虚拟局域网(Virtual Local Area Network,VLAN)是指在一个物理网段内进行逻辑的划分,划分成若干个虚拟局域网。划分虚拟局域网后,相同 VLAN 内的主机可以互相直接访问,不同 VLAN 间的主机之间互相访问必须经由路由设备进行转发。广播数据包只可以在本 VLAN 内进行传播,不能传输到其他 VLAN 中。
如果 VLAN 间需要通信,则需要通过三层交换机或路由器实现其路由功能。其主要目的是使在同一 VLAN 里的计算机系统能跨交换机进行相互通信,而在不同 VLAN 里的计算机系统也能进行相互通信。
VLAN 能有效分割局域网,实现各网络区域之间的访问控制。现实中,往往需要配置某些 VLAN 之间的互联互通。比如,某公司划分为领导层、销售部、财务部、人力资源部,科技部、审计部,为不同的部门配置不同的 VLAN,使部门之间不能相互访问,可有效保证各部门的信息安全。但是,领导层需要跨越 VLAN 访问其他各部门,这个功能就由单臂路由来实现。
单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正的物理接口)的方式,实现原来相互隔离的不同 VLAN 之间的互联互通。通过单臂路由的学习,能够深入了解 VLAN(虚拟局域网)的划分,封装和通信原理,理解路由器子接口、ISL 协议和 802.1Q 协议。
1. 通过三层交换机实现VLAN间通信
拓扑图如下:
图1. 1 三层交换机拓扑图
(1)在二层交换机上建立VLAN10、VLAN20;
详细命令:
Switch>en
Switch# conft
Switch(config)# hostname YWJ1 /修改交换机名
YWJ1 (config-if)#vlan 10 /建立 vlan 10
YWJi(config-if)#vlan 20 /建立 vian 20
YWJ1(config)#int fastethernet0/1
YWJ1 (config-if)#switchport mode access
YWJ1 (config-if)# switchport access vlan 10
//把交换机 f0/1 接口划分到 VLAN10
YWJ1 (config-if)#int fastethernet1/1
YWJ1 (config-if)# switchport mode access
YWJ1 (config-if)# switchport access vlan 20
//把交换机 fastethernet0/2 接口划分到 VIAN20
划分结果如图:
图1. 2 show vlan命令结果
YWJ1 (config)#int fastethernet2/1
YWJ1(config-if)#switchport mode trunk //把接口作为中继
第二个二层交换机与第一个类同照葫芦画瓢进行配置即可。目地可以实现:相同的 VLAN通信,不同的 VLAN 不通信。
(2)开启三层交换机的路由功能,实现不同的 VLAN 也能通信。
二层交换机 VLAN配置地址,称为远程管理 IP。一个二层交换机只能有一个处于up状态的 VLAN管理 IP。三层交换机 VLAN 配置地址,称为三层 SVI虚拟接口地址,用于不同 VLAN 之间的相互访问,可实现路由功能。
方法:三层交换机启用 SVI 虚拟接口,配置 IP 地址,作为 VLAN 内 PC的网关地址,实现 VLAN 互访,这是启用三层交换机的路由功能。三层交换机配置的主要命令如下:
Switch(config)#hostname YWJ3
//修改三层交换机名
YWJ2 (config-if)#vlan 10 //建立 VLAN10
YWJ2 (config-if)#vlan 20 //建立 VLAN20
YWJ2 (config-if)#exit
YWJ3 (config)#int fastethernet3/1
YWJ3 (config-if)#switchport mode trunk
//一般情况下,三层交换机的端口已自动配置为“trunk”模式,不需要再次开启YWJ3(config-if)# switchport trunk encapsulation dot1g
//一般情况下,此命令可不执行,因为默认为 dotlq封装
YWJ3(config)#ip routing //启用三层交换机的路由功能
YWJ3(config)#int vlan 2
YWJ3 (config-if)#ip address 192.168.10.254 255.255.255.0
//设置 VLAN10 虚拟接口(网关)地址
YWJ3 (config-if)#no shutdown //启用 SVI虚拟接口
YWJ3(config-if)#exit
YWJ3 (config)# int vlan 20
YWJ3 (config-if)#ip address 192.168.20.254 255.255.255.0//设置 VIAN320虚拟接口(网关)地址
YWJ3 (config-if)#no shutdown “启用 SVI 虚拟接口
YWJ3 (config-if)#exit
(3)测试实验结果。
所有 PC都能通信,即不同的 VLAN 能相互通信。实验测试结果如图 1.3所示。
图1. 3 测试结果
2. 利用单臂路由实现VLAN间通信
(1)配置各PC机的IP地址、网关和子网掩码,如拓扑图所示;
图1. 4 单臂路由器拓扑图
(2)配置路由器的以太网接口的IP地址和子网掩码,如图7;
图1.5 配置路由器
(3)配置交换机,如图1.6;
图1.6 配置交换机
(4)测试验证,如图1.7。
图1. 7 测试验证连通性
配置成功!