一、 导言与实验目的
1.1 导言:为什么我们需要"单臂路由"?
在企业网络中,为了控制广播风暴、提高网络安全性与带宽利用率,我们通常会在交换机上划分不同的 VLAN(虚拟局域网)。VLAN 的核心作用是"隔离"------属于不同 VLAN 的设备就像被关在不同的房间里,它们处于各自独立的广播域中,无法直接进行二层(MAC地址)通信。
然而,隔离并不是最终目的。在实际工作场景中(例如财务部与人事部),不同 VLAN 之间往往需要进行安全、受控的数据交互。既然二层通信被阻断,我们就必须引入三层设备(路由器)来进行跨网段的路由转发。如果采用传统的"多臂路由"方案,路由器需要为每一个 VLAN 分配一个独立的物理接口并连接一条网线。当企业内部 VLAN 数量激增时,路由器的物理接口将很快被耗尽,这种做法显然成本高昂且缺乏可扩展性。
为了解决这一痛点,"单臂路由"(Router-on-a-Stick)技术应运而生。它展现了一种极其优雅的"分身术":只需在路由器和交换机之间连接一根物理网线,并在路由器内部将该物理接口划分为多个逻辑子接口(Subinterface)。配合 IEEE 802.1Q 标签技术,这"一条胳膊"就能同时处理来自成百上千个不同 VLAN 的数据流量,完美实现了跨 VLAN 的单播通信。
1.2 实验目的
(1)理解"单臂路由"的含义。
(2)掌握通过"单臂路由"实现VLAN间单播通信的方法。
二、 基础环境搭建与前期准备
2.1 构建网络拓扑
首先,我们需要在 Cisco Packet Tracer 工作区中拖入所需的网络设备,并使用直通线(Straight-through cable)完成物理连接。
需要放置的设备包括:
(1)终端设备:6 台 PC(PC0 ~ PC5);
(2)网络设备:1 台 2960 系列交换机(Switch0),1 台 1941 系列路由器(Router0)。
实验效率小贴士:跳过 STP 阻塞状态
当您使用网线将 PC 连接到交换机,或者将交换机连接到路由器时,您会发现交换机端的链路指示灯最初是橙色 的。这表示交换机接口正处于生成树协议(STP)的阻塞/监听/学习状态。
在真实的物理环境中,这个过程大约需要 30 到 50 秒,随后指示灯才会变成绿色(转发状态)。为了提高实验效率,我们可以点击模拟器界面左下角的 "Fast Forward Time (人为加速时间)" 按钮(快捷键
Alt + D),瞬间跳过等待过程,让所有物理链路立刻全绿畅通。
2.2 优化拓扑显示(排版最佳实践)
在复杂的网络拓扑中,Packet Tracer 默认的接口显示机制往往会成为干扰项。它会把所有连接的接口号密密麻麻地挤在一起,甚至遮挡住设备图标和链路状态指示灯,让整个画面显得非常凌乱。为了保持界面的清爽和专业,建议采用以下"分步标注法":
① 临时开启:在软件的 Options -> Preferences 中,临时勾选 Always Show Port Labels in Logical Workspace,让所有接口名称显现出来;
② 记录与手动标注:拿出工具栏中的"放置注释(Place Note)"工具,将关键的接口名称(如连接路由器的 Fa0/4,以及 PC 对应的 Fa0/1~3 等)以文本的形式,整齐地手动标注在设备旁边;
③ 关闭全局标签:回到设置中,取消勾选 Always Show Port Labels。这样,您的拓扑图就只保留了您精心排版的自定义标签,既清晰又美观。
三、 核心概念与IP地址规划
3.1 什么是"逻辑子接口"?
请仔细观察我们刚刚搭建的拓扑图:路由器和交换机之间只有一根物理网线(插在路由器的 Gig0/0 接口上)。但是,我们的网络中存在两个完全不同的网段(192.168.1.0/24 和 192.168.2.0/24),它们在物理层面通过划分 VLAN 被隔离开来。为了让这两个网段能够互相通信,它们各自都需要一个独立的"网关"。如果路由器有两个物理接口连着交换机,那很简单,一个接口配一个网关即可。但现在只有一根线,这就需要用到"单臂路由"技术。
我们可以利用操作系统的虚拟化能力,把这 1 个物理接口(Gig0/0)在逻辑上"劈成" 2 个独立的逻辑子接口(Subinterface),就好像给物理接口创建了两个"分身":
(1)0.1 接口(一号分身):命名为 Gig0/0.1。它专门负责左边 192.168.1.0 网段的通信,并被配置为能够识别和处理打上了 VLAN 10 标签的数据帧。
(2)0.2 接口(二号分身):命名为 Gig0/0.2。它专门负责右边 192.168.2.0 网段的通信,被配置为专门处理 VLAN 20 的标签数据。
通过这种"物理一根线,逻辑多车道"的设计,一根物理网线就能同时处理多个不同 VLAN 网络的流量了。
3.2 拓扑全局标注(IP与网关配置蓝图)
在理解了逻辑子接口的作用后,我们需要使用文本工具,将所有设备的 IP 地址、子网掩码(255.255.255.0)以及它们所指向的默认网关,完整地标注在拓扑图上:
(1)左侧 VLAN 10 区域:PC 指向网关 192.168.1.254(即路由器的 0.1 接口);
(2)右侧 VLAN 20 区域:PC 指向网关 192.168.2.254(即路由器的 0.2 接口)。
四、 设备核心配置实战
4.1 终端设备配置:设置静态网络参数
操作步骤:在 Packet Tracer 中,单击 PC 设备图标,选择 Desktop(桌面)选项卡,然后点击 IP Configuration(IP 配置),依次输入下表中的网络参数。
| 设备名称 | 连接的交换机接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| PC0 | Fa0/1 | 192.168.1.1 | 255.255.255.0 | 192.168.1.254 |
| PC1 | Fa0/2 | 192.168.1.2 | 255.255.255.0 | 192.168.1.254 |
| PC2 | Fa0/3 | 192.168.1.3 | 255.255.255.0 | 192.168.1.254 |
| PC3 | Fa0/5 | 192.168.2.1 | 255.255.255.0 | 192.168.2.254 |
| PC4 | Fa0/6 | 192.168.2.2 | 255.255.255.0 | 192.168.2.254 |
| PC5 | Fa0/7 | 192.168.2.3 | 255.255.255.0 | 192.168.2.254 |
提醒: 请务必核对每一台 PC 的网关地址!左侧网络(PC0-PC2)的网关必须指向路由器的 0.1 子接口(192.168.1.254),右侧网络(PC3-PC5)的网关必须指向路由器的 0.2 子接口(192.168.2.254)。切勿漏配或配错任何一台设备。
4.2 路由器(Router0)配置:单臂路由的灵魂
接下来是本实验的核心:在路由器的单一物理接口上,划分为两个逻辑子接口,并分别封装 802.1Q 协议,使其能够识别不同 VLAN 的数据标签。
操作步骤: 单击路由器 Router0,进入 CLI(命令行界面)选项卡,输入以下配置命令:
Router> enable // 1. 从用户模式进入特权模式
Router# configure terminal // 2. 从特权模式进入全局配置模式
// --- 配置第一个逻辑子接口(服务于左侧 192.168.1.0 网段) ---
Router(config)# interface GigabitEthernet0/0.1 // 创建并进入Gig0/0的逻辑子接口0.1
Router(config-subif)# encapsulation dot1Q 10 // 关键修正:指定该子接口处理VLAN 10的数据帧 (注意是数字1)
Router(config-subif)# ip address 192.168.1.254 255.255.255.0 // 配置左侧网络的默认网关IP和掩码
// --- 配置第二个逻辑子接口(服务于右侧 192.168.2.0 网段) ---
Router(config-subif)# interface GigabitEthernet0/0.2 // 创建并切换到Gig0/0的逻辑子接口0.2
Router(config-subif)# encapsulation dot1Q 20 // 指定该子接口处理VLAN 20的数据帧
Router(config-subif)# ip address 192.168.2.254 255.255.255.0 // 配置右侧网络的默认网关IP和掩码
// --- 开启物理接口(非常重要的一步) ---
Router(config-subif)# interface GigabitEthernet0/0 // 回到物理主接口配置模式
Router(config-if)# no shutdown // 开启物理接口(物理接口开启后,下面的0.1和0.2子接口才会随之激活)
Router(config-if)# exit // 退出到全局配置模式原理解析: 只有当主物理接口(Gig0/0)被
no shutdown激活后,依附于它的逻辑子接口(0.1 和 0.2)才会随之处于 UP(开启)状态。
4.3 交换机(Switch0)配置:划分 VLAN 与开启 Trunk
当交换机刚上电启动时,所有接口的默认类型均为 Access 模式,并且全部归属于缺省的 VLAN 1。这意味着在划分 VLAN 之前,全网所有的 PC 和路由器接口实际上都处于同一个庞大的广播域中。
为了打破这个单一的广播域,我们需要在交换机上创建 VLAN 10 和 VLAN 20,将对应的计算机接入端口划入指定的 VLAN 中实现物理隔离,并至关重要地将连接路由器的接口配置为 Trunk 模式,允许不同 VLAN 的数据打上标签后通过。
划分前 
划分后
操作步骤: 单击交换机 Switch0,进入 CLI 选项卡,执行以下配置:
Switch> enable // 1. 从用户模式进入特权执行模式
Switch# configure terminal // 2. 从特权模式进入全局配置模式
// --- 第一部分:创建 VLAN 并命名 ---
Switch(config)# vlan 10 // 创建 VLAN 10 并进入其专属配置模式
Switch(config-vlan)# name VLAN10 // 将该 VLAN 命名为 "VLAN10"(方便后期管理与识别)
Switch(config-vlan)# vlan 20 // 直接创建 VLAN 20 并切换到其配置模式
Switch(config-vlan)# name VLAN20 // 将该 VLAN 命名为 "VLAN20"
Switch(config-vlan)# exit // 退出 VLAN 配置模式,退回全局配置模式
// --- 第二部分:配置接入层接口 (Access) 划入对应 VLAN ---
// 配置左侧网络(VLAN 10)
Switch(config)# interface range f0/1-3 // 使用 range 命令批量选中 f0/1、f0/2、f0/3 接口
Switch(config-if-range)# switchport mode access // 将这些接口的工作模式强制设为 Access(接入模式,专连终端)
Switch(config-if-range)# switchport access vlan 10 // 将这三个接口正式划入 VLAN 10
// 配置右侧网络(VLAN 20)
Switch(config-if-range)# interface range f0/5-7 // 批量选中 f0/5、f0/6、f0/7 接口 (注意这里跳过了连路由器的 f0/4)
Switch(config-if-range)# switchport mode access // 将工作模式设为 Access
Switch(config-if-range)# switchport access vlan 20 // 将这三个接口正式划入 VLAN 20
// --- 第三部分:配置级联接口 (Trunk) 放行 VLAN 流量 ---
Switch(config-if-range)# interface f0/4 // 进入连接路由器的 f0/4 接口配置模式
Switch(config-if)# switchport mode trunk // 将该接口模式设为 Trunk(允许带有不同VLAN标签的数据帧通过,这是单臂路由的关键)
// --- 第四部分:验证与保存 ---
Switch(config-if)# end // 直接退回特权执行模式 (相当于连续两次 exit)
Switch# show vlan brief // 查看 VLAN 摘要信息,验证接口是否正确划入各自的 VLAN
操作提示:加速 STP 生成树收敛
在交换机上划分 VLAN 或更改接口模式后,相关接口会重新进入 STP(生成树协议)的阻塞状态,指示灯变橙,需要等待一段时间才能恢复绿色的转发状态。此时您可以点击模拟器左下角的 "Fast Forward Time" (人为加速时间) 按钮,瞬间完成状态切换。
五、 网络连通性测试与排错
在完成全网设备的配置后,我们需要切换到 Packet Tracer 的 Realtime(实时)工作模式 下。接下来,我们将以 PC0(192.168.1.1) 作为测试源,通过 ping 命令分别测试其与其他 5 台计算机的连通性。
5.1 连通性测试的多重目的
在完成全网设备的配置后,我们需要切换到 Packet Tracer 的实时工作模式下,在 PC0 的命令行使用 ping 命令测试与其他各 PC 的连通性。这组测试蕴含了深层的网络逻辑验证:
(1)拓扑与链路验证:测试物理拓扑是否构建成功;
(2)终端参数验证:验证各 PC 的 IP 与网关是否配置正确;
(3)单臂路由验证:验证路由器 Gig0/0 下的两个逻辑子接口的 VLAN 封装与 IP 地址是否准确;
(4)交换机 VLAN 验证:验证交换机的 Access 接口划分以及 Trunk 接口配置是否生效;
(5)为后续实验铺垫:提前触发网络中的 ARP 解析过程,让 PC 端缓存默认网关的 MAC 地址,同时让路由器缓存目标 PC 的 MAC 地址。这一步能避免在接下来的第六部分(仿真抓包)中,因为产生大量的 ARP 地址解析广播包而干扰我们对 ICMP 单播/广播现象的纯净观察。
5.2 命令行测试步骤与现象观察
双击打开 PC0 ,切换到 Desktop 选项卡,点击 Command Prompt(命令提示符),依次输入以下测试命令:
(1)同网段(VLAN 10 内部)连通性测试
C:\> ping 192.168.1.2 // 测试与同属于 VLAN 10 的 PC1 的连通性
C:\> ping 192.168.1.3 // 测试与同属于 VLAN 10 的 PC2 的连通性预期现象: 四个数据包全部快速成功回应(
Reply from ...),丢包率为 0%。
现象解析: 因为源和目的处于同一网段,数据包直接在交换机内部完成二层转发,不经过路由器。
(2)跨网段(VLAN 10 到 VLAN 20)连通性测试
C:\> ping 192.168.2.1 // 测试与属于 VLAN 20 的 PC3 的连通性
C:\> ping 192.168.2.2 // 测试与属于 VLAN 20 的 PC4 的连通性
C:\> ping 192.168.2.3 // 测试与属于 VLAN 20 的 PC5 的连通性预期现象: 第一次进行跨网段测试时,第一个数据包通常会显示
Request timed out(请求超时),随后三个包成功响应。此时如果紧接着再次执行相同的 ping 命令,则会四个包全通。
5.3 核心原理探究:为什么跨网段测试时首包会超时?
这是网络底层的正常工作机制,具体流程如下:
① 网关发现: 当 PC0 发起 ping 192.168.2.1 时,OSI 模型网络层发现目标 IP 与自己不在同一个网段,必须将包送往默认网关(192.168.1.254)。
② 第一次 ARP(PC0找网关): 如果 PC0 缓存里没有网关的 MAC 地址,会先发一个 ARP 广播找网关。网关响应后,ICMP 包顺利送达路由器的 0.1 子接口。
③ 路由查表与丢包(超时的核心原因): 路由器收到包后,查路由表发现目标网段在 0.2 子接口上。但此时,路由器缓存里没有目标 PC3 的 MAC 地址。在 Cisco 等标准路由器的底层机制中,如果下一跳 MAC 地址未知,路由器会直接丢弃这个数据包,而不是将其挂起等待。
④ 第二次 ARP(路由器找目标): 路由器在丢弃该 ICMP 包的同时,立即从 0.2 接口向 VLAN 20 发送 ARP 广播询问目标 MAC 地址。
⑤ 触发超时: 由于第一个 Ping 包在路由器处被无情丢弃,PC0 端迟迟等不到回应,ICMP 计时器到期,导致首包显示超时(Request timed out)。
⑥ 后面全通: 一旦目标 PC 回应了 ARP 请求,路由器的 ARP 表项建立成功,PC0 发出的第 2、3、4 个后续数据包就能被路由器无缝封装并直接转发,全部畅通无阻。
5.4 实验排错黄金指南
如果测试时大面积出现请求超时或目标主机不可达,请按照以下逻辑自查:
(1)检查主机三要素:① 检查 PC 的 IP 地址是否在正确的网段;② 检查默认网关是否正确对应了 1.254 或 2.254,切勿配反。
(2)检查路由器逻辑子接口:① 使用 show ip interface brief 确保状态为 UP,如果为 Down 则说明物理接口忘记开启;② 检查子接口上的封装命令 encapsulation dot1Q 是否与 VLAN 标签准确对应。
(3)检查交换机链路层:① 使用 show vlan brief 检查接口是否划分正确;② 务必检查连接路由器的 Fa0/4 接口是否改为了 Trunk 模式,若是默认的 Access 模式,跨 VLAN 流量会被直接丢弃。
六、 协议抓包与原理解析(仿真模式)
在第五部分中,我们已经在实时模式下通关了 ping 测试,全网设备的 ARP 缓存表均已建立。接下来,我们将正式切换到 Simulation(仿真)工作模式 。通过手动创建 PDU(协议数据单元),直观验证单臂路由在单播跨网段转发 和广播域隔离中的底层工作机制。
6.1 前置准备:过滤网络协议
为了让仿真界面纯净、易于观察,请在右侧的 Simulation Panel(仿真面板)中点击 Edit Filters(编辑过滤器),取消勾选所有协议,仅勾选 ICMP 协议。这样我们就能专注于观察 Ping 包的生死存亡,不受其他后台流量的干扰。
6.2 验证一:跨 VLAN 的单播通信(精确追踪标签变化)
本步实验用来观察单播 IP 数据报跨越不同网段时,路由器是如何在单根物理链路上演"分身术"的。
(1)操作步骤
在右侧工具栏选择 "添加简单 PDU" (快捷键 P,图标是一个闭合的小信封)。单击 PC0(VLAN 10) 作为数据包的源(Source)。单击 PC3(VLAN 20) 作为数据包的目的地(Destination)。连续点击仿真控制区中的 "Capture / Forward"(单步前进按钮),一步步追踪信封的轨迹。
(2)观察到的完整路径与底层原理
随着你点击单步前进,你会看到极其经典的"VLAN间路由"大循环:
-
第一步(PC0 →交换机): PC0 发现目的地在异网段,将 ICMP 请求包封装上物理网关的 MAC 地址发送给交换机。此时数据包是不带标签的(Untagged)。
-
第二步(交换机 → 路由器,去程): 交换机从
Fa0/1接口收到包,由于该接口属于 VLAN 10,交换机在将包从Fa0/4(Trunk 接口)转发给路由器时,会在数据帧内部强行打上一个VLAN ID = 10的 IEEE 802.1Q 标签。 -
第三步(路由器的精准接收): 路由器从物理接口
Gig0/0收到这个带有 VLAN 10 标签的帧,因为我们在后台配置了encapsulation dot1Q 10,路由器会准确地把这个包交给它的一号分身------Gig0/0.1逻辑子接口来处理。 -
第四步(路由器的三层转发): 路由器拆开数据链路层,查看网络层目的 IP 为
192.168.2.1。查路由表发现此网段由Gig0/0.2子接口管辖。于是,路由器执行三层路由转发:撕掉 VLAN 10 的标签,重新打上VLAN ID = 20的新标签,再次通过这根网线扔回给交换机。 -
第五步(交换机 → PC3): 交换机从 Trunk 接口
Fa0/4收到带有 VLAN 20 标签的帧,它根据标签查 MAC 地址表,精准地发往属于 VLAN 20 的Fa0/5接口。在数据包出Fa0/5接口丢给 PC3 之前,交换机会把 VLAN 20 的标签脱掉(剥离),PC3 最终收到一个普通的标准 IP 数据报。 -
回程(PC3 → PC0): 随后,PC3 会发出一个 ICMP 响应包(Reply),数据包会沿着刚才的路径反向重复上述"打标签 \\rightarrow 换标签 \\rightarrow 脱标签"的过程,最终完美回到 PC0。
实验结论: 通过逻辑子接口与 802.1Q 标签配合,单臂路由成功让不同 VLAN 之间实现了受控的、安全的单播通信。
6.3 验证二:VLAN 间的广播隔离测试(视觉呈现广播边界)
划分 VLAN 最根本的目的是为了隔离广播域。本步实验将用最震撼的视觉效果,证明单臂路由在保持全网互通的同时,并没有打破 VLAN 隔离广播的功能。
(1)操作步骤
在右侧工具栏选择 "添加复杂 PDU" (图标是一个打开的、带加号的信封)。单击 PC0 作为发送源。在弹出的配置菜单中,将 Select Application(选择应用) 改为 Ping。关键步骤: 将 Destination IP Address(目的 IP 地址) 手动修改为 255.255.255.255(受限广播地址)。将 Sequence Number(序列号) 填入 1,Time(时间) 填入 0,点击 Create PDU(创建 PDU)。点击单步前进按钮,观察泛洪现象。
(2)预期现象与视觉冲击
点击运行后,你会看到工作区出现清晰的广播域分水岭:
-
交换机大面积泛洪: 当这个广播包从 PC0 到达交换机后,交换机立刻对该包进行复制,并向所有属于 VLAN 10 的接口进行泛洪(Flood)。
-
左侧安全收到: 同样属于 VLAN 10 的 PC1 和 PC2 都会收到这个广播包,并向 PC0 回应单播包。
-
路由器的终结者角色: 路由器的
Gig0/0.1子接口也会收到这个广播包。但是,路由器作为三层设备,其天职就是"终结广播" 。它在逻辑子接口上直接将该广播包无情丢弃,绝对不会把它转发到右侧的Gig0/0.2接口。 -
右侧一片寂静(核心看点): 整个转发过程中,处于 VLAN 20 的 PC3、PC4、PC5 的接口指示灯毫无反应,它们绝对不会收到这个来自 VLAN 10 的广播包!
实验结论: 实验完美证明了 VLAN 成功将一个大广播域分隔成了两个完全独立的广播域。广播包被牢牢锁在 VLAN 内部,而路由器的单臂路由子接口在跨网段转发流量时,只转发单播,不转发广播。这就完美兼顾了"隔离广播风暴"与"全网互通"的双重需求。
七、 总结与技术演进思考
通过本实训的配置与仿真验证,我们已经完整实现了跨 VLAN 的全网互通。回顾我们完成的"实验二十六(多臂路由)"和本次的"单臂路由",它们都是利用传统的二层交换机结合三层路由器来实现 VLAN 间通信的。
作为网络设计者,我们需要站在更高的维度去思考:这几种架构分别解决了什么问题?它们各自的物理瓶颈又在哪里?
7.1 技术方案横向对比:多臂路由 vs 单臂路由
| 特性维度 | 多臂路由(传统路由器方案) | 单臂路由(Router-on-a-Stick) |
|---|---|---|
| 物理连线 | 每个 VLAN 都需要一根独立的物理网线连接路由器 | 无论有多少个 VLAN,都只需要一根物理网线 |
| 物理接口占用 | 极高(1个 VLAN 耗费1个交换机端口和1个路由器三层口) | 极低(仅占用交换机和路由器各1个物理端口) |
| 设备成本 | 高昂(路由器的高速局域网物理接口非常昂贵) | 低廉(利用逻辑子接口,最大化榨取单接口价值) |
| 可扩展性 | 极差(受路由器物理接口数量限制,通常只能支持2-4个VLAN) | 较好(一个物理接口可虚拟出成百上千个子接口) |
| 带宽瓶颈 | 每个 VLAN 独享一根网线的物理带宽(如 1Gbps) | 所有 VLAN 共享同一根网线的物理带宽 |
总结:
"多臂路由"由于浪费接口、缺乏扩展性,在现代网络设计中已基本被淘汰。而"单臂路由"在成本和接口节省上具有绝对优势,只要 VLAN 数量增加,它"物理一根线,逻辑多车道"的优势就越明显。
7.2 剖析单臂路由的两大"致命软肋"
虽然单臂路由非常优雅,但在面临大规模企业网络或者高并发数据流量时,它会暴露出两个无法调和的致命缺陷:
(1)单点故障(Single Point of Failure): 整个网络跨网段的流量全部死死绑定在路由器 Gig0/0 这唯一的一根物理链路上。一旦这根网线被拔掉、或者路由器的该接口损坏,整个企业内部所有 VLAN 之间的通信将瞬间全部瘫痪。
(2)网络性能瓶颈(The Bottleneck): 这是最严重的性能缺陷。假设我们使用千兆全双工链路连接路由器。当 VLAN 10 的 PC0 单向发送 1Gbps 数据给 VLAN 20 的 PC3 时,数据包在上行(交换机→路由器)和下行(路由器→交换机)方向上各占用 1Gbps 带宽。虽然全双工链路拥有独立的收发通道,不会直接导致这单个数据流的吞吐量减半,但其真正的瓶颈在于:所有跨 VLAN 的流量都必须共享这同一条物理链路的双向带宽。一旦企业内部多个 VLAN 同时进行大量数据交互(例如多台电脑同时跨网段拷贝大文件),上行或下行通道的 1Gbps 总带宽就极易被占满,形成严重的网络拥塞。此外,路由器也会因为频繁拆改 802.1Q 标签而导致 CPU 飙升,成为整个企业网的"交通大堵塞中心"。
7.3 下一代解决方案:向三层交换机(SVI)演进
既然路由器的一条胳膊(单臂)容易成为瓶颈,那么如何才能既保留 VLAN 隔离广播的好处,又能实现超高速的跨网段转发呢?
现代企业网的终极选择是:使用三层交换机实现 VLAN 间的单播通信。
(1)什么是三层交换机?
它本质上是"内置了路由硬件引擎的高速交换机"。它在传统的二层交换机内部,通过软件虚拟出一种特殊的接口------SVI(交换机虚拟接口,即 interface Vlan 10)。
(2)为什么它能彻底解决瓶颈?
①没有物理线缆瓶颈: 三层交换机为每个 VLAN 虚拟出来的"网关"是在设备芯片内部直接连接的。VLAN 10 和 VLAN 20 之间的核心路由转发在交换机内部的 ASIC 硬件芯片上瞬间完成,不需要把数据包顺着网线送到外面的路由器再转回来。
②硬件级线速转发: 传统路由器依靠 CPU 查路由表转发数据(速度慢),而三层交换机采用"一次路由,多次交换"的硬件转发机制,转发速率可以达到线速(Line-rate),彻底打破了单臂路由的带宽瓶颈。