原理概述:
以太網中,通常會使用VLAN技術隔離二層廣播域來減少廣播的影響*並增強 網絡的安全性和可管理性。其缺點足同時也嚴格地隔離了不同VLAN之間的任何二層流量,使分屬於不同VLAN的用戶
不能直接互相通信。在現實中,經常會岀現某些用戶需要跨越VLAN實現通信的情況單臂路由技術就是解決VLAN間通信的一種方法。
單臂路由的原理是通過一台路由器,使VLAN間互通數據通過路由器進行三層轉發如果在路由器上為每個VLAN分配一個單獨的路由器物理接口,隨着VLAN 數量的增加,必然需要更多的接口而路由器
能提供的接口數量比較有限,所以在路 由器的一個物理接口上通過配曽子接口(即邏輯接口)的方式來實現以一當多的功能, 將是一種非常好的方式。路由器同-物理接口的不同子接口作為不同VLAN的
默認 網關,當不同VLAN間的用戶主機需要通信時,只需將數據包發送給網關,網關處 理后再發送至目的主機所在VLAN,從而實現VLAN間通信。由於從拓撲結構圖上 看,在交換機與路曲器之間,數據
僅通過一條物理鏈路傳輸故被形象地稱之為"單臂路由"。
實驗目的:
•理解單臂路由的應用場景
•掌握路由器子接口的配置方法
•掌握子接口封裝VLAN的配置方法
•理解單臂路由的工作原理
實驗內容:
本實驗模擬公司網絡場景。路由器RI是公司的出口網關,員工PC通過接入層交換機(如S2和S3)接入公司網絡,接入層交換機又通過匯聚交換機S1與路由器R1相連。公司內部網絡通過划分不同的VLAN隔離
了不同部門之間的二層通信,保證各部門間的信息安全,但是由於業務需要,經理、市場部和人事部之間需要能實現跨VLAN通信, 網絡管理員決定借助路由器的三層功能,通過配置單臂路由來實現。
實驗拓撲:
實驗編址:
| 設備 |
接口 |
IP地址, |
子網掩碼 |
默認網其 |
| R1 (AR2220) |
GE0/0/LI |
192.168.1.254 |
255.255.255.0 |
N/A |
| GE0/O/L2 |
192.168.2.254 |
255.255.255.0 |
N/A |
|
| GEO/O/1.3 |
192.168.3.254 |
255.255.255.0 |
N/A |
|
| PC-1 |
Ethernet 0/0/1 |
192.168.1.1 |
255.255.255.0 |
192.168.1 .254 |
| PC-2 |
Ethernet 0/0/1 |
192.168.2.1 |
255.255.255.0 |
192.168.2.254 |
| PC-3 |
Ethernet 0/0/1 |
192.168.3.1 |
255.255.255.0 |
192.168.3.254 |
實驗步驟:
1.創建 VLAN 並配置 Access, Trunk 接口
公司為保障各部門的信息安全,需保證隔離不同部門間的二層通信,規划各部門的 終端屬於不同的VLAN,並為PC配置相應IP地址。
在S2上創建VLAN 10和VLAN 20,把連接PC-1的E 0/0/1和連接PC-2的E 0/0/2 接口配置為Access類型接口,並分別划分到相應的VLAN中.
(第一張圖片我進行了改名操做及關閉交換機本身信息的彈出)
在S3上創建VLAN 30,把連接PC-3的E 0/0/1接口配置為Access類型接口,並划分到 VLAN 30o
交換機之間或交換機和路由器之間相連的接口需要傳遞多個VLAN信息,需要配置成Trunk 接口
將S2和S3的GE 0/0/2接口配置成Trunk類型接口"並允許所有VLAN通過.
在SI上創建VLAN 10、VLAN 20和VLAN 30.並配置交換機和路由器相連的接口 為Trunk,允許所有VLAN通過。
2.配置路由器子接口和IP地址:
由於路由器R1只有-一個實際的物理接口與交換機SI相連,可以在路由器上配置不同的邏輯子接口來作為不同VLAN的網關,從而達到節省路由器接口的目的。
在R1上創建子接口 GE 0/0/1.1,配置IP地址192.168.1.254/24.作為人事部網關 地址。
在R1上創建子接口 GE 0/0/1.2,配置IP地址192J68.2.254/24,作為市場部網關地址。
在R1上創建子接口 GE 0/0/13,配置IP地址192.168.3.254/24,作為經理的網關地址
在PC-1 , PC-2和PC-3上配置IP和相應的網關地址后,在PC-1上測試與PC-2和 PC-3間的連通性◎
可以觀察到,通信仍然無法建立
3, 配置路由器子接口封裝VLAN:
雖然目前已經創建了不同的子接口,並配置了相關IP地址,但是仍然無法通信口 這是由於處於不同VLAN下,不同網段的PC間要實現互相通信,數據包必須通過路由器進行中轉。由S1發送到RI的數據都加上了 VLAN標簽,而路由器作為三層設備,默認無法處理帶了VLAN標簽的數據包。因此需要在路由器上的子接口下配置 對應VLAN的封裝,使路由器能夠識別和處理VLAN標簽,包括剝離和封裝VLAN 標簽。
在R1的子接口 GE 0/0/1.1上封裝VLAN 10,在子接口 GE0/0/1.2上封裝VLAN20, 在子接口GE 0/0/L3上封裝VLAN 30,並開啟子接口的ARP廣播功能使用dot1q termination vid命令配置子接口對一層Itag報文的終結功能。即配置該命令后,路由器子接口在接收帶有VLAN tag的報文時,將剝掉tdg進行三層轉發,在發送報文時,會將與該子接口對應VLAN的VLAN tag添加到報文中。
使用arp broadcast enable命令開啟子接口的ARP廣播功能。如果不配置該命令將會導致該子接口無法主動發送ARP廣播報文,以及向外轉發iP報文。
同理配置R1的子接口 GE0/0/1.2和GE0/0/1.3。
配置完成后,在路由器R1上查看接口狀態。
可以觀察到,3個子接口的物理狀態和協議狀態都正常。 查看路由器R1的路由表。
可以觀察到,路由表中已經有了192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24的路由條目,並且都是路由器R1的直連路由,類似於路由器上的直連物理接口。 在PC-1上分別測試與網關地址192.168..1.254和PC-2間的連通性.
可以觀察到,通信正常。在PC-1 上Tracert PC-2。
可以觀察PC-1先把ping包發送給自身的網關192.168.1.254,然后再由網關發送 到 PC-2.
現以PC-1 ping PC-2為例,分析單臂路由的整個運作過程。
兩台PC由於處於不同的網絡中,這時PC-1會將數據包發往自己的網關,即路由器 R1 的子接口 GE0/0/L1 的地址 192.168.1.254。
數據包到達路由器R1后,由於路由器的子接口 GE 0/0/1.1已經配置了 VLAN封裝,當接收到PC-1發送的VLAN 10的數據幀時,發現數據幀的VLAN ID跟自身GE 0/0/1.1接口配置的VLAN ID 一樣,便會剝離掉數據幀的VLAN標簽后通過三層路由轉發。
通過查找路由表后,發現數據包中的目的地址192.168.2.1所屬的192.168.2.0/24網段的路由條目,已經是路由器R1上的直連路由,且岀接口為GE 0/0/1.2,便將該數據包發送至 GE 0/0/1.2 接口。
當GE 0/0/1.2接口接收到一個沒有帶VLAN標簽的數據幀時,便會加上自身接口所配置的VLAN ID 20后再進行轉發,然后通過交換機將數據幀順利轉發給PC-2。
若想保存此配置,需使用save命令:
