某高速網絡二層通三層不通

1、背景介紹

某高速收費站網絡拓撲以下圖所示：

每一個站點使用不一樣的IP地址段，站點A是一臺三層交換機，站點B經過一臺二層交換與站點A相連，且站點A，B的網關位於三層交換機的vlanif接口上，R3，R4經過vlanif出口訪問外網。
此時現場新增一個需求：要求R3增長一個172.16.107.0/24網段地址與R4之間可以經過二層通訊，且R3上新增的IP地址也能經過網關訪問外網

2、需求分析

1. 首先想到在R3的g/0/1接口上增長一個Secondary地址

   [R3-GigabitEthernet0/0/1]display this 
   [V200R003C00]
   #
   interface GigabitEthernet0/0/1
   ip address 192.168.174.1 255.255.255.0 
   ip address 172.16.107.1 255.255.255.0 sub
   #
   return

   此時R3上的192.168.174.1與172.16.107.1的IP使用相同的MAC地址
   

2. 因爲又要讓172.16.107.0/24網段間二層通訊，就想到了使用hybrid端口，此時網絡配置以下圖所示：
   
   配置完後，進行ping測試，結果以下:
   192.168.174.1/24能ping通vlanif174
   172.16.107.1/24能ping通172.16.107.2/24
   172.16.107.1/24不能ping通vlanif107
   172.16.107.2/24能ping通vlanif107
   經過上述結果能發現新增的讓172.16.107.1地址二層通訊正常，但三層不通

   3、問題定位

   爲何172.16.107.1能ping通172.16.107.2卻沒法ping通172.16.107.254，這就要從通訊過程提及，當用172.16.107.1 ping 172.16.107.254時發生以下：

3. Ping 172.16.107.254時，根據路由表最長匹配原則，將會使用172.16.107.1 作爲源IP地址
4. 用目的IP地址（172.16.107.254）與本身的掩碼作與運算，得出目的IP與本身在同一網段，進行ARP廣播
5. 因爲路由器上的三層接口沒有配置802.1Q，此時ARP廣播包以純以太網幀形式發送
6. ARP廣播包進入SW1時，打上接口PVID，並在vlan 174中進行廣播，而vlanif 107屬於vlan 107，因此ARP廣播沒法被接收，天然也不會回覆，通訊失敗
   那爲何172.16.107.1能ping通172.16.107.2，繼續往下看（前4步同樣，不作贅述）：
7. 因爲在SW1內沒有查到172.16.107.2的mac地址，SW1進行泛洪，ARP廣播經過trunk到達SW2
8. SW2此時也沒有172.16.107.2的mac地址，一樣在全部接口進行泛洪
9. 數據包離開SW2時，因爲hybrid口設置的untag 174，因此脫掉tag後R4可以正常接收並響應

   4、解決方法

10. 從g0/0/1接口刪除172.16.107.1，將其添加到子接口，並進行dot1q封裝

    [R3]int g0/0/1
    [R3]undo ip address 172.16.107.1 255.255.255.0 sub
    [R3]int g0/0/1.107
    [R3-GigabitEthernet0/0/1.107]dot1q termination vid 107

11. 華爲設備子接口默認抑制ARP廣播，須要手動開啓

    [R3-GigabitEthernet0/0/1.107]arp broadcast enable

12. 在SW1的入方向，容許vlan 107經過

    [SW1-Ethernet0/0/1]port hybrid tagged vlan 107

    至此全部操做完成