ensp 多部门VLAN基于单臂路由的互联部署,单臂路由配置
ensp 多部门VLAN基于单臂路由的互联部署,单臂路由配置
在现代网络工程中,VLAN(虚拟局域网)被广泛用于隔离广播域和提高网络安全性。然而,VLAN的隔离特性也带来了不同VLAN间通信的挑战。本文将详细介绍如何通过单臂路由技术实现多部门VLAN间的互联,并通过华为ensp模拟器进行实际配置演示。
知识点
单臂路由指在路由器上的一个接口配置子接口(逻辑接口)来实现不同vlan间通信
路由器上的每个物理接口都可以配置多个子接口(逻辑接口)
VLAN间路由的概念
虽然VLAN可以减少网络中的广播,提高网络安全性能,但无法实现网络内部的所有主机互相通信,我们可以通过路由器或三层交换机来实现属于不同VLAN的计算机之间的三层通信,这就是VLAN间路由
VLAN间二层通信的局限性
如图,VLAN隔离了二层广播域,即隔离了各个VLAN之间的任何二层流量,因此,不同VLAN的用户之间不能进行二层通信。
由于不同VLAN之间的主机是无法实现二层通信的,所以必须通过三层路由才能将报文从一个VLAN转发到另外一个VLAN,实现跨VLAN通信。实现VLAN间通信的方法主要有3种:多臂路由、单臂路由和三层交换
多臂路由
如图,在路由器上为每个VLAN分配一个单独的接口,并使用一条物理链路连接到二层交换机上。当VLAN间的主机需要通信时,数据会经由路由器进行路由,并被转发到目标VLAN内的主机,这样就可以实现VLAN之间的相互通信。然而,随着每个交换机上VLAN数量的增加,这样做必然需要大量的路由器接口,而路由器的接口数量是极其有限的。并且,某些VLAN之间的主机可能不需要频繁进行通信,如果这样配置的话,会导致路由器的接口利用率很低。因此,实际应用中一般不会采用多臂路由来解决VLAN间的通信问题
单臂路由
如图,交换机和路由器之间仅使用一条物理链路连接。在交换机上,把连接到路由器的端口配置成Trunk类型的端口,并允许相关VLAN的帧通过。在路由器上创建子接口(Sub-Interface),逻辑上把连接路由器的物理链路分成了多条链路(每个子接口对应一个VLAN)。这些子接口的IP地址各不相同,每个子接口的IP地址应该配置为该子接口所对应VLAN的默认网关地址。子接口是一个逻辑上的概念,所以子接口也常常被称为虚接口。配置子接口时,需要注意以下几点。
①必须为每个子接口分配一个IP地址。该IP地址与子接口所属VLAN位于同一网段。
②需要在子接口上配置802.1Q封装。
③在子接口上执行【arp broadcast enable】命令启用子接口的ARP广播功能。本例中,主机A发送数据给主机B时,路由器R1会通过G0/0/1.1子接口收到此数据,然后查找路由表,将数据从G0/0/1.2子接口发送给主机B,这样就实现了VLAN2和VLAN3之间的主机通信
ensp模拟
公司的财务部、技术部和业务部有多台计算机,它们使用一台二层交换机进行互联,为方便管理和隔离广播,划分了VLAN10、VLAN20和VLAN30,交换机210端口VLAN10,1120属于VLAN20,21-22属于VLAN30。财务部IP地址为192.168.1.0/24,技术部IP地址为192.168.2.0/24,业务部IP地址为192.168.3.0/24。现因业务需要,三部门之间需实现相互通信,公司将使用一台路由器连接交换机,并通过路由器的单臂路由功能实现三个部门间的相互通信。项目拓扑如图所示
PC 配置IP地址与网关
配置交换机端口
在交换机SW1上为各部门创建相应的VLAN,将端口划分至相应VLAN
S1交换机创建vlan 10 20 30 并给与PC连接的端口配置access模式并分配vlan ,与路由器链接的端口配置trunk模式并放行vlan 10 20 30
SW1上使用【display port vlan】 命令检查VLAN和端口配置情况
配置路由器的单臂路由
路由器配置单臂路由,子接口vlan封装给对应vlan,配置ip地址 ,开启arp广播
在路由器R1使用【display ip interface brief】命令查看子接口IP信息
在R1使用【display ip routing-table】命令查看路由表的配置
pc1ping pc2与pc3测试网络通断