eNSP仿真軟件之利用單臂路由實現VLAN間路由

一、 實驗原理

以太網中，一般會使用VLAN技術隔離二層廣播域來減小廣播的影響，並加強網絡的安全性和可管理性。其缺點是同時也嚴格地隔離了不一樣VLAN之間的任何二層流量，使分屬於不一樣VLAN的用戶不能直接互相通訊。在現實中，常常會出現某些用戶須要跨越VLAN實現通訊的狀況，單臂路由技術就是解決VLAN間通訊的一種方法。

單臂路由的原理是經過一臺路由器， 使VLAN間互通數據經過路由器進行三層轉發。若是在路由器上爲每一個VLAN分配一個單獨的路由器物理接口，隨着VLAN數量的增長，必然須要更多的接口，而路由器能提供的接口數量比較有限，因此在路由器的一個物理接口上經過配置子接口(即邏輯接口)的方式來實現以一當多的功能，將是一種很是好的方式。路由器同一物理接口的不一樣子接口做爲不一樣VLAN的默認網關，當不一樣VLAN間的用戶主機須要通訊時，只需將數據包發送給網關，網關處理後再發送至目的主機所在VLAN,從而實現VLAN間通訊。因爲從拓撲結構圖上看，在交換機與路由器之間，數據僅經過一條物理鏈路傳輸，故被形象地稱之爲「單臂路由」。

二、 實驗內容

本實驗模擬公司網絡場景。路由器R1是公司的出口網關，員工PC經過接入層交換機(如S2和S3)接入公司網絡，接入層交換機又經過匯聚交換機S1與路由器R1相連。公司內部網絡經過劃分不一樣的VLAN隔離了不一樣部門之間的二層通訊，保證各部門間的信息安全，可是因爲業務須要，經理、市場部和人事部之間須要能實現跨VLAN通訊，網絡管理員決定藉助路由器的三層功能，經過配置單臂路由來實現。

三、 實驗步驟

（1）、新建實驗拓補圖

 

（2）根據實驗編址表進行路由器R1和PC1-3的IP地址，其中路由器的配置方式以下：

配置路由器子接口和IP地址：

★在R1上建立子接口GE 0/0/1.1，配置IP地址爲192.168.1.254/24，做爲人事部網關地址。

★同理建立子接口而且配置IP地址

（3）公司爲保障各部門的信息安全，需保證隔離不一樣部門間的二層通訊，規劃各部門的終端屬於不一樣的VLAN，併爲PC配置相應IP地址。

★在S2上建立VLAN 10和VLAN20，把鏈接PC-1的E 0/0/1和鏈接PC-2的E 0/0/2接口配置爲Access類型接口，並分別劃分到相應的VLAN中。

★交換機之間或交換機和路由器之間相連的接口須要傳遞多個VLAN信息，須要配置成Trunk接口。將S2和S3的GE 0/0/2接口配置成Trunk類型接口，並容許全部VLAN經過 

 

 

 

★在S1上建立VLAN十、VLAN20和VLAN30,並配置交換機和路由器相連的接口爲Trunk，容許全部VLAN經過。

（4）測試PC1-3的連通性，發現仍然不能聯通。

（5）配置路由器子接口封裝VLAN

雖然目前已經建立了不一樣的子接口，並配置了相關IP地址，可是仍然沒法通訊。這是因爲處於不一樣VLAN下，不一樣網段的PC間要實現互相通訊，數據包必須經過路由器進行中轉。由S1發送到RI的數據都加上了VLAN標籤，而路由器做爲三層設備，默認沒法處理帶了VLAN標籤的數據包。所以須要在路由器上的子接口下配置對應VLAN的封裝，使路由器可以識別和處理VLAN標籤，包括剝離和封裝VLAN標籤。

★在R1的子接口GE 0/0/1.1.上封裝VLAN 10,在子接口GE 0/0/1.2上封裝VLAN 20。在子接口GE 0/0/1.3上封裝VLAN30，並開啓子接口的ARP廣播功能。

使用dot1q termination vid命令配置子接口對一層tag報文的終結功能。即配置該命令後，路由器子接口在接收帶有VLAN tag的報文時，將剝掉tag進行三層轉發，在發送報文時，會將與該子接口對應VLAN的VLAN tag添加到報文中。

使用arp broadcast enable命令開啓子接口的ARP廣播功能。若是不配置該命令，將會致使該子接口沒法主動發送ARP廣播報文，以及向外轉發IP報文。 

同理配置R1的子接口GE 0/0/1.2和GE 0/0/1.3。

（7）      配置完成後，在路由器R1上查看接口狀態，能夠看到3個子接口的物理狀態和協議狀態都正常。

（8）      查看路由器R1的路由表，能夠觀察到，路由表中已經有了192.168.1.0/2四、 192.168.2.0/2四、 192. 168.3.0/24的路由條目，而且都是路由器R1的直連路由，相似於路由器上的直連物理接口 。

（9）      測試連通性。能夠看到PC1和PC2已經能夠PING通

（10）      在PC-1上tracertPC-2，能夠觀察到PC-1先把ping包發送給自身的網關192.168.1.254， 而後再由網關發送到PC-2。

現以PC-1pingPC-2爲例，分析單臂路由的整個運做過程。

      兩臺PC因爲處於不一樣的網絡中，這時PC-1會將數據包發往本身的網關，即路由器R1的子接口GE 0/0/1.1的地址192.168.1.254。.

      數據包到達路由器R1後，因爲路由器的子接口GE 0/0/1.1已經配置了VLAN封裝，當接收到PC-1發送的VLAN 10的數據幀時，發現數據幀的VLANID跟自身GE0/0/1.1接口配置的VLAN ID 同樣，便會剝離掉數據幀的VLAN標籤後經過三層路由轉發。

      經過查找路由表後，發現數據包中的目的地址192.168.2.1所屬的192.168.2.0/24 網段的路由條目，已是路由器R1上的直連路由，且出接口爲GE 0/0/1.2，便將該數據包發送至GE 0/0/1.2接口。

      當GE0/0/1.2接口接收到一個沒有帶VLAN標籤的數據幀時，便會加上自身接口所配置的VLAN ID 20後再進行轉發，而後經過交換機將數據幀順利轉發給PC-2。