前文我們了解了二層交換技術vlan相關話題,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/15091491.html;今天我們來聊一聊不同VLAN間通信相關話題;
我們知道vlan主要解決了交換機的廣播域問題,在大型網絡環境中,vlan可以隔離廣播域,雖然解決了廣播風暴帶來的問題,但同時也引入了一個新的問題;不同vlan間該如何通信呢?在現網中,一般情況都是一個vlan對應一個網絡,要想實現不同vlan間通信,其實就是不同網段該如何通信;我們知道不同網段要想通訊就必須借助三層路由設備來實現數據包轉發,從而實現不同網段間通訊;
提示:每個 VLAN 都是一個獨立的廣播域,不同的 VLAN 之間二層就已經隔離,因此屬於不同 VLAN 的節點之間是無法直接互訪的。
解決vlan間通訊的方法:傳統增加路由器來實現數據包轉發
提示:以上架構是傳統的方式,通過二層交換機划分不同的vlan,每一個vlan使用一條獨占的物理鏈路連接至路由器;
實驗:如下拓撲,實現主機A,主機B互通
SW1的配置
sys sys SW1 vlan batch 10 20 int eth0/0/1 port link-type access port default vlan 10 int eth0/0/2 port link-type access port default vlan 20 int eth0/0/3 port link-type access port default vlan 10 int eth0/0/4 port link-type access port default vlan 20
驗證:查看sw1的vlan信息
驗證:查看sw1的接口vlan信息
R1的配置
sys sys R1 int g0/0/1 ip add 192.168.10.254 24 int g0/0/0 ip add 192.168.20.254 24
驗證:查看R1的路由,看看是否有直連路由生成
pc1的配置
pc2的配置
驗證:用pc1 ping pc2 看看是否能夠互通?
提示:可以看到pc1能夠正常ping通pc2;這樣就實現了vlan10 里的主機和vlan20里的主機通訊;這種傳統的方式有一個缺點就是占用路由器的接口;我們知道路由的接口對於我們來說是相當寶貴的,如果我們有100個vlan,這種方式很顯然就不能實現;於是為了解決占用路由器接口的問題,單臂路由就由此產生;
單臂路由
什么是單臂路由呢?單臂路由從字面我們可以理解交換機連接路由器就只有一條鏈路,路由器通過子接口的方式配置不同的ip地址信息,並將對應的子接口划分到不同的vlan里,從而實現一條鏈路上允許多個子接口的流量通過,從而減少占用路由器的端口問題;
提示:我們可以將二層交換鏈接路由器的接口設置為trunk,允許對應的vlan通過;而對於路由來說,我們可以將不同的子接口划分到不同的vlan里,從而實現二層交換機trunk發送的數據,到對應子接口可以解除vlan標簽,從而實現路由器能夠識別對應的數據包,從而根據路由信息來轉發數據;
實驗:如下拓撲,實現主機A,主機B互通
sw1的配置
sys sys sw1 vlan batch 10 20 int eth0/0/1 p l a p d v 10 int eth0/0/2 p l a p d v 20 int g0/0/1 p l t p t a v 10 20
驗證:查看sw1的vlan信息
驗證:查看sw1的接口vlan信息
R1的配置
sys sys R1 int g0/0/0.10 dot1q termination vid 10 ip add 192.168.10.254 24 arp broadcast enable int g0/0/0.20 dot1q termination vid 20 ip add 192.168.20.254 24 arp broadcast enable
驗證:查看R1的子接口是否都起來了?
提示:在路由器上新建子接口,其作用就是用來將對應的vlan標簽解除/打上vlan標簽,從而實現能夠和二層交換機的trunk接口正常通訊;所以我們必須要先改子接口vlan封裝,然后在配置ip地址和開啟arp 廣播,如果不配置vlan封裝,只是在子接口配置上ip地址,對應子接口是無法正常up的;
驗證:用pc1 ping pc2看看是否可以ping通?
提示:可以看到pc1能夠正常ping通pc2;
驗證:我們在R1的g0/0/0接口抓包看看,看看對應vlan標簽的變化
提示:可以看到在R1的g0/0/0接口上能夠抓到很多icmp的包,其原因是,pc1pingpc2的icmp請求包和回復包都會走g0/0/0接口;從上面的截圖可以看到當pc1發送icmp請求包時,首先R1會收到一個帶有vlan 10 標簽的數據包,然后經過R1的子接口處理以后,對應數據包的vlan標簽又會變為20(原因是通過R1的路由以后,發現去往192.168.20.2網絡的數據包,會從g0/0/0接口發送出去,所以R1的g0/0/0.20這個子接口收到g0/0/0.10子接口的數據是沒有標簽的,經過g0/0/0.20子接口處理以后,對應數據包會被打上vlan20的標簽);對應pc2回包也是一樣,路由器會先收到一個vlan20的標簽數據包,經過對應子接口處理以后,再從另一個子接口發送出來,會被打上vlan10的標簽;
通過上述的實驗,可以看到我們使用一條物理鏈路就可以實現多個vlan間的主機通訊,同時也沒有浪費路由器的接口,感覺完美的解決了不同vlan間通訊的問題;這種單臂路由的架構看起來好像很完美,但也有不足;上面是一個簡單的模擬,在現實生活中,路由器往往作為一個企業的出口設備,下面有很多交換機,如果單純的vlan間通訊,所有的數據包都要走路由器過,很顯然這樣組網方式不妥;那還有什么方式實現不同vlan間通訊嗎?有的,三層交換機,完美解決上述問題;
什么是三層交換機呢?所謂三層交換機就是指支持三層功能的交換機,簡單講就是支持路由的交換機,它既有二層功能,也有三層功能;
提示:三層交換機通過vlanif虛擬接口配置對應的ip地址信息就能實現不同vlan間路由;這里要注意一點,vlanif后面的編號就是對應vlan的編號;
實驗:如下拓撲,實現主機A,主機B互通
sw1的配置
sys sys sw1 vlan batch 10 20 int g0/0/1 p l a p d v 10 int g0/0/2 p l a p d v 20 int vlanif 10 ip add 192.168.10.254 24 int vlanif 20 ip add 192.168.20.254 24
提示:vlanif是三層交換機的虛擬接口,它可以配置ip地址;其后面的編號就是對應的vlan編號;
驗證:查看sw1的虛擬接口是否都起來了?
提示:vlanif接口的創建前提是對應vlan存在才可正常創建,否則創建不了;
驗證:查看sw1上的路由
提示:可以看到sw1上也有路由表,對應去往不同的網段,出接口都是對應vlan的虛擬接口;
驗證:pc1 ping pc2看看是否可正常ping通?
提示:可以看到pc1能夠ping通pc2;從上面的實驗可以看到,使用三層交換機可以實現不同vlan間的通訊;它既支持三層路由的功能,也支持二層交換的功能;同時也解決了單臂路由的問題(所有流量都要走路由器過),現網中比較推薦使用三層交換機實現vlan間路由;