任务描述
某公司的管理员对部门划分了VLAN后,发现两个部门之间无法通信,但有时两个部门的员工需要进行通信,管理员现要通过简单的方法来实现此功能。划分VLAN之后, VLAN之间是不能通信的,使用路由器的单臂路由功能可以解决这个问题。
任务要求
(1)利用单臂路由实现部门间网络互访,网络拓扑图如图。
(2)在交换机SWA上划分VLAN及端口分配如表。
(3)路由器和PC机的端口详细参数见表
(4)在路由器上配置单臂路由实现两台计算机能正常通信
知识准备
1.单臂路由的原理
单臂路由的原理是通过一台路由器,使VLAN间互通数据通过路由器进行三层转发。如果在路由器上为每个VLAN分配一个单独的路由器物理端口,随着VLAN数量的增加,必然需要更多的端口,而路由器能提供的端口数量比较有限,所以在路由器的一个物理端口上通过配置子端口(即逻辑端口)的方式来实现以一当多的功能。路由器同一物理端口的不同子端口作为不同 VLAN 的默认网关,当不同 VLAN间的用户主机需要通信时,只需将数据包发送给网关,网关处理后再发送至目的主机所在VLAN,从而实现 VLAN间通信。从拓扑结构图上看,在交换机与路由器之间,数据仅通过一条物理链路传输,故被形象地称为"单臂路由"。 VLAN能有效分割局域网,实现各网络区域之间的访问控制,但现实中,往往需要配置某些VLAN之间的互联互通。例如,某公司划分为领导层、销售部、财务部、人力部、科技部、审计部,并为不同部门配置了不同的VLAN,部门之间不能相互访问,有效保证了各部门的信息安全。但经常出现领导层跨越VLAN访问其他各个部门的情况,这个功能就由单臂路由来实现。 路由器一般是基于软件处理方式来实现路由的,存在一定的延时,难以达到线速交换。所以,随着VLAN通信流量的增多,路由器将成为通信的瓶颈,因此,单臂路由适用于通信流量较少的情况下。
2.单臂路由的相关配置
(1)创建子端口,并封装802.1Q协议。 创建子端口,并封装802.1Q协议,其命令格式如下:
其中,subinterface表示子端口,vlan_id表示VLANID号。 使用dotlq termination vid命令可配置子端口对一层tag报文的终结功能。即配置该命令后,路由器子端口在接收带有VLAN tag的报文时,将剥掉该报文开对其进行三层转发,在发送报文时,会将与该子端口对应VLAN的VLAN tag添加到报文中。 (2)开启子端口的 ARP广播功能。 开启子端口的ARP广播功能的命令格式如下:
使用arp broadcast enable命令可开启子端口的ARP报文广播功能。如果不配置该命令,将会导致子端口无法主动发送ARP广播报文,以及向外转发IP报文。
任务实施
1.参照图搭建网络拓扑,连线全部使用直通线,开启所有设备电源和为每一台计算机设置好相应的IP地址和子网掩码。
2.交换机SWA的基本配置。
3.路由器R1的基本配置。
4.在路由器R1上查看端口状态。
任务验收
1.使用display ip routing-table命令,查看路由器R1的路由表。观察路由表中是否已经有192.168.10.0/24和192.168.20.0/24路由条目。
2.PC1和PC2分别属于VLAN10和VLAN20,交换机SWA是一个二层交换机,为实现VLAN10和VLAN20中的计算机相互通信,要增加一个路由器来转发VLAN之间的数据包,路由器与交换机之间使用单条链路相连,这条链路又称主干(Trunk),所有数据包的进出都要通过路由器R1的GE0/0/0端口来实现数据转发。 当配置完以上命令时,再次查看网络拓扑图,可以发现链路中的红色标记已经变成了绿色。这时可以为计算机PC1用Ping命令去测试与PC2的连通性,结果发现它们之间是连通的,如图3.4.2所示。这说明路由器的单臂路由功能发挥了作用。
任务小结
(1)交换机与路由器相连的端口要设置成Trunk模式。
(2)路由器的端口不一定要在启动状态。 (3)配置路由器端口的子端口,同时要进行802.1q的协议封装和开启ARP广播功能。