董會(huì)國(guó)

?

單臂路由技術(shù)在實(shí)現(xiàn)不同VLAN之間通信的應(yīng)用

董會(huì)國(guó)

（邢臺(tái)職業(yè)技術(shù)學(xué)院，河北邢臺(tái) 054035）

VLAN技術(shù)能有效分割局域網(wǎng)，實(shí)現(xiàn)各網(wǎng)絡(luò)區(qū)域之間的訪問(wèn)控制，有效地提高了網(wǎng)絡(luò)傳輸效率和網(wǎng)絡(luò)中的信息安全。在現(xiàn)實(shí)網(wǎng)絡(luò)配置時(shí)，通過(guò)在路由器上使用單臂路由技術(shù)，在保證網(wǎng)絡(luò)安全前提下，來(lái)實(shí)現(xiàn)不同VLAN之間的相互通信。

VLAN；中繼；單臂路由；Cisco

虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）是一種邏輯廣播域，可以跨越多個(gè)物理LAN網(wǎng)段。VLAN以局域網(wǎng)交換機(jī)為基礎(chǔ)，通過(guò)交換機(jī)實(shí)現(xiàn)根據(jù)功能、應(yīng)用、部門(mén)等因素將設(shè)備或者根據(jù)用戶組成虛擬工作組的技術(shù)，不會(huì)受到物理位置的影響，同時(shí)相互之間又可以像在同一個(gè)網(wǎng)段中一樣可以進(jìn)行通信。VLAN是當(dāng)前網(wǎng)絡(luò)安全中應(yīng)用很廣泛的一種技術(shù)，工作在OSI參考模型的數(shù)據(jù)鏈路層（Data link layer）和網(wǎng)絡(luò)層（Network layer），在網(wǎng)絡(luò)中每一個(gè)VLAN本身就產(chǎn)生一個(gè)廣播域，多個(gè)VLAN相互間的通信是通過(guò)路由器或者三層交換機(jī)來(lái)實(shí)現(xiàn)的。VLAN技術(shù)與傳統(tǒng)的局域網(wǎng)技術(shù)相比較而言，網(wǎng)絡(luò)設(shè)備的移動(dòng)、修改或者添加管理開(kāi)銷(xiāo)減少；在實(shí)際中具有組網(wǎng)簡(jiǎn)單、易實(shí)現(xiàn)、易管理等優(yōu)點(diǎn)；同時(shí)在提高網(wǎng)絡(luò)的安全性方面有更大的提高。

VLAN能有效分割局域網(wǎng)，實(shí)現(xiàn)各網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)隔離控制。有效地提高了網(wǎng)絡(luò)安全性，但實(shí)際工作中，經(jīng)常需要配置多個(gè)VLAN之間的連通。比如，如果公司劃分為領(lǐng)導(dǎo)層、銷(xiāo)售部、財(cái)務(wù)部、人力部、科技部、審計(jì)部，并為不同部門(mén)配置了不同的VLAN，部門(mén)之間不能相互訪問(wèn)，有效保證了各部門(mén)的信息安全。但經(jīng)常出現(xiàn)領(lǐng)導(dǎo)層需要跨越VLAN訪問(wèn)其他各個(gè)部門(mén)，可以使用三層設(shè)備來(lái)實(shí)現(xiàn)，比如路由器或者帶有路由功能的三層交換機(jī)，如果一些企業(yè)在最初網(wǎng)絡(luò)組建時(shí)，購(gòu)買(mǎi)的只是二層交換機(jī)，由于二層交換機(jī)不能實(shí)現(xiàn)IP路由功能，不同VLAN之間通信就需要購(gòu)買(mǎi)路由器或者三層的交換機(jī)，由此會(huì)造成以前的二層設(shè)備丟棄。這樣無(wú)疑就造成了交換機(jī)等網(wǎng)絡(luò)設(shè)備的浪費(fèi)。如果仍然要使用以前的二層設(shè)備，那么可以通過(guò)增添三層設(shè)備路由器使用單臂路由技術(shù)，來(lái)避免由于企業(yè)網(wǎng)絡(luò)升級(jí)造成的網(wǎng)絡(luò)設(shè)備資源的浪費(fèi)問(wèn)題。

一、單臂路由技術(shù)概述

（一）單臂路由技術(shù)的原理

單臂路由就是在路由器以太網(wǎng)接口下配置若干個(gè)子接口，每個(gè)子接口對(duì)應(yīng)一個(gè)VLAN，這樣當(dāng)路由器的以太網(wǎng)口連接到一個(gè)劃分VLAN的二層交換機(jī)時(shí)，可以通過(guò)路由器的以太網(wǎng)口，實(shí)現(xiàn)二層交換機(jī)上多個(gè)VLAN之間的相互通信。在交換機(jī)的中繼鏈路上，可以通過(guò)對(duì)數(shù)據(jù)幀附加VLAN信息，構(gòu)建跨越多臺(tái)交換機(jī)的VLAN，附加VLAN信息的方法，IIEEE 802.1Q:俗稱(chēng)dot 1 Q.由IEEE創(chuàng)建，協(xié)議為標(biāo)識(shí)帶有VLAN成員信息的以太幀建立了一種標(biāo)準(zhǔn)方法。因此在Cisco和非Cisco設(shè)備之間，必須使用802.1Q.而不能使用ISL，基于IEEE802.1Q附加的VLAN信息，就像在傳遞物品時(shí)附加的標(biāo)簽。

（二）單臂路由技術(shù)的優(yōu)點(diǎn)

單臂路由（router-on-a-stick）是指在通過(guò)路由器的一個(gè)物理端口上通過(guò)設(shè)置對(duì)應(yīng)的邏輯接口（或“子接口”）的方式，以邏輯端口來(lái)充當(dāng)物理端口實(shí)現(xiàn)，在網(wǎng)絡(luò)中實(shí)現(xiàn)不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通。

節(jié)省使用路由器的物理端口，用戶依據(jù)連接路由器的物理端口上定義出多個(gè)邏輯子端口和交換機(jī)的接口，根據(jù)自己的實(shí)際需要，可以邏輯上分割出多個(gè)虛擬端口，而每個(gè)虛擬局域網(wǎng)都連接一個(gè)虛擬子端口，每個(gè)子端口都配置相應(yīng)的網(wǎng)段的網(wǎng)關(guān) IP 地址和子網(wǎng)掩砝碼，同時(shí)遵循802.1Q 協(xié)議或ISL協(xié)議。通過(guò)在交換機(jī)上定義連接路由器的端口為中繼（Trunk）端口，封裝等同于路由器子端口的協(xié)議。

單臂路由是當(dāng)前網(wǎng)絡(luò)中解決VLAN間通信的一種實(shí)用且經(jīng)濟(jì)的解決方案。當(dāng)VLAN之間有各個(gè)網(wǎng)段的主機(jī)需要通信時(shí)，如果連接網(wǎng)絡(luò)的交換機(jī)不支持三層交換和路由功能，同時(shí)路由器又沒(méi)有多余的端口連接，此時(shí)可采用支持802.1q（即Virtual Bridged Local Area Networks協(xié)議）的路由器實(shí)現(xiàn)VLAN的互通。

相對(duì)于其它網(wǎng)絡(luò)改造方案而言，單臂路由技術(shù)的管理和配置并不太復(fù)雜。由于它從主要數(shù)據(jù)通道中去除了等待時(shí)間更長(zhǎng)的路由功能和處理更加密集的網(wǎng)絡(luò)數(shù)據(jù)通信。單臂路由器位于 ATM 主干交換機(jī)一側(cè)，同時(shí)以一條ATM連接與交換機(jī)相聯(lián)，讓不需要穿越路由器的數(shù)據(jù)包不受阻礙地通過(guò) ATM 主干。

單臂路由器結(jié)構(gòu)的關(guān)鍵，是將不同網(wǎng)段進(jìn)行的通信，將最少的網(wǎng)絡(luò)數(shù)據(jù)通信保持在單臂路由器之內(nèi)。通過(guò)構(gòu)建VLAN使網(wǎng)絡(luò)流量支持80／20法則（其中20％的通信量在局域網(wǎng)之外，而將80%的通信量保持在局域網(wǎng)內(nèi)部），這樣路由器就不需要處理大部分通信量。為了很好地保證這一點(diǎn)，優(yōu)化虛擬局域網(wǎng)的配置以最小化虛擬局域網(wǎng)之間的通信量（即穿過(guò)單臂路由器的通信量）很關(guān)鍵。

三、單臂路由配置實(shí)例

（一）網(wǎng)絡(luò)拓?fù)鋱D

通過(guò)單臂路由技術(shù)完成局域網(wǎng)內(nèi)各VLAN互連互通，單臂路由實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D如圖1所示，模擬設(shè)備為：4臺(tái)PC機(jī)、Cisco2960交換機(jī)和Cisco 2811 路由器。其中4臺(tái)PC分別被劃分為4個(gè)不同的VLAN中，通過(guò)在路由器上配置單臂路由技術(shù)實(shí)現(xiàn)4個(gè)VLAN之間的相互通信。

圖1 單臂路由實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D

（二）實(shí)驗(yàn)IP 地址規(guī)劃表

4臺(tái)PC、交換機(jī)與路由器之間的端口和IP 地址規(guī)劃如表1。

表1 IP 地址和Vlan規(guī)劃表

（三）實(shí)驗(yàn)步驟

步驟1：在Cisco 2960交換機(jī)上的配置

Switch>en

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#vlan 50 //在交換機(jī)上劃分vlan50

Switch(config-vlan)#exit

Switch(config)#vlan 60 //在交換機(jī)上劃分vlan160

Switch(config-vlan)#exit

Switch(config)#vlan 70 //在交換機(jī)上劃分vlan70

Switch(config-vlan)#exit

Switch(config)#vlan 80 //在交換機(jī)上劃分vlan80

Switch(config-vlan)#exit

Switch(config)#int fa0/5 //進(jìn)入端口

Switch(config-if)#switchport mode access //將fa0/5端口設(shè)置為接入PC模式

Switch(config-if)#switchport access vlan 50 //將fa0/5端口劃分到vlan50中

Switch(config-if)#no sh

Switch(config)#int fa0/6 //進(jìn)入端口

Switch(config-if)#switchport mode access //將fa0/6端口設(shè)置為接入PC模式

Switch(config-if)#switchport access vlan 60 //將fa0/6端口劃分到vlan60中

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int fa0/7 //進(jìn)入端口

Switch(config-if)#switchport mode access //將fa0/7端口設(shè)置為接入PC模式Switch(config-if)#switchport access vlan 70 //將fa0/7端口劃分到vlan70中

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int fa0/8 //進(jìn)入端口

Switch(config-if)#switchport mode access //將fa0/8端口設(shè)置為接入PC模式

Switch(config-if)#switchport access vlan 80 //將fa0/8端口劃分到vlan80中

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int fa0/1 //進(jìn)入端口

Switch(config-if)#switchport mode trunk //將端口改為trunk模式

Switch(config-if)#no sh

Switch(config-if)#exit

步驟2：在Cisco 2811 路由器的配置

Router#conf t

Router(config)#hostname R1 //將路由器重命名

R1(config)#int fa0/0 //進(jìn)入fa0/0端口

R1(config-if)#no sh //激活fa0/0

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

R1(config)#int fa0/1.1 //進(jìn)入路由器fa0/1.1子接口

R1(config-subif)#encapsulation dot1Q 50 //封裝802.1Q 協(xié)議到vlan 50端口

R1(config-subif)#ip add 192.168.50.1 255.255.255.0

R1(config-subif)#no sh //保存設(shè)置并激活端口

R1(config-subif)#exit

R1(config)#int fa0/1.2 //進(jìn)入路由器fa0/1.1子接口

R1(config-subif)#encapsulation dot1Q 60 //封裝802.1Q 協(xié)議到vlan 60端口

R1(config-subif)#ip add 192.168.60.1 255.255.255.0

R1(config-subif)#no sh //保存設(shè)置并激活端口

R1(config-subif)#exit

R1(config)#int f0/1.3 //進(jìn)入路由器fa0/0.3子接口

R1(config-subif)#encapsulation dot1Q 70 //封裝802.1Q 協(xié)議到vlan 70端口

R1(config-subif)#ip add 192.168.70.1 255.255.255.0

R1(config-subif)#no sh //保存設(shè)置并激活端口

R1(config-subif)#exit

R1(config)#int fa0/1.4 //進(jìn)入路由器fa0/0.4子接口

R1(config-subif)#encapsulation dot1Q 80 //封裝802.1Q 協(xié)議到vlan 80端口

R1(config-subif)#ip add 192.168.80.1 255.255.255.0

R1(config-subif)#no sh //保存設(shè)置并激活端口

R1(config-subif)#exit

步驟3：測(cè)試結(jié)果

局域網(wǎng)內(nèi)的各 VLAN 間可進(jìn)行通信，整體單臂路由配置全部完成。以PC0與 PC1 Ping 命令為例進(jìn)行測(cè)試，它們之間均能互相 ping 通測(cè)試結(jié)果見(jiàn)圖 2 所示。

圖2 測(cè)試結(jié)果

四、結(jié)束語(yǔ)

通過(guò)上面的實(shí)驗(yàn)練習(xí)進(jìn)一步對(duì)單臂路由技術(shù)有了一定的理解，在實(shí)際中可以解決跨越VLAN之間的互相訪問(wèn)，在保證網(wǎng)絡(luò)安全的前提下，實(shí)現(xiàn)了部門(mén)VLAN之間的數(shù)據(jù)共享和通信安全，同相對(duì)于其它方案而言，單臂路由其配置和管理都不太復(fù)雜。

[1]褚建立.交換機(jī)/路由器配置與管理項(xiàng)目教程[M].北京：清華大學(xué)出版社，2011.

[2]楊姝.VLAN技術(shù)實(shí)驗(yàn)的設(shè)計(jì)與仿真實(shí)現(xiàn)研究[J].實(shí)驗(yàn)技術(shù)與管理，2014（3）.

[3]陳照吉，方柯.用Packet tracer軟件巧練單臂路由技術(shù)[J].信息通信，2014（5）.

[4]宋宇.基于單臂路由的VLAN通信模型的仿真研究[J].中國(guó)新通信，2014（13）.

[5]尹常紅.單臂路由技術(shù)在區(qū)縣氣象局的應(yīng)用[J].電腦知識(shí)與技術(shù)，2012（1）.

[6]金波.IPV6網(wǎng)絡(luò)環(huán)境中單臂路由應(yīng)用實(shí)例[J].科技經(jīng)濟(jì)市場(chǎng)，2007（8）.

（責(zé)任編輯 王傲冰）

Application of Router-on-a-stick Technology in the Realization of the Communication between Different VLAN

DONG Hui-guo

（Xingtai Polytechnic College, Xingtai, Hebei 054035, China）

The VLAN technology can effectively split LAN access control between each network area， improve the network transmission efficiency and network information security. In the real network configuration, by using single arm routing technology in the router to realize mutual communication between different VLAN is introduced in the article.

VLAN; trunk; router-on-a-stick; cisco

TP393.1

A

1008—6129（2015）01—0096—05

2014—12—21

董會(huì)國(guó)（1979—），河北邢臺(tái)人，邢臺(tái)職業(yè)技術(shù)學(xué)院信息工程系，講師。