張亞輝

摘要：在配置有多個VLAN的交換式局域網(wǎng)中，VLAN間路由的實現(xiàn)保證了整個網(wǎng)絡(luò)的暢通運行。分析了VLAN間路由不同實現(xiàn)方法的特點。針對不同的實現(xiàn)方法，分別設(shè)計了實驗網(wǎng)絡(luò)模型，并在Packet Tracer軟件中進行了仿真，詳細闡述了配置過程。仿真結(jié)果驗證了不同實現(xiàn)方法的可行性。

關(guān)鍵詞：VLAN間路由；單臂路由；三層交換機；Packet Tracer；仿真

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）10-2223-03

Abstract：The implementation of inter-VLAN routing ensures the smooth running of the whole network which is a switched LAN with the configuration of many VLANs. It is analyzed into the characteristics of different approaches to implement the inter-VLAN routing. The experiment network models are designed respectively to different implementation methods. These models have been simulated in Packet Tracer， and the configuration procedure is described in detail. The results of the simulation verify the feasibility of the different implementation methods.

Key words： Inter-VLAN Routing； One-armed Router； Layer 3 Switch； Packet Tracer； Simulation

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）是在交換式局域網(wǎng)基礎(chǔ)上，構(gòu)建的可跨越不同網(wǎng)段、或不同地理位置網(wǎng)絡(luò)的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng)，即一個廣播域。它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。一個VLAN內(nèi)部的廣播流量不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制廣播風(fēng)暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)安全[1]。

1 VLAN間路由

使用VLAN把一個網(wǎng)絡(luò)隔離成多個廣播域后，各個VLAN之間是不能互相訪問的，因為各個VLAN的流量實際上相當(dāng)于在物理上已經(jīng)隔離。隔離網(wǎng)絡(luò)并不是建網(wǎng)的最終目的，選擇VLAN隔離只是為了優(yōu)化網(wǎng)絡(luò)，最終還需要讓整個網(wǎng)絡(luò)能夠暢通運行。解決VLAN之間的通信需要借助三層路由設(shè)備來完成，常見的實現(xiàn)方式有三種，即利用路由器不同端口連接不同VLAN、利用單臂路由和利用三層交換機。

1.1 利用路由器不同端口連接不同VLAN

通過路由器的不同物理接口與交換機上的每個VLAN分別連接，其優(yōu)點是管理簡單，但是網(wǎng)絡(luò)擴展難度大。每增加一個新的VLAN，都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布設(shè)一條網(wǎng)線。然而通常情況下，路由器不會帶有太多LAN接口。因此為了滿足VLAN擴展對端口的需求，就必須將路由器升級成帶有多個LAN接口的高端產(chǎn)品，這部分成本以及重新布線所帶來的開銷，都使得這種實現(xiàn)方法在實際網(wǎng)絡(luò)部署中不受用戶歡迎。

1.2 利用單臂路由實現(xiàn)VLAN間路由

在路由器上定義多個邏輯子接口（如f0/0.1、f0/0.2）對應(yīng)于各個VLAN，路由器與交換機之間通過一條干道鏈路實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)，也就是說路由器僅用一個物理接口實現(xiàn)數(shù)據(jù)的輸入與輸出，形象地稱這種方式為單臂路由[2]。

這種連接方式要求路由器和交換機的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協(xié)議也必須相同。由于在一個物理端口上設(shè)置了多個邏輯子接口實現(xiàn)網(wǎng)絡(luò)擴展，因此網(wǎng)絡(luò)擴展比較容易且成本較低，缺點是對路由器的配置要復(fù)雜一些。單臂路由是解決VLAN間通信的一種廉價而實用的解決方案。

1.3 利用三層交換機實現(xiàn)VLAN間路由

隨著VLAN間流量的不斷增加，如果采用路由器實現(xiàn)VLAN間通信，很可能導(dǎo)致路由器成為整個網(wǎng)絡(luò)的瓶頸[3]。為了解決這一問題，三層交換機應(yīng)運而生。三層交換機本質(zhì)上即為“帶有路由功能的二層交換機”，它采用硬件技術(shù)，巧妙地把二層交換機和路由器在網(wǎng)絡(luò)中的功能集成到一起，提高了網(wǎng)絡(luò)的集成度，增強了轉(zhuǎn)發(fā)性能。在一臺三層交換機內(nèi)，分別設(shè)置了交換機模塊和路由器模塊，而內(nèi)置的路由模塊使用ASIC（專用集成電路）硬件處理路由，因此與傳統(tǒng)的路由器相比，可以實現(xiàn)高速路由。另外，路由與交換模塊是匯聚連接的，由于是內(nèi)部連接，可以確保足夠大的帶寬。這種方式多用于較大規(guī)模網(wǎng)絡(luò)的部署。

2 Packet Tracer仿真軟件

Packet Tracer是Cisco（思科）公司開發(fā)的一個用來設(shè)計、配置和網(wǎng)絡(luò)故障排除的模擬仿真軟件，能夠滿足CCNA和部分CCNP的仿真實驗對環(huán)境的要求[4]。使用者可以在軟件的圖形界面上直接拖拽網(wǎng)絡(luò)設(shè)備建立網(wǎng)絡(luò)拓撲，并可在仿真的設(shè)備上進行網(wǎng)絡(luò)配置，最終可驗證整個網(wǎng)絡(luò)設(shè)計的正確性。軟件還可以對網(wǎng)絡(luò)中各個分組的傳輸進行模擬，用戶可以清楚地觀察分組在網(wǎng)絡(luò)中的傳輸過程，從而加深對網(wǎng)絡(luò)設(shè)備工作原理以及網(wǎng)絡(luò)協(xié)議的理解。

3 VLAN間路由的仿真實現(xiàn)

3.1 利用路由器不同端口連接不同VLAN

1） 在仿真軟件Cisco Packet Tracer中搭建如圖1所示網(wǎng)絡(luò)，按照表1所示配置PC1、PC2的網(wǎng)絡(luò)連接參數(shù)。

2） 配置路由器R

按照表1所示，配置路由器R的端口參數(shù)[5]：

R （config）#interface fastEthernet0/0 // 配置端口f0/0

R （config-if）#ip address 192.168.1.1 255.255.255.0 // 配置IP地址、子網(wǎng)掩碼

R （config-if）#no shutdown // 激活端口

R （config-if）#exit

R （config）#interface fastEthernet0/1 // 配置端口f0/1

R （config-if）#ip address 172.16.1.1 255.255.0.0 // 配置IP地址、子網(wǎng)掩碼

R （config-if）#no shutdown // 激活端口

3） 配置交換機S

① 新建VLAN：

S（config）#vlan 100 //新建VLAN 100

S（config）#vlan 200 //新建VLAN 200

② 劃分端口：

S（config）#interface fastEthernet0/1 // 配置端口f0/1

S（config-if）#switchport mode access // 配置端口模式為access

S（config-if）#switchport access vlan 100 // 把端口f0/1劃分到VLAN 100中

按照同樣的方法，把端口f0/2劃分到VLAN 100中，端口f0/3、f0/4劃分到VLAN 200中。

4） 在PC1上用ping命令測試與PC2的連通性，可以發(fā)現(xiàn)PC1和PC2是連通的。

3.2 單臂路由實現(xiàn)VLAN間路由

1） 在Packet Tracer中搭建如圖2所示網(wǎng)絡(luò)，并按照表1所示參數(shù)分別配置PC1、PC2。

2） 配置路由器R

① 配置子端口：

R （config）#interface fastEthernet0/0.1 // 配置子端口f0/0.1

R（config-subif）#encapsulation dot1Q 100 // 封裝IEEE 802.1Q協(xié)議

R （config-subif）#ip address 192.168.1.1 255.255.255.0 // 配置IP地址、子網(wǎng)掩碼

R （config-subif）#exit

R （config）#interface fastEthernet0/0.2 // 配置子端口f0/0.2

R （config-subif）#encapsulation dot1Q 200 // 封裝IEEE 802.1Q協(xié)議

R （config-subif）#ip address 172.16.1.1 255.255.0.0 // 配置IP地址、子網(wǎng)掩碼

② 激活端口f0/0：

R （config）#interface fastEthernet0/0

R （config-if）#no shutdown

3） 配置交換機S

① 新建VLAN 100和VLAN 200。

② 分別把端口f0/1、f0/3劃分到VLAN 100、VLAN 200中。

③ 配置端口f0/5：

S（config）#interface fastEthernet0/5 // 配置端口f0/5

S （config-if）#switchport mode trunk // 配置端口模式為trunk

S （config-if）#switchport trunk allowed vlan all // 允許所有VLAN通過

4） 在PC1上用ping命令測試與PC2的連通性，可以發(fā)現(xiàn)PC1和PC2是連通的。

3.3 三層交換機實現(xiàn)VLAN間路由

1） 在Packet Tracer中搭建如圖3所示網(wǎng)絡(luò)，并按照表1所示參數(shù)分別配置PC1、PC2。

2） 在交換機S1上，新建VLAN 100，并把端口f0/1、f0/2劃分到VLAN 100中。

3） 在交換機S2上，新建VLAN 200，并把端口f0/1、f0/2劃分到VLAN 200中。

4） 配置三層交換機S

① 新建VLAN 100和VLAN 200，并分別把端口f0/1、f0/2劃分到VLAN 100、VLAN200中。

② 配置VLAN 100、VLAN 200的IP地址：

S（config）#interface vlan 100

S（config-if）#ip address 192.168.1.1 255.255.255.0

S（config-if）#exit

S（config）#interface vlan 200

S（config-if）#ip address 172.16.1.1 255.255.0.0

5） 在PC1上用ping命令測試與PC2的連通性，可以發(fā)現(xiàn)PC1和PC2是連通的。

4 結(jié)論

正確配置PC1、PC2的網(wǎng)絡(luò)連接參數(shù)，并把PC1、PC2劃分到不同VLAN時，用ping命令測試可以看出，PC1、PC2之間無法連通。這是因為，處于不同VLAN的PC1、PC2必須使用具有路由功能的設(shè)備才能連通。

使用路由器的不同端口連接不同的VLAN，即用路由器的不同端口連接了不同的子網(wǎng)。此時，每個VLAN占用路由器的一個物理端口，當(dāng)網(wǎng)絡(luò)中劃分的VLAN數(shù)目較多時，需要占用較多的路由器端口。

利用單臂路由連接不同VLAN時，每個VLAN占用路由器的一個邏輯子端口。無論實際網(wǎng)絡(luò)中劃分了多少個VLAN，都只占用路由器的一個物理端口。當(dāng)網(wǎng)絡(luò)中需要新增VLAN時，該種方法使得網(wǎng)絡(luò)的擴展更為容易。

利用三層交換機實現(xiàn)VLAN間通信時，與利用路由器的實現(xiàn)原理類似。但是，三層交換機具有訪問速度快的優(yōu)點[6]。

實際網(wǎng)絡(luò)部署時，應(yīng)該根據(jù)網(wǎng)絡(luò)設(shè)備的特點和具體的網(wǎng)絡(luò)需求，選擇合適的實現(xiàn)方法。以上仿真過程中，設(shè)計的網(wǎng)絡(luò)拓撲及配置過程比較簡單，但是對于實際網(wǎng)絡(luò)中VLAN間路由的實現(xiàn)具有一定的現(xiàn)實指導(dǎo)意義。

參考文獻：

[1] 王珊珊.淺析VLAN技術(shù)在企業(yè)局域網(wǎng)中的應(yīng)用[J].計量與測試技術(shù)，2013，40（8）：53-54.

[2] 王宣政，趙婧如，劉瑛，馬素剛.計算機組網(wǎng)實驗教程[M].西安：西安電子科技大學(xué)出版社，2005.

[3] 馬素剛.VLAN技術(shù)的研究與仿真[J].制造業(yè)自動化，2011，33（11）：78-80，99.

[4] 彭春燕，王得芳.基于IPSec VPN實驗教學(xué)設(shè)計與仿真[J].電子設(shè)計工程，2013，21（6）：12-14.

[5] 姜丹丹.路由與交換技術(shù)實戰(zhàn)入門與提高[M].北京：科學(xué)出版社，2012.

[6] 陳曉紅.使用三層交換技術(shù)實現(xiàn)VLAN間路由[J].電腦知識與技術(shù)，2010，6（30）：8454-8455.