单臂路由及用三层交换机进行通信

前言

网络中通过VLAN技术来实现隔离广播、方便管理及提高安全性等功能，一旦划分 VLAN后，同一VLAN之间可以相互通信，不同VLAN间禁止相互通信。但是在企业真实环境中，部门之间及部门和服务器分别属于不同的VLAN,如果不同VL AN之间不能相互通信，那么客户端也无法访问其他部门及服务器所提供的服务。这就好比为了提高公司的网络安全性，直接将公司网络和互联网络之间的链路断开。安全性固然提高，但是直接影响了员工对互联网资源的使用。这种做法显然是不可行的。那么在实际生产环境中，如何保证员工所在部门的VLAN可以和服务器所在的VLAN之间进行通信呢?

企业划分VLAN的主要作用是隔离广播，而只要解决了不同VLAN间的通信问题，就可以在保证在隔离广播的前提下，实现正常通信，即VLAN间的通信技术。实现VLAN间通信的技术很多，比较典型的是通过三层交换机和单臂路由实现。但无论哪种方法，都要借助于三层设备实现。因为如果通过二层设备解决了VLAN间的通信问题，那么广播也可以跨VLAN传播。

1. 单臂路由

1.1单臂路由的原理

单臂路由实现不同vlan间通讯
1.链路类型
（1）交换机连接主机的端口为access链路
（2）交换机连接路由器的端口为trunk链路
2.子接口
（1）路由器的物理接口可以被划分为多个逻辑接口（子接口）
（2）每个子接口对应一个vlan网段的网关

1.2单臂路由的配置

（1）配置链路类型-交换机配置
（2）配置vlan标签的封装结构-交换机配置
（3）配置子接口地址-交换机配置

1.3单臂路由实验：单臂路由实现不同vlan间通信

（1）搭建一个拓扑图（由于此实验所用设备都不是同一类型的设备，所以连线需采用直通线）

（2）进入交换机进行配置，用户模式下输入enable进入特权模式

（3）输入config terminal进入全局模式
（4）创建vlan 10和vlan 20

（5）输入interface f0/1进入接口模式

（6）选择access模式并加入vlan 10

（7）输入interface f0/2进入接口模式.

（8）选择access模式并加入vlan 20

（9）输入interface g1/1进入接口模式

（10）输入switchport mode trunk 强制起trunk

（11）进行路由器配置，输入enable进入特权模式

（12）输入config terminal进入全局模式

（13）输入interface g0/1进入接口模式

（14）输入no shoutdown 开启此接口

（15）进入g0/1接口的子接口

(16)对子接口进行封装

（17）为子接口配置IP

（18）输入输入interface g0/1.2进入g0/1的第二个子接口

（19）对子接口进行封装

（20）为子接口配置IP

（20）配置完成后，回到特权模式，输入show ip route查看路由表

（21）配置完成后，为两台pc机配置IP及网关


（22）尝试用一台主机ping另一台主机，发现是通的

1. 4 单臂路由的缺陷

（1）单臂路由为网络骨干链路，容易造成网络瓶颈
（2）子接口依然依托于物理接口，应用不灵活
（3）vlan间转发需要查看路由表，严重浪费设备资源

2. 三层交换机

2.1三层交换机技术

使用三层交换机技术实现不同vlan间通讯
三层交换机=二层交换+三层转发
（思科的三层交换机，三层路由功能是不开的，需要手动开启）

2.2三层交换机采用硬件来交换和路由选择数据包，那么该如何实现呢？

1.采用传统的mls
2.基于cef的mls(cef 是一种基于拓扑转发的模型转发信息库

2.3一次路由，多次转发

三层转发过程中要重新封装二层
三层交换机上，第三层引擎处理数据流的第一个包
交换Asic从三层引擎中获悉，二层重写信息在硬件中建立一个mls条目，负责重写和转发数据流中的后续数据包

2.4 传统mls

第三层交换机在osi七层网络模型中第三层，即网络层，是利用第三层协议中的IP包的包头信息来对后续数据业务流进行标记，具有同一标记的业务流的后续报文被交换到第二层数据链路层，从而打通源IP地址和目标IP地址之间的一条通道。这条通道经过第二层链路层。有了这条通路，三层交换机就没有必要每次将接收到的数据包进行拆包来判断路由，而且是直接将数据包进行转发，将数据流进行交换

2.5基于cef的mls

与传统mls不同的是，cef预先根据路由表学习路由信息后，直接储存在fib（转发信息库）中，cef预先根据arp表生成邻接表，直接由硬件转发。传统mls至少需要软件查询一次路由表后建立转发条目，才能使用硬件转发

2.6 cef三层交换机工作原理

（1）主机A给主机B发送单播数据包
（2）交换机查询fib表，找到下一条地址
（3）查找到下一条地址与对应的邻接关系的二层封装信息
（4）转发

2.7 用三层交换机实现不同vlan的通信

（1）准备一张拓扑图

（2）进入用户模式后，输入enable进入特权模式

（3）输入config terminal进入全局模式

（4）在全局模式下创建两个vlan，分别为vlan10和vlan20

（5）在全局模式下，输入interface f0/1进入接口模式

（6）在接口模式下输入switch port access vlan 10 将此接口加入vlan10（思科交换机默认接口模式为access，所以创建开启access模式命令不是必打）

（7）输入interface f0/2进入接口模式

（8）在接口模式下输入switchport access vlan 20 将此接口加入vlan20

（9）退出到全局模式，输入vlan 10，并配置其IP

（10）在全局模式下输入vlan 20，并配置其IP

（11）配置完成后输入IP routing开启三层交换机的路由功能(思科三层交换机路由功能是默认关闭的）

（12）在全局模式下输入do show ip route 查看路由表

（13）配置两台pc的IP，并试其能否ping通

（14）能ping通

总结

（1）设备vlan黑名单，不允许指定vlan通过
（config）# switchport trunk allowed vlan remore -vlan id
若想使其通过，在代码前面加个no.
（2）思科的trunk链路都默认允许所有vlan通过
（3）思科进入接口模式后，默认的工作模式为access模式
（4）只有二层交换机时，实现局域网通讯只能通过单臂路由实现。但有三层交换机时，即可实现三层交换实现局域网通信，且通过三层交换机实现不同vlan通信更容易操作。