VLAN间通信单臂路由实验学习资料

VLAN间通信单臂路由

■

目标：通过路由器进行多个VLAN互联

环境：1.交换机为二层交换机，支持VLAN划分;2.路由器只有1个Ethemet接口

实施：采用单臂路由，即在路由器上设置多个逻辑子接口，每个子接口对应于一个

VLANo由于物理路由接口只有一个，各子接口的数据在物理链路上传递要进行标记封装。

Cisco设备支持ISL和802.lq协议。华为设备只支持802.

单臂路由的配置实例（略）

在学习单臂路由的配置之前，建议大家先学好VLAN,起码要知道VLAN是怎么配置的，这样

学单臂路由就轻松多了。

先来了解一下什么是单臂路由，为什么要用到单臂路由。VLAN（虚拟局域网）技术是路

由交换中非常基础的技术。在网络管理实践中，通过在交换机上划分适当数目的vlan,不

仅能有效隔离广播风暴，还能提高网络安全系数及网络带宽的利用效率。划分vlan之后，

vlan与vlan之间是不能通信的，只能通过路由或三层交换来实现。我们知道路由器实现路

由功能通常是数据报从一个接口进来然后另一个接口出来，现在路由器与交换机之间通过

•条主干现实通信或数据转发，也就是说路由器仅用•个接口实现数据的进与出，因为我

们形象地称它为单臂路由。单臂路由是解决vlan间通信的一种廉价而实用的解决方案。

下面请看图,PC-A和PC-B分别属于vlanlO和vlar.20,Switch2950是一个cisco的二

层交换机，型号2950,欲实现vlanlO和vlan20的通信，我们要增加一个路由器来转发

vlan之间的数据包，路由器与交换机之间使用单条链路相连（图中画红线），这条链路也

叫主干，所有数据包的进出都要通过路由器2600的f-0/O端口来现实数据转发。

Router-2600

Fa0/0

Trunk

Switch-2950

FaO/1FaO/2

VLAN10VLAN20

PC-A

192.168.10.2/24

接下来，结合以上网络拓扑探讨一下单臂路由的配置。图中路由器是cisco的2600系

列，交换机采用cisco的2950.

一、配置交换机

Switch〉启动后进入CLI界面

Switch>en&ble进入特权模式

SwitchBvlandatabase进入配置VLAN模式

Switch(vlan)#vlan10namecaiiru配叁第一个VALH10，取名叫caiwu

VLAN10added:

Name:caitru

Switch(vlan)#vlan20namerenshi配置第二个VLAN20,取名叫renshi

VIAN20added:

Name:renshi

Switch(vlan)«exit退出VLAH配置模式

KPPLYcompleted.

Exiting....

Switchllconfigureterminal进入特权模式，开始配置接口

Enterconfigurationcoiman<is,oneperline.EndwithCHTL/Z.

Switch(config)HintertacetO/1进入fO/1接口

Switch(config-it)Mwitchportmodeaccess

Switch(config-if)#s^fitchportaccessvlan10把f0/1接口分配给VLAN10

Switch，config-if)#exit

Switch(config)#interfacef0/2进入fO/2接口

Switch(config-if)#switchportmodeaccess

Switch(config-if)tfswitchportaccessvlan20把f0/2接口分配给VLAN20

Switch(config-if)#exit

Switch(config)tfinterfacef0/12

Switch(configr-if)ttmritchportmodetrunk把f0/l

Switch(config-if)11end

二、配置路由器

Router》启动跖由W后送入CU界面

Router>«nable进入特权植K

RouterVconfigureterminal送入全w模Jt

Enterconfigurationconnmnds,oneperline.EndwithCHTL/Z.

Router(contig)*interfacef0/0配置fQ/O

Routor(confiff-It)Nnoshutdown激活f0/0,也就是打开这个卷口

%l.im(-3-UPDOmftrnterfareFastEthornetO/Orhangpdcdtoup

Router(conflg-if)Hinterfacef0/0.1配素千楼口#，在复后MM".「，这是配置里口路由的关8t步糕

Router(confi«-subif)Nipaddress192.166.10.1255.255.255.0为这个整口配置IPfOSubnet

Routcrfcontig-sublf)11encapsulationdotlq10然后为N个接口Id量802.IQ怜议》关慢步舞

Router(conf19-sublfjttexlt

Router(conflg)*interfaref0/0.2配置第二个子林口

Router(confIg-subif)11ipaddress192.166.20.1255.295.233.0

Router(confsubifIHencapsulationdotlq20cfiinaitlab

Routcr(conf19-subif)Hend中国IT实龄室

三、验证

最后配置PC-A和PC-B的IP地址和子网掩码，具体请看图。下面试试PC-A主机ping

PC-B主机。实验结果能Ping通，配置成功。

验结果能Ping通，配置成功。

单臂路由（Vian间路由）

众多中小企业内部网络结构都很简单，仅仅是用一台交换机将所有员工机以及服务器连接

到一起，然后通过光纤访问internet而已。当然为了保证部分主机的安全性以及分割内部

广播包提高网络传输速度，采取诸如划分VLAN,分配不同子网的方法来实现。通过划分

VLAN可以让在同一台交换机不同端口的客户机不能互相访问，有效的隔离了网络。

通过VLAN划分网络固然可以解决安全和广播风暴的频繁出现，但是对于那些既希望隔

离乂希望对某些客户机进行互通的公司来说，划分VLAN的同时为不同VLAN建立互相访问的

通道也是必要的。

众所周知可以使用三层交换机来实现，但是大多数情况企业网络搭建初期购

买的仅仅是二层可管理型交换机，如果要购买三层交换机实现VLAN互通功能的话，以前的

二层设备将被丢弃。这样就造成了极大的浪费。那么有没有什么办法在仍然使用二层设备的

基础匕实现三层交换机的功能呢？

一、三层交换机的原理：

在告诉各位读者解决方法前我们需要首先了解三层交换机的工作原理。理论上讲一台三

层交换机可以看做是一个二层交换机+一个路由模块，实际使用中各个厂商也是通过将路由

模块内置于交换机中实现三层功能的。在传输数据包时先发向这个路由模块，由其提供路由

路径然后再由交换机转发相应的数据包。

二、单臂路由原理：

既然仍然要使用以前的二层设备，那么我们可以通过添加一台路由器解决上面提到的

企业网络升级问题。这台路由器就相当于三层交换机的路由模块，只是我们将其放到了交换

机的外部。具体原理拓扑

华为2621路由器

大家可以看出在router路由器与交换机之间是通过外部线路连接的，这个外部线路只

有一条，但是他在逻辑上是分开的，需要路由的数据包会通过这个线路到达路由器，经过

路由后再通过此线路返回交换机进行转发。所以大家给这种拓扑方式起了一个形象的名字一

一单臂路由。说白了，单唇路由就是包从哪个口进去，又从哪个口出来，而不象传统网络拓

扑中数据包从某个接口进入路由器又从另一个接口离开路由器。

那么什么时候要用到单臂路由呢?在企业内部网络中划分了VLA"当VLAN之间有部分

主机需要通信，但交换机不支持三层交换，这时候可以采用一台支持802.1Q的路由器实现

VLAN的互通。我们只需要在以太口上建立子接口，并分配IP地址作为该VLAN的网关，同

时启动802.1Q协议即可。

小提示：

一个物理接口当成多个逻辑接口来使JIJ时，往往需要在该接口上启用子接口。通过一个

个的逻辑了•接口实现物理湍口以一当多的功能。

三、实战单臂路由：

笔者所在公司恰恰遇到了上面说的问题，原来使用交换机连接内部网，划分了VLAN。

但是现在需要让这些VLAN实现互通，笔者购买了一台华为2621路由器来实施单臂路由解决

此问题。具体拓扑图如图1所示。

交换机连接了多个网段,有10.91.30.*/24,

10.83.224.*/24,10.83.225.*/24,10.83.226.*/24。每个网段都处在不同的VLAN中。所有

数据包都通过光纤连接到核心设备。由于交换机上的光纤接口只对于10.91.30.*/24有效,

所以其他网段的计算机在没有路由器的前提下都无法正常卜.网。这时我们就需要通过华为

2621路由器为他们指明路由下一跳的地址，完成数据包的传输。

(1)交换机上配置：

交换机上划分YLAN以及将不同接口和网段加入不同VLAN的操作这里就不详细说明了J

导是榭射?0.83.224.*对应VLAN302,10.83.225.*对应VLAN303,10.83.226.*对应VLAN304,

10.83.227.*对应丫1煦30已下一条的路由地址为10.82.6.113,对应的VLAN号是307,

自己注：一定记着配置trunk端口

(2)路由器上的配置：

本实战路由器上的配胃是关键，需要将连接交换机⑼备的那个接II设置为多个子接II。

第一步:用consol。线连接路由器，进入cthcrnct0端口，并启用该接口。

intethernet0

undoshut(如图2)

[ftjv/cbzx]intethernet0

[ftjwcbzx-Ethernet0]undoshut

XInterfaceEthernetsisup

[ftjvjcbzx-Ethernet0]

图2:进入E0端口并启用

第二步:不要对ethernet0直接操作，为其添加多个子接口。

intethernet0.1

intethernet0.2

intethernet0.3

intethernet0.4

intethernet0.5

第三步:为每个子接口设置trunk模式，并添加到对应的VLAN中。我们以elhernetO.1

为例子，其他几个子接口设置命令类似。

intethernetO.1

vlandotlqvid302（如图3）

[ftjwcbzxlintethemet0

[ftjwcbzx-EthernetOlundoshut

XInterfaceEthernetsisup

[ftjvicbzx-Ethernet0]

图3:为子接口设置trunk模式

（自己注:在CISCO中,interfacef0/0.1

F0/0.2

然后配置：encapsulationdoql1（vlan1）

2

3

）

小提示：

在设置.trunk模式时需要我们定义trunk所使用的协议，一般来说有ISL和dotlq两

种协议提供给我们选择，如果你的设备都是CISCO的话使用哪个都可以，但是如果你的设

备有CISCO还有别的公司的产品的话就必须使用802.lq协议了，笔者这样的网络环境，由

于路由器是华为2621,所以必须使用802.lq协议进行trunk通讯。笔者开始就盲目的设置

为ISL结果网络始终不通，后来才想到这个问题。

第四步:接下来我们还需要使用ipaddress命令为每个子接LI设置好IP地址。

第五步:为路由器添加一个缺省路由，指向光纤通往核心设备的IP地址。

iproute-static0.0.0.00.0.0.010.82.6.114

第六步:保存所有设置后使用discur命令查看当前配置列表。（如图4）

（八・。皿22as4

aaaaccounting-scheneoptional

*

interfaceAuxH

Asyncnodeflow

1ink-protoco1ppp

•

intoxfaceEtIteme10

t

inter/aceEthcmctB.l

vlan-typedotlquid3H2

ipaddress10.83.224.2542SS.2S5.255.0

t

intenf«ceEthcrnet0.2

vl<m-typedotlquid303

ipaddress10.83.225.254255.255.255.0

?

inturfeccEthernet。.3

ulan-typedotlqvid304

ipaddress10.83.226.2542S5.255.255.0

9

interfaceEthernetB.4

vlan-typedotlquid305

ipaddress10.83-227.2542S5.255.255.0

•

inte>*faceEt>ternet0.5

vlan-tdotlqvid307

ipaddress10.82.6.113255.2S5.2S5.252

intiR1

f

intet*fAceSeriA10

1Ink-pt*otoco1ppp

t

inter-faceSefiall

link-protocolppp

t

Quit

iproute-staticK.U.W.MH.W.M.H1H.H2.6.114

t

return

四、常见问题：

在配置单臂路由过程中要特别注意以下几个问题：

(1)不要对ethernetC进行任何配置，我们只需要对其子接口进行划分和设置即可。

(2)不要忘记将ethernetO开启，使用命令undoshut,这样所有子接口会同时开启。

(3)如果有防病毒ACL等列表的话不要忘记在最后添加到ethernetO上。

(4)由于单臂路由数据包进出都使用同一个接口必然对该路由器的硬件要求比较高，所

以在实际使用中不要随便找一台低端路由器充数，稳定和较大内存是担当单臂路由器的设

备所必须的。

(5)在设置TRUNK类型时候要根据实际情况选择是ISL还是802.lq协议。

(6)所有配置命令都需要在路由器没有连接交换机的状态下进行，当所有设置信息输入

完毕并保存后才可以使用网线将路由器和交换机连接。为什么呢？因为单臂路由很消耗路由

器的资源，所以如果在配置过程中已经将该路由器连接到了单臂拓扑中那么输入命令，显

示命令会变得非常缓慢。笔者刚开始就是这样边连接边设置的，发现路由器跟死机一样，执

行一个discur显示配置信息命令居然要等待十分钟以上，也可能是内网中已经有的病毒在

发送大量数据包造成的。总之还是设置完毕再连接网络比较保险。

五、单臂路由的缺点：

单臂路由的缺点也是显而易见的，一方面他非常消耗路由器CPU与内存的资源，在一

定程度上影响了网络数据包传输的效率，另一方面将本来可以由三层交换机内部完成的工

作交给了额外的设备完成：对于连接线路要求也是非常高的。另外通过单臂路由将本来划分

得好好的VLAN彻底打破，原有的提高安全性与减少广播数据包等措施起到的效果也大大降

低了。当然不管伍么说单臂路由仍然星企福网络升级，经费紧张时一个不错的诜择。

总结：

单臂路由方式仅仅是对现有网络升级时采取的一种策略，在企业内部网络中划分了

VLAN,当VLAN之间有部分主机需要通信,但交换机不支持三层交换，这时我们使用该方法

来解决实际问题。由于单臂路由存在着很多这样或那样的缺点，所以不建议大家在网络搭建

初期就使用这种方式建立拓扑。

再给个cisco的命令以参考

实验设备：

一台262()路由器一台2950交换机两台PC

实验目的：

学习VLAN间的单臂路由配置实现！

实验步骤：

Router>en

Routerftconft

Router(config)ntf0/0

Router(config-if)#nosh

Router(config-if)tiintf0/0.10

Router(config-subif)rtencapsulationdotlq10

Router(config-subif)#ipadd192.168.1.1255.255.255.0

Router(config-subif)#nosh

Router(config-subif)#in:f0/0.20

Router(config-subif)ttencapsulationdotlq20

Routcr(config-subif)#ipadd192.168.2.1255.255.255.0

Router(config-subif)#nosh

Switch>en

Switch#vlandatabase

Switch(vlan)ftvlan10nametextlO

Switch(vlan)#vlan20nametext20

Switch(vlan)#apply

Switch(config-if)ftintf0/l

Switch(config-if)#switchportaccessvlan10

Switch(config-if)#intfO/2

Switch(config-if)#switchportaccessvlan20

Switch(config-if)ftintfO/12

Switch(config-if)ttswitchportmodetrunk

Switch(config-if)^switchporttrunkencapsulationdotlq

pci

c:/ip/ip192.168.1.10255.255.255.0

c:/ip/dg192.168.1.1

pc2

c;/ip/ip192.168.2.10255.255.255.0

c:/ip/dg192.168.2.1

实验测试：

PCI可以和PC2通信！

实验总结：

注意以下命令：

Router(config-subif)ffencapsulationdotlq10

路由器的封状方式为D0T1Q后面的10为F0/0.10

Switch(config-if)#switchporttrunkencapsulationdotlq

交换机的FO/12为TRUNK封装方式为D0T1Q

单臂路由实验是一个基本的路由实验，现在把我个人的配置方法写出来，和大家一起探讨。以下是拓扑图!

（本实验在BOSON模拟实验中完成）

?首先对SW进行VSN配屋

777>enable

?#(config)hostnamesw

?#(config)vlandatabase进入vlan配置模式

#(config)vlan10nametestl划分vlan并命名

???#(config)vlan20nametest2

???#(config)exit退出Wan配置模式

???#(config)intfO/l进入端口fO/1

???将相应端口划分到相应的vlan中

???#(config)switchportaccessvlan10

???#(config)intfO/2

???#(config)switchportaccessvlan20

???我们知道，如果没有路由支持的情况下，vlanlO与Man20是不能进行通信的。这里，我们就用到

单臂路由来作为各vlan间的桥梁。在这个实验里，我们要用到dotlq封装协议。同时，在交换机上配置

trunk,并进行封装。

'!'!'!#(config)intfO/12

???#(config)switchportmodetrunk

???#(config)switchporttrunkencapsulationdotlq

???在交换机上配置trunk,并进行封装。

???由于本节只探讨单臂路由，所以交换机就配置到这里

???下面进行router配置

???>enable

???#(config)inteO进入eO并激活

???#(config)noshut

???#(config)inteO.10建立子接口,并分配IP地址，这里的IP将成

???为后面加入各Wan电脑的网关

???#(config)encapsulationdotlq10

???#(config)ipadd192.168.1.1255.255.255.0

???#(config)noshut

#(contig)exit

???#(config)inte0.20

???#(config)encapsulationdotlq20

???#(config)ipadd192.168.2.1255.255.255.0

???#(config)noshut

???现在我们对pc进行配置，这里介绍两种方法，一种图形界面，一种命令界面。首先用图形

#winipcfg当输入些命后有一个图形界面弹出，把相应的IP与网关填上。以PC1为例，我们就应填入。

192.168.1.X255.255.255.0网关：192,168.1.1

1.实验器材：

2811路由器一台,2690交换器一台，二台pc机

2.先在交换机上配置二个vlan

vlan2:

网关：192.168.1.33255.255.255.224

网络id:192.168.1.32

pc0:192.168.1.34255.255.255.224

vlan3:

网关：192.168.1.65255.255.255.224

网络id:192.168.1.64

pc1:192.168.1.66255.255.255.224

二、配置：

1.配置路由器：

Router^enable

Router#configureterminal

Router(conng)#interfacefastElhemet0/0

Router(config-if)#noipaddress

Router(config-if)#noshutdown

Router(config-if)#exit

Router(config)#interfacefastEthernet0/0.1

Router(config-subifi#encapsulationdot1Q2

Routcr(config-subif：i#ipaddress192.168.1.33255.255.255.224

Routcr(config-subifj#noshuldown

Router(config-subif：i#exit

Router(config)#interfacefastEthernet0/0.2

Router(config-subifi#encapsulationdot1Q3

Router(config-suhifi#ipaddress192.168.1.65255.255.255.224

Router(config-subif)#noshutdown

Routcr(config-subifi#cnd

Router#showrunning-config

2.配置交换机：

Switch>enable

Switch#configurcterminal

Switch(config)#interfacefastEthernet0/3

Switch(config-if)#s\vitchportmodetrunk

Swi(ch(config-iO#exil

Switch(config)#vlan2

Switch(config-vlan)#namewangchao2

Switch(config-vlan)#\dan3

Switch(config-vlan)#namewangchao3

Switch(config-vlan)#exit

Switch(config)#intcrfaccfastEthernet0/1

Switch(config-if)#s\vitchportmodeaccess

Switch(config-if)#s\vitchportaccessvlan2

Switch(conHg-if)#exiI

Switch(config)#interfacefastEthernet0/2

Switch(config-if)#s\vitchportmodeaccess

Switch(config-if)#s\vitchportaccessvlan3

Switch(config-if)#cnd

Switch#showrunning-config

3祝置pc机：

pcO:

网关：192.168.1.33

ip:192.168.1.34

子网掩码：255.255.255.224(/27)

pci:

网关：192.168.1.65

ip:192.168.1.66

子网掩码:255.255.255.224(Z27)

路由模拟PC进行单臂路由实验

实验环境说明：

1.利用路由器R1.R2模拟PC,关闭其路由功能;

2.将路由器R1的FaO/O端口的ip设为：192.168.1.2/24,默认网关设为：192.168.1.1;

3.将路由器R2的FaO/O端口的ip设为：192.168.0.2/24,默认网关设为：192.168.0.1;

4.将交换机SW1关闭路由功能，作为二层交换机使用，并划分VLAN14.VLAN15两

个VLAN;

5.将交换机SW1的Fal/14端口加入到VLAN14中,将Fal/15端口加入到VLAN15

中；

6.在路由器R3的Fa0/0接口启用子接IIFa0/0.14（ip设为：192.168.0.1/24）>Fa