天我们来演示VLAN间路由的实验,配置方法有多种,我们首先来演示利用三层交换机实现VLAN间路由。其实该实验还有另外一种实现方法:直接在交换机的物理接口配置IP而不用划分VLAN ,下面演示的是在交换机上划分VLAN的实现方法。
实验拓扑图:
实验环境说明:1.分别启用路由器R1 、R2和交换机SW1;
2.将路由器R1的Fa0/0端口的ip设为:192.168.1.2/24,关闭路由功能,用来模拟PC1,同时将默认网关设为:192.168.1.1;
3.将路由器R2的Fa0/0端口的ip设为:192.168.0.2/24,关闭路由功能,用来模拟PC2,同时将默认网关设为:192.168.0.1;
4.在交换机SW1上分别划分VLAN14、VLAN15两个VLAN,启用路由功能,用来充当三层交换机;
5.将交换机SW1的Fa1/14端口的ip设为:192.168.0.1/24,并将该端口加入到VLAN14中;
6.将交换机SW1的Fa1/15端口的ip设为:192.168.1.1/24,并将该端口加入到VLAN15中;
实验结果要求:要求两台路由器可以相互ping通对方。
配置过程详解:
交换机SW1的配置清单:
1.开启交换机的路由功能,充当三层交换机使用SW1(config)#ip routing
SW1(config)#exit
2.在交换机SW1上划分VLAN:
SW1#vlan data
SW1(vlan)#vlan 14
SW1(vlan)#vlan 15
SW1(vlan)#exit
3.将交换机SW1的两个端口分别划入相应的VLAN:
SW1(config)#int fa1/14
SW1(config-if)#speed 100
SW1(config-if)#duplex full
SW1(config-if)#switchport mod acc
SW1(config-if)#switchport acc vlan 14
SW1(config-if)#exit
SW1(config)#int fa1/15
SW1(config-if)#speed 100
SW1(config-if)#duplex full
SW1(config-if)#switchport mod acc
SW1(config-if)#switchport acc vlan 15
SW1(config-if)#exit4.分别为每个VLAN设置ip:SW1(config)#int vlan 14
SW1(config-if)#ip add 192.168.0.1 255.255.255.0
SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#int vlan 15
SW1(config-if)#ip add 192.168.1.1 255.255.255.0
SW1(config-if)#no shut
SW1(config-if)#exit
路由器R1的配置清单:
R1(config)#no ip routing //关闭路由功能
R1(config)#ip default-gateway 192.168.1.1 //配置默认网关
R1(config)#int fa0/0 //进入端口模式
R1(config-if)#speed 100 //设置速率
R1(config-if)#duplex full //设为全双工模式
R1(config-if)#ip add 192.168.1.2 255.255.255.0 //配置ip地址和子网掩码
R1(config-if)#no shut //启动端口
R1(config-if)#exit
路由器R2 的配置清单:
R2(config)#no ip routing
R2(config)#ip default-gateway 192.168.0.1
R2(config)#int fa0/0
R2(config-if)#speed 100
R2(config-if)#duplex full
R2(config-if)#ip add 192.168.0.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
验证实验结果:
R1pingR2:
R1r#ping 192.168.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 120/162/216 ms
R2pingR1:
R2#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 120/137/188 ms
OK ,到此VLAN间路由实验(三层交换机实现法)就圆满完成了。随后的文章,我们将会演示VLAN间路由实验(单臂路由实现法)
技术讲解:VLAN间路由(1)
2004-10-27 10:47:00 文/网络频道
VLAN间路由的必要性
根据目前为止学习的知识,我们已经知道两台计算机即使连接在同一台交换机上,只要所属的VLAN不同就无法直接通信。接下来我们将要学习的就是如何在不同的VLAN间进行路由,使分属不同VLAN的主机能够互相通信。
首先,先来复习一下为什么不同VLAN间不通过路由就无法通信。在LAN内的通信,必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址,TCP/IP协议下使用的是ARP。ARP解析MAC地址的方法,则是通过广播。也就是说,如果广播报文无法到达,那么就无从解析MAC地址,亦即无法直接通信。
计算机分属不同的VLAN,也就意味着分属不同的广播域,自然收不到彼此的广播报文。因此,属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信,需要利用OSI参照模型中更高一层——网络层的信息(IP地址)来进行路由。关于路由的具体内容,以后有机会再详细解说吧。
路由功能,一般主要由路由器提供。但在今天的局域网里,我们也经常利用带有路由功能的交换机——三层交换机(Layer 3 Switch)来实现。接下来就让我们分别看看使用路由器和三层交换机进行VLAN间路由时的情况。
使用路由器进行VLAN间路由
在使用路由器进行VLAN间路由时,与构建横跨多台交换机的VLAN时的情况类似,我们还是会遇到“该如何连接路由器与交换机”这个问题。路由器和交换机的接线方式,大致有以下两种:
将路由器与交换机上的每个VLAN分别连接
不论VLAN有多少个,路由器与交换机都只用一条网线连接
最容易想到的,当然还是“把路由器和交换机以VLAN为单位分别用网线连接”了。将交换机上用于和路由器互联的每个端口设为访问链接,然后分别用网线与路由器上的独立端口互联。如下图所示,交换机上有2个VLAN,那么就需要在交换机上预留2个端口用于与路由器互联;路由器上同样需要有2个端口;两者之间用2条网线分别连接。
如果采用这个办法,大家应该不难想象它的扩展性很成问题。每增加一个新的VLAN,都需要消耗路由器的端口和交换机上的访问链接,而且还需要重新布设一条网线。而路由器,通常不会带有太多LAN接口的。新建VLAN时,为了对应增加的VLAN所需的端口,就必须将路由器升级成带有多个LAN接口的高端产品,这部分成本、还有重新布线所带来的开销,都使得这种接线法成为一种不受欢迎的办法。
那么,第二种办法“不论VLAN数目多少,都只用一条网线连接路由器与交换机”呢?当使用一条网线连接路由器与交换机、进行VLAN间路由时,需要用到汇聚链接。
具体实现过程为:首先将用于连接路由器的交换机端口设为汇聚链接,而路由器上的端口也必须支持汇聚链路。双方用于汇聚链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的“子接口(Sub Interface)”。尽管实际与交换机连接的物理端口只有一个,但在理论上我们可以把它分割为多个虚拟端口。
VLAN将交换机从逻辑上分割成了多台,因而用于VLAN间路由的路由器,也必须拥有分别对应各个VLAN的虚拟接口。
采用这种方法的话,即使之后在交换机上新建VLAN,仍只需要一条网线连接交换机和路由器。用户只需要在路由器上新设一个对应新VLAN的子接口就可以了。与前面的方法相比,扩展性要强得多,也不用担心需要升级LAN接口数不足的路由器或是重新布线。
默认时,只是在同一个VLAN中的主机才能彼此通信。要实现VLAN之间的通信,就需要路由器或第3层交换机。下面就将用路由器来实现VLAN之间的通信(3层交换后续文章会为大家介绍到)。
快速以太网端口上需要支持ISL或802.1Q协议,路由器的接口需要分成逻辑上的接口,每个VLAN都需要一个逻辑的接口,这些接口称为子接口。
关于802.1Q协议请看百度百科http://baike.baidu.com/view/1112625.htm,介绍的比较详细,这里不再具体介绍了,学什么都要会利用工具,尤其我们学网络这方面,有问题更应该多请教google、百度 and so on ……
实验过程:
一.没有路由以前的VLAN通讯情况
二.经过路由后的VLAN通讯情况
下面实验模拟以某公司的销售部和市场部两个部门
一.没有路由前的环境链路情况:
PC1 F0/1 <----> Switch1 F0/2
PC2 F0/2 <----> Switch1 F0/3
PC3 F0/3 <----> Switch1 F0/4
PC4 F0/4 <----> Switch1 F0/5具体拓扑图如下:
此时环境中交换机做了下面的简单配置
Switch:
en
vlan database (na) 进入VLAN数据库模式下
vlan 2 name sales 划分VLAN2并为VLAN2命名为销售部
exit
vlan 3 name marketing 划分VLAN3并为VLAN3命名为市场部
exit
conf t 进入全局配置模式下
int f0/2 将接口fa0/2添加到VLAN2中
switchport mode access (手工给各个VLAN添加成员)
switchport access vlan 2
exitint f0/3
switchport mode access
switchport access vlan 2
exit
int range fa0/4 - 5
switchport mode access
switchport access vlan 3
exitPC机的IP配置如下图所示,分别从PC1到PC4:
没有路由以前的VLAN通讯情况如下:
PC1上,可以和本VLAN内的成员PC2通讯,但不能和VLAN3内的PC3通讯。再来看下
PC4的情况:
同样也是不能和VLAN2中的PC通讯,只能和本VLAN内的成员PC3通讯,这就是VLAN的作用啊!
二.添加路由器,做单臂路由,链路链接如下:
Switch1 F0/1 <----> Router1 F0/0
PC1 F0/1 <----> Switch1 F0/2
PC2 F0/2 <----> Switch1 F0/3
PC3 F0/3 <----> Switch1 F0/4
PC4 F0/4 <----> Switch1 F0/5具体拓扑图如下:
此时交换机上应为接口f0/1配置Trunk链路,具体如下:
int f0/1
switchport mode trunk 配置Trunk链路
switchport trunk allowed vlan all
exit路由器的相关配置如下:
Router:
en
conf t
int f0/0
no ip addr
no shut
exit
int f0/0.1 进入子接口模式下
encapsulation dot1q 2 用802.1Q协议封装子接口
ip addr 192.168.1.1 255.255.255.0
no shut
exitint f0/0.2
encapsulation dot1q 3
ip addr 192.168.2.1 255.255.255.0
no shut
exitPC机的配置不变,此时再来查看VLAN间的通讯情况:
在PC1上,虽然开始延迟了,但已经可以和VLAN3中的PC通讯了。
PC2上同样也可以和VLAN内和VLAN外PC通讯,再来看下VLAN3的PC4
和VLAN3及VLAN2的都可通讯。这样,有什么需要的话,销售部和市场部就可以通讯了。
此实验还可扩展,在后续NP篇再来为大家带来跟多的技术(如只有两个部门的经理可通讯,不允许某个具体用户访问外网等),希望大家多多支持!
通过路由前后的对比,相信大家就可以鲜明的看出VLAN间路由的作用。
http://shuangyang.blog.51cto.com/540829/165739
