原理:
以太網中,通常會使用VLAN技術隔離二層廣播域來減少廣播的影響,並增強網絡的安全性和可管理性。其缺點是同時也嚴格地隔離了不同VLAN之間的任何二層流量,使分屬於不同VLAN的用戶不能直接互相通信。在現實中,經常會出現某些用戶需要跨越VLAN實現通信的情況,單臂路由技術就是解決VLAN間通信的一種方法。
單臂路由的原理是通過一台路由器, 使VLAN間互通數據通過路由器進行三層轉發。如果在路由器上為每個VLAN分配一個單獨的路由器物理接口,隨着VLAN數量的增加,必然需要更多的接口,而路由器能提供的接口數量比較有限,所以在路由器的一一個物理接口上通過配置子接口(即邏輯接口)的方式來實現以一當多的功能,將是一種非常好的方式。路由器同一物理接口的不同子接口作為不同VLAN的默認網關,當不同VLAN間的用戶主機需要通信時,只需將數據包發送給網關,網關處理后再發送至目的主機所在VLAN,從而實現VLAN間通信。由於從拓撲結構圖.上.看,在交換機與路由器之間,數據僅通過一條物理鏈路傳輸,故被形象地稱之為“單臂路由”。
例子:
本實驗模擬公司網絡場景。路由器R1是公司的出口網關,員工PC通過接入層交換機(如S2和S3)接入公司網絡,接入層交換機又通過匯聚交換機S1與路由器R1相連。公司內部網絡通過划分不同的VLAN隔離了不同部門之間的二層通信,保證各部門間的信息安全,但是由於業務需要,經理、市場部和人事部之間需要能實現跨VLAN通信,網絡管理員決定借助路由器的三層功能,通過配置單臂路由來實現。
拓撲圖:
實驗編址:
1.創建VLAN並配置Access和Trunk接口
先通過實驗編址進行配置,並創建創建VLAN並配置Access和Trunk接口
我這就只給命令代碼了,在我博客里有詳細教程。(記得有Tap補齊部分)
先在S2,S3配置
再在S1配置,創建VLAN10 VLAN20 VLAN30,並配置交換機和路由器相連的接口為Trunk,允許所以VLAN通過
2.配置路由器子接口和IP地址
由於路由器R1只有一個實際的物理接口與交換機S1相連,可以在路由器配置不同的邏輯子接口來作為不同VLAN的網關,從而達到節省路由器接口的目的。
根據實驗編址,進行R1的配置
ping一下
我們配置完了還是ping不同,這是因為
雖然目前已經創建了不同的子接口,並配置了相關IP地址,但是仍然無法通信。這是由於處於不同VLAN下,不同網段的PC間要實現互相通信,數據包必須通過路由器進行中轉。由S1發送到R1的數據都加上了VLAN標簽,而路由器作為三層設備,默認無法處理帶了VLAN標簽的數據包。因此需要在路由器上的子接口下配置對應VLAN的封裝,使路由器能夠識別和處理VLAN標簽,包括剝離和封裝VLAN標簽。
3.配置路由器子接口封裝VLAN
接下來,我們配置子接口對一層tag報文的終結功能
再開啟子接口的ARP廣播功能,不配置的話將導致該接口無法主動發送ARP廣播報文,以及發報文
同理配置其他兩個口
配置完,我們在R1上看一下接口狀態
現在我們再在PC機ping一下
記得save保存