在現(xiàn)實(shí)網(wǎng)絡(luò)中,經(jīng)常會(huì)遇到需要跨VLAN相互訪問的情況。
很多網(wǎng)工通常會(huì)選擇一些方法,來實(shí)現(xiàn)不同VLAN間主機(jī)的相互訪問,例如單臂路由。
但是,單臂路由技術(shù)中由于存在一些局限性,比如帶寬、轉(zhuǎn)發(fā)效率等,使得這項(xiàng)技術(shù)應(yīng)用較少。
三層交換機(jī)在原有二層交換機(jī)的基礎(chǔ)之上增加了路由功能,同時(shí)由于數(shù)據(jù)沒有像單臂路由那樣經(jīng)過物理線路進(jìn)行路由,很好地解決了帶寬瓶頸的問題,為網(wǎng)絡(luò)設(shè)計(jì)提供了一個(gè)靈活的解決方案。
今天這篇文章,我們會(huì)來盤點(diǎn)一下實(shí)現(xiàn)VLAN間路由的幾種方法,希望可以幫到你。
今日文章閱讀福利:《TCP-IP路由技術(shù)(第1卷)(第2版)》
需要深入學(xué)習(xí)路由技術(shù)的小友,可以私信我,備注“路由技術(shù)”,前20名私信的小友送出該經(jīng)典網(wǎng)工書籍資源。
01 給VLAN分配路由器的物理連接
第一步,PC設(shè)置IP地址和網(wǎng)關(guān)
192.168.2.2/24 網(wǎng)關(guān)是192.168.2.1
192.168.3.2/24 網(wǎng)關(guān)是192.168.3.1
第二步,交換機(jī)創(chuàng)建VLAN,劃分VLAN
[sw]vlan batch 2 3
[sw]int e0/0/1
[sw-Ethe.NET0/0/1]port lin ac
[sw-Ethernet0/0/1]port def vlan 2
[sw-Ethernet0/0/1]int e0/0/2
[sw-Ethernet0/0/2]port lin ac
[sw-Ethernet0/0/2]port def vlan 2
[sw-Ethernet0/0/2]int e0/0/3
[sw-Ethernet0/0/3]port lin ac
[sw-Ethernet0/0/3]port def vlan 3
[sw-Ethernet0/0/3]int e0/0/4
[sw-Ethernet0/0/4]port lin ac
[sw-Ethernet0/0/4]port def vlan 3
第三步,路由器配置接口地址
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.2.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.3.1 24
02 單臂路由,路由器子接口是VLAN網(wǎng)關(guān)
第一步,PC設(shè)置IP地址和網(wǎng)關(guān)
192.168.2.2/24 網(wǎng)關(guān)是192.168.2.1
192.168.3.2/24 網(wǎng)關(guān)是192.168.3.1
第二步,交換機(jī)創(chuàng)建VLAN,劃分VLAN
[sw]vlan batch 2 3
[sw-Ethernet0/0/1]int e0/0/2
[sw-Ethernet0/0/2]port lin ac
[sw-Ethernet0/0/2]port def vlan 2
[sw-Ethernet0/0/2]int e0/0/3
[sw-Ethernet0/0/3]port lin ac
[sw-Ethernet0/0/3]port def vlan 3
第三步,交換機(jī)連接路由器的端口設(shè)置為trunk模式
[sw]int e0/0/1
[sw-Ethernet0/0/1]port lin tr
[sw-Ethernet0/0/1]port tr al vlan all
第四步,路由器配置子接口
[Huawei]int g0/0/0.20 這個(gè)編號(hào)是隨意的
[Huawei-GigabitEthernet0/0/0.20]dot1q termination vid 2 封裝的VLAN,你為VLAN服務(wù),就封裝VLAN
[Huawei-GigabitEthernet0/0/0.20]ip add 192.168.2.1 24 這個(gè)地址就是網(wǎng)關(guān)地址
[Huawei-GigabitEthernet0/0/0.20]arp broadcast enable 允許ARP廣播
[Huawei-GigabitEthernet0/0/0.20]int g0/0/0.30
[Huawei-GigabitEthernet0/0/0.30]d t v 3
[Huawei-GigabitEthernet0/0/0.30]ip add 192.168.3.1 24
[Huawei-GigabitEthernet0/0/0.30]arp be
03 采用多層交換機(jī)實(shí)現(xiàn)
簡(jiǎn)單來說,你可以分三步走:
第一步,PC設(shè)置地址和網(wǎng)關(guān)
第二步,交換機(jī)創(chuàng)建VLAN,把端口加入VLAN
[Huawei]sys sw
[sw]vlan b 2 3
[sw]int g0/0/1
[sw-GigabitEthernet0/0/1]port lin ac
[sw-GigabitEthernet0/0/1]port def vlan 2
[sw-GigabitEthernet0/0/1]int g0/0/2
[sw-GigabitEthernet0/0/2]port lin ac
[sw-GigabitEthernet0/0/2]port def vlan 3
第三步,在交換機(jī)上創(chuàng)建SVI接口(交換虛擬接口)有幾個(gè)VLAN就創(chuàng)建幾個(gè),這個(gè)接口就是VLAN的網(wǎng)關(guān)地址。
[sw-GigabitEthernet0/0/2]int vlan 2
[sw-Vlanif2]ip add 192.168.2.1 24
[sw-Vlanif2]int vlan 3
[sw-Vlanif3]ip add 192.168.3.1 24
接下來,以三層交換機(jī)為基礎(chǔ),模擬企業(yè)網(wǎng)絡(luò)場(chǎng)景,來看下整個(gè)具體的實(shí)現(xiàn)過程。
公司有兩個(gè)部門,銷售部和客服部,分別規(guī)劃使用VLAN 10 和VLAN 20。
其中銷售部下有兩臺(tái)終端PC-1和PC-2,客服部下有一-臺(tái)終端PC-3,所有終端都通過核心三層交換機(jī)S1相連。
現(xiàn)需要讓該公司所有三臺(tái)主機(jī)都能實(shí)現(xiàn)互相訪問,網(wǎng)絡(luò)管理員將通過配置三層交換機(jī)來實(shí)現(xiàn)。
01 實(shí)驗(yàn)拓?fù)?/strong>
利用三層交換機(jī)實(shí)現(xiàn)VLAN間路由的拓?fù)淙鐖D3-6所示。
02 實(shí)驗(yàn)步驟
1. 基本配置
根據(jù)實(shí)驗(yàn)編址表在PC上進(jìn)行相應(yīng)的基本IP地址配置,三層交換機(jī)S1上暫先不做配置。
配置完成后,測(cè)試銷售部?jī)膳_(tái)終端PC-1與PC-2間的連通性。
可以觀察到,通信正常。
測(cè)試銷售部PC-1與客服部PC-3間的連通性。
PC-1與PC-3間無法正常通信,下面簡(jiǎn)要分析主機(jī)PC-1.發(fā)出數(shù)據(jù)包,直至反饋目的無法到達(dá)的整個(gè)過程:
主機(jī)發(fā)出數(shù)據(jù)包前,將會(huì)查看數(shù)據(jù)包中的目的IP地址。
如果目的IP地址和本機(jī)IP地址在同-一個(gè)網(wǎng)段上,主機(jī)會(huì)直接發(fā)出一個(gè)ARP請(qǐng)求數(shù)據(jù)包來請(qǐng)求對(duì)方主機(jī)的mac地址,封裝數(shù)據(jù)包,繼而發(fā)送該數(shù)據(jù)包。
但如果目的IP地址與本機(jī)IP地址不在同一個(gè)網(wǎng)段,那么主機(jī)也會(huì)發(fā)出一個(gè)ARP數(shù)據(jù)包請(qǐng)求網(wǎng)關(guān)的MAC地址,收到網(wǎng)關(guān)ARP回復(fù)后,繼而封裝數(shù)據(jù)包后發(fā)送。
所以,銷售部主機(jī)PC-1在訪問192.168.2.1 這個(gè)IP地址時(shí)發(fā)現(xiàn)這個(gè)目的IP地址與本機(jī)IP地址不在同一個(gè)IP 地址段上,PC-1 便會(huì)發(fā)出ARP數(shù)據(jù)包請(qǐng)求網(wǎng)關(guān)192.168.1.254的MAC地址。
但由于交換機(jī)沒有做任何IP配置,因此沒有設(shè)備應(yīng)答該ARP請(qǐng)求,導(dǎo)致銷售部主機(jī)PC-1無法正常封裝數(shù)據(jù)包,因此無法與客服部PC-3正常通信。
2. 配置三層交換機(jī)實(shí)現(xiàn)VLAN間通信
通過在交換機(jī)上設(shè)置不同的VLAN使得主機(jī)實(shí)現(xiàn)相互隔離。在三層交換機(jī)S1上創(chuàng)建VLAN 10和VLAN 20,把銷售部的主機(jī)全部劃入VLAN 10中,客服部的主機(jī)劃入VLAN20中。
現(xiàn)在需要通過VLAN間路由來實(shí)現(xiàn)通信,在三層交換機(jī)上配置VLANIF接口。
在S1上使用interface VLANif命令創(chuàng)建VLANIF接口,指定VLANIF接口所對(duì)應(yīng)的VLAN ID為10,并進(jìn)入VLANIF接口視圖,在接口視圖下配置IP地址192.168.1.254/24.再創(chuàng)建對(duì)應(yīng)VLAN 20的VLANIF 接口,地址配置為192.168.2.254/24。
配置完成后,查看接口狀態(tài)。
可以觀察到,兩個(gè)VLANIF接口已經(jīng)生效。再次測(cè)試PC-1與PC-3間的連通性。
可見通信正常,實(shí)現(xiàn)了銷售部終端與客服部終端間的通信。PC-2上的測(cè)試省略。
在PC-1上查看ARP信息。
可以觀察到,目前PC上ARP解析到的地址只有交換機(jī)的VLANIF 10 的地址,而沒有對(duì)端的地址,PC-1 先將數(shù)據(jù)包發(fā)送至網(wǎng)關(guān),即對(duì)應(yīng)的VLANIF 10 接口,再由網(wǎng)關(guān)轉(zhuǎn)發(fā)到對(duì)端。
整理:老楊丨10年資深網(wǎng)絡(luò)工程師,更多網(wǎng)工提升干貨,請(qǐng)關(guān)注公眾號(hào):網(wǎng)絡(luò)工程師俱樂部
