25-VLAN，vlan间路由

vlan可以用来隔离不同的广播域，不同的vlan通常属于不同的网段；

因此只靠二层（数据链路层）技术无法实现不同网段之间的通信；

需要引入三层（网络层）技术来实现不同vlan之间的通信；

三层技术主要有：路由器、三层交换机；

目前主流的是用三层交换机来实现不同vlan之间的通信；

 

1.VLAN间通信限制：

每一个VLAN都是独立的广播域，不同VLAN之间隔离，因此不同VLAN的节点之间是无法直接访问

 

如下图：vlan100和vlan200之间无法直接访问；

 

 

2.VLAN间通信方法

1）交换机加路由

给每一个vlan配置一个网关，对应路由器的一个接口；

不同网段之间通信通过路由器转发；

 

示例：

给pc1配置网关：

同理给pc2配置网关地址为：20.0.0.254

 

配置交换机：

    首先创建vlan10 和 vlan20；

    然后给pc和交换机之间配置access链路；

    路由器无法识别带标签的帧，需要在帧发送至路由器前剥离标签；

    交换机和路由器之间用access、trunk、hybrid都行，只要实现交给路由器的帧不带标签即可；

    这里用access链路，vlan数据的出口pvid和vlanid要一致；

sys
sys sw1
vlan batch 10 20
 
int g0/0/1
p l a
p d v 10
 
int g0/0/2
p l a
p d v 20
 
int g0/0/3
p l a
p d v 10
 
int g0/0/4
p l a
p d v 20

配置路由器：
    主要是给接口绑定ip地址，和pc配置的网关一致

sys
sys R1
int g0/0/0
ip add 10.0.0.254 8
 
int g0/0/1
ip add 20.0.0.254 8

 

测试：

    用pc1 ping pc2

 

缺点：

    每一个VLAN就需要绑定一个物理接口；

    也就是说如果有100个vlan，路由器就必须有100个接口，太过复杂；

 

 

2）单臂路由 

上一种方式浪费了路由器的物理接口，不好用；

单臂路由在路由器和交换机之间只需要一根线；

在交换机和路由器之间使用trunk链路来承载多个vlan的流量；

为了路由器的一个接口能区分多个vlan，需要给路由器的接口创建子接口；

每个子接口对应一个vlan；路由器子接口的唯一用途就是做单臂路由；

子接口的最大数量和vlan的最大数量一样，都是2的12次方个；

子接口可以接受带标签的帧（物理接口不能）

注意：子接口的编号必须和目标vlan的id一致；

 

 

相关命令：

Dot1q termination vid 10     #开启子接口，并绑定vlan10
arp broadcast enable        #开启子接口的arp广播功能，华为设备默认关闭了子接口的广播，需要开启，否则无法接收广播，导致通信失败

 

示例：

 

 

 

优点：

    使用一个接口的子接口（虚拟接口），来绑定VLAN大大减少了资源消耗

缺点：

    vlan之间通信必须通过路由器转发，多了一个中间环节，也给路由器增添了压力；

    路由器通常只用来网络出口；

 

3）三层交换机

简称MLS（Multi Layer Switching），是目前主流的vlan间通信技术；

使用具有路由功能的交换机实现VLAN间通信；

为每个VLAN创建一个VLANIF接口作为网关；

 

 

示例：