曹園青

摘 要：VLAN技術(shù)可以有效隔離廣播風(fēng)暴，但同時也會使不同VLAN之間的通信產(chǎn)生隔離。為了解決VLAN間的通信問題，必須借助具有三層IP技術(shù)的路由器來實現(xiàn)。單臂路由技術(shù)是比較典型的三層技術(shù)解決方案，它可以有效彌補三層網(wǎng)絡(luò)設(shè)備端口數(shù)量有限的缺陷，并利用干道技術(shù)和子接口技術(shù)實現(xiàn)VLAN間的互通。本文利用Cisco Packet Tracer 6.2模擬軟件對單臂路由技術(shù)進(jìn)行了網(wǎng)絡(luò)仿真和結(jié)果驗證，并給出相應(yīng)配置命令。

關(guān)鍵詞：VLAN;單臂路由;子接口技術(shù);Packet Tracer

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1003-5168（2020）34-0042-04

Research on the Application of Single-arm Routing Technology

in the Communication between VLANs

CAO Yuanqing

（Department of Mathematics and Computer Science， Hetao College，Bayan Nur Inner Mongolia 015000）

Abstract： VLAN technology can effectively isolate broadcast storms， but it will also isolate the communication between different VLANs. In order to solve the problem of communication between VLANs， routers with three-layer IP technology must be used. Single arm routing technology is a typical three-layer technology solution， which can effectively make up for the limitation of the number of ports in the three-layer network equipment， and realize the interworking between VLANs by using trunk technology and sub interface technology. This paper used Cisco Packet Tracer 6.2 simulation software to simulate the single arm routing technology and verify the results， and gave the corresponding configuration commands.

Keywords： VLAN;single-arm routing;sub-interface technology;Packet Tracer

1 研究背景

VLAN技術(shù)，即虛擬局域網(wǎng)絡(luò)（Virtual Local Area Network）技術(shù)，可以有效地將二層廣播域進(jìn)行隔離，是一類邏輯上的廣播域，能跨越多個本地物理局域網(wǎng)（LAN）網(wǎng)段。通過將LAN交換機作為基礎(chǔ)可以實現(xiàn)VLAN技術(shù)，確切地說，將位于不同物理位置的用戶或者設(shè)備依據(jù)不同的用途、角色、部門等因素劃分成不同的虛擬網(wǎng)絡(luò)組，與此同時，位于不同虛擬網(wǎng)絡(luò)組的用戶或者設(shè)備之間的通信又像在相同網(wǎng)段里一樣簡單、透明、無障礙。計算機網(wǎng)絡(luò)發(fā)展至今，VLAN技術(shù)比較新，在OSI網(wǎng)絡(luò)模型中，L3為網(wǎng)絡(luò)層，負(fù)責(zé)分組路由，L2為數(shù)據(jù)鏈路層，VLAN工作在L3和L2，可以把網(wǎng)絡(luò)中的每一個虛擬局域網(wǎng)段（VLAN）理解為一個廣播域，那么跨VLAN之間的互聯(lián)互通就需要借助三層交換技術(shù)來實現(xiàn)，體現(xiàn)到網(wǎng)絡(luò)設(shè)備上就是三層交換機或路由器。與陳舊的局域網(wǎng)技術(shù)相比，新興的虛擬局域網(wǎng)技術(shù)具有諸多優(yōu)勢，尤其在網(wǎng)絡(luò)拓?fù)渫卣箷r，如有新設(shè)備加入，在組網(wǎng)實踐中，具有組網(wǎng)高效靈活、通信高速安全、管理方便快捷、擴展簡單便捷等優(yōu)點。

VLAN隔離了二層廣播域，也就嚴(yán)格地隔離了各個VLAN之間的任何流量，被分配到一個VLAN里的主機通過交換機只能和本VLAN的主機通信[1]，大大地增加了內(nèi)部網(wǎng)絡(luò)的安全性，然而在實際組網(wǎng)中，通常要配置不同VLAN之間互通。例如，某高校職能部門劃分為教務(wù)處、計財處、審計處、國資處、黨政處、科技處、紀(jì)檢處，學(xué)校信息中心為每個職能部門都配置了對應(yīng)本部門的不同VLAN，每個部門不能互訪，使各部門的信息安全得到了有效保障，但在有些情況下，比如，校領(lǐng)導(dǎo)需要跨VLAN訪問其他部門的數(shù)據(jù)，三層網(wǎng)絡(luò)設(shè)備便可實現(xiàn)這一需求，確切地說，是具有路由功能的三層交換機或路由器。但有些高校在建校組網(wǎng)的初期階段，由于考慮不周，采購的網(wǎng)絡(luò)設(shè)備全是二層交換機，但二層交換機不具備路由轉(zhuǎn)發(fā)的功能（三層IP技術(shù)）。而要實現(xiàn)VLAN間的相互通信就必須采購具有路由功能的三層交換機或路由器，這樣會淘汰很多已經(jīng)購買的二層網(wǎng)絡(luò)設(shè)備，造成資源和資金的極大浪費。如何有效利用二層網(wǎng)絡(luò)設(shè)備來避免設(shè)備資源浪費成為很多企業(yè)或高校關(guān)注的問題。研究者認(rèn)為通過購買少量的具有三層IP技術(shù)的路由器，并且配置實現(xiàn)路由器的單臂路由技術(shù)，可以有效利用大量二層設(shè)備，解決跨網(wǎng)段通信的問題。

2 單臂路由技術(shù)簡介

2.1 單臂路由技術(shù)的工作機制

所謂單臂路由，是由于在VLAN配置中，只使用路由器的一個接口實現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，就像人只有一只手臂一樣，為了加深大家的印象，形象地稱之為單臂路由[2]。從物理上看，只用一個通信線路來實現(xiàn)不同VLAN之間的通信，其實此線路內(nèi)已經(jīng)定義了多個邏輯子接口，每個邏輯子接口對應(yīng)一個不同的VLAN[3]，當(dāng)L2交換機配置好多個VLAN時，并且上聯(lián)路由器的物理以太網(wǎng)端口，那么在L2交換機里，相異VLAN之間的數(shù)據(jù)通信就不成問題。特別的，在快速以太網(wǎng)交換機Trunk鏈路中，能夠?qū)LAN信息附加到數(shù)據(jù)幀的幀頭，構(gòu)建可以跨多個交換機的VLAN，VLAN信息附加的途徑就是由IEEE創(chuàng)建的802.1q，又稱為dot 1q，協(xié)議創(chuàng)建了一種在以太網(wǎng)幀中附帶VLAN成員標(biāo)識信息的標(biāo)準(zhǔn)。因此，無論網(wǎng)絡(luò)設(shè)備的品牌是Cisco還是非Cisco，必須要用到802.1q協(xié)議，基于802.1q協(xié)議的附加VLAN標(biāo)識信息，就像貼在快遞包裹上的快遞標(biāo)簽一樣。

2.2 單臂路由技術(shù)的主要優(yōu)點

單臂路由指的是在路由器這個三層網(wǎng)絡(luò)設(shè)備上的物理接口上設(shè)置多個子接口（或“邏輯接口”），通過這種方法，把多個邏輯接口視為物理接口，實現(xiàn)在多個VLAN之間的互聯(lián)互通。VLAN技術(shù)最大的特色是能隔離廣播域，抑制廣播風(fēng)暴，將安全訪問控制策略配置在各個本地局域網(wǎng)之間，大大地提升了網(wǎng)絡(luò)吞吐量和網(wǎng)絡(luò)安全級別。在實際網(wǎng)絡(luò)配置中，將單臂路由技術(shù)運用到路由器上，既能滿足網(wǎng)絡(luò)安全需求，又能實現(xiàn)不同VLAN間的互聯(lián)互通。

路由器作為典型的三層網(wǎng)絡(luò)設(shè)備，物理端口數(shù)量有限，所以如何在有限的物理端口上配置日益增多的VLAN，成為一大技術(shù)熱點。運維人員通常根據(jù)實際的組網(wǎng)需求，在路由器的一個物理接口上定義多個邏輯上的子接口，即在若干虛擬子接口被配置到一個物理接口上時，虛擬子接口和VLAN之間是一一對應(yīng)的關(guān)系，并且它們的網(wǎng)絡(luò)參數(shù)都要配制成網(wǎng)段對應(yīng)子網(wǎng)掩碼和網(wǎng)關(guān)IP地址，對VLAN進(jìn)行一對一的子接口連接，實現(xiàn)VLAN間的通信[4]。當(dāng)然，這些都在802.1q協(xié)議的框架內(nèi)進(jìn)行。在現(xiàn)代網(wǎng)絡(luò)技術(shù)中，解決相異VLAN之間數(shù)據(jù)通信的方法有很多，但單臂路由技術(shù)絕對是最快捷、最方便的方法。當(dāng)VLAN間的主機需要通信時，數(shù)據(jù)會經(jīng)過交換機進(jìn)行三層路由，并被轉(zhuǎn)發(fā)到目的VLAN內(nèi)主機，實現(xiàn)VLAN之間相互通信，實現(xiàn)單臂路由功能，確保網(wǎng)絡(luò)穩(wěn)定性和可靠性[6]。若連接各網(wǎng)段的交換機沒有三層交換功能或路由轉(zhuǎn)發(fā)功能，再加上路由器端口數(shù)目有限，這時可以考慮使用支持802.1q的路由器來實現(xiàn)VLAN間互通。

單臂路由技術(shù)很好地解決了跨局域網(wǎng)信息通信過程中的兩大問題，即長時延路由等待問題和高強度吞吐量的并發(fā)問題。與傳統(tǒng)網(wǎng)絡(luò)改造升級方案相比，單臂路由技術(shù)的配置和管理并不復(fù)雜。此外，在ATM網(wǎng)絡(luò)環(huán)境下，單臂路由技術(shù)可以確保數(shù)據(jù)報文暢通無阻地跨越ATM核心設(shè)備抵達(dá)客戶端。

單臂路由技術(shù)的要點是把不同VLAN之間的通信以最少的以太網(wǎng)絡(luò)數(shù)據(jù)吞吐量流經(jīng)單臂技術(shù)路由器。利用虛擬局域網(wǎng)技術(shù)，使得內(nèi)網(wǎng)數(shù)據(jù)流兼容80/20規(guī)則，本地VLAN內(nèi)數(shù)據(jù)吞吐量占80%，局域網(wǎng)外的數(shù)據(jù)吞吐量占20%，這樣就巧妙地把大部分?jǐn)?shù)據(jù)從路由器中轉(zhuǎn)移出來，降低了路由器的開銷。為了實現(xiàn)這一點，如何對VLAN配置進(jìn)行優(yōu)化，從而達(dá)到VLAN間通信數(shù)據(jù)量（通過路由器的數(shù)據(jù)量）最小化的目的成為關(guān)鍵。

3 Packet Tracer軟件簡介

Packet Tracer是思科公司推出的一款Cisco路由器、交換機模擬軟件。該軟件是目前思科網(wǎng)絡(luò)技術(shù)學(xué)院中最流行、操作最簡單、最接近真實環(huán)境的模擬工具。它模擬較為基礎(chǔ)的學(xué)習(xí)環(huán)境，為學(xué)生設(shè)計、配置網(wǎng)絡(luò)和排除網(wǎng)絡(luò)故障提供了非常好的平臺[6]。

這款軟件具有操作簡單便捷、界面簡潔直觀等優(yōu)點。其中，界面分為三個區(qū)域，分別是工具欄區(qū)、設(shè)備選擇區(qū)和工作區(qū)。工具欄區(qū)包括幾種常用的操作快捷圖標(biāo)，如文件的新建、打開、保存、打印、復(fù)制、粘貼、撤銷、放大、縮小等;設(shè)備選擇區(qū)存放了多種多樣的主流網(wǎng)絡(luò)設(shè)備，如路由器、交換機、集線器、無線網(wǎng)絡(luò)設(shè)備、終端設(shè)備、網(wǎng)絡(luò)安全設(shè)備等;工作區(qū)主要供用戶繪制網(wǎng)絡(luò)拓?fù)?，將設(shè)備選擇區(qū)的設(shè)備拖放到工作區(qū)即可添加網(wǎng)絡(luò)設(shè)備，用線纜將設(shè)備的端口進(jìn)行連接，即可完成拓?fù)鋱D的繪制。

4 單臂路由模擬仿真實驗

4.1 組網(wǎng)拓?fù)?/p>

采用單臂路由技術(shù)實現(xiàn)局域網(wǎng)中各VLAN之間的互聯(lián)互通。單臂路由技術(shù)實驗網(wǎng)絡(luò)拓?fù)淙鐖D1所示。從圖1可以看出，仿真實驗設(shè)備包括：1臺Cisco 2911路由器、1臺Cisco 2950交換機和3臺客戶端PC。每臺客戶端PC都被配置成屬于各自的VLAN里，利用加持單臂路由技術(shù)，在路由器中完成了圖中所有VLAN間的互聯(lián)互通。

4.2 仿真IP地址配置

仿真實驗的所有網(wǎng)絡(luò)設(shè)備和客戶端終端的網(wǎng)絡(luò)配置如表1所示。

4.3 實驗步驟

步驟1：在Cisco2950交換機上配置，配置代碼如下：

Switch（config）#interface fastEthernet 0/1? ?//進(jìn)入Fa 0/1端口配置模式

Switch（config-if）#switchport access vlan 10? ?//將Fa 0/1配置為Vlan 10的Access口

Switch（config-if）#no shutdown? ?//開啟Fa 0/1端口

Switch（config）#interface fastEthernet 0/2? ?//進(jìn)入Fa 0/2端口配置模式

Switch（config-if）#switchport access vlan 20? ?//將Fa 0/2配置為Vlan 20的Access口

Switch（config-if）#no shutdown? ?//開啟Fa 0/2端口

Switch（config）#interface fastEthernet 0/3? ?//進(jìn)入Fa 0/3端口配置模式

Switch（config-if）#switchport access vlan 30? ?//將Fa 0/2配置為Vlan 30的Access口

Switch（config-if）#no shutdown? ?//開啟Fa 0/3端口

Switch（config）#interface fastEthernet 0/24? ?//進(jìn)入Fa 0/24端口配置模式

Switch（config-if）#switchport mode trunk? ?//將Fa 0/24配置為trunk口