區域網路交換技術
本文主要對交換技術進行講解,包括交換網絡的基礎,VLAN、幹道、VTP、ISL、802.1q、STP技術和VLAN間的路由等。
1. 交換基礎
園區交換技術包括了解交換網絡的模型、交換網絡的媒體、交換機接口的雙工模式與協商過程、交換網絡的流量規劃原則、堆疊交換機與正常交換機的差別等。
1.1 交換網絡的模型
接入層:将終端使用者(桌面計算機)連接配接到網絡,是以接入層交換機具有低成本和高密集端口數量的特性。一般建議在及接入層完成具體的VLAN劃分、接入安全的控制與接入政策的實施。
彙聚層:彙聚層是多台接入交換機進行彙總,它能夠處理來自接入層的所有通信量,并提供到核心層的上行鍊路,是以彙聚層交換機與接入層交換機比較,需要更高的性能和交換速率,但不需要如接入層那樣高密集的端口數量。一般建議在彙聚層完成VLAN間的路由、QOS政策、不同VLAN間的資料過濾、路由彙總、備援等。
核心層:将交換網絡的主幹部分稱為核心層,核心層的主要目的是高速轉發通信資料流量、網絡性能優化、通過備援來實作可靠的骨幹傳輸結構,是以核心層交換機應該擁有整個交換網絡模型中最高的可靠性、最大的吞吐量、最快的傳輸速度。一般建議在核心層交換機上不作任何安全政策及其他資料過濾行為,因為這将消耗核心層交換裝置的CPU,違背了核心層高速轉發資料的原則。
1.2 交換網絡的連接配接媒體
快速以太網連接配接媒體标準
| 标準 | 分類 | 支援的最大距離 |
| 100Base-TX | EIA/TIA類型5(UTP) | 100米 |
| 100Base-T4 | EIA/TIA類型3(UTP) | 100米 |
| 100Base-FX | 多模光纖(MMF) | 400米或2000米 |
100Base-TX:基帶标準為100MB,使用的是兩對阻抗為100歐姆的5類非屏蔽雙絞線,最大傳輸距離是100米,一對用于發送資料,一對用于傳輸資料,隻支援RJ-45标準。
100Base-T4:基帶标準為100MB,使用的是4對3類非屏蔽雙絞線,最大傳輸距離是100米,三對用于傳輸資料,一對用于沖突檢測和信号控制的發送接收。
100Base-FX:基帶标準為100MB,F表示光纖,屬于802.3u标準。适用于骨幹和長距離傳輸。使用兩對光纖,一對用于發送資料,一對用于傳輸資料。如果工作在半雙工模式下,支援400米傳輸距離,如果工作在全雙工模式下,支援2000米傳輸距離。
吉比特以太網連接配接媒體标準
| 标準 | 分類 | 支援的最大距離 |
| 1000Base-T | 銅質EIA/TIA類型5(UTP),使用4對線完成傳輸 | 100米 |
| 1000Base-SX | 多模光纖,分為62.5微米和50微米光纖芯 | 260米(62.5微米)或550米(50微米) |
| 1000Base-FX | 多模光纖(MMF),波長為780納米的雷射 | 400米或2000米 |
| 1000Base-LX | 單模/多模光纖,如果是單模光纖,9微米光纖芯,波長為1300納米的雷射 | 3千米或10千米 |
| 1000Base-ZX | 單模光纖,9微米光纖芯,波長為1550納米的雷射 | 70-100千米 |
| 1000Base-CX | 銅質屏蔽雙絞線 | 25米 |
收發器:将短距離的雙絞線電信号和長距離的光信号進行互相轉換的以太網傳輸轉換裝置。
1.3 交換機接口的雙工模式與協商過程
單工:單工通信即單向通信,發送端隻能發送資料,接收端隻能接收資料。在任意時刻都是單向通信,比如,遙控、閉路電視等都是單工通信。
半雙工:資料可以在一個信号載體的兩個方向上傳輸,也就是說既可以發送資料也可以接收資料,但是不能在同一時刻既接收資料,又發送資料。如,集線器。
全雙工:資料可以在一個信号載體的兩個方向上同時傳輸,也就是說同一時刻,可以既接收資料,又發送資料。如果一鍊路是100MB,可以獲得200MBD 傳輸速率。
思科交換機配置中,duplex是設定雙工模式的指令。Auto表示自動協商雙工模式,full表示手動方式強制配置為全雙工模式,half表示手動強制配置到半雙工模式。
關于自動協商雙工模式的注意事項
吉比特網雙工模式的自動協商很穩定,但快速以太網雙工模式自動協商問題比較多,手動配置的100MB全雙工或半雙工接口不能與配置自動協商的接口更好的協商工作,隻有鍊路兩端多配置為自動協商時,才能更好的工作。否則鍊路上的自動協商端将采用半雙工模式。雙工不比對,并不代表鍊路無建立,隻是此時鍊路效率低,性能差,還可能出現第二層資料幀的錯誤。
關于快速以太網自動協商雙工模式的狀态表
| 網卡 | 交換機端口 | 最終鍊路雙工模式 | 注意事項 |
| 自動 | 自動 | 100MB全雙工 | 最佳建議 |
| 手工100MB全雙工 | 自動 | 100MB半雙工 | 雙工不比對 |
| 自動 | 手工100MB全雙工 | 100MB半雙工 | 雙工不比對 |
| 手工100MB全雙工 | 手工100MB全雙工 | 100MB全雙工 | 正确的手工設定 |
| 手工100MB半雙工 | 手工100MB半雙工 | 100MB半雙工 | 正确的手工設定 |
| 手工100MB半雙工 | 自動 | 100MB半雙工 | 雙工不比對 |
| 手工10MB半雙工 | 自動 | 10MB半雙工 | 适應低速模式 |
| 手工10MB半雙工 | 手工100MB半雙工 | 無法建立鍊路 | 速度不比對 |
| 自動 | 手工10MB半雙工 | 10MB半雙工 | 适應低速模式 |
直通線和交叉線使用方法
不同類型裝置的發送端對于接收端,用直通線。(計算機—集線器、計算機—交換機、交換機—路由器、交換機—防火牆)
同類型的裝置發送端對應接收端,接收端對應發送端,用交叉線。(計算機—計算機、集線器—集線器、交換機—交換機、路由器—路由器、防火牆—防火牆、計算機—路由器)
反轉線一般不用,隻是當計算機超級終端配置交換機和路由器時使用。
1.4 堆疊交換機和正常交換機
正常交換機:固定接口數量的交換機和子產品化的交換機屬于正常交換機系列,應用廣泛。
堆疊交換機:通過專用線纜把多台交換機連接配接起來,師兄單台交換機端口數的擴充,提供更高的吞吐量,在網絡管理是,這些堆疊的多台交換機被看作一個統一的網絡管理元件,實體上的多台交換機,在邏輯上看成一台交換機。采用級聯,每一個交換機上都用一張MAC表,但交換機可以比較分散。而堆疊方式的交換機隻有一張MAC表,管理的時候隻需要配置設定一個IP位址,但交換機比較集中。
2. 虛拟區域網路
虛拟區域網路(virtual local area network)技術主要是為了解決二層交換機在進行區域網路互聯時,無法限制廣播的問題,同時,打破地理位置對區域網路規劃的限制,從某種程度上講,提高了網絡性能、加強了安全性。
既然交換機可以劃分邏輯上的VLAN,那麼有兩個問題:通過交換機連接配接的不通VLAN是如何将資料從源主機發到目标主機的?不同VLAN間是互相隔離的,沒有三層交換技術,兩個交換機是怎麼交換資料的?
2.1 VLAN幹道
幹道(trunk)是用來連接配接兩台不同交換機的中間線路的,以保證在跨越多個交換機上的同一個VLAN的成員之間能互相通信,其中兩台交換機之間互聯的端口就稱為trunk端口。Trunk端口不屬于任何VLAN,但是能承載所有VLAN的通信流量。
Question:VLAN2的192.168.2.1如何将資料發給192.168.2.2
①Switch A上的主機A 192.168.2.1要給Switch B上的主機B 192.168.2.2發送資料,在主機A上産生一個正常的以太網幀,然後将這個正常的以太網幀發送給交換機Switch A。
②Switch A将這個正常的以太網的幀打上一個屬于VLAN2的标記tag。
③Switch A将打上tag的資料幀通過trunk傳遞到SwitchB。
④Switch B能成功讀出幀中的VLAN tag是2。
⑤Switch B 讀出VLAN的标記幀是屬于VLAN2的,将資料幀發送給VLAN2。
2.2 VTP幹道協定
VTP(VLAN trunking protocol)通過網絡保持VLAN配置的一緻性VTP協定負責增加、删除、調整VLAN,自動将資訊向網絡中其他交換機廣播。如果有多台交換機,每台上有10個VLAN,那麼前面講的方式得在每台交換機上配置10個VLAN,但現在通過VTP協定,隻需要配置一台,即配置一台交換機,其餘的交換機不用手動配置,直接通過VTP協定進行自動配置。
VTP伺服器模式:被配置的VTP server模式的交換機向鄰居交換機廣播VLAN資料庫資訊,該消息通過trunk鍊路傳輸,鄰近的交換機會學習到相應的VLAN資料庫資訊。VTP的server模式下可以任意地添加、删除和修改VLAN的資訊。
VTP客戶模式:當交換機配置陳VTP client模式後,它會向下遊傳遞自己的配置資訊,用戶端會從VTP服務模式的VTP資訊中學習新的VLAN資訊,并存放到自己的本地資料庫。客戶模式下,本地交換機可以增加、修改和删除VLAN資訊,但不能向下遊交換機傳遞自己配置資訊。
VTP透明模式:在VTP的透明模式下,交換機不會從VTP資訊中學習VLAN的相關資訊,也就是說,它不會把從VTP伺服器學到的VLAN配置資訊儲存到本地,隻将學習到的配置資訊傳遞給鄰居交換機。
VTP的裁剪模式(VTP Pruning)
VTP Pruning是VTP的一個附屬功能,目标在于剪裁幹道trunk上不必要的資訊流量。
2.3 802.1q和ISL
802.1q一種内部插入式的VLAN标準。下面是802.1q的資料幀。
目标位址:資料鍊路層的目标MAC位址。
源位址:資料鍊路層的源MAC位址。
Tag屬性ID:訓示标記屬性标示符,0x8100表示傳輸的是一個802.1q的标記。
使用者優先級:資料幀的優先級,網絡發送擁塞時,訓示資料幀被轉發的緊急程度,分為8個等級,數值越高,越被優先轉發,預設情況是0。
規範格式訓示器:訓示MAC位址是否使用規範形式。規範(0),不規範(1)。
VLAN ID:訓示資料幀屬于具體哪個VLAN,802.1q支援4096個vlan。
類型/長度:原資料幀類型和長度,指被802.1q标記之前的原始以太網資料幀類型,如果是基于IP的資料幀封裝,該字段的值是0x0800。
資料:封裝在資料幀裡面的上層資料。
幀校驗:資料幀的校驗值。
ISL(Inter switchlink):思科專用封裝方式,作用是連接配接多個交換機,當資料幀在交換機之間的幹道傳輸時,ISL負責标記vlan資訊。在以太網資料幀前封裝一個長度26位元組的ISL頭部。
目的位址:一個多點傳播MAC位址,向接收該資料段的交換機表示,這是一個ISL封裝的幀。
類型:訓示資料幀的類型,0000(以太網資料幀)、0001(令牌環資料幀)、0010(FDDI資料幀)、0011(ATM資料幀)。
使用者:通常為0,在特殊情況下用于令牌環網發傳送。
源位址:發送ISL資料幀的源交換機的MAC位址。
長度:僅包括了ISL頭部和使用者資料的總長度。
SNAP:固定值0XAA-AA-03。
HAS:源位址中MAC廠商ID部分,思科MAC的廠商ID是0x00-00-0c。
Vlan ID:ISL隻支援1024個vlan。
BPDU:資料幀封裝在STP,ISL,VTP,CDP等消息,值為1。
Index:标記資料幀來源于交換機的哪個端口。
CRC:從ISL的目的位址使用者資料結束的整個資料幀的CRC值,不會代替原來資料幀的CRC值,相當于雙重校驗。
802.1q和ISL的差別
資料幀長度差別:正常以太網幀大小為1518位元組,802.1q資料幀長度是1522位元組。ISL資料幀長度是1548位元組。
标記效率差別:802.1q從内部插入字段,更簡潔。ISL在外部怎講一個vlan标記,額外增加了26位元組開銷。
Vlan數量的差別:802.1q支援4096個vlan,ISL支援1024個vlan的标記。
本地vlan(native vlan)
如果幹道封裝的是ISL協定,那麼任何vlan都會被打上tag标記,沒有tag标記的資料幀将被丢棄。但是對于802.1q協定,vlan 1将不被标記,稱為本地vlan,是以在傳輸資料時,沒有被标記的資料幀被802.1q的本地vlan所傳輸,這樣為不支援标記vlan的技術提供了相容性。注意:要求802.1q幹道連接配接的兩台交換機都使用相同的本地vlan,預設為1,如果沒有相同的本地vlan,可能導緻資料鍊路層的環路,發送vlan配置錯誤資訊。
2.4 靜态vlan和動态vlan
靜态vlan:通過将交換機的某個端口通過手工的方式靜态的指派到一個具體的vlan中,需要在交換機的接口模式下,使用指令進行配置,被規劃到某個具體vlan的交換機接口,将永久的屬于某個具體的vlan,除非改變配置。通常建議使用靜态vlan。
動态vlan:主機移動性大,移動頻繁,建議使用動态vlan。動态vlan就是交換機的某個接口不與某個具體的vlan成永久性對應關系,随着主機的移動,交換機接口所屬的vlan關系将發生變化。動态vlan是基于MAC位址的,VMPS可以記錄MAC位址與vlan的對應關系。
3. 生成樹技術(STP)
網橋與二層交換機因為不能隔離廣播,是以不能形成環路。如果形成環路,會引起廣播廣播風暴與位址學習錯誤。但是在現實網絡中,為了保證正常的業務,會将二層交換機成環,以提供備援。
形成環路後形成位址學習錯誤,STP技術就是形成環路後防止廣播與位址學習錯誤的一種機制。将S3的端口Fa0/2阻塞,交換機S3的是以正常業務都通過端口Fa0/1轉發,就沒有環路。當Fa0/1出現故障後,S3在短期内将Fa0/2端口從邏輯的阻塞狀态轉變為轉發狀态,激活備援鍊路,讓故障在短時間内恢複,這也是STP的關鍵技術。
3.1 STP工作原理
在成環鍊路上如何确定阻塞哪一個端口,通過STP的下面步驟進行了。
①确定環路中的根網橋
STP生成樹協定的第一步就是根據交換機的BID(網橋标示符)确定環路中的根橋。BID由優先級+網橋的MAC位址組成。預設情況下網橋優先級是相同的,關鍵是MAC位址的大小決定根橋,最小的BID為根橋,根橋上所有端口将被設定為轉發狀态。BID通過交換機之間的BPDU(橋接協定封包單元)進行發送。
②确定根端口
确定了根橋就需要确定根端口,根端口不在根橋上。根端口處于非根橋交換機上,指的是到根橋的最小開銷路徑。
③确定指派端口和阻塞端口
指派端口将被設定為轉發端口,通常根橋上的所有端口可以了解為指派端口,将是轉發狀态。現在需要通過BPDU消息确定指派端口和阻塞端口,S2和S3發送的BPDU消息中,誰有更小的BID,誰就被設定為指派端口。因為S2具有更小的BID,是以它的fa0/2端口是指派端口,S3的fa0/1為阻塞端口,該端口不能轉發任何BPDU消息。
BPDU封包
BPDU(bridge protocol data unit)網橋協定資料單元,是生成樹協定問候資料包,它包括了生成樹選舉所需要的重要資訊,如,BID,路徑開銷,端口開銷等。它以時間間隔周期發出,用來在網橋之間進行資訊交換。
屬性ID:訓示生成樹協定,通常為0。
版本:訓示STP協定版本,通常為0。
消息類型:訓示BPDU的配置消息。
标記:TC表示拓撲改變,TCA表示拓撲改變确定消息。如果是這兩種情況,該字段為1,否則為0,表示是一個周期性的BPDU。
根ID:根交換機的BID。
路徑開銷:訓示該交換機到根橋的路徑開銷,0表示自己就是根橋。
橋接ID:訓示該交換機的BID。
消息生存期:執行該BPDU消息已經存在的時間。
最大生存期:執行該BPDU消息的最大生存時間。
Hello時間:訓示發送BPDU消息的時間間隔。
轉發延時:資料幀的轉發延遲時間。
生成樹收斂過程中的端口狀态
禁用(down):交換機沒有連接配接網線或者端口沒有通過no shut down指令激活。
阻塞(blocking):當端口被連接配接網線或者激活後,首先進入的一個狀态是阻塞狀态,該狀态能接收BPDU封包,觀察網絡拓撲的變換,但是不能轉發BPDU封包和正常的通信資料。阻塞狀态大概維持20秒。
偵聽(listening):此狀态大概維持15秒,交換機除了可以接收BPDU,還可以發送BPDU封包,并舉與生成樹的計算,但是在偵聽過程中,交換機不能正常通信資料。
學習(learning):交換機開始學習MAC位址,大概經曆15秒鐘,此狀态下,交換機不能發送正常的通信資料。
轉發(forwarding):轉發正常通信資料。
| 狀态 | 是否接收BPDU | 是否發送BPDU | 是否學習MAC | 是否轉發資料 |
| Down | 否 | 否 | 否 | 否 |
| Blocking | 是 | 否 | 否 | 否 |
| Listening | 是 | 是 | 否 | 否 |
| Learning | 是 | 是 | 是 | 否 |
| Forwarding | 是 | 是 | 是 | 是 |
3.2 CST、PVST、PVST+
随着網絡的發展,生成樹也從傳統的802.1D轉變為多種生成樹類型,分為CST、PVST、PVST+、RSTP和MST。
CST(common spanning tree):公共生成樹,也叫通用生成樹,CST在生成樹計算和收斂過程中,不考慮網絡中VLAN的存在,隻在網絡中生成和維護一個單獨的生成樹程序,換言之,網絡中所有的交換機處于同一個生成樹執行個體中(一個程序)。特點是CPU開銷低,隻需要一個生成樹執行個體,缺點是可能造成某些VLAN的環路,收斂的延時較大。
PVST(per-vlan spanning tree):思科專用的生成樹解決方案,針對每個VLAN運作一個生成樹執行個體,也就是說每一個vlan獨立使用一個生成樹執行個體,針對不同的vlan控制不同的生成樹特性。PVST要求幹道封裝的是ISL協定,和其他協定存在相容性問題。特點是為每一個vlan運作一個生成樹執行個體,讓不同vlan選擇不同的交換機成為根橋,加速了交換機網絡中生成樹的收斂速度,減小了傳統生成樹的執行個體,提供了更快的回複時間,但為每一個維護生成樹執行個體消耗更多的CPU資源。
PVST(per-vlan spanning tree):增強的PVST生成樹,繼承了PVST的是以優點,為每一個vlan運作一個獨立的生成樹,但運作CST資訊傳遞給PVST,解決相容性問題。幹道上封裝802.1q協定。
MST(multiple spanning tree):多生成樹,是有802.1w的RSTP擴充而來的,內建了CST和PVST+的優勢,內建了快速收斂和低CPU開銷的特點,MST将多個vlan映射到一個生成樹執行個體,但是又不是将所有vlan運作在一個生成樹中,這樣同時可以達到加速收斂和降低交換機CPU開銷。
3.3 RSTP
RSTP(rapid spanning tree protocol)快速生成樹協定,被802.1w所定義,在不改變傳統生成樹算法的選舉與計算原則的條件下,能重新快速的計算生成樹,而且可以相容傳統的生成樹802.1d。RSTP雖然可以相容傳統802.d的生成樹,但失去了快速收斂性。如果端口在兩個連續hello時間内,所收到的BPDU都不能與RSTP的工作模式相對應,那麼運作RSTP的交換機将退回到傳統的生成樹模式中工作。在RSTP中,隻有丢棄(discarding)、學習(learning)和轉發(forwarding)三種狀态端口。RSTP保留了傳統生成樹中的根端口、指定端口和阻塞端口,同時引入了替代端口和備份端口。
替代端口:訓示在某台交換機上,阻塞從其他網橋接收根BPDU的端口。如果某台交換機的根端口發送故障,替代端口立即成為根端口。
備份端口:阻塞端口所在交換機的共享網段的指定端口接收關于根橋的BPDU,如果指定端口發生故障,備份端口将成為指定端口。
快速過渡到轉發狀态,是RSTP比傳統生成樹快的關鍵特性,傳統生成樹收斂過程中,相關的端口狀态隻能是被動的等待網絡收斂時間,RSTP可以主動的确認,是否可以安全的過渡到轉發狀态,放棄對定時器的依賴,為此,RSTP定義了邊緣端口和鍊路類型的功能。
邊緣端口:指直連到桌面工作站的交換機端口,這種類型的端口,正常情況下不會在網絡中産生橋接環路,是以邊緣端口可以直接快速的過渡到轉發狀态,跳過監聽和學習狀态,這樣直接加速了收斂過程。當該端口的鍊路發生改變,邊緣端口不會産生拓撲變更消息,但是一旦邊緣端口接收到BPDU消息(有新網橋接入),那麼該端口将立即放棄邊緣端口的角色,退回到正常生成樹端口。
鍊路類型:RSTP的指定端口能夠在交換機的邊緣端口和(全雙工)點對點(P2P)類型的鍊路上快速的過渡到轉發狀态,是以識别鍊路類型對于RSTP的快速收斂是相當重要的。
傳統802.1d的生成樹在拓撲變化與收斂過程中需要長時間的延遲,特别是對于“劣質BPDU”的處理,RSTP解決了這一問題。
劣質BPDU:當收到一個辨別自己既是根交換機又是指定交換機的BPDU就是所謂的劣質BPDU。當收到劣質BPDU,說明交換機的非直連鍊路上出現故障。
對于S3而言,故障産生在非直連鍊路上,交換機S2就将丢失與根橋的連接配接,然後發送BPDU給交換機S3,說明自己是根橋,這個就是劣質BPDU,但是S3知道自己與S1連接配接是良好的,在最大生存時間到期前,它對這個消息不進行處理,這樣就浪費了20秒時間延時。是以IEEE的802.1w組織決定,在RSTP中內建了一個backbonefast機制,當它的端口收到一個劣質BPDU消息,就立即接受它,并代替目前的BPDU存儲,不需要等待20秒延時,這樣就加快了RSTP的收斂速度。
RSTP對拓撲的檢測速度比傳統的802.1d快
802.1d傳統生成樹中,一個非根橋的交換機隻能在其根端口上收到BPDU時,才能生成BPDU,事實上,環路中的各個網橋更像是去轉發BPDU,而不是生成BPDU,環路中的原始BPDU是由根橋生成的。而在RSTP中,即便目前網橋沒有從網橋收到BPDU,它也能每隔2秒(一個BPDU的hello周期),将目前的BPDU資訊發送出去。如果在交換機某個端口上,連續三個hello周期後,沒有收到BPDU的消息封包,就認為自己已經丢失了到直接鄰居的根橋或者指定網橋的連接配接,這種資訊的快速老化,加速了對拓撲的檢測。因為隻有本地交換機從鄰居接收BPDU失敗,就确定鄰居連接配接已經丢失,是以,此時的BPDU封包機制是在網橋之間來維持與檢測活躍關系的作用。
802.1d傳統生成樹中,檢測拓撲變化的過程是,當發生故障時,先用一種可靠的機制通知根網橋,當根網橋知道網絡拓撲發生變化後,将BPDU封包消息中的TC(topologychange)标志置位,然後将置位TC标記的BPDU擴充到網絡的所有交換機上,當網絡上收到了根橋發來的BPDU,将自身MAC表的生存時間減少到轉發延遲時間長度,確定相對較快的重新整理新舊資訊。而RSTP中,當交換機從鄰居收到一個TC被置位的BPDU時,接收該BPDU消息的交換機将清除所有從端口上學習到的MAC位址,然後一步就将TC擴散到整個網絡的交換機上,即省去了先到根網橋的過程,而是直接洪泛。
RSTP的BPDU封包與傳統的802.1d的BPDU封包差別
兩者差別不大,RSTP在BPDU的版本字段是2,然後是對标記字段做了擴充,傳統的802.1d生成樹标記字段隻有兩個取值,一個拓撲變化,一個拓撲變化确認;而RSTP引入7個取值範圍:拓撲變化、建議、轉發、學習、端口角色、協商一緻、拓撲變化确認。
4. VLAN間的路由
通常一個vlan對應一個子網,vlan間的通信,多數是不同子網間的通信,不同子網間的通信就得使用路由。Vlan間的路由分為二層交換機結合外部路由器(一台獨立的路由器)完成或者是通過三層交換機完成vlan間的路由。
4.1 使用外部路由器結構完成vlan的路由
使用外部路由器結構在vlan間路由,通常是由一台傳統路由器與一台僅支援二層功能的交換機所構成,外部路由是一台傳統的路由器,要求該路由器的fa0/1接口具備封裝幹道的功能,然後通過直通線與交換機的幹道相連。在外部路由器的fa0/1實體接口下,劃分兩個子接口(邏輯接口),如fa0/1.1(此接口規劃到vlan2,為預設網關)和 fa0/1.2(此接口規劃到vlan3,為預設網關)。然後vlan2和vlan3的主機将對應的外部路由器的子接口位址作為預設網關。這樣的環境,路由隻有一條實體鍊路連接配接到交換機,是以稱為“單臂路由”。
4.2 使用三層交換機完成vlan間的路由
三層交換機是具備路由功能的交換機,有三種方法完成vlan間路由。
①使用SVI接口完成vlan間路由:SVI是邏輯接口,在SVI上配置三層IP位址完成路由。
②将三層交換機的網絡接口當作路由的預設網關,直接在實體接口上,關閉交換機功能,稱為三層路由接口,然後配置IP位址。
③使用BVI,類似于SVI,不過現在已經不用這種技術了。