虛拟區域網路(Virtual Local Area Network,VLAN)是指在一個實體網段内進行邏輯的劃分,劃分成若幹個虛拟區域網路。劃分虛拟區域網路後,相同 VLAN 内的主機可以互相直接通路,不同 VLAN 間的主機之間互相通路必須經由路由裝置進行轉發。廣播資料包隻可以在本 VLAN 内進行傳播,不能傳輸到其他 VLAN 中。
如果 VLAN 間需要通信,則需要通過三層交換機或路由器實作其路由功能。其主要目的是使在同一 VLAN 裡的計算機系統能跨交換機進行互相通信,而在不同 VLAN 裡的計算機系統也能進行互相通信。
VLAN 能有效分割區域網路,實作各網絡區域之間的通路控制。現實中,往往需要配置某些 VLAN 之間的互聯互通。比如,某公司劃分為上司層、銷售部、财務部、人力資源部,科技部、審計部,為不同的部門配置不同的 VLAN,使部門之間不能互相通路,可有效保證各部門的資訊安全。但是,上司層需要跨越 VLAN 通路其他各部門,這個功能就由單臂路由來實作。
單臂路由(router-on-a-stick)是指在路由器的一個接口上通過配置子接口(或“邏輯接口”,并不存在真正的實體接口)的方式,實作原來互相隔離的不同 VLAN 之間的互聯互通。通過單臂路由的學習,能夠深入了解 VLAN(虛拟區域網路)的劃分,封裝和通信原理,了解路由器子接口、ISL 協定和 802.1Q 協定。
1. 通過三層交換機實作VLAN間通信
拓撲圖如下:
圖1. 1 三層交換機拓撲圖
(1)在二層交換機上建立VLAN10、VLAN20;
詳細指令:
Switch>en
Switch# conft
Switch(config)# hostname YWJ1 /修改交換機名
YWJ1 (config-if)#vlan 10 /建立 vlan 10
YWJi(config-if)#vlan 20 /建立 vian 20
YWJ1(config)#int fastethernet0/1
YWJ1 (config-if)#switchport mode access
YWJ1 (config-if)# switchport access vlan 10
//把交換機 f0/1 接口劃分到 VLAN10
YWJ1 (config-if)#int fastethernet1/1
YWJ1 (config-if)# switchport mode access
YWJ1 (config-if)# switchport access vlan 20
//把交換機 fastethernet0/2 接口劃分到 VIAN20
劃分結果如圖:
圖1. 2 show vlan指令結果
YWJ1 (config)#int fastethernet2/1
YWJ1(config-if)#switchport mode trunk //把接口作為中繼
第二個二層交換機與第一個類同照葫蘆畫瓢進行配置即可。目地可以實作:相同的 VLAN通信,不同的 VLAN 不通信。
(2)開啟三層交換機的路由功能,實作不同的 VLAN 也能通信。
二層交換機 VLAN配置位址,稱為遠端管理 IP。一個二層交換機隻能有一個處于up狀态的 VLAN管理 IP。三層交換機 VLAN 配置位址,稱為三層 SVI虛拟接口位址,用于不同 VLAN 之間的互相通路,可實作路由功能。
方法:三層交換機啟用 SVI 虛拟接口,配置 IP 位址,作為 VLAN 内 PC的網關位址,實作 VLAN 互訪,這是啟用三層交換機的路由功能。三層交換機配置的主要指令如下:
Switch(config)#hostname YWJ3
//修改三層交換機名
YWJ2 (config-if)#vlan 10 //建立 VLAN10
YWJ2 (config-if)#vlan 20 //建立 VLAN20
YWJ2 (config-if)#exit
YWJ3 (config)#int fastethernet3/1
YWJ3 (config-if)#switchport mode trunk
//一般情況下,三層交換機的端口已自動配置為“trunk”模式,不需要再次開啟YWJ3(config-if)# switchport trunk encapsulation dot1g
//一般情況下,此指令可不執行,因為預設為 dotlq封裝
YWJ3(config)#ip routing //啟用三層交換機的路由功能
YWJ3(config)#int vlan 2
YWJ3 (config-if)#ip address 192.168.10.254 255.255.255.0
//設定 VLAN10 虛拟接口(網關)位址
YWJ3 (config-if)#no shutdown //啟用 SVI虛拟接口
YWJ3(config-if)#exit
YWJ3 (config)# int vlan 20
YWJ3 (config-if)#ip address 192.168.20.254 255.255.255.0//設定 VIAN320虛拟接口(網關)位址
YWJ3 (config-if)#no shutdown “啟用 SVI 虛拟接口
YWJ3 (config-if)#exit
(3)測試實驗結果。
所有 PC都能通信,即不同的 VLAN 能互相通信。實驗測試結果如圖 1.3所示。
圖1. 3 測試結果
2. 利用單臂路由實作VLAN間通信
(1)配置各PC機的IP位址、網關和子網路遮罩,如拓撲圖所示;
圖1. 4 單臂路由器拓撲圖
(2)配置路由器的以太網接口的IP位址和子網路遮罩,如圖7;
圖1.5 配置路由器
(3)配置交換機,如圖1.6;
圖1.6 配置交換機
(4)測試驗證,如圖1.7。
圖1. 7 測試驗證連通性
配置成功!