华为仿真软件eNSP之vlan配置

学习地址：https://blog.csdn.net/weixin_45761101/article/details/122296458

参考网站[华为企业业务网站]：https://support.huawei.com/enterprise/zh/doc/EDOC1000128396

 

 

Vlan间路由

 

　　vlan：相当于把交换机变成一共虚拟路由器

vlan间路由概述

　　vlan间路由：通过三层设备路由，使得不同vlan间可以互相通信。
　　仅仅允许单播通信
　　vlan间路由方式：1、 SVI（交换虚接口）（三层交换机） 或 2、vlanif口 单臂路由（路由器）

 

案例一：单层架构vlan间路由SVI（switch virtual interface）

通过交换虚拟接口，实现不同vlan 10 20 两台PC机通讯，如下图所示：

 

 配置参数

LSW1
　　#配置vlan 10 和 20
　　vlan batch 10 20

　　#配置g0/0/1（链路为access，默认vlan 10）
　　int g0/0/1
　　port link-type access
　　port default vlan 10

　　#配置g0/0/2（链路为access，默认vlan 20）
　　int g0/0/2
　　port link-type access
　　port default vlan 20

　　#分别配置vlan 10 和 vlan 20的ip地址
　　int vlanif 10
　　ip add 192.168.10.1 24
　　int vlanif 20
　　ip add 192.168.20.1 24

注意：可以将三层交换机抽象成一台路由器，vlanif接口就是路由器的接口核心层交换机查看路由表转换标签值。

 

案例一：两层架构vlan间路由SVI（switch virtual interface）

 

配置参数

LSW2配置: 
vlan batch 10 30 
interface Ethernet0/0/1 
port link-type trunk 
port trunk allow-pass vlan 2 to 4094 
#
interface Ethernet0/0/2 
port link-type access 
port default vlan 10 
#
interface Ethernet0/0/3 
port link-type access 
port default vlan 30 

LSW3配置:
vlan 20 
interface Ethernet0/0/1 
port link-type trunk 
port trunk allow-pass vlan 2 to 4094 
#
interface Ethernet0/0/2 
port link-type access 
port default vlan 20 

LSW1配置: 
vlan batch 10 20 30 
interface Vlanif10 
ip address 192.168.10.1 255.255.255.0 
#
interface Vlanif20 
ip address 192.168.20.1 255.255.255.0 
#
interface Vlanif30 
ip address 192.168.30.1 255.255.255.0 
#
interface GigabitEthernet0/0/1 
port link-type trunk
port trunk allow-pass vlan all 
#
interface GigabitEthernet0/0/2 
port link-type trunk 
port trunk allow-pass vlan all 

 

案例二：vlan单臂路由（一根线和交换机相连）

架构图

 

 

 

一、技术背景  

园区网划分vlan后，导致debuff,广播域被隔离，不同vlan之间不能通信。

园区网VLAN（二层）的划分，按照地理位置、部门、人员属性划分，部门和部门之间相互隔离。

方案一:

　　在同一台交换机上，用一根线把不同的VLAN连接起来，但因为线路的连接使得已经减小的广播域又被扩大了，所以这种方法不可行。

方案二:

　　用路由器的接口来实现不同vlan所对应网段之间的通信，但因为路由器的接口有限，一般来说，企业路由器的接口不会超过 10个，一旦连接的设备多了这种方法也就不可行。

特殊情况：

　　运营商级别的路由器存在多个接口，但这种设备花销过大，一般不会采用。

二、技术的概念及如何实现

1、技术实现
  单臂路由技术能让路由器的一个物理接口对应不同VLAN数据的实质是把物理接口分成若干个子接口，这些子接口通过封装802.1q标记，以识别不同VLAN的TAG标记。从而实现一个接口能够处理不同vlan网段数据的能力。

2、子接口
  子接口是基于物理接口来实现的，要实现子接口能够工作，物理接口必须处于up的状态，物理接口不用进行任何的配置，处于up的状态即可。

  子接口是一个逻辑的接口，可以配置IP地址，需要指定这个接口配置的 vlan id 范围在 0-4094之间，同时也可以和它所在的物理接口共享MAC地址。

  封装的协议 ：

　　　　dot1q(802.1q)是具有tag字段的封装。

三、单臂路由的配置

 

 

 

 交换机LSW1的配置：

#配置g0/0/1口
[LSW1]vlan batch 10 20
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
#配置e0/0/1口
[LSW1-Ethernet0/0/1]port link-type access
[LSW1-Ethernet0/0/1]port default vlan 10
#配置e0/0/2口
[LSW1-Ethernet0/0/2]port link-type access
[LSW1-Ethernet0/0/2]port default vlan 20

路由器AR1的配置：

[AR1]interface GigabitEthernet0/0/1.10                         # 进入划分的子接口  范围 1-4096
[AR1-GigabitEthernet0/0/1.10]dot1q termination vid 10          # 在子接口上通过802.1q协议，关联相对应的vlan
[AR1-GigabitEthernet0/0/1.10]ip address 192.168.10.254 24      # 配置IP地址
[AR1-GigabitEthernet0/0/1.10]arp broadcast enable              # 开启 arp 广播—>让子接口具有接收和回复广播包的功能
[AR1]interface GigabitEthernet0/0/1.20
[AR1-GigabitEthernet0/0/1.20]dot1q termination vid 20
[AR1-GigabitEthernet0/0/1.20]ip address 192.168.20.254 24 
[AR1-GigabitEthernet0/0/1.20]arp broadcast enable

 

单臂路由的通信过程、通信原理

1、PC1首先要将目标IP网段和自己的IP地址进行 与运算，计算出目标IP是否和自己同网段，是否需要跨网段通信。
2、PC查询ARP缓存表，封装ICMP数据（网关（G0/0/0））目标MAC封装失败，触发ARP请求报文。
3、ARP广播报文进入 E0/0/1接口，属于vlan10则pvid 10)，所以ARP报文封装一个vlan id = 10的 tag。
4、ARP 报文经过Trunk G0/0/1接口pvid=1，因为Trunk链路 pvid=1 ，所以ARP 报文依然携带TAG 上到Trunk链路上 。
5、ARP请求包 被G0/0/0收到，G0/0/0需要将这个ARP请求包去掉 tag，分配给它的G0/0/0.10子接口。
6.当子接口收到ARP请求的时，去掉数据包tag，查看源目MAC地址，根据源MAC地址来更新ARP缓存表，继续解读ARP的内容，
   发现是请求网关的MAC地址的请求包，所以现在G0/0/0.10 对这个ARP的请求报文进行回复。
7.G0/0/0.10 （网关）对PC1进行ARP回复，ARP应答包—（单播帧）+vid 10
8.ARP relay 被交换机 G0/0/1 收到（携带tag）
9.ARP rela携带 tag 进入交换机
10.交换机根据 ARP relay 携带的 tag，将这个数据包 ，查CAM表关于 VLAN10 的表项，然后发送给 PC1
11.PC1 收到ARP relay 后，解封装数据链路层，学习源MAC地址，更新到自己的ARP缓存表（此时ARP缓存表已有内容）
12.PC1封装 ICMP数据包，源MAC自己，目标MAC 网关
13.ICMP数据包被E0/0/1接收，打上tag:10标签
14.ICMP 数据包经过G0/0/1 直接通过
15.ICMP数据包到达G0/0/0，G0/0/0接收查看tag，此时去掉TAG，将这个数据包丢给了G0/0/0.10 子接口
16.数据包被路由器收到，查看路由器根据数据包的目标IP地址，查看自己的路由表，发现目标网段位为 20.1 对应的接口为 G0/0/0.20
17.G0/0/0.20 要把这个数据包发送给 PC2，首先要知道PC2的MAC地址，所以G0/0/0.20 发送一个ARP的请求包，请求20.1主机的MAC地址，
   此时的request带有tag，请求包从G0/0/0发出被G0/0/1收到，到交换机之后交换机帮它转发时是向vlan 20网段去广播，经过E0/0/2
   （为access口）去掉tag被PC2收到。
18.APR request 被PC2收到，PC2做出回复，此时G0/0/0.20 知道 PC2 对应的MAC地址，回复包经过E0/0/2接口打上 tag=20 标签，
   经过G0/0/1 直接通过trunk链路进行转发到达G0/0/0。
19.ICMP的数据包从G0/0/0.20发出， 携带vlan 20的tag
20.数据包经过交换机的G0/0/1(trunk)接口，携带tag vlan 20 进入交换机
21.交换机查看和 vlan 20 相关的CAM表，将这个ICMP的请求包发送给 PC2，在经过E0/0/2的时候，去掉 tag
22.PC2 回复 ICMP数据包

单臂路由的优缺点

  优点：实现了多vlan通信，节约了路由器的接口，解决不同vlan之间通信的问题。

  缺点：单臂路由的 “臂”，承载的是不同vlan的双向流量，一旦单臂出现单点故障，对网络影响非常大；同时单臂链路负载过重，容易出现流量瓶颈，从而影响通信效率。

 

注释：arp broadcast enable命令用来使能子接口的ARP广播功能。缺省情况下，子接口没有使能ARP广播功能。子接口不能转发广播报文，在收到广播报文后它们直接把该报文丢弃。为了允许子接口能转发广播报文，可以通过在子接口上执行此命令

工作原理：当数据包进入路由器时，路由器首先根据目标地址结合自己的路由表将标签转换，然后从相应的子接口发出。

注意：从子接口发出报文会给报文嵌入相应标签！