原理
在現實中,經常有些用戶需要跨越VLAN通信,單臂路由就是解決VLAN間通信的一種方法。
單臂路由的原理是通過一台路由器,使VLAN間互通數據通過路由器進行三層轉發。如果在路由器上為每個VLAN分配一個單獨的路由器物理接口,隨着VLAN數量的增加,必然需要更多的接口,而路由器的接口數量有限,所以在路由器的一個物理接口上通過配置子接口(即邏輯接口)的方式來實現以一當多的功能是一種非常好的方式。路由器同一物理接口的不同子接口作為不同VLAN的默認網關,當不同VLAN間的用戶主機需要通信時,只需將數據包發送給網關,網關處理后再發送至目的主機所在VLAN,從而實現VLAN間通信。
由於從拓撲圖上看,在交換機與路由器之間,數據僅通過一條物理鏈路傳輸,故被形象地稱之為“單臂路由”。
實驗場景
本實驗模擬公司網絡場景。路由器 R1 是公司的出口網關,員工 PC 通過接入層交換機(如 S2 和 S3 )接入公司網絡,接入層交換機又通過匯聚交換機 S1 與路由器 R1 相連。公司內部網絡通過划分不同的 VLAN 隔離了不同部門之間的二層通信,保證各部門間的信息安全,但是由於業務需要,經理、市場部和人事部之間需要能實現跨 VLAN 通信,網絡管理員決定借助路由器的三層功能,通過配置單臂路由來實現。
實驗拓撲
實驗參數
實驗步驟
下面我們創建VLAN並配置Access接口
在S2上創建VLAN 10和VLAN 20,把連接PC1的E0/0/1和連接PC2的E0/0/2接口配置為Access類型,並分別划分到相應的VLAN:
在S3上創建VLAN 30,把連接PC3的E0/0/1接口配置為Access類型並划分到VLAN 30
交換機之間或路由器之間相連的接口需要傳遞多個VLAN信息,需要配置成Trunk接口。
將S2和S3的GE0/0/2接口配置成Trunk類型接口,並允許所有VLAN通過
在S1上創建VLAN 10、VLAN 20和VLAN 30,並配置交換機和路由器相連的接口為Trunk,允許所有VLAN通過。
配置路由器子接口和IP地址
在R1上創建子接口GE0/0/1.1,配置IP地址192.168.1.254/24,作為人事部網關地址。
在R1創建子接口GE 0/0/1.2,配置IP地址192.168.2.254/24,作為市場部的網關地址
在R1上創建子接口GE 0/0/1.3, 配置IP地址192.168.3.254/24,作為經理的網關地址
在PC-1,PC-2和PC-3上配置IP和相應的網關地址后,在PC-1上測試與PC-2和PC-3間的連通性。
可以看到,通信仍然無法建立。
配置路由器子接口封裝VLAN
在R1的子接口GE 0/0/1.1上封裝VLAN 10,在子接口GE 0/0/1.2上封裝VLAN 20,在子接口GE 0/0/1.3上封裝VLAN 30,並開啟子接口的ARP廣播功能。
使用arp broadcast enable命令開啟子接口的ARP廣播功能。如果不配置該命令,會導致該子接口無法主動發送ARP廣播報文,以及向外轉發IP報文
同理配置子接口GE 0/0/1.2和GE 0/0/1.3
查看接口狀態
3個子接口的物理狀態和協議狀態都正常
查看路由器R1的路由表
在PC-1上分別測試與網關地址192.168.1.254和PC2之間的連通性
可以看到通信正常,在PC1上Tracert PC2
可以看到PC1先把ping包發送給自身的網關192.168.1.254,然后再由網關發送到PC2
