董会国
单臂路由技术在实现不同VLAN之间通信的应用
董会国
(邢台职业技术学院,河北邢台 054035)
VLAN技术能有效分割局域网,实现各网络区域之间的访问控制,有效地提高了网络传输效率和网络中的信息安全。在现实网络配置时,通过在路由器上使用单臂路由技术,在保证网络安全前提下,来实现不同VLAN之间的相互通信。
VLAN;中继;单臂路由;Cisco
虚拟局域网(Virtual Local Area Network,VLAN)是一种逻辑广播域,可以跨越多个物理LAN网段。VLAN以局域网交换机为基础,通过交换机实现根据功能、应用、部门等因素将设备或者根据用户组成虚拟工作组的技术,不会受到物理位置的影响,同时相互之间又可以像在同一个网段中一样可以进行通信。VLAN是当前网络安全中应用很广泛的一种技术,工作在OSI参考模型的数据链路层(Data link layer)和网络层(Network layer),在网络中每一个VLAN本身就产生一个广播域,多个VLAN相互间的通信是通过路由器或者三层交换机来实现的。VLAN技术与传统的局域网技术相比较而言,网络设备的移动、修改或者添加管理开销减少;在实际中具有组网简单、易实现、易管理等优点;同时在提高网络的安全性方面有更大的提高。
VLAN能有效分割局域网,实现各网络区域之间的网络隔离控制。有效地提高了网络安全性,但实际工作中,经常需要配置多个VLAN之间的连通。比如,如果公司划分为领导层、销售部、财务部、人力部、科技部、审计部,并为不同部门配置了不同的VLAN,部门之间不能相互访问,有效保证了各部门的信息安全。但经常出现领导层需要跨越VLAN访问其他各个部门,可以使用三层设备来实现,比如路由器或者带有路由功能的三层交换机,如果一些企业在最初网络组建时,购买的只是二层交换机,由于二层交换机不能实现IP路由功能,不同VLAN之间通信就需要购买路由器或者三层的交换机,由此会造成以前的二层设备丢弃。这样无疑就造成了交换机等网络设备的浪费。如果仍然要使用以前的二层设备,那么可以通过增添三层设备路由器使用单臂路由技术,来避免由于企业网络升级造成的网络设备资源的浪费问题。
(一)单臂路由技术的原理
单臂路由就是在路由器以太网接口下配置若干个子接口,每个子接口对应一个VLAN,这样当路由器的以太网口连接到一个划分VLAN的二层交换机时,可以通过路由器的以太网口,实现二层交换机上多个VLAN之间的相互通信。在交换机的中继链路上,可以通过对数据帧附加VLAN信息,构建跨越多台交换机的VLAN,附加VLAN信息的方法,IIEEE 802.1Q:俗称dot 1 Q.由IEEE创建,协议为标识带有VLAN成员信息的以太帧建立了一种标准方法。因此在Cisco和非Cisco设备之间,必须使用802.1Q.而不能使用ISL,基于IEEE802.1Q附加的VLAN信息,就像在传递物品时附加的标签。
(二)单臂路由技术的优点
单臂路由(router-on-a-stick)是指在通过路由器的一个物理端口上通过设置对应的逻辑接口(或“子接口”)的方式,以逻辑端口来充当物理端口实现,在网络中实现不同VLAN(虚拟局域网)之间的互联互通。
节省使用路由器的物理端口,用户依据连接路由器的物理端口上定义出多个逻辑子端口和交换机的接口,根据自己的实际需要,可以逻辑上分割出多个虚拟端口,而每个虚拟局域网都连接一个虚拟子端口,每个子端口都配置相应的网段的网关 IP 地址和子网掩砝码,同时遵循802.1Q 协议或ISL协议。通过在交换机上定义连接路由器的端口为中继(Trunk)端口,封装等同于路由器子端口的协议。
单臂路由是当前网络中解决VLAN间通信的一种实用且经济的解决方案。当VLAN之间有各个网段的主机需要通信时,如果连接网络的交换机不支持三层交换和路由功能,同时路由器又没有多余的端口连接,此时可采用支持802.1q(即Virtual Bridged Local Area Networks协议)的路由器实现VLAN的互通。
相对于其它网络改造方案而言,单臂路由技术的管理和配置并不太复杂。由于它从主要数据通道中去除了等待时间更长的路由功能和处理更加密集的网络数据通信。单臂路由器位于 ATM 主干交换机一侧,同时以一条ATM连接与交换机相联,让不需要穿越路由器的数据包不受阻碍地通过 ATM 主干。
单臂路由器结构的关键,是将不同网段进行的通信,将最少的网络数据通信保持在单臂路由器之内。通过构建VLAN使网络流量支持80/20法则(其中20%的通信量在局域网之外,而将80%的通信量保持在局域网内部),这样路由器就不需要处理大部分通信量。为了很好地保证这一点,优化虚拟局域网的配置以最小化虚拟局域网之间的通信量(即穿过单臂路由器的通信量)很关键。
(一)网络拓扑图
通过单臂路由技术完成局域网内各VLAN互连互通,单臂路由实验网络拓扑图如图1所示,模拟设备为:4台PC机、Cisco2960交换机和Cisco 2811 路由器。其中4台PC分别被划分为4个不同的VLAN中,通过在路由器上配置单臂路由技术实现4个VLAN之间的相互通信。
图1 单臂路由实验网络拓扑图
(二)实验IP 地址规划表
4台PC、交换机与路由器之间的端口和IP 地址规划如表1。
表1 IP 地址和Vlan规划表
(三)实验步骤
步骤1:在Cisco 2960交换机上的配置
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 50 //在交换机上划分vlan50
Switch(config-vlan)#exit
Switch(config)#vlan 60 //在交换机上划分vlan160
Switch(config-vlan)#exit
Switch(config)#vlan 70 //在交换机上划分vlan70
Switch(config-vlan)#exit
Switch(config)#vlan 80 //在交换机上划分vlan80
Switch(config-vlan)#exit
Switch(config)#int fa0/5 //进入端口
Switch(config-if)#switchport mode access //将fa0/5端口设置为接入PC模式
Switch(config-if)#switchport access vlan 50 //将fa0/5端口划分到vlan50中
Switch(config-if)#no sh
Switch(config)#int fa0/6 //进入端口
Switch(config-if)#switchport mode access //将fa0/6端口设置为接入PC模式
Switch(config-if)#switchport access vlan 60 //将fa0/6端口划分到vlan60中
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#int fa0/7 //进入端口
Switch(config-if)#switchport mode access //将fa0/7端口设置为接入PC模式Switch(config-if)#switchport access vlan 70 //将fa0/7端口划分到vlan70中
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#int fa0/8 //进入端口
Switch(config-if)#switchport mode access //将fa0/8端口设置为接入PC模式
Switch(config-if)#switchport access vlan 80 //将fa0/8端口划分到vlan80中
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#int fa0/1 //进入端口
Switch(config-if)#switchport mode trunk //将端口改为trunk模式
Switch(config-if)#no sh
Switch(config-if)#exit
步骤2:在Cisco 2811 路由器的配置
Router#conf t
Router(config)#hostname R1 //将路由器重命名
R1(config)#int fa0/0 //进入fa0/0端口
R1(config-if)#no sh //激活fa0/0
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1(config)#int fa0/1.1 //进入路由器fa0/1.1子接口
R1(config-subif)#encapsulation dot1Q 50 //封装802.1Q 协议到vlan 50端口
R1(config-subif)#ip add 192.168.50.1 255.255.255.0
R1(config-subif)#no sh //保存设置并激活端口
R1(config-subif)#exit
R1(config)#int fa0/1.2 //进入路由器fa0/1.1子接口
R1(config-subif)#encapsulation dot1Q 60 //封装802.1Q 协议到vlan 60端口
R1(config-subif)#ip add 192.168.60.1 255.255.255.0
R1(config-subif)#no sh //保存设置并激活端口
R1(config-subif)#exit
R1(config)#int f0/1.3 //进入路由器fa0/0.3子接口
R1(config-subif)#encapsulation dot1Q 70 //封装802.1Q 协议到vlan 70端口
R1(config-subif)#ip add 192.168.70.1 255.255.255.0
R1(config-subif)#no sh //保存设置并激活端口
R1(config-subif)#exit
R1(config)#int fa0/1.4 //进入路由器fa0/0.4子接口
R1(config-subif)#encapsulation dot1Q 80 //封装802.1Q 协议到vlan 80端口
R1(config-subif)#ip add 192.168.80.1 255.255.255.0
R1(config-subif)#no sh //保存设置并激活端口
R1(config-subif)#exit
步骤3:测试结果
局域网内的各 VLAN 间可进行通信,整体单臂路由配置全部完成。以PC0与 PC1 Ping 命令为例进行测试,它们之间均能互相 ping 通测试结果见图 2 所示。
图2 测试结果
通过上面的实验练习进一步对单臂路由技术有了一定的理解,在实际中可以解决跨越VLAN之间的互相访问,在保证网络安全的前提下,实现了部门VLAN之间的数据共享和通信安全,同相对于其它方案而言,单臂路由其配置和管理都不太复杂。
[1]褚建立.交换机/路由器配置与管理项目教程[M].北京:清华大学出版社,2011.
[2]杨姝.VLAN技术实验的设计与仿真实现研究[J].实验技术与管理,2014(3).
[3]陈照吉,方柯.用Packet tracer软件巧练单臂路由技术[J].信息通信,2014(5).
[4]宋宇.基于单臂路由的VLAN通信模型的仿真研究[J].中国新通信,2014(13).
[5]尹常红.单臂路由技术在区县气象局的应用[J].电脑知识与技术,2012(1).
[6]金波.IPV6网络环境中单臂路由应用实例[J].科技经济市场,2007(8).
(责任编辑 王傲冰)
Application of Router-on-a-stick Technology in the Realization of the Communication between Different VLAN
DONG Hui-guo
(Xingtai Polytechnic College, Xingtai, Hebei 054035, China)
The VLAN technology can effectively split LAN access control between each network area, improve the network transmission efficiency and network information security. In the real network configuration, by using single arm routing technology in the router to realize mutual communication between different VLAN is introduced in the article.
VLAN; trunk; router-on-a-stick; cisco
TP393.1
A
1008—6129(2015)01—0096—05
2014—12—21
董会国(1979—),河北邢台人,邢台职业技术学院信息工程系,讲师。