第 3 层交换
使用单臂路由器方法的 VLAN 间路由实施起来很简单,因为路由器通常在每个网络中均可使用。目前大多数现代企业网络使用第 3 层 VLAN 间路由解决方案,因为使用多层交换机能够实现基于硬件交换的高数据包处理率。第 3 层交换机的数据包交换吞吐量通常为每秒百万包(pps),而传统路由器提供的数据包交换范围是 10 万包/秒 ~ 100 多万包/秒。第 3 层(路由)端口通常在分布层和核心层之间实施,分布层交换机使用第 2 层链路连接到接入层交换机。因为拓扑的第 2 层部分没有物理环路,所以描绘的网络架构不依赖于生成树协议(STP)。
许多用户都处在单独的 VLAN 中,通常,每个 VLAN 都是一个单独的子网。因此通常将分布层交换机配置为每个访问交换机 VLAN 的用户的第 3 层网关。这意味着每个分布层交换机必须有匹配每个访问交换机 VLAN 的 IP 地址,这可以通过使用交换机虚拟接口(SVI)和路由端口来实现。
交换机虚拟接口 SVI
SVI 是配置在多层交换机中的虚拟接口,可以为交换机上的任何 VLAN 创建 SVI。SVI 是虚拟的,既可以像路由器接口那样执行相同的 VLAN 功能,也能以与路由器接口相同的方式配置在 VLAN 中。VLAN 的 SVI 为在与 VLAN 相关联的所有交换机之间传输的数据包提供了第 3 层处理过程。
需要配置 SVI 的几个原因是:
- 为一个 VLAN 提供网关;
- 为交换机提供第 3 层 IP 连接;
- 支持路由协议和桥接配置。
SVI的几个优势为:
- 效率比单臂路由器要快很多;
- 从交换机到进行路由的路由器都不需要外部链路;
- 可在交换机之间使用第 2 层 EtherChannel 以获得更多带宽;
- 延迟更低。
SVI 的唯一缺点是三层交换机比较昂贵,成本较高。
路由端口
路由端口是一种类似于路由器接口的物理端口,它不与特定 VLAN 相关,而且行为很像正常的路由器接口。在相应端口上使用 no switchport 接口配置模式命令来配置路由端口,例如因为 Catalyst 3560 交换机接口的默认配置为第 2 层接口,所以必须将其手动配置为路由端口。
配置第 3 层交换和 VLAN 间路由
实验拓扑
| 设备 | 接口 | IP 地址 | 子网掩码 |
|---|---|---|---|
| MLS | VLAN 10 | 192.168.10.254 | 255.255.255.0 |
| VLAN 20 | 192.168.20.254 | 255.255.255.0 | |
| VLAN 30 | 192.168.30.254 | 255.255.255.0 | |
| VLAN 99 | 192.168.99.254 | 255.255.255.0 | |
| G0/2 | 209.165.200.225 | 255.255.255.252 | |
| PC0 | NIC | 192.168.10.1 | 255.255.255.0 |
| PC1 | NIC | 192.168.20.1 | 255.255.255.0 |
| PC2 | NIC | 192.168.30.1 | 255.255.255.0 |
| PC3 | NIC | 192.168.10.2 | 255.255.255.0 |
| PC4 | NIC | 192.168.20.2 | 255.255.255.0 |
| PC5 | NIC | 192.168.30.2 | 255.255.255.0 |
| PC6 | NIC | 209.165.200.226 | 255.255.255.252 |
| S1 | VLAN 99 | 192.168.99.1 | 255.255.255.0 |
| S2 | VLAN 99 | 192.168.99.2 | 255.255.255.0 |
| S3 | VLAN 99 | 192.168.99.3 | 255.255.255.0 |
VLAN:
| VLAN 编号 | VLAN 名称 |
|---|---|
| 10 | 员工 |
| 20 | 学生 |
| 30 | 教师 |
Switch 1:
| 端口 | 分配 | 网络 |
|---|---|---|
| S1 F0/4 | 802.1Q TRUNK | N/A |
| F0/5 | 802.1Q TRUNK | N/A |
| G0/1 | 802.1Q TRUNK | N/A |
Switch 2:
| 端口 | 分配 | 网络 |
|---|---|---|
| S2 F0/1 | VLAN10 | N/A |
| F0/2 | VLAN20 | N/A |
| F0/3 | VLAN30 | N/A |
| F0/4 | 802.1Q TRUNK | N/A |
Switch 3:
| 端口 | 分配 | 网络 |
|---|---|---|
| S3 F0/1 | VLAN10 | N/A |
| F0/2 | VLAN20 | N/A |
| F0/3 | VLAN30 | N/A |
| F0/5 | 802.1Q TRUNK | N/A |
三层交换机:
| 端口 | 分配 | 网络 |
|---|---|---|
| MLS G0/1 | 802.1Q TRUNK | N/A |
配置二层交换机
将 3 台二层交换机按照上述接口表进行配置,首先先建立 3 个 VLAN:
S1(config)#vlan 10
S1(config-vlan)#name Staff
S1(config-vlan)#vlan 20
S1(config-vlan)#name Student
S1(config-vlan)#vlan 30
S1(config-vlan)#name Faculty
S2(config)#vlan 10
S2(config-vlan)#name Staff
S2(config-vlan)#vlan 20
S2(config-vlan)#name Student
S2(config-vlan)#vlan 30
S2(config-vlan)#name Faculty
S3(config)#vlan 10
S3(config-vlan)#name Staff
S3(config-vlan)#vlan 20
S3(config-vlan)#name Student
S3(config-vlan)#vlan 30
S3(config-vlan)#name Faculty
配置完 VLAN 后按照接口分配表正确设置接口的模式:
S1(config)#int f0/4
S1(config-if)#switchport mode trunk
S1(config-if)#int f0/5
S1(config-if)#switchport mode trunk
S1(config-if)#int g0/1
S1(config-if)#switchport mode trunk
S2(config)#int f0/1
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 10
S2(config-if)#int f0/2
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 20
S2(config-if)#int f0/3
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 30
S2(config-if)#int f0/4
S2(config-if)#switchport mode trunk
S3(config)#int f0/1
S3(config-if)#switchport mode access
S3(config-if)#switchport access vlan 10
S3(config-if)#int f0/2
S3(config-if)#switchport mode access
S3(config-if)#switchport access vlan 20
S3(config-if)#int f0/3
S3(config-if)#switchport mode access
S3(config-if)#switchport access vlan 30
S3(config-if)#int f0/5
S3(config-if)#switchport mode trunk
最后对 3 台交换机创建 VLAN 99,并且按照地址分配表分配 IP 地址。
S1(config)#vlan 99
S1(config-vlan)#int vlan 99
S1(config-if)#ip address 192.168.99.1 255.255.255.0
S2(config)#vlan 99
S2(config-vlan)#int vlan 99
S2(config-if)#ip address 192.168.99.2 255.255.255.0
S3(config)#vlan 99
S3(config-vlan)#int vlan 99
S3(config-if)#ip address 192.168.99.3 255.255.255.0
配置第 3 层交换
在 MLS 上将 G0/2 配置为路由端口,并根据地址分配表分配 IP 地址。使用 no switchport 关闭接口的交换功能,就能启用路由接口分配 IP 地址。
MLS(config)# interface g0/2
MLS(config-if)# no switchport
MLS(config-if)# ip address 209.165.200.225 255.255.255.252
通过 ping 209.165.200.226 来验证与 PC6 的连接。
MLS# ping 209.165.200.226
配置 VLAN 间路由
首先将 3 个 VLAN 添加入 MLS,并且创建 vlan 99:
MLS(config)#vlan 10
MLS(config-vlan)#name Staff
MLS(config-vlan)#vlan 20
MLS(config-vlan)#name Student
MLS(config-vlan)#vlan 30
MLS(config-vlan)#name Faculty
MLS(config-vlan)#vlan 99
接着将 MLS 的 G0/1 设置为 trunk 模式:
MLS(config)#int g0/1
MLS(config-if)#switchport trunk encapsulation dot1q
MLS(config-if)#switchport mode trunk
根据地址分配表配置并激活 VLAN 10、20、30 和 99 的 SVI 接口。
MLS(config)# interface vlan 10
MLS(config-if)# ip address 192.168.10.254 255.255.255.0
MLS(config-if)# interface vlan 20
MLS(config-if)# ip address 192.168.20.254 255.255.255.0
MLS(config-if)# interface vlan 30
MLS(config-if)# ip address 192.168.30.254 255.255.255.0
MLS(config-if)# interface vlan 99
MLS(config-if)# ip address 192.168.99.254 255.255.255.0
使用 show ip route 命令,此时还不存在 VLAN 间路由。
MLS#show ip route
这是因为三层交换机的路由功能没有启用,输入 ip routing 命令,在全局配置模式下启用路由。
MLS(config)# ip routing
使用 show ip route 命令,验证路由是否已启用。
验证端到端连接
从 PC0,ping PC3 或 MLS,验证 VLAN 10 内的连接。
从 PC1,ping PC4 或 MLS,验证 VLAN 20 内的连接。
从 PC2,ping PC5 或 MLS,验证 VLAN 30 内的连接。
从 S1,ping S2、S3 或 MLS,验证与 VLAN 99 的连接。
要验证 VLAN 间路由,请 ping 发送方 VLAN 外的设备。
参考资料
《思科网络技术学院教程(第6版):扩展网络》,[加] Bob Vachon,[美] Allan Johnson 著,思科系统公司 译,人民邮电出版社