015A VLAN間路由

背景

VLAN並不是爲了完全的隔離,而是爲了用戶更好通信,那麼怎麼更好的管控通信呢?這就是VLAN間路由技術,使得處於不VLAN的設備可以通過路由方式去通信。

VLAN隔離廣播的同時,也禁止了不同VLAN之間的用戶通,VLAN間的通信成爲新的目標, VLAN路由(三層路由功能)成功地解決了VLAN的通信。

VLAN間路由必須通過具備3層路由功能的設備完成，解決方案如下:

• 路由器的單臂路由
• 3層交換機VLAN接口/交換機虛擬接口
• 不具備擴展功能的交換機的3層接口功能
• 路由器的多臂路由(並不推薦）

VLAN路由-每個VLAN一個物理連接

在二層交換機上配置VLAN，每一個VLAN使用一條獨佔的物理鏈路連接到路由器的一個接口上。此即爲多臂路由，缺點是浪費路由器的端口

路由器的物理端口不能識別攜帶tag的幀，路由器的物理接口的子接口可以識別攜帶tag的幀

VLAN路由-單臂路由

將交換機和路由器之間的鏈路配置爲Trunk鏈路，並且在路由器上創建子接口以支持VLAN路由

單臂路由配置
1.實施路由器子接口，確保VLAN無誤
2.交換機創建VLAN、完成連接主機的接入
3.完成連接路由器的trunk實施時允許特定的VLAN通過
4.配置終端的IP和網關進行測試

路由器上實施子接口，標識特定VLAN流量
[R3]interface GigabitEthernet 0/0/0.20 #配置標識爲.20的子接口，此處的數字可以和VLAN標識不同
[R3-GigabitEthernet0/0/0.20]dot1q termination vid 20  #標識VLAN ID的tag，此處表明VLAN20的流量，數字不能寫錯
[R3-GigabitEthernet0/0/0.20]ip address 10.1.20.30 27
[R3-GigabitEthernet0/0/0.20]arp broadcast enable  #推薦實施此命令，此時在R3上ping client1 ，不通，但是從client1 上可以ping通10.1.20.30  路由器一般不發arp廣播，pc一般會發arp廣播
[R3]interface GigabitEthernet 0/0/0.30
[R3-GigabitEthernet0/0/0.30]dot1q termination vid 30
[R3-GigabitEthernet0/0/0.30]ip address 10.1.30.30 27
[R3-GigabitEthernet0/0/0.20]arp broadcast enable
交換機實施access和trunk鏈路

[SW4]vlan batch 20 30
[SW4]interface GigabitEthernet 0/0/1
[SW4-GigabitEthernet0/0/1]port link-type access 
[SW4-GigabitEthernet0/0/1]port default vlan 20
[SW4-GigabitEthernet0/0/1]in g0/0/2
[SW4-GigabitEthernet0/0/2]port link-type access
[SW4-GigabitEthernet0/0/2]port default vlan 30
[SW4-GigabitEthernet0/0/1]in g0/0/10
[SW4-GigabitEthernet0/0/10]port link-type trunk
[SW4-GigabitEthernet0/0/10]port trunk allow-pass vlan all
[SW4]display port vlan active 
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port                Link Type    PVID    VLAN List
-------------------------------------------------------------------------------
GE0/0/1             access       20      U: 20
GE0/0/2             access       30      U: 30
GE0/0/3             hybrid       1       U: 1
GE0/0/4             hybrid       1       U: 1
GE0/0/5             hybrid       1       U: 1
GE0/0/6             hybrid       1       U: 1
GE0/0/7             hybrid       1       U: 1
GE0/0/8             hybrid       1       U: 1
GE0/0/9             hybrid       1       U: 1
GE0/0/10            trunk        1       U: 1
                                         T: 20 30

VLAN路由-三層交換

爲每個VLAN創建一個VLANIF接口作爲網關。
不同的VLAN間數據轉發不必經過路由器，直接在交換機上完成路由
VLANIF工作的條件：
1.vlan必須存在
2.trunk允許了改vlan通過/有對應vlan的access接口

[SW3]vlan batch 8 9 10
[SW3-GigabitEthernet0/0/10]in g0/0/10
[SW3-GigabitEthernet0/0/10]port link-type access 
[SW3-GigabitEthernet0/0/10]port default vlan 8

[SW3-GigabitEthernet0/0/10]int g0/0/11
[SW3-GigabitEthernet0/0/11]port link-type access 
[SW3-GigabitEthernet0/0/11]port default vlan 9

[SW3-GigabitEthernet0/0/11]in g0/0/12
[SW3-GigabitEthernet0/0/12]port link-type access 
[SW3-GigabitEthernet0/0/12]port default vlan 10

[SW3-GigabitEthernet0/0/12]dis port vlan active 
T=TAG U=UNTAG
-------------------------------------------------------------------------------
Port                Link Type    PVID    VLAN List
-------------------------------------------------------------------------------
GE0/0/1             hybrid       1       U: 1
GE0/0/2             hybrid       1       U: 1
GE0/0/3             hybrid       1       U: 1
GE0/0/4             hybrid       1       U: 1
GE0/0/5             hybrid       1       U: 1
GE0/0/6             hybrid       1       U: 1
GE0/0/7             hybrid       1       U: 1
GE0/0/8             hybrid       1       U: 1
GE0/0/9             hybrid       1       U: 1
GE0/0/10            access       8       U: 8
GE0/0/11            access       9       U: 9
GE0/0/12            access       10      U: 10

#實施vlanif接口，基於vlan
[SW3]interface Vlanif 8
[SW3-Vlanif8]ip address 10.1.10.13 28
[SW3-Vlanif8]q
[SW3]interface Vlanif 9
[SW3-Vlanif9]ip address 10.1.10.28 28
[SW3-Vlanif9]q
[SW3]interface Vlanif 10
[SW3-Vlanif10]ip address 10.1.10.45 28



#測試從sw3 ping各個PC
[SW3]ping 10.1.10.1
  PING 10.1.10.1: 56  data bytes, press CTRL_C to break
    Reply from 10.1.10.1: bytes=56 Sequence=1 ttl=128 time=50 ms
    Reply from 10.1.10.1: bytes=56 Sequence=2 ttl=128 time=20 ms
    Reply from 10.1.10.1: bytes=56 Sequence=3 ttl=128 time=50 ms
    Reply from 10.1.10.1: bytes=56 Sequence=4 ttl=128 time=40 ms
    Reply from 10.1.10.1: bytes=56 Sequence=5 ttl=128 time=50 ms

  --- 10.1.10.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 20/42/50 ms

[SW3]ping 10.1.10.17
  PING 10.1.10.17: 56  data bytes, press CTRL_C to break
    Reply from 10.1.10.17: bytes=56 Sequence=1 ttl=128 time=40 ms
    Reply from 10.1.10.17: bytes=56 Sequence=2 ttl=128 time=30 ms
    Reply from 10.1.10.17: bytes=56 Sequence=3 ttl=128 time=20 ms
    Reply from 10.1.10.17: bytes=56 Sequence=4 ttl=128 time=40 ms
    Reply from 10.1.10.17: bytes=56 Sequence=5 ttl=128 time=50 ms

  --- 10.1.10.17 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 20/36/50 ms

[SW3]ping 10.1.10.45
  PING 10.1.10.45: 56  data bytes, press CTRL_C to break
    Reply from 10.1.10.45: bytes=56 Sequence=1 ttl=255 time=30 ms
    Reply from 10.1.10.45: bytes=56 Sequence=2 ttl=255 time=10 ms
    Reply from 10.1.10.45: bytes=56 Sequence=3 ttl=255 time=1 ms
    Reply from 10.1.10.45: bytes=56 Sequence=4 ttl=255 time=1 ms
    Reply from 10.1.10.45: bytes=56 Sequence=5 ttl=255 time=30 ms

  --- 10.1.10.45 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 1/14/30 ms

參考：
紅寶書：

• 案例18：華爲華三設備的單臂路由 。
• 案例20：華爲華三網元的VLANIF。
• 案例22：2層交換接口轉變爲3層路由接口方案