實(shí)際網(wǎng)絡(luò)中，經(jīng)常會(huì)有VLAN之間互訪的需求。

很多網(wǎng)工通常會(huì)選擇一些方法，來(lái)實(shí)現(xiàn)不同VLAN間主機(jī)的相互訪問(wèn)，比如說(shuō)Vlanif、單臂路由。

今天就教你輕松實(shí)現(xiàn)VLAN間互訪。

01-通過(guò)子接口實(shí)現(xiàn) VLAN 間的互訪

在二層交換環(huán)境下，一個(gè)VLAN就是一個(gè)廣播域。

相同VLAN內(nèi)的節(jié)點(diǎn)如果配置相同網(wǎng)段的IP地址即可直接通信，我們將這種通信稱為二層通信。

不同VLAN是不同的廣播域，一般也是不同的邏輯子網(wǎng)，而且相互隔離，無(wú)法直接互訪，這樣能起到隔絕廣播的作用，如上圖所示。

但是實(shí)際網(wǎng)絡(luò)中往往VLAN之間有互訪的需求。

例如同一公司不同的部門劃分在不同的VLAN，那么如果這些部門之間有數(shù)據(jù)往來(lái)的需求呢？

此時(shí)二層交換機(jī)就無(wú)法實(shí)現(xiàn)了，需要借助三層設(shè)備（路由設(shè)備）。

一個(gè)最簡(jiǎn)單的方法，就是使用路由器：

在上圖中，交換機(jī)將GE0/0/1及GE0/0/23口都配置為access類型并都加入VLAN10。

將GE0/0/2及GE0/0/24都配置為access類型并都加入VLAN20。

然后將路由器Router的GE0/0/1口作為VLAN10用戶的網(wǎng)關(guān)，GE0/0/2作為VLAN20用戶的網(wǎng)關(guān)，從而利用路由器的路由功能實(shí)現(xiàn)兩個(gè)VLAN之間的互訪。

這么做看似可行，但是一個(gè)VLAN就需要路由器拿出一個(gè)接口，那么如果內(nèi)網(wǎng)有10個(gè)VLAN呢？

路由器表示鴨梨很大。

所以另一種稍微改進(jìn)點(diǎn)的方法是：

在路由器的一個(gè)物理接口上，配置邏輯的子接口（Sub-interface）來(lái)實(shí)現(xiàn)同樣的需求，這種解決方案叫單臂路由：

在上圖中，交換機(jī)與路由器之間僅需一根物理鏈路即可。

這段鏈路由于要承載多VLAN的數(shù)據(jù)，因此在交換機(jī)上就要將與路由器對(duì)接的接口（GE0/0/24）設(shè)置為Trunk類型。

路由器這邊呢，雖然只有一個(gè)物理接口（GE0/0/1）與交換機(jī)相連，但是我們可以基于這個(gè)物理接口創(chuàng)建多個(gè)子接口。

子接口GE0/0/1.10對(duì)應(yīng)VLAN10，它能夠識(shí)別VLAN10的標(biāo)記，并且能夠處理帶VLAN10標(biāo)記的數(shù)據(jù)幀，同理GE0/0/1.20對(duì)應(yīng)VLAN20。

如此一來(lái)，在路由器上僅使用一個(gè)物理接口，即可支持多個(gè)VLAN的數(shù)據(jù)。

子接口是一個(gè)軟件的、邏輯的接口，是基于物理接口創(chuàng)建的。路由器會(huì)把子接口當(dāng)成是一個(gè)普通接口來(lái)對(duì)待。

通過(guò)子接口的方式我們可以大大節(jié)省硬件成本。

具體的配置如下：

完成如上配置后，交換機(jī)連接PC的接口添加到相應(yīng)的VLAN則PC即可互通。

從上面這個(gè)碉堡的圖可以更加形象地理解子接口的概念，其實(shí)就是相當(dāng)于在一個(gè)大管道里套著兩個(gè)小管道。

值得注意的是，一旦我們?cè)谖锢斫涌谏蟿?chuàng)建了子接口，那么后續(xù)的配置將不會(huì)再在物理接口上做，而是在子接口上進(jìn)行。

我們只要保證物理接口沒(méi)有被shutdown即可。

以太網(wǎng)子接口技術(shù)可部署在路由器上，也可以部署在防火墻上，我們來(lái)看一個(gè)例子。

上面是一個(gè)非常簡(jiǎn)單的組網(wǎng)場(chǎng)景，站點(diǎn)內(nèi)網(wǎng)有兩個(gè)VLAN，VLAN10及VLAN20。

現(xiàn)在的需求是，要求VLAN10及VLAN20能夠?qū)崿F(xiàn)互訪，而且互訪流量必須經(jīng)過(guò)防火墻做安全檢查。

VLAN10內(nèi)的網(wǎng)元非常重要，屬于高安全級(jí)別的網(wǎng)絡(luò)，而VLAN20內(nèi)的網(wǎng)絡(luò)則安全級(jí)別更低。

解決的辦法：

上圖中的交換機(jī)工作在二層模式，連接終端的接口配置為access類型并且分別加入到相應(yīng)的VLAN。

同時(shí)交換機(jī)連接防火墻的接口GE0/0/24配置為Trunk類型并且放通VLAN10及VLAN20。

隨后在防火墻的GE0/0/1口上創(chuàng)建兩個(gè)子接口：GE0/0/1.10及GE0/0/1.20。

子接口的配置如圖所示，這兩個(gè)子接口分別對(duì)應(yīng)VLAN10及VLAN20。

最后別忘了，要將子接口添加到相應(yīng)的安全域中。

例如VLAN10這個(gè)網(wǎng)絡(luò)如果比較重要，則可將防火墻的GE0/0/1.10接口添加到高安全級(jí)別的區(qū)域。

如Trust，而VLAN20可能需要接受來(lái)自外部的訪問(wèn)，因此規(guī)劃在DMZ域，故將子接口GE0/0/1.20添加到DMZ區(qū)域。接下去就可以部署域間包過(guò)濾規(guī)則了。

02-通過(guò)vlan-interface實(shí)現(xiàn) VLAN 間的互訪

在理解了子接口之后，再來(lái)看看三層交換機(jī)是如何實(shí)現(xiàn)VLAN間的數(shù)據(jù)互訪的。

01 從這里切入，開(kāi)始理解并部署三層交換

我們知道二層交換機(jī)是可以實(shí)現(xiàn)二層交換的，它關(guān)心的是數(shù)據(jù)幀，對(duì)幀頭的二層信息進(jìn)行讀取并且根據(jù)自己的MAC地址表進(jìn)行轉(zhuǎn)發(fā)。

而三層交換機(jī)相當(dāng)于在二層交換機(jī)的基礎(chǔ)上，多了個(gè)路由模塊，于是乎它就能支持路由功能了：

支持路由選擇協(xié)議、支持三層數(shù)據(jù)轉(zhuǎn)發(fā)、支持IP路由查找、支持三層接口等等。

先來(lái)認(rèn)識(shí)一下vlan-interface（簡(jiǎn)稱vlanif）。

這是一個(gè)邏輯接口，也就是說(shuō)這并不是一個(gè)真實(shí)的物理接口。

當(dāng)我們?cè)诮粨Q機(jī)上創(chuàng)建了一個(gè)VLAN之后，緊接著就可以創(chuàng)建一個(gè)與這個(gè)VLAN對(duì)應(yīng)的vlanif。

例如我們創(chuàng)建了VLAN10，那么VLAN10對(duì)應(yīng)的vlanif就是interface vlanif 10，這個(gè)vlanif10是一個(gè)三層接口。

你可以為這個(gè)vlanif10配置IP地址，與VLAN10內(nèi)的PC用戶的IP地址同一網(wǎng)段。

這樣一來(lái)，VLAN10內(nèi)的用戶就能夠?qū)⒕W(wǎng)關(guān)指向這個(gè)vlanif。

當(dāng)VLAN10的PC需要訪問(wèn)本網(wǎng)段以外的網(wǎng)絡(luò)時(shí)，它們將數(shù)據(jù)交給網(wǎng)關(guān)，也就是vlanif10，再由三層交換機(jī)去做路由查找及數(shù)據(jù)轉(zhuǎn)發(fā)。

實(shí)際上，在這個(gè)理解過(guò)程中，我們可以拿單臂路由那個(gè)模型對(duì)類比。

所以看上面這圖，在三層交換機(jī)上創(chuàng)建了兩個(gè)VLAN：

10和20，同時(shí)為兩個(gè)VLAN的vlanif分配了地址作為各自VLAN的用戶網(wǎng)關(guān)。

這樣一來(lái)，這臺(tái)交換機(jī)的路由表里就有了兩個(gè)VLAN網(wǎng)段的路由。

那么當(dāng)兩VLAN之間要互訪時(shí)，VLAN10的用戶將數(shù)據(jù)丟給自己的網(wǎng)關(guān)。

也就是vlanif10，數(shù)據(jù)到了vlanif10之后，三層交換機(jī)查看數(shù)據(jù)包的目的地址IP并在路由表中進(jìn)行匹配。

發(fā)現(xiàn)目的地是VLAN20的所在網(wǎng)段，因此將數(shù)據(jù)從VLAN20扔出去，最終抵達(dá)目的地的VLAN20的PC。

Vlanif的基礎(chǔ)配置：

實(shí)驗(yàn)拓?fù)淙缟蠄D所示。

PC1及PC2分別位于VLAN10及VLAN20，現(xiàn)在要求完成三層交換機(jī)SW的配置，使得兩個(gè)VLAN的用戶能夠相互通信。

SW的配置如下：

#創(chuàng)建VLAN10及20，將GE0/0/1劃分到vlan10，GE0/0/2劃分到vlan20：

[SW] vlan batch 10 20
[SW] interface GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1] port link-type access
[SW-GigabitEthernet0/0/1] port default vlan 10
[SW] interface GigabitEthernet 0/0/2
[SW-GigabitEthernet0/0/2] port link-type access
[SW-GigabitEthernet0/0/2] port default vlan 20

#為vlanif10及vlanif20配置IP地址，作為vlan10及vlan20用戶的網(wǎng)關(guān)

[SW] interface vlanif 10
[SW-vlanif10] ip address 192.168.10.254 24
[SW] interface vlanif 20
[SW-vlanif10] ip address 192.168.20.254 24

完成上述配置后，PC1將自己的IP地址設(shè)置在192.168.10.0/24 網(wǎng)段；

同時(shí)將網(wǎng)關(guān)配置為192.168.10.254；PC2的IP地址則配置在192.168.20.0/24，網(wǎng)關(guān)設(shè)置為192.168.20.254，兩者就能夠互相通信了。

02 三層交換機(jī)、路由器簡(jiǎn)單組網(wǎng)

實(shí)驗(yàn)拓?fù)淙缟蠄D所示。

PC1及PC2分別處于VLAN10及VLAN20，它們的缺省網(wǎng)關(guān)都設(shè)置在三層交換機(jī)SW2上。

SW1是接入層交換機(jī)，只具備二層交換功能。SW2與路由器Router實(shí)現(xiàn)三層對(duì)接，用于兩者對(duì)接的VLAN是VLAN99。

上述拓?fù)?，我們可以畫一個(gè)邏輯圖來(lái)幫助理解：

SW1的配置如下：

[SW1] vlan batch 10 20

[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 20

#連接SW2的接口，配置為Trunk類型

[SW1] interface GigabitEthernet 0/0/22
[SW1-GigabitEthernet0/0/22] port link-type trunk
[SW1-GigabitEthernet0/0/22] port trunk allow-pass vlan 10 20

SW2的配置如下：

[SW2] vlan batch 10 20 99

[SW2] interface GigabitEthernet 0/0/22 #連接SW2的接口
[SW2-GigabitEthernet0/0/22] port link-type trunk
[SW2-GigabitEthernet0/0/22] port trunk allow-pass vlan 10 20
[SW2] interface GigabitEthernet 0/0/24 #連接路由器的接口
[SW2-GigabitEthernet0/0/24] port link-type access
[SW2-GigabitEthernet0/0/24] port default vlan 99
#
[SW2] interface vlanif 10
[SW2-vlanif10] ip address 192.168.10.254 24
[SW2] interface vlanif 20
[SW2-vlanif20] ip address 192.168.20.254 24
[SW2] interface vlanif 99
[SW2-vlanif99] ip address 192.168.99.1 24

#為SW2配置默認(rèn)路由，下一跳是路由器

[SW2] ip route-static 0.0.0.0 0.0.0.0 192.168.99.2

Router的配置如下：

[Router] interface GigabitEthernet 0/0/0

[Router-GigabitEthernet0/0/0] ip address 192.168.99.2 24

#記得為路由器配置靜態(tài)路由指向vlan10及vlan20對(duì)應(yīng)的網(wǎng)段，否則回程數(shù)據(jù)就會(huì)有問(wèn)題：

[Router] ip route-static 192.168.10.0 24 192.168.99.1

[Router] ip route-static 192.168.20.0 24 192.168.99.1

本文轉(zhuǎn)載網(wǎng)絡(luò)工程師俱樂(lè)部,侵刪。