在企业网中利用单臂路由实现VLAN间通信
在企业网中利用单臂路由实现VLAN间通信
一、基础知识:
1)VLAN的类型:
1、本地vlan:同一个vlan的成员都在一台交换机上;
2、端到端vlan:同一个vlan的成员分散到不同的交换机上;
2)VLAN的优点:
1、控制网络的广播风暴
采用VLAN技术,可将某个交换端口划到某个VLAN中,而一个VLAN的广播风暴不会影响其它VLAN的性能。
2、确保网络安全
共享式局域网之所以很难保证网络的安全性,是因为只要用户插入一个活动端口,就能访问网络。而VLAN能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC地址,因此VLAN能确保网络的安全性。
3、简化网络管理
网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN网络,其成员使用VLAN网络,就像在本地使用局域网一样。
4、成本降低
成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。
5、性能提高
将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
3)端口类型:
4)各种端口的报文接受和发送过程:
a、ACCESS端口模式图解
1.端口接收到报文处理方式
2.端口发送报文处理方式
b、TRUNK端口模式图解
1.端口接收到报文处理方式
2.端口发送报文处理方式
c、HYBRID端口模式图解
1.端口接收到报文处理方式
2.端口发送报文处理方式
二、案例 - 1:
1、实验说明:
假设某企业有两个主要部门:技术部和市场部,用工都连接在一台二层交换机上,网络中有一台路由器用于连接Internet。现发现网络内广播流量太多,还有从安全性方面考虑,为了实现隔离广播和网络的安全性,现划分的vlan,分为技术部vlan、市场部vlan、和服务器vlan,还有一个普通vlan,要求普通vlan、技术部vlan和市场部vlan只能与服务器vlan相互通信,其他vlan间不能通信。
2、实验原理:
在交换网络中,通过VLAN技术对一个局域网进行逻辑划分,不同的VLAN之间是无法直接通信的,必须通过三层及更高的的设备进行连接;
将路由器和交换机相连,使用IEEE802.1q来启动路由器上的以太网子接口成为干道模式,就可以利用路由器来实现VLAN间通信;
为了实现控制VLAN间通信,我们在路由器上可以添加访问控制列表来进行控制;
3、实验拓扑:
4、实验环境:
华为交换机1台(S2000系列)
华为路由器1台(R2621系列)
PC机4台
5、实验要求:
PC 1与Server互通;
PC 2与Server互通;
PC 3与Server互通;
PC 1、PC 2和PC 3之间互不相同;
6、实验步骤:
1)配置交换机:
a、创建vlan 10:
b、创建vlan 20:
c、创建vlan 30:
d、将一个端口设置成trunk端口,用以实现vlan间通信:
2)配置路由器:
a、配置扩展访问控制列表:使用扩展访问控制列表
b、配置接口:
c、配置以太网子接口,并在接口上应用扩展ACL:
7、验证测试:
1)从PC 1 ping Server主机:
2)从PC 2 ping Server主机:
3)从PC 3 ping Server主机:
4)从PC 1 ping PC 2:
5)从PC 2 ping PC 3:
8、实验小结:
要想vlan1与其他vlan通信,不可以使用以太网子接口作为vlan1的网关,因为vlan1通过trunk时是不打标签的,所以在通过以太网子接口时,是无法通过的。
应该直接在路由器上的以太网接口上配置一个地址,此地址则为vlan 1的网关地址;从而实现vlan 1与其他vlan间的通信;
本文转自 cexpert 51CTO博客,原文链接:http://blog.51cto.com/cexpert/964960