原理:
以太网中,通常会使用VLAN技术隔离二层广播域来减少广播的影响,并增强网络的安全性和可管理性。其缺点是同时也严格地隔离了不同VLAN之间的任何二层流量,使分属于不同VLAN的用户不能直接互相通信。在现实中,经常会出现某些用户需要跨越VLAN实现通信的情况,单臂路由技术就是解决VLAN间通信的一种方法。
单臂路由的原理是通过一台路由器, 使VLAN间互通数据通过路由器进行三层转发。如果在路由器上为每个VLAN分配一个单独的路由器物理接口,随着VLAN数量的增加,必然需要更多的接口,而路由器能提供的接口数量比较有限,所以在路由器的一一个物理接口上通过配置子接口(即逻辑接口)的方式来实现以一当多的功能,将是一种非常好的方式。路由器同一物理接口的不同子接口作为不同VLAN的默认网关,当不同VLAN间的用户主机需要通信时,只需将数据包发送给网关,网关处理后再发送至目的主机所在VLAN,从而实现VLAN间通信。由于从拓扑结构图.上.看,在交换机与路由器之间,数据仅通过一条物理链路传输,故被形象地称之为“单臂路由”。
例子:
本实验模拟公司网络场景。路由器R1是公司的出口网关,员工PC通过接入层交换机(如S2和S3)接入公司网络,接入层交换机又通过汇聚交换机S1与路由器R1相连。公司内部网络通过划分不同的VLAN隔离了不同部门之间的二层通信,保证各部门间的信息安全,但是由于业务需要,经理、市场部和人事部之间需要能实现跨VLAN通信,网络管理员决定借助路由器的三层功能,通过配置单臂路由来实现。
拓扑图:
实验编址:
1.创建VLAN并配置Access和Trunk接口
先通过实验编址进行配置,并创建创建VLAN并配置Access和Trunk接口
我这就只给命令代码了,在我博客里有详细教程。(记得有Tap补齐部分)
先在S2,S3配置
再在S1配置,创建VLAN10 VLAN20 VLAN30,并配置交换机和路由器相连的接口为Trunk,允许所以VLAN通过
2.配置路由器子接口和IP地址
由于路由器R1只有一个实际的物理接口与交换机S1相连,可以在路由器配置不同的逻辑子接口来作为不同VLAN的网关,从而达到节省路由器接口的目的。
根据实验编址,进行R1的配置
ping一下
我们配置完了还是ping不同,这是因为
虽然目前已经创建了不同的子接口,并配置了相关IP地址,但是仍然无法通信。这是由于处于不同VLAN下,不同网段的PC间要实现互相通信,数据包必须通过路由器进行中转。由S1发送到R1的数据都加上了VLAN标签,而路由器作为三层设备,默认无法处理带了VLAN标签的数据包。因此需要在路由器上的子接口下配置对应VLAN的封装,使路由器能够识别和处理VLAN标签,包括剥离和封装VLAN标签。
3.配置路由器子接口封装VLAN
接下来,我们配置子接口对一层tag报文的终结功能
再开启子接口的ARP广播功能,不配置的话将导致该接口无法主动发送ARP广播报文,以及发报文
同理配置其他两个口
配置完,我们在R1上看一下接口状态
现在我们再在PC机ping一下
记得save保存