“主公,这可如何是好啊!”

漫天箭雨间,两道黑漆漆的身影不停的腾挪闪躲着,似乎是在望什么目的地奔跑着,只是后方的那道身影脸庞上明显有些焦急,望着经久不歇的箭雨,焦急更甚。

前方的男子也是十分凝重,望着远方几乎笼罩在云雾中的城门,雷云一般的箭雨阻滞了他们前进的步伐,作为两个vlan10的数据,得到到达vlan20的军令,明明是不可能完成的任务,但是军人的职责就是服从军令。

“主公,vlan10明明就不可以和vlan20通信,他们这是想要借刀杀人!”后方的小乙明显有些不忿,主公摇摇头,弹掉一根羽箭后说道

“我老是冥冥之中感觉不太对劲,早些年不同的vlan之间的确是无法通信的,但是这种定义在默认网关出现之后就站不住脚跟了,vlan10有自己的网关,vlan20也有自己的网关,按道理是可以通信的,小乙,我们努把力,冲到城门那里。”

话语间,一股血红色能量突然由主公身体里迸发出来,神秘力量包裹着两人躲过漫天箭雨,冲到了城门前,不同于以往,城门此时没有城守,两人轻轻一推城门,就走了进去。

“欢迎来到单臂路由的世界,请讲一下你们是归属于哪一个vlan,使用的什么封装协议,网段是什么,想要去哪?”

一股神秘的声音随着两人进入城市而传来,箭雨随着两人推开城门也突然停止了,主公点了点头:“C类私有网段,归属于VLAN·10,使用802.1Q进行封装,想去访问VLAN·20。”

“唔,倒的确没说谎话,好,单臂路由,允许你们交互。”

单臂路由(router-on-a-stick),在路由器上的某个接口中通过配置子接口,也就是逻辑接口的方式,实现原来不同VLAN间的互联互通。

传统二层vlan之间,是无法进行通信的,而单臂路由存在的意义,就是通过默认网关的方式,实现不同vlan之间的三层通信。

单臂,顾名思义,可以在路由器的一个接口上开启多个子接口,而子接口之间的网段互相都是可以通信的。

如果VLAN·10想要和VLAN·20通信?

当从VLAN10下收到一个数据后,发现不是同网段内通信,首先会打上vlan·TAG,之后发送到默认网关,网关收到后,将VLAN·10的TAG抹除掉后,查询访问VLAN·20需要传递到哪一个子接口。

查询到VLAN20所在的子接口后,打上VLAN·20的TAG后,通过连接vlan·20的子接口发送出去,抵达VLAN·20所要访问的接口,而VLAN·20收到此数据后,检查源地址,进行回包,原理与VLAN·10一致。

 

 

此时可以在SW1上行接口查看抓包结果,可以看到,源地址为192.168.1.2的数据包,此时发往192.168.2.2时,TAG已经经过单臂路由接口的操作,变为VLAN·20。

 

 

华为实际配置:

[R1]interface Ethernet0/0/0.1——进入子接口

[R1]dot1q termination vid 10——封装802.1q链路协议,打上vlan10的tag。

[R1]ip address 192.168.1.1 255.255.255.0——设置为网关地址

[R1] arp broadcast enable——开启ARP广播功能

默认情况下,子接口没有开启ARP广播功能。子接口不能转发广播报文,在收到广播报文后它们直接把该报文丢弃。为了允许子接口能转发广播报文,可以通过在子接口上执行此命令。

[R1]interface Ethernet0/0/0.2

[R1]dot1q termination vid 20——注意此时要封装为VLAN·20

[R1]ip address 192.168.2.1 255.255.255.0

[R1]arp broadcast enable

 

 

成功进行通信。

但是对于单臂路由,也有着他的优缺点。

优点:可以实现不同VLAN之间的通信,且只占用了一个接口,节约资源。

缺点:容易成为网络单点故障,如果全局接口出现波动后,下方关联的子接口也会出现问题,配置有些复杂,对于管理员来说是一种折磨。

在我们真实的网络环境中,极为少见能够使用单臂路由的场景,更多的是一种配置简单,且运用场景较为广泛的VLAN间路由(三层交换)。

在三层交换机上配置VLANIF接口来实现VLAN间路由。如果网络上有多个VLAN,则需要给每个VLAN配置一个VLANIF接口,并给每个VLANIF接口配置一个IP地址。用户设置的缺省网关就是三层交换机中VLANIF接口的IP地址。

所谓的VLANIF就是指你端口划分vlan的ip地址,比如你的端口都划分进入了vlan10中,此时,vlan10就是一个逻辑上的接口,你可以把它当作一个真实的三层接口,可以进行ip地址的配置。

 

 

华为配置实例:

[SW1]interface vlan 10

[SW1]ip address 192.168.1.1 24 \\配置IP地址

[SW1]interface vlan 20

[SW1]ip address 192.168.2.1 24 \\配置IP地址

[SW1]interface GigabitEthernet0/0/1

[SW1]port link-type access

[SW1] port default vlan 10 \\划分VLAN

[SW1]interface GigabitEthernet0/0/2

[SW1]port link-type access

[SW1] port default vlan 20 \\划分VLAN

进行测试:

 

 

综合来讲,使用上述两种方式,都可以实现VLAN间的三层通信,这样的话,即可以隔离广播域,又可以不影响业务流量。

企业网络中经常使用的为vlan间路由,但要注意一点,VLAN间路由必须为三层交换机才能够使用。

自从主公和小乙通过了第一次的跨VLAN的路由后,交换机之间便明白了如何进行三层路由,路由转发便进入了一个蓬勃发展的阶段,此时却出现了一股黑恶势力。

他们不关心二层,不关心三层,他们以破坏网络为主,广播风暴,路由环路,经过他们手的网络环境,往往都以崩溃为主,一时间,整个网络开始人人自危。

源:https://zhuanlan.zhihu.com/p/111181538