VLAN间路由

VLAN间路由

Scroll Down

一、VLAN间路由

厂商定义VLAN之间的是无法访问的,在二层网络中常用VLAN进行网络隔离、广播控制。而隔离完二层网络后,客户对网络有了更进一步的需求就是实现VLAN之间的通信和安全。安全一般采用ACL进行网络流量限制,而VLAN间的通信则需要用到VLAN间路由技术

vlanrouting1.png

根据层次化网络设计,分布层和接入层应当是VLAN的终点,所以需要有一种技术来实现不同的VLAN间的流量互访。VLAN作为一个广播域的实例,不同的广播域之间的流量互访需要用到VLAN间路由技术。而实现VLAN间路由技术则可以有以下几种途径:

  1. 借助外部路由器的路由接口
  2. 借助三层交换机的路由接口
  3. 借助三层交换机的SVI实现(推荐)

以上三种方法可以归纳为通过三层接口来实现路由,拿三层交换机的SVI举例,将各VLAN的数据帧汇聚到三层交换机上,数据帧进入交换模块后,随机进行数据帧转发处理流程,判断为VLAN间流量后,剥离帧头被移送至路由模块,查询其IP首部根据RIB来执行数据包的三层转发。

vlanrouting2.png

首先来认知交换机的接口:

  • 交换端口:switchport
  • 路由端口:no switchport
    • SVI
    • BVI
    • 子接口

二、单臂路由

借助外部路由器的路由接口组成的拓扑结构称为单臂路由,在路由器的路由接口上来承载VLAN流量,让路由器子接口和交换机之间的链路跑trunk协议,使得支持dot1q以识别和承载多VLAN流量

vlanrouting3.png

子接口是从物理路由接口上划分出来的逻辑接口,配置相关的命令能够识别dot1q帧,如上图,使用路由器的子接口实现了VLAN间路由,子接口和交换机上的不同VLAN进行对接,每个子接口配置dot1q封装协议,可以识别打上tag的数据帧,同时为流量分别打上VLAN的tag。这样路由器和二层交换机之间起了一个trunk链路。子接口支持配置IP地址,一般配置为某个VLAN的网关,让PC可以通过网关来实现跨VLAN通信。

单臂路由的缺点就是路由器的接口负载会很大,流量需要二次进出接口,导致干道链路负载也会过重,且扩展性差

1st. 物理接口启用:
int g0/0/0
no sh
2nd. 创建子接口:
int g0/0/0.10
encapsulation dot1q 10 #封装dot1q,传输VLAN 10数据帧
ip address 10.1.10.1 255.255.255.0 #配置IP地址,作为VLAN 10的网关

配置子接口注意事项:

  1. 路由器和交换机之间的接口配置的封装协议需要一致,一般为dot1q
  2. 路由器的子接口所在的物理接口需要no sh

三、SVI

先了解下什么是SVI和三层交换机。二层交换机是实现二层交换的,看的是数据帧,对帧头的数据链路层信息进行读取,然后根据CAM表进行转发。三层交换机相当于在二层交换机的基础上增加了路由模块,从而支持了路由功能。

路由功能包括支持路由选择协议、支持三层数据的转发、支持IP路由查找、支持三层接口(SVI)等等

交换端口处于交换模块中,SVI处于路由模块中。所属某个VLAN的数据帧传递至交换模块中,检查执行二层交换还是三层路由主要是靠帧中的目的MAC决定的,如果目的MAC是SVI的MAC则交给路由模块中的对应的SVI,如果不是则根据CAM表执行二层交换。而交到路由模块中则是剥离了二层帧头,会根据RIB进行转发。

SVI(switch virtual interfaces)是三层交换机上的一种交换虚拟接口(即逻辑接口),当我们在三层交换机上创建了VLAN,紧接着创建与该VLAN对应的SVI,例如VLAN 10,创建VLAN 10对应的SVI接口就是int vlan 10,这个SVI 10就是一个三层接口。和子接口类似,可以为该SVI配置IP地址。这样VLAN的PC就会将网关设置为SVI的IP地址,VLAN间通信时,就将数据先发送到SVI,然后SVI执行路由查找和数据转发。

SVI的作用不仅仅是用于VLAN间路由,也可以用作管理接口

1st. 创建VLAN
vlan vlan-id
name test
exit
2nd. 创建SVI
int vlan vlan-id
ip address x.x.x.x 255.255.255.0 #配置IP

SVI接口处于up的条件:

  • 存在对应的VLAN
  • 存在VLAN,且状态不是管理型关闭
    SVI接口创建时注意:
  • SVI vlan-id需要和创建vlan的vlan-id一致
  • SVI的IP地址就是VLAN的网关
  • 记得开启交换机的路由功能(ip routing)
    理解SVI:
  • SVI不同于子接口,没有对应的物理接口
  • SVI为所有出入VLAN接口的数据包提供三层转发服务
  • 每个VLAN只能关联一个SVI接口,默认交换机会为VLAN 1创建一个SVI 1,SVI 1用于远程登录管理使用,其他的需要手动创建