摘 要：虛擬局域網(wǎng)（VLAN-Virtual Local Area Network）隔離了二層廣播域，不同VLAN的用戶不能互相通信。本文詳細(xì)介紹了VLAN間路由的三種方案，并用第三種方案實(shí)現(xiàn)了VLAN間通信的配置過(guò)程。

關(guān)鍵詞：VLAN；路由；配置

1 引言

虛擬局域網(wǎng)（VLAN-Virtual Local Area Network），是在交換式局域網(wǎng)基礎(chǔ)上，依靠邏輯設(shè)定將原來(lái)物理上互聯(lián)的一個(gè)局域網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)段，即在邏輯上把兩層交換機(jī)劃分為若干個(gè)LAN（廣播域），將廣播幀限制在一組指定的端口上，不必在物理上重新配置任何端口，真正實(shí)現(xiàn)了網(wǎng)絡(luò)用戶與它們的物理位置無(wú)關(guān)。它以其能有效控制廣播風(fēng)暴、簡(jiǎn)化網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)安全得到了廣泛應(yīng)用。

2 VLAN間通信

使用VLAN把一個(gè)網(wǎng)絡(luò)隔離成多個(gè)廣播域后，也就相當(dāng)于在物理上隔離了各個(gè)VLAN之間的任何流量，因此分屬于不同VLAN的用戶不能互相訪問(wèn)，需要使用路由設(shè)備來(lái)完成，通過(guò)路由將報(bào)文從一個(gè)VLAN轉(zhuǎn)發(fā)到另外一個(gè)VLAN。常見(jiàn)的解決VLAN間互通有三種方案：

2.1 每個(gè)VLAN一個(gè)物理連接

在二層交換機(jī)上配置VLAN，每一個(gè)VLAN使用一條獨(dú)占的物理連接連接到路由器的一個(gè)接口上。這樣，為每個(gè)VLAN分配一個(gè)獨(dú)立的路由器接口，VLAN間的數(shù)據(jù)通信通過(guò)路由器進(jìn)行三層路由，就可以實(shí)現(xiàn)VLAN之間相互通信，管理簡(jiǎn)單。但是也是最浪費(fèi)資源的一種方法，交換機(jī)上每增加一個(gè)VLAN，不僅需要消耗路由器接口和交換機(jī)上的訪問(wèn)鏈接，還需要新增加一條網(wǎng)線，網(wǎng)絡(luò)擴(kuò)展難度大。

2.2 使用VLAN Trunking

隨著VLAN技術(shù)的發(fā)展，為了解決物理接口需求過(guò)大的問(wèn)題，出現(xiàn)了另一種路由器——單臂路由器，用于實(shí)現(xiàn)VLAN間通信的三層網(wǎng)絡(luò)設(shè)備路由器，它只需要一個(gè)以太網(wǎng)接口，通過(guò)創(chuàng)建子接口可以承擔(dān)所有VLAN的網(wǎng)關(guān)，從而在不同的VLAN間轉(zhuǎn)發(fā)數(shù)據(jù)。

如圖1所示，二層交換機(jī)上和路由器上配置它們之間相連的端口使用VLAN Trunking，使多個(gè)VLAN共享同一條物理鏈路連接到路由器。這樣，路由器僅僅提供一個(gè)以太網(wǎng)接口，而在該接口下提供三個(gè)子接口分別作為3個(gè)VLAN用戶的缺省網(wǎng)關(guān)，當(dāng)VLAN 10的用戶需要與其他VLAN的用戶進(jìn)行通信時(shí)，該用戶只需將數(shù)據(jù)包發(fā)送給缺省網(wǎng)關(guān)，缺省網(wǎng)關(guān)修改數(shù)據(jù)幀的VLAN標(biāo)簽后再發(fā)送至目的主機(jī)所在VLAN，即完成了VLAN間的通信。

2.3 交換和路由的集成——三層交換機(jī)

二層交換機(jī)和路由器在功能上的集成構(gòu)成了三層交換機(jī)，提高了網(wǎng)絡(luò)的集成度，增強(qiáng)了轉(zhuǎn)發(fā)性能，在功能上實(shí)現(xiàn)了VLAN的劃分、VLAN內(nèi)部的二層交換和VLAN間路由的功能。如圖2。三層交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，效率上有很大的提高，因?yàn)樗捎昧艘淮温酚啥啻谓粨Q的轉(zhuǎn)發(fā)技術(shù)。即同一數(shù)據(jù)流（VLAN通信），只需要分析首個(gè)數(shù)據(jù)包的IP地址信息，進(jìn)行路由查找等等，完成第一個(gè)數(shù)據(jù)包的轉(zhuǎn)發(fā)后，三層交換機(jī)會(huì)在二層上建立快速轉(zhuǎn)發(fā)映射，當(dāng)同一數(shù)據(jù)流的下一個(gè)數(shù)據(jù)包到達(dá)時(shí)，直接按照快速轉(zhuǎn)發(fā)映射進(jìn)行轉(zhuǎn)發(fā)。從而省略了絕大部分的數(shù)據(jù)包三層包頭信息的分析處理，提高轉(zhuǎn)發(fā)效率。

3 VLAN間路由配置舉例

如圖3所示，實(shí)現(xiàn)兩個(gè)部門間的通信，通過(guò)第三種方案的配置步驟：

⑴創(chuàng)建VLAN，并指定所屬端口。

[Quidway] vlan 10

[Quidway-vlan 10] port e0/1 to e0/10

[Quidway] vlan 20

[Quidway-vlan 20] port e0/11 to e0/20

⑵創(chuàng)建三層接口，并在接口上配置IP地址。

[Quidway] vlan 10

[Quidway-vlan 10] interface vlan 10

[Quidway-vlan-interface10] ip address 1.1.1.254 255.255.255.0

[Quidway] vlan 20

[Quidway-vlan 20] interface vlan 20

[Quidway-vlan-interface20] ip address 2.2.2.254 255.255.255.0

⑶給主機(jī)配置默認(rèn)網(wǎng)關(guān)，將默認(rèn)網(wǎng)關(guān)指向所在VLAN在三層交換機(jī)上的接口的地址。然后在主機(jī)上訪問(wèn)網(wǎng)絡(luò)上已經(jīng)配置好的部分，測(cè)試配置的網(wǎng)絡(luò)是否已經(jīng)正常連通。

⑷若有多臺(tái)交換機(jī)（路由器），需要配置動(dòng)態(tài)路由協(xié)議或者靜態(tài)路由。

[參考文獻(xiàn)]

[1]華為3Com技術(shù)有限公司，編著.華為3Com網(wǎng)絡(luò)學(xué)院教程[M].北京：清華大學(xué)出版社.2004-07.

[2]Quidway.中低端網(wǎng)絡(luò)產(chǎn)品工程師培訓(xùn).