第 3 層交換
使用單臂路由器方法的 VLAN 間路由實施起來很簡單,因為路由器通常在每個網絡中均可使用。目前大多數現代企業網絡使用第 3 層 VLAN 間路由解決方案,因為使用多層交換機能夠實現基於硬件交換的高數據包處理率。第 3 層交換機的數據包交換吞吐量通常為每秒百萬包(pps),而傳統路由器提供的數據包交換范圍是 10 萬包/秒 ~ 100 多萬包/秒。第 3 層(路由)端口通常在分布層和核心層之間實施,分布層交換機使用第 2 層鏈路連接到接入層交換機。因為拓撲的第 2 層部分沒有物理環路,所以描繪的網絡架構不依賴於生成樹協議(STP)。
許多用戶都處在單獨的 VLAN 中,通常,每個 VLAN 都是一個單獨的子網。因此通常將分布層交換機配置為每個訪問交換機 VLAN 的用戶的第 3 層網關。這意味着每個分布層交換機必須有匹配每個訪問交換機 VLAN 的 IP 地址,這可以通過使用交換機虛擬接口(SVI)和路由端口來實現。
交換機虛擬接口 SVI
SVI 是配置在多層交換機中的虛擬接口,可以為交換機上的任何 VLAN 創建 SVI。SVI 是虛擬的,既可以像路由器接口那樣執行相同的 VLAN 功能,也能以與路由器接口相同的方式配置在 VLAN 中。VLAN 的 SVI 為在與 VLAN 相關聯的所有交換機之間傳輸的數據包提供了第 3 層處理過程。
需要配置 SVI 的幾個原因是:
- 為一個 VLAN 提供網關;
- 為交換機提供第 3 層 IP 連接;
- 支持路由協議和橋接配置。
SVI 的幾個優勢為:
- 效率比單臂路由器要快很多;
- 從交換機到進行路由的路由器都不需要外部鏈路;
- 可在交換機之間使用第 2 層 EtherChannel 以獲得更多帶寬;
- 延遲更低。
SVI 的唯一缺點是三層交換機比較昂貴,成本較高。
路由端口
路由端口是一種類似於路由器接口的物理端口,它不與特定 VLAN 相關,而且行為很像正常的路由器接口。在相應端口上使用 no switchport 接口配置模式命令來配置路由端口,例如因為 Catalyst 3560 交換機接口的默認配置為第 2 層接口,所以必須將其手動配置為路由端口。
配置第 3 層交換和 VLAN 間路由
實驗拓撲
| 設備 | 接口 | IP 地址 | 子網掩碼 |
|---|---|---|---|
| MLS | VLAN 10 | 192.168.10.254 | 255.255.255.0 |
| VLAN 20 | 192.168.20.254 | 255.255.255.0 | |
| VLAN 30 | 192.168.30.254 | 255.255.255.0 | |
| VLAN 99 | 192.168.99.254 | 255.255.255.0 | |
| G0/2 | 209.165.200.225 | 255.255.255.252 | |
| PC0 | NIC | 192.168.10.1 | 255.255.255.0 |
| PC1 | NIC | 192.168.20.1 | 255.255.255.0 |
| PC2 | NIC | 192.168.30.1 | 255.255.255.0 |
| PC3 | NIC | 192.168.10.2 | 255.255.255.0 |
| PC4 | NIC | 192.168.20.2 | 255.255.255.0 |
| PC5 | NIC | 192.168.30.2 | 255.255.255.0 |
| PC6 | NIC | 209.165.200.226 | 255.255.255.252 |
| S1 | VLAN 99 | 192.168.99.1 | 255.255.255.0 |
| S2 | VLAN 99 | 192.168.99.2 | 255.255.255.0 |
| S3 | VLAN 99 | 192.168.99.3 | 255.255.255.0 |
VLAN:
| VLAN 編號 | VLAN 名稱 |
|---|---|
| 10 | 員工 |
| 20 | 學生 |
| 30 | 教師 |
Switch 1:
| 端口 | 分配 | 網絡 |
|---|---|---|
| S1 F0/4 | 802.1Q TRUNK | N/A |
| F0/5 | 802.1Q TRUNK | N/A |
| G0/1 | 802.1Q TRUNK | N/A |
Switch 2:
| 端口 | 分配 | 網絡 |
|---|---|---|
| S2 F0/1 | VLAN10 | N/A |
| F0/2 | VLAN20 | N/A |
| F0/3 | VLAN30 | N/A |
| F0/4 | 802.1Q TRUNK | N/A |
Switch 3:
| 端口 | 分配 | 網絡 |
|---|---|---|
| S3 F0/1 | VLAN10 | N/A |
| F0/2 | VLAN20 | N/A |
| F0/3 | VLAN30 | N/A |
| F0/5 | 802.1Q TRUNK | N/A |
三層交換機:
| 端口 | 分配 | 網絡 |
|---|---|---|
| MLS G0/1 | 802.1Q TRUNK | N/A |
配置二層交換機
將 3 台二層交換機按照上述接口表進行配置,首先先建立 3 個 VLAN:
S1(config)#vlan 10
S1(config-vlan)#name Staff
S1(config-vlan)#vlan 20
S1(config-vlan)#name Student
S1(config-vlan)#vlan 30
S1(config-vlan)#name Faculty
S2(config)#vlan 10
S2(config-vlan)#name Staff
S2(config-vlan)#vlan 20
S2(config-vlan)#name Student
S2(config-vlan)#vlan 30
S2(config-vlan)#name Faculty
S3(config)#vlan 10
S3(config-vlan)#name Staff
S3(config-vlan)#vlan 20
S3(config-vlan)#name Student
S3(config-vlan)#vlan 30
S3(config-vlan)#name Faculty
配置完 VLAN 后按照接口分配表正確設置接口的模式:
S1(config)#int f0/4
S1(config-if)#switchport mode trunk
S1(config-if)#int f0/5
S1(config-if)#switchport mode trunk
S1(config-if)#int g0/1
S1(config-if)#switchport mode trunk
S2(config)#int f0/1
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 10
S2(config-if)#int f0/2
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 20
S2(config-if)#int f0/3
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 30
S2(config-if)#int f0/4
S2(config-if)#switchport mode trunk
S3(config)#int f0/1
S3(config-if)#switchport mode access
S3(config-if)#switchport access vlan 10
S3(config-if)#int f0/2
S3(config-if)#switchport mode access
S3(config-if)#switchport access vlan 20
S3(config-if)#int f0/3
S3(config-if)#switchport mode access
S3(config-if)#switchport access vlan 30
S3(config-if)#int f0/5
S3(config-if)#switchport mode trunk
最后對 3 台交換機創建 VLAN 99,並且按照地址分配表分配 IP 地址。
S1(config)#vlan 99
S1(config-vlan)#int vlan 99
S1(config-if)#ip address 192.168.99.1 255.255.255.0
S2(config)#vlan 99
S2(config-vlan)#int vlan 99
S2(config-if)#ip address 192.168.99.2 255.255.255.0
S3(config)#vlan 99
S3(config-vlan)#int vlan 99
S3(config-if)#ip address 192.168.99.3 255.255.255.0
配置第 3 層交換
在 MLS 上將 G0/2 配置為路由端口,並根據地址分配表分配 IP 地址。使用 no switchport 關閉接口的交換功能,就能啟用路由接口分配 IP 地址。
MLS(config)# interface g0/2
MLS(config-if)# no switchport
MLS(config-if)# ip address 209.165.200.225 255.255.255.252
通過 ping 209.165.200.226 來驗證與 PC6 的連接。
MLS# ping 209.165.200.226
配置 VLAN 間路由
首先將 3 個 VLAN 添加入 MLS,並且創建 vlan 99:
MLS(config)#vlan 10
MLS(config-vlan)#name Staff
MLS(config-vlan)#vlan 20
MLS(config-vlan)#name Student
MLS(config-vlan)#vlan 30
MLS(config-vlan)#name Faculty
MLS(config-vlan)#vlan 99
接着將 MLS 的 G0/1 設置為 trunk 模式:
MLS(config)#int g0/1
MLS(config-if)#switchport trunk encapsulation dot1q
MLS(config-if)#switchport mode trunk
根據地址分配表配置並激活 VLAN 10、20、30 和 99 的 SVI 接口。
MLS(config)# interface vlan 10
MLS(config-if)# ip address 192.168.10.254 255.255.255.0
MLS(config-if)# interface vlan 20
MLS(config-if)# ip address 192.168.20.254 255.255.255.0
MLS(config-if)# interface vlan 30
MLS(config-if)# ip address 192.168.30.254 255.255.255.0
MLS(config-if)# interface vlan 99
MLS(config-if)# ip address 192.168.99.254 255.255.255.0
使用 show ip route 命令,此時還不存在 VLAN 間路由。
MLS#show ip route
這是因為三層交換機的路由功能沒有啟用,輸入 ip routing 命令,在全局配置模式下啟用路由。
MLS(config)# ip routing
使用 show ip route 命令,驗證路由是否已啟用。
驗證端到端連接
從 PC0,ping PC3 或 MLS,驗證 VLAN 10 內的連接。
從 PC1,ping PC4 或 MLS,驗證 VLAN 20 內的連接。
從 PC2,ping PC5 或 MLS,驗證 VLAN 30 內的連接。
從 S1,ping S2、S3 或 MLS,驗證與 VLAN 99 的連接。
要驗證 VLAN 間路由,請 ping 發送方 VLAN 外的設備。
參考資料
《思科網絡技術學院教程(第6版):擴展網絡》,[加] Bob Vachon,[美] Allan Johnson 著,思科系統公司 譯,人民郵電出版社