通信電纜 網絡設備 無線通信 云計算|大數據 顯示設備 存儲設備 網絡輔助設備 信號傳輸處理 多媒體設備 廣播系統 智慧城市管理系統 其它智慧基建產品
深圳市雷文電子有限公司
深圳市雷文電子有限公司
閱讀:322發布時間:2022-2-11
在二層交換環境下,一個VLAN就是一個廣播域,相同VLAN內的節點如果配置相同網段的IP地址即可直接通信,我們將這種通信稱為二層通信。不同VLAN是不同的廣播域,一般也是不同的邏輯子網,而且相互隔離,無法直接互訪,這樣能起到隔絕廣播的作用,如上圖所示。
但是實際網絡中往往VLAN之間有互訪的需求,例如同一公司不同的部門劃分在不同的VLAN,那么如果這些部門之間有數據往來的需求呢,此時二層交換機就無法實現了,需要借助三層設備(路由設備)。一個的方法,就是使用路由器:
在上圖中,交換機將GE0/0/1及GE0/0/23口都配置為access類型并都加入VLAN10;將GE0/0/2及GE0/0/24都配置為access類型并都加入VLAN20。然后將路由器Router的GE0/0/1口作為VLAN10用戶的網關,GE0/0/2作為VLAN20用戶的網關,從而利用路由器的路由功能實現兩個VLAN之間的互訪,這么做看似可行,但是一個VLAN就需要路由器拿出一個接口,那么如果內網有10個VLAN呢?路由器表示鴨梨很大。所以另一種稍微改進點的方法是,在路由器的一個物理接口上,配置邏輯的子接口(Sub-interface)來實現同樣的需求,這種解決方案叫單臂路由。
交換機與路由器之間僅需一根物理鏈路即可,這段鏈路由于要承載多VLAN的數據,因此在交換機上就要將與路由器對接的接口(GE0/0/24)設置為Trunk類型。路由器這邊呢雖然只有一個物理接口(GE0/0/1)與交換機相連,但是我們可以基于這個物理接口創建多個子接口,子接口GE0/0/1.10對應VLAN10,它能夠識別VLAN10的標記,并且能夠處理帶VLAN10標記的數據幀,同理GE0/0/1.20對應VLAN20。如此一來,在路由器上僅使用一個物理接口,即可支持多個VLAN的數據。
子接口是一個軟件的、邏輯的接口,是基于物理接口創建的。路由器會把子接口當成是一個普通接口來對待。通過子接口的方式我們可以大大的節省硬件成本。
完成配置后,交換機連接PC的接口添加到相應的VLAN則PC即可互通。從上面這個碉堡的圖可以更加形象地理解子接口的概念,其實就是相當于在一個大管道里套著兩個小管道。值得注意的是一旦我們在物理接口上創建了子接口,那么后續的配置將不會再在物理接口上做,而是在子接口上進行,我們只要保證物理接口沒有被shutdown即可。
以太網子接口技術可部署在路由器上,也可以部署在防火墻上,我們來看一個例子。
站點內網有兩個VLAN,VLAN10及VLAN20。現在的需求是,要求VLAN10及VLAN20能夠實現互訪,而且互訪流量必須經過防火墻做安全檢查。VLAN10內的網元非常重要,屬于高安全級別的網絡,而VLAN20內的網絡則安全級別更低。
交換機工作在二層模式,連接終端的接口配置為access類型并且分別加入到相應的VLAN。同時交換機連接防火墻的接口GE0/0/24配置為Trunk類型并且放通VLAN10及VLAN20。
隨后在防火墻的GE0/0/1口上創建兩個子接口:GE0/0/1.10及GE0/0/1.20,子接口的配置如圖所示,這兩個子接口分別對應VLAN10及VLAN20。最后別忘了要將子接口添加到相應的安全域中,例如VLAN10這個網絡如果比較重要,則可將防火墻的GE0/0/1.10接口添加到高安全級別的區域,如Trust,而VLAN20可能需要接受來自外部的訪問,因此規劃在DMZ域,故將子接口GE0/0/1.20添加到DMZ區域。接下去就可以部署域間包過濾規則了。
在理解了子接口之后,再來看看三層交換機是如何實現VLAN間的數據互訪的,從這里切入,開始理解并部署三層交換。我們知道二層交換機是可以實現二層交換的,它關心的是數據幀,對幀頭的二層信息進行讀取并且根據自己的MAC地址表進行轉發。而三層交換機相當于在二層交換機的基礎上,多了個路由模塊,于是乎它就能支持路由功能了:支持路由選擇協議、支持三層數據轉發、支持IP路由查找、支持三層接口等等。
先來認識一下vlan-interface(簡稱vlanif),這是一個邏輯接口,也就是說這并不是一個真實的物理接口,當我們在交換機上創建了一個VLAN之后,緊接著就可以創建一個與這個VLAN對應的vlanif,例如我們創建了VLAN10,那么VLAN10對應的vlanif就是interface vlanif 10,這個vlanif10是一個三層接口,你可以為這個vlanif10配置IP地址,與VLAN10內的PC用戶的IP地址同一網段,這樣一來,VLAN10內的用戶就能夠將網關指向這個vlanif,當VLAN10的PC需要訪問本網段以外的網絡時,它們將數據交給網關,也就是vlanif10,再由三層交換機去做路由查找及數據轉發。實際上,在這個理解過程中,我們可以拿單臂路由那個模型對類比。
所以看上面這圖,在三層交換機上創建了兩個VLAN:10和20,同時為兩個VLAN的vlanif分配了地址作為各自VLAN的用戶網關,這樣一來,這臺交換機的路由表里就有了兩個VLAN網段的路由。那么當兩VLAN之間要互訪時,VLAN10的用戶將數據丟給自己的網關,也就是vlanif10,數據到了vlanif10之后,三層交換機查看數據包的目的地址IP并在路由表中進行匹配,發現目的地是VLAN20的所在網段,因此將數據從VLAN20扔出去,最終抵達目的地的VLAN20的PC。
Vlanif的基礎配置:
SW的配置如下:
#創建VLAN10及20,將GE0/0/1劃分到vlan10,GE0/0/2劃分到vlan20:
[SW] vlan batch 10 20
[SW] interface GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1] port link-type access
[SW-GigabitEthernet0/0/1] port default vlan 10
[SW] interface GigabitEthernet 0/0/2
[SW-GigabitEthernet0/0/2] port link-type access
[SW-GigabitEthernet0/0/2] port default vlan 20
#為vlanif10及vlanif20配置IP地址,作為vlan10及vlan20用戶的網關
[SW] interface vlanif 10
[SW-vlanif10] ip address 192.168.10.254 24
[SW] interface vlanif 20
[SW-vlanif10] ip address 192.168.20.254 24
完成上述配置后,PC1將自己的IP地址設置在192.168.10.0/24網段,同時將網關配置為192.168.10.254;PC2的IP地址則配置在192.168.20.0/24,網關設置為192.168.20.254,兩者就能夠互相通信了。
二、三層交換機、路由器簡單組網:
PC1及PC2分別處于VLAN10及VLAN20,它們的缺省網關都設置在三層交換機SW2上。SW1是接入層交換機,只具備二層交換功能。SW2與路由器Router實現三層對接,用于兩者對接的VLAN是VLAN99。上述拓撲,我們可以畫一個邏輯圖來幫助理解:
SW1的配置如下:
[SW1] vlan batch 10 20
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 20
#連接SW2的接口,配置為Trunk類型
[SW1] interface GigabitEthernet 0/0/22
[SW1-GigabitEthernet0/0/22] port link-type trunk
[SW1-GigabitEthernet0/0/22] port trunk allow-pass vlan 10 20
SW2的配置如下:
[SW2] vlan batch 10 20 99
[SW2] interface GigabitEthernet 0/0/22 #連接SW2的接口
[SW2-GigabitEthernet0/0/22] port link-type trunk
[SW2-GigabitEthernet0/0/22] port trunk allow-pass vlan 10 20
[SW2] interface GigabitEthernet 0/0/24 #連接路由器的接口
[SW2-GigabitEthernet0/0/24] port link-type access
[SW2-GigabitEthernet0/0/24] port default vlan 99
#
[SW2] interface vlanif 10
[SW2-vlanif10] ip address 192.168.10.254 24
[SW2] interface vlanif 20
[SW2-vlanif20] ip address 192.168.20.254 24
[SW2] interface vlanif 99
[SW2-vlanif99] ip address 192.168.99.1 24
#為SW2配置默認路由,下一跳是路由器
[SW2] ip route-static 0.0.0.0 0.0.0.0 192.168.99.2
Router的配置如下:
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] ip address 192.168.99.2 24
#記得為路由器配置靜態路由指向vlan10及vlan20對應的網段,否則回程數據就會有問題:
[Router] ip route-static 192.168.10.0 24 192.168.99.1
[Router] ip route-static 192.168.20.0 24 192.168.99.1
智慧城市網 設計制作,未經允許翻錄必究 .? ? ?
請輸入賬號
請輸入密碼
請輸驗證碼
請輸入你感興趣的產品
請簡單描述您的需求
請選擇省份