1. 程式人生 > >eNSP模擬軟體之利用單臂路由實現VLAN間路由

eNSP模擬軟體之利用單臂路由實現VLAN間路由

1、 實驗原理

乙太網中,通常會使用VLAN技術隔離二層廣播域來減少廣播的影響,並增強網路的安全性和可管理性。其缺點是同時也嚴格地隔離了不同VLAN之間的任何二層流量,使分屬於不同VLAN的使用者不能直接互相通訊。在現實中,經常會出現某些使用者需要跨越VLAN實現通訊的情況,單臂路由技術就是解決VLAN間通訊的一種方法。

單臂路由的原理是通過一臺路由器, 使VLAN間互通資料通過路由器進行三層轉發。如果在路由器上為每個VLAN分配一個單獨的路由器物理介面,隨著VLAN數量的增加,必然需要更多的介面,而路由器能提供的介面數量比較有限,所以在路由器的一個物理介面上通過配置子介面(即邏輯介面)的方式來實現以一當多的功能,將是一種非常好的方式。路由器同一物理介面的不同子介面作為不同VLAN的預設閘道器,當不同VLAN間的使用者主機需要通訊時,只需將資料包傳送給閘道器,閘道器處理後再發送至目的主機所在VLAN,從而實現VLAN間通訊。由於從拓撲結構圖上看,在交換機與路由器之間,資料僅通過一條物理鏈路傳輸,故被形象地稱之為“單臂路由”。

2、 實驗內容

本實驗模擬公司網路場景。路由器R1是公司的出口閘道器,員工PC通過接入層交換機(如S2和S3)接入公司網路,接入層交換機又通過匯聚交換機S1與路由器R1相連。公司內部網路通過劃分不同的VLAN隔離了不同部門之間的二層通訊,保證各部門間的資訊保安,但是由於業務需要,經理、市場部和人事部之間需要能實現跨VLAN通訊,網路管理員決定藉助路由器的三層功能,通過配置單臂路由來實現。

3、 實驗步驟

(1)、新建實驗拓補圖

 

(2)根據實驗編址表進行路由器R1和PC1-3的IP地址,其中路由器的配置方式如下:

配置路由器子介面和IP地址:

★在R1上建立子介面GE 0/0/1.1,配置IP地址為192.168.1.254/24,作為人事部閘道器地址。

★同理建立子介面並且配置IP地址

(3)公司為保障各部門的資訊保安,需保證隔離不同部門間的二層通訊,規劃各部門的終端屬於不同的VLAN,併為PC配置相應IP地址。

★在S2上建立VLAN 10和VLAN20,把連線PC-1的E 0/0/1和連線PC-2的E 0/0/2介面配置為Access型別介面,並分別劃分到相應的VLAN中。

★交換機之間或交換機和路由器之間相連的介面需要傳遞多個VLAN資訊,需要配置成Trunk介面。將S2和S3的GE 0/0/2介面配置成Trunk型別介面,並允許所有VLAN通過 

 

 

 

★在S1上建立VLAN10、VLAN20和VLAN30,並配置交換機和路由器相連的介面為Trunk,允許所有VLAN通過。

(4)測試PC1-3的連通性,發現仍然不能聯通。

(5)配置路由器子介面封裝VLAN

雖然目前已經建立了不同的子介面,並配置了相關IP地址,但是仍然無法通訊。這是由於處於不同VLAN下,不同網段的PC間要實現互相通訊,資料包必須通過路由器進行中轉。由S1傳送到RI的資料都加上了VLAN標籤,而路由器作為三層裝置,預設無法處理帶了VLAN標籤的資料包。因此需要在路由器上的子介面下配置對應VLAN的封裝,使路由器能夠識別和處理VLAN標籤,包括剝離和封裝VLAN標籤。

★在R1的子介面GE 0/0/1.1.上封裝VLAN 10,在子介面GE 0/0/1.2上封裝VLAN 20。在子介面GE 0/0/1.3上封裝VLAN30,並開啟子介面的ARP廣播功能。

使用dot1q termination vid命令配置子介面對一層tag報文的終結功能。即配置該命令後,路由器子介面在接收帶有VLAN tag的報文時,將剝掉tag進行三層轉發,在傳送報文時,會將與該子介面對應VLAN的VLAN tag新增到報文中。

使用arp broadcast enable命令開啟子介面的ARP廣播功能。如果不配置該命令,將會導致該子介面無法主動傳送ARP廣播報文,以及向外轉發IP報文。 

同理配置R1的子介面GE 0/0/1.2和GE 0/0/1.3。

(7)      配置完成後,在路由器R1上檢視介面狀態,可以看到3個子介面的物理狀態和協議狀態都正常。

(8)      檢視路由器R1的路由表,可以觀察到,路由表中已經有了192.168.1.0/24、 192.168.2.0/24、 192. 168.3.0/24的路由條目,並且都是路由器R1的直連路由,類似於路由器上的直連物理介面 。

(9)      測試連通性。可以看到PC1和PC2已經可以PING通

(10)      在PC-1上tracertPC-2,可以觀察到PC-1先把ping包傳送給自身的閘道器192.168.1.254, 然後再由閘道器傳送到PC-2。

現以PC-1pingPC-2為例,分析單臂路由的整個運作過程。

      兩臺PC由於處於不同的網路中,這時PC-1會將資料包發往自己的閘道器,即路由器R1的子介面GE 0/0/1.1的地址192.168.1.254。.

      資料包到達路由器R1後,由於路由器的子介面GE 0/0/1.1已經配置了VLAN封裝,當接收到PC-1傳送的VLAN 10的資料幀時,發現數據幀的VLANID跟自身GE0/0/1.1介面配置的VLAN ID 一樣,便會剝離掉資料幀的VLAN標籤後通過三層路由轉發。

      通過查詢路由表後,發現數據包中的目的地址192.168.2.1所屬的192.168.2.0/24 網段的路由條目,已經是路由器R1上的直連路由,且出介面為GE 0/0/1.2,便將該資料包傳送至GE 0/0/1.2介面。

      當GE0/0/1.2介面接收到一個沒有帶VLAN標籤的資料幀時,便會加上自身介面所配置的VLAN ID 20後再進行轉發,然後通過交換機將資料幀順利轉發給PC-