng)絡環(huán)境，由于路由器是華為2621，所以必須使用802.

11、1q協(xié)議進行trunk通訊。筆者開始就盲目的設置為 ISL結果網(wǎng)絡始終不通，后來才想到這個問題。第四步:接下來我們還需要使用ip address命令為每個子接口設置好IP地址。第五步:為路由器添加一個缺省路由，指向光纖通往核心設備的IP地址。ip route-static 0.0.0.0 0.0.0.0 10.82.6.114第六步:保存所有設置后使用dis cur命令查看當前配置列表。(如圖4)四、常見問題:在配置單臂路由過程中要特別注意以下幾個問題:(1)不要對ethernet0進行任何配置，我們只需要對其子接口進行劃分和設置即可。(2)不要忘記將ethernet0開啟，使用命令undo

12、shut，這樣所有子接口會同時開啟。(3)如果有防病毒ACL等列表的話不要忘記在最后添加到ethernet0上。(4)由于單臂路由數(shù)據(jù)包進出都使用同一個接口必然對該路由器的硬件要求比較高，所以在實際使用中不要隨便找一臺低端路由器充數(shù)，穩(wěn)定和較大內存是擔當單臂路由器的設備所必須的。(5)在設置TRUNK類型時候要根據(jù)實際情況選擇是ISL還是802.1q協(xié)議。(6)所有配置命令都需要在路由器沒有連接交換機的狀態(tài)下進行，當所有設置信息輸入完畢并保存后才可以使用網(wǎng)線將路由器和交換機連接。為什么呢?因為單臂路由很消耗路由器的資源，所以如果在配置過程中已經(jīng)將該路由器連接到了單臂拓撲中那么輸入命令，顯示命令

13、會變得非常緩慢。筆者剛開始就是這樣邊連接邊設置的，發(fā)現(xiàn)路由器跟死機一樣，執(zhí)行一個dis cur顯示配置信息命令居然要等待十分鐘以上，也可能是內網(wǎng)中已經(jīng)有的病毒在發(fā)送大量數(shù)據(jù)包造成的?？傊€是設置完畢再連接網(wǎng)絡比較保險。五、單臂路由的缺點:單臂路由的缺點也是顯而易見的，一方面他非常消耗路由器CPU與內存的資源，在一定程度上影響了網(wǎng)絡數(shù)據(jù)包傳輸?shù)男剩硪环矫鎸⒈緛砜梢杂扇龑咏粨Q機內部完成的工作交給了額外的設備完成，對于連接線路要求也是非常高的。另外通過單臂路由將本來劃分得好好的VLAN徹底打破，原有的提高安全性與減少廣播數(shù)據(jù)包等措施起到的效果也大大降低了。當然不管怎么說單臂路由仍然是企業(yè)網(wǎng)絡升級

14、，經(jīng)費緊張時一個不錯的選擇?？偨Y:單臂路由方式僅僅是對現(xiàn)有網(wǎng)絡升級時采取的一種策略，在企業(yè)內部網(wǎng)絡中劃分了 VLAN，當VLAN之間有部分主機需要通信,但交換機不支持三層交換，這時我們使用該方法來解決實際問題。由于單臂路由存在著很多這樣或那樣的缺點，所以不建議大家在網(wǎng)絡搭建初期就使用這種方式建立拓撲。再給個cisco的命令以參考實驗設備：一臺2620路由器一臺2950交換機兩臺PC實驗目的：學習VLAN間的單臂路由配置實現(xiàn)！實驗步驟：RouterenRouter#conf tRouter(config)#int f0/0Router(config-if)#no shRouter(config-

15、if)#int f0/0.10Router(config-subif)#encapsulation dot1q 10Router(config-subif)#ip add 192.168.1.1 255.255.255.0Router(config-subif)#no shRouter(config-subif)#int f0/0.20Router(config-subif)#encapsulation dot1q 20Router(config-subif)#ip add 192.168.2.1 255.255.255.0Router(config-subif)#no shSwitchenS

16、witch#vlan databaseSwitch(vlan)#vlan 10 name text10Switch(vlan)#vlan 20 name text20Switch(vlan)#applySwitch(config-if)#int f0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#int f0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#int f0/12Switch(config-if)#switchport mode

17、trunkSwitch(config-if)#switchport trunk encapsulation dot1qpc1c:/ip /ip 192.168.1.10 255.255.255.0c:/ip /dg 192.168.1.1pc2c:/ip /ip 192.168.2.10 255.255.255.0c:/ip /dg 192.168.2.1實驗測試：PC1可以和PC2通信！實驗總結：注意以下命令：Router(config-subif)#encapsulation dot1q 10路由器的封狀方式 為DOT1Q 后面的10為 F0/0.10Switch(config-if)#s

18、witchport trunk encapsulation dot1q交換機的F0/12為 TRUNK 封裝方式為 DOT1Q單臂路由實驗是一個基本的路由實驗，現(xiàn)在把我個人的配置方法寫出來，和大家一起探討。以下是拓撲圖！（本實驗在BOSON模擬實驗中完成） ？ 首先對SW進行VLAN配置？ >enable？ #(config)hostname sw？ #(config)vlan database進入vlan配置模式？ #(config)vlan 10 name test1劃分vlan并命名？ #(config)vlan 20 name test2？ #(config)exit退出vlan

19、配置模式？ #(config)int f0/1進入端口f0/1？ 將相應端口劃分到相應的vlan中？ #(config)switchport access vlan 10？ #(config)int f0/2？ #(config)switchport access vlan 20？ 我們知道，如果沒有路由支持的情況下，vlan10與vlan 20 是不能進行通信的。這里，我們就用到單臂路由來作為各vlan 間的橋梁。在這個實驗里，我們要用到dot1q封裝協(xié)議。同時，在交換機上配置trunk,并進行封裝。？ #(config)int f0/12？ #(config)switchport mode

20、 trunk？ #(config)switchport trunk encapsulation dot1q？ 在交換機上配置trunk,并進行封裝。？ 由于本節(jié)只探討單臂路由，所以交換機就配置到這里？ 下面進行router配置？ >enable？ #(config)int e0進入e0并激活？ #(config)no shut？ #(config)int e0.10 建立子接口，并分配IP地址，這里的IP將成？ 為后面加入各vlan電腦的網(wǎng)關？ #(config)encapsulation dot1q 10？ #(config)ip add 192.168.1.1 255.255.255

21、.0？ #(config)no shut？ #(config)exit？ #(config)int e0.20？ #(config)encapsulation dot1q 20？ #(config)ip add 192.168.2.1 255.255.255.0？ #(config)no shut？ 現(xiàn)在我們對pc 進行配置，這里介紹兩種方法，一種圖形界面，一種命令界面。首先用圖形#winipcfg 當輸入些命后有一個圖形界面彈出，把相應的IP與網(wǎng)關填上。以PC1為例，我們就應填入。192.168.1.X 255.255.255.0網(wǎng)關：192.168.1.1一. 1.實驗器材： 2811路由

22、器一臺，2690交換器一臺，二臺pc機 2.先在交換機上配置二個vlan vlan 2: 網(wǎng)關：192.168.1.33 255.255.255.224 網(wǎng)絡id：192.168.1.32 pc0:192.168.1.34 255.255.255.224 vlan 3: 網(wǎng)關：192.168.1.65 255.255.255.224 網(wǎng)絡id：192.168.1.64 pc1:192.168.1.66 255.255.255.224 二.配置： 1.配置路由器： Routerenable Router#configure terminal Router(config)#interface fa

23、stEthernet 0/0 Router(config-if)#no ip address Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 0/0.1 Router(config-subif)#encapsulation dot1Q 2 Router(config-subif)#ip address 192.168.1.33 255.255.255.224 Router(config-subif)#no shutdown Router(config-subif

24、)#exit Router(config)#interface fastEthernet 0/0.2 Router(config-subif)#encapsulation dot1Q 3 Router(config-subif)#ip address 192.168.1.65 255.255.255.224 Router(config-subif)#no shutdown Router(config-subif)#end Router#show running-config 2.配置交換機： Switchenable Switch#configure terminal Switch(confi

25、g)#interface fastEthernet 0/3 Switch(config-if)#switchport mode trunk Switch(config-if)#exit Switch(config)#vlan 2 Switch(config-vlan)#name wangchao2 Switch(config-vlan)#vlan 3 Switch(config-vlan)#name wangchao3 Switch(config-vlan)#exit Switch(config)#interface fastEthernet 0/1 Switch(config-if)#swi

26、tchport mode access Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config)#interface fastEthernet 0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 3 Switch(config-if)#end Switch#show running-config 3.配置pc機： pc0: 網(wǎng)關：192.168.1.33 ip：192.16

27、8.1.34 子網(wǎng)掩碼：255.255.255.224（/27） pc1: 網(wǎng)關：192.168.1.65 ip：192.168.1.66 子網(wǎng)掩碼：255.255.255.224（/27）路由模擬PC進行單臂路由實驗實驗環(huán)境說明：1.利用路由器R1、R2模擬PC，關閉其路由功能；2.將路由器R1的Fa0/0端口的ip設為：192.168.1.2/24，默認網(wǎng)關設為：192.168.1.1；3.將路由器R2的Fa0/0端口的ip設為：192.168.0.2/24，默認網(wǎng)關設為：192.168.0.1；4.將交換機SW1關閉路由功能，作為二層交換機使用，并劃分VLAN14、VLAN15兩個VLA

28、N；5.將交換機SW1的Fa1/14端口加入到VLAN14中，將Fa1/15端口加入到VLAN15中；6.在路由器R3的Fa0/0接口啟用子接口Fa0/0.14（ip設為：192.168.0.1/24）、Fa0/0.15（ip設為：192.168.1.1/24）并封裝相應的VLAN號；實驗結果要求R1、R2能夠互相ping通對方。實驗配置過程：交換機SW1的配置清單：1.劃分VLAN：SW1#vlan dataSW1(vlan)#vlan 14SW1(vlan)#vlan 15SW1(vlan)#exit2.將端口加入到相應的VLAN：SW1(config)#int fa1/14SW1(con

29、fig-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#switchport mod accSW1(config-if)#switchport acc vlan 14SW1(config-if)#exitSW1(config)#int fa1/15SW1(config-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#switchport mod accSW1(config-if)#switchport acc vlan 15SW1(config-if)#exit3.為Fa1/13端口配置干道：SW1(config)#int fa1/13SW1(config-if)#switchport mod trunkSW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#no shutSW1(config-if)#exit4.關閉交換機的路由功能：SW1(config)#no ip rou