在企業網中利用單臂路由實作VLAN間通信
一、基礎知識:
1)VLAN的類型:
1、本地vlan:同一個vlan的成員都在一台交換機上;
2、端到端vlan:同一個vlan的成員分散到不同的交換機上;
2)VLAN的優點:
1、控制網絡的廣播風暴
采用VLAN技術,可将某個交換端口劃到某個VLAN中,而一個VLAN的廣播風暴不會影響其它VLAN的性能。
2、確定網絡安全
共享式區域網路之是以很難保證網絡的安全性,是因為隻要使用者插入一個活動端口,就能通路網絡。而VLAN能限制個别使用者的通路,控制廣播組的大小和位置,甚至能鎖定某台裝置的MAC位址,是以VLAN能確定網絡的安全性。
3、簡化網絡管理
網絡管理者能借助于VLAN技術輕松管理整個網絡。例如需要為完成某個項目建立一個工作組網絡,其成員可能遍及全國或全世界,此時,網絡管理者隻需設定幾條指令,就能在幾分鐘内建立該項目的VLAN網絡,其成員使用VLAN網絡,就像在本地使用區域網路一樣。
4、成本降低
成本高昂的網絡更新需求減少,現有帶寬和上行鍊路的使用率更高,是以可節約成本。
5、性能提高
将第二層平面網絡劃分為多個邏輯工作組(廣播域)可以減少網絡上不必要的流量并提高性能。
3)端口類型:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102209Oyeh.png"></a>
4)各種端口的封包接受和發送過程:
a、ACCESS端口模式圖解
1.端口接收到封包處理方式
<a href="http://blog.51cto.com/attachment/201208/215103538.png" target="_blank"></a>
2.端口發送封包處理方式
<a href="http://blog.51cto.com/attachment/201208/215202719.png" target="_blank"></a>
b、TRUNK端口模式圖解
<a href="http://blog.51cto.com/attachment/201208/215219394.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201208/215234356.png" target="_blank"></a>
c、HYBRID端口模式圖解
<a href="http://blog.51cto.com/attachment/201208/215248516.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201208/215259540.png" target="_blank"></a>
二、案例 - 1:
1、實驗說明:
假設某企業有兩個主要部門:技術部和市場部,用工都連接配接在一台二層交換機上,網絡中有一台路由器用于連接配接Internet。現發現網絡内廣播流量太多,還有從安全性方面考慮,為了實作隔離廣播和網絡的安全性,現劃分的vlan,分為技術部vlan、市場部vlan、和伺服器vlan,還有一個普通vlan,要求普通vlan、技術部vlan和市場部vlan隻能與伺服器vlan互相通信,其他vlan間不能通信。
2、實驗原理:
在交換網絡中,通過VLAN技術對一個區域網路進行邏輯劃分,不同的VLAN之間是無法直接通信的,必須通過三層及更高的的裝置進行連接配接;
将路由器和交換機相連,使用IEEE802.1q來啟動路由器上的以太網子接口成為幹道模式,就可以利用路由器來實作VLAN間通信;
為了實作控制VLAN間通信,我們在路由器上可以添加通路控制清單來進行控制;
3、實驗拓撲:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102315iR1I.png"></a>
4、實驗環境:
華為交換機1台(S2000系列)
華為路由器1台(R2621系列)
PC機4台
5、實驗要求:
PC 1與Server互通;
PC 2與Server互通;
PC 3與Server互通;
PC 1、PC 2和PC 3之間互不相同;
6、實驗步驟:
1)配置交換機:
a、建立vlan 10:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102452OWDj.png"></a>
b、建立vlan 20:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_13451024536xUk.png"></a>
c、建立vlan 30:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102458oqKK.png"></a>
d、将一個端口設定成trunk端口,用以實作vlan間通信:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_13451024735kEM.png"></a>
2)配置路由器:
a、配置擴充通路控制清單:使用擴充通路控制清單
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102564eeAo.png"></a>
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102586W0Fg.png"></a>
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102615LDf8.png"></a>
b、配置接口:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102643ocZ3.png"></a>
c、配置以太網子接口,并在接口上應用擴充ACL:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102681Blb6.png"></a>
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102698fBKR.png"></a>
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_13451027221UT5.png"></a>
7、驗證測試:
1)從PC 1 ping Server主機:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102731fBhA.png"></a>
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102745awh0.png"></a>
2)從PC 2 ping Server主機:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102753C8kI.png"></a>
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_13451027551J5j.png"></a>
3)從PC 3 ping Server主機:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102763KQbL.png"></a>
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102769aTTC.png"></a>
4)從PC 1 ping PC 2:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_1345102793r0Z1.png"></a>
5)從PC 2 ping PC 3:
<a href="http://cexpert.blog.51cto.com/attachment/201208/16/5251990_134510280236rE.png"></a>
8、實驗小結:
要想vlan1與其他vlan通信,不可以使用以太網子接口作為vlan1的網關,因為vlan1通過trunk時是不打标簽的,是以在通過以太網子接口時,是無法通過的。
應該直接在路由器上的以太網接口上配置一個位址,此位址則為vlan 1的網關位址;進而實作vlan 1與其他vlan間的通信;
本文轉自 cexpert 51CTO部落格,原文連結:http://blog.51cto.com/cexpert/964960
![#交換機可以代替路由器嗎?#雖然交換機和路由器在網絡中都起着重要的作用,但它們具有不同的功能和用途,是以不能完全互相替代[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)