利用单臂路由实现VLAN间路由
本实验模拟公司网络场景。路由器R1是公司的出口网关,员工PC通过接入层交换机(如S2和S3)接入公司网络,接入层交换机又通过汇聚交换机S1与路由器R1相连。公司内部网络通过划分不同的VLAN隔离了不同部门之间的二层通信,保证各部门间的信息安全,但是由于业务需要,经理、市场部和人事部之间需要能实现跨VLAN通信,网络管理员决定借助路由器的三层功能,通过配置单臂路由来实现。
实验拓扑
实验步骤
1、创建VLAN并配置Access、Trunk接口
在S2上创建VLAN10和VLAN20,把连接PC的接口设置为Access类型,并划分到相应VLAN
在S3上创建VLAN30,把连接PC的接口设置为Access类型,并划分到相应VLAN
交换机之间和交换机与路由器之间需要配置Trunk接口
在S1上创建VLAN10、VLAN20、VLAN 30并配置交换机和路由器的接口为Trunk,允许所有VLAN通过。
2、配置路由器子接口和IP地址
由于路由器R1只有一个实际的物理接口与交换机S1相连,可以在路由器上配置不同的逻辑子接口来作为不同VLAN的网关,从而达到节省路由器接口的目的。
在R1上创建子接口GE 0/0/1.1,配置IP地址192.168.1.254/24,作为人事部网关地址。同理,设置市场部、经理的网关地址
在PC1上测试PC2和PC3的连通性
通信无法建立
3、配置路由器子接口封装VLAN
在RI的于按口GE 0/0/1.1上封装VLAN 10,在于按口GE 0/0/1.2上封装VLAN 20,在子接口GE 0/0/1.3.上封装VLAN30,并开启子接口的ARP广播功能。(使用dot1q termination vid 命令配置子接口对一层tag报文的终结功能。即配置该命令后,路由器子接口在接收带有VLAN tag的报文时,将剥掉tag进行三层转发,在发送报文时,会将与该子接口对应VLAN的VLAN tag添加到报文中。使用arp broadcast enable命令开启子接口的ARP广播功能。如果不配置该命令,将会导致该子接口无法主动发送ARP广播报文,以及向外转发IP报文。)
同理,配置GE 0/0/1.2和GE 0/0/1.3
配置完成后,在R1上查看查看接口状态,可以看到3个子接口的物理协议和协议状态都正常。
查看路由表,可以看到,画线的路由条目都是路由器R1的直连路由,类似于路由器上直连的物理接口
在PC1上分别测试网关地址和PC2的连通性,可以连通。
