宋宇

【摘要】隨著企業(yè)網(wǎng)內(nèi)網(wǎng)絡(luò)接入點(diǎn)節(jié)點(diǎn)數(shù)量增多，以二層交換機(jī)為基礎(chǔ)的小型局域網(wǎng)絡(luò)就容易產(chǎn)生繁雜和廣播信息和較大的網(wǎng)絡(luò);中突。為更好的優(yōu)化此類(lèi)問(wèn)題，需在二層交換機(jī)的基礎(chǔ)上劃分出虛擬局域網(wǎng)（ VLAN）。本文從虛擬局域網(wǎng)的相關(guān)概念入手，闡述了單臂路由技術(shù)如何實(shí)現(xiàn)VLAN之間的通信原理，提出了一種基于單臂路由的VLAN通信模型的仿真研究。

【關(guān)鍵詞】VLAN TRUNK子接口單臂路由NAT

虛擬局域網(wǎng)是現(xiàn)階段校園網(wǎng)或企業(yè)網(wǎng)中應(yīng)用較廣的一種局域網(wǎng)技術(shù)，可有效隔離廣播域，通過(guò)對(duì)虛擬局域網(wǎng)的劃分可阻止同一交換機(jī)不同端口客戶機(jī)的互相訪問(wèn)，避免或緩解產(chǎn)生廣播風(fēng)暴。但是不同虛擬局域網(wǎng)之間不能實(shí)現(xiàn)二層交換機(jī)的直接通信，需通過(guò)三層交換機(jī)或其他設(shè)備完成，造成了較大的資金投資。本文提出了一種以單臂路由為基礎(chǔ)的虛擬局域網(wǎng)通信模型。

一、虛擬局域網(wǎng)（ VLAN）

虛擬局域網(wǎng)是現(xiàn)階段校園網(wǎng)或企業(yè)網(wǎng)中應(yīng)用較廣的一種局域網(wǎng)技術(shù)，是基于交換技術(shù)劃分出局域網(wǎng)中的各個(gè)設(shè)備邏輯，使其成為各個(gè)不同的網(wǎng)段。在此虛擬局域網(wǎng)中，邏輯工作組的管理和劃分技術(shù)是通過(guò)軟件的方式實(shí)現(xiàn)的。虛擬局域網(wǎng)技術(shù)可在邏輯上劃分出不同的邏輯網(wǎng)格，小同地理位置內(nèi)的計(jì)算機(jī)被歸類(lèi)到同一個(gè)邏輯網(wǎng)格中。動(dòng)態(tài)虛擬局域網(wǎng)可以主機(jī)MAC地址、主機(jī)IP地址和組播為基礎(chǔ)進(jìn)行邏輯的劃分，用戶可隨意調(diào)換或移動(dòng)端口，交換機(jī)可在相關(guān)條件的基礎(chǔ)上自動(dòng)選擇正確的用戶VIAN配置，免去了網(wǎng)絡(luò)管理員對(duì)動(dòng)態(tài)VLAN的重新定義。

二、單臂路由相關(guān)技術(shù)

2.1網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種IP路由器協(xié)議。Internet上不能直接實(shí)現(xiàn)專用地址的通信，故專用地址需通過(guò)轉(zhuǎn)換變?yōu)楣玫刂罚唧w轉(zhuǎn)換過(guò)程為：

設(shè)：內(nèi)網(wǎng)主機(jī)一10.1.10.11;外網(wǎng)主機(jī)一2.2.2.1

內(nèi)網(wǎng)主機(jī)（ 10.1.10.11） >ping 2.2.2.1

協(xié)議內(nèi)部全局地址 內(nèi)部本地地址 外部本地地址外部全局地址

icmp 218.12.25.12：16550?10.1.10.11：16550 2.2.2.1：16550 2.2.2.1：16550

2.2 Trunk鏈路

Trunk鏈接是一條連接路由器和交換機(jī)或不同交換機(jī)之間的鏈路，可用來(lái)傳輸多個(gè)不同的VLAN信息，而不同的信息可在幀標(biāo)識(shí)機(jī)制的作用下實(shí)現(xiàn)各類(lèi)信息的標(biāo)識(shí)。ISL協(xié)議和802.1Q協(xié)議是常見(jiàn)的主干連接協(xié)議，其中ISL協(xié)議是Cisco的專用協(xié)議，而IEEE802.1Q標(biāo)準(zhǔn)是現(xiàn)階段的國(guó)際標(biāo)準(zhǔn)，如用戶需通過(guò)IEEE802.1Q使用各個(gè)不同品牌的交換機(jī)。在路由器和交換機(jī)之間，Trunk鏈路等同于VLAN信息的傳輸管道，通過(guò)對(duì)Trunk鏈路的配置，可選擇性的傳輸部分或全部VLAN信息。

2.3單臂路由

為節(jié)約使用路由器的物理端口，用戶可將連接交換機(jī)和路由器的物理端口上定義出多個(gè)邏輯子端口，然后在邏輯上分割出各個(gè)虛擬端口，每個(gè)VLAN都連接一個(gè)虛擬子端口，各個(gè)子端口都配置相應(yīng)的IP地址，并遵循ISL協(xié)議或802.1Q協(xié)議。在交換機(jī)上定義連接路由器的端口為T(mén)runk端口，封裝等同于路由器子端口的協(xié)議。在此網(wǎng)絡(luò)路由技術(shù)中，路由器與交換機(jī)網(wǎng)絡(luò)的連接端口僅有一個(gè)，故此類(lèi)路由技術(shù)又被成為單臂路由技術(shù)。

三、單臂路由配置仿真實(shí)例

通過(guò)單臂路由技術(shù)完成企業(yè)網(wǎng)內(nèi)互聯(lián)網(wǎng)通信和lP通信的用戶共享，本文提出了一種單臂路由配置仿真實(shí)例，模擬拓?fù)鋱D見(jiàn)圖1所示，、該圖中給出了IP地址的分配、交換機(jī)和路由器的端口設(shè)置及各項(xiàng)詳細(xì)配置命令，實(shí)現(xiàn)仿真測(cè)試。

3.1模擬拓?fù)鋱D

3.2網(wǎng)絡(luò)設(shè)備端口及終端lP地址分配

在圖l中，路由器Rl的端口FO/O連接交換機(jī)SW的端口FO/10，路由器Rl的端口Sl/l連接路由器R2的端口Sl/l。假設(shè)企業(yè)網(wǎng)內(nèi)有兩臺(tái)PC機(jī)，分別為PC1（處于VLAN10內(nèi)）和PC2（處于VLAN 20內(nèi)），則交換機(jī)對(duì)VLAN的劃分情況為：端口FO/1在VLAN 10內(nèi)，端口F0/2在VLAN20內(nèi)。假設(shè)VLAN10處于網(wǎng)絡(luò)10.1.10.0/24內(nèi)，網(wǎng)關(guān)為10.1.10.254.VLAN 10處于網(wǎng)絡(luò)10.1.20.0/24內(nèi)，網(wǎng)關(guān)為10.1.20.254。設(shè)某ISP內(nèi)的路由器為R2，網(wǎng)絡(luò)內(nèi)存在Web服務(wù)器可直接連接路由器R2的FO/O端口。

3.3設(shè)備配置命令及解析

基于單臂路由器技術(shù)的實(shí)現(xiàn)原理，通過(guò)以下配置完成企業(yè)網(wǎng)內(nèi)PC、外網(wǎng)Web服務(wù)器和主機(jī)之間的信息通信。為更好的呈現(xiàn)測(cè)試結(jié)果，本文采用的外網(wǎng)服務(wù)器和終端設(shè)備PC1、PC2均為虛擬主機(jī)。其中路由器Rl的接口配置見(jiàn)圖2所示。于交換機(jī)SW內(nèi)創(chuàng)建起Vlan 10和Vlan 20，配置見(jiàn)圖3

圖3倉(cāng)0建VLAN配置

在PC1和PC2間執(zhí)行Ping命令，可知Ping并不同，表明Vlanl0與Vlan20間不能互訪。由于路由器內(nèi)VLAN流量未能經(jīng)過(guò)和轉(zhuǎn)發(fā)，故不能實(shí)現(xiàn)Vlanl0與Vlan20間的互訪，因此需對(duì)路由器和交換機(jī)間的Trunk鏈路進(jìn)行配置，方可實(shí)現(xiàn)虛擬局域網(wǎng)間的互訪。Trunk鏈路配置見(jiàn)圖4所示。

3.4結(jié)果測(cè)試

經(jīng)測(cè)試表明，外網(wǎng)服務(wù)器和終端設(shè)備PC1、PC2間均能互相ping通。以PC1與PC2和服務(wù)器的Ping命令為例進(jìn)行測(cè)試，測(cè)試結(jié)果見(jiàn)圖5所示。

經(jīng)測(cè)試研究表明，企業(yè)網(wǎng)內(nèi)的各VLAN間可進(jìn)行通信，且可訪問(wèn)外網(wǎng)，企業(yè)網(wǎng)內(nèi)的主機(jī)均可共享218.12.25.12/24的IP地址實(shí)現(xiàn)外網(wǎng)的訪問(wèn)，整體單臂路由配置全部完成。

參 考文獻(xiàn)[1]郭長(zhǎng)友，張谷省，基于單臂路由的VLAN通信模型的研究與實(shí)現(xiàn)[J]福建電腦，2007（12）：104-105[2]白艷宇，采用單臂路由技術(shù)實(shí)現(xiàn)VLAN之間的通信[J].科技信息，2009（13）：61-62[3]熊文魁，楊建良.VLAN在嵌入式安全網(wǎng)關(guān)上的設(shè)計(jì)與應(yīng)用[J].計(jì)算機(jī)與數(shù)字工程，2010，38（3）：102-105