VLAN通信篇
前兩期小編介紹了VLAN的基礎知識以及如何劃分VLAN,之后不斷有讀者詢問: VLAN劃分后,同一VLAN用戶可以二層互通,不同VLAN用戶則二層隔離,可有些場合不同VLAN用戶又想互通,腫么辦呢?
請大家先回憶一下:VLAN是廣播域,而廣播域之間來往的數據包一般由路由器中繼的。因此,VLAN間的通信通常要用到路由功能,這被稱作“VLAN間路由”。VLAN間路由,可以使用普通的路由器,也可以使用三層交換機。有了這個初步認識,接下來小編就開始介紹使用三層交換機進行VLAN間通信的主要場景和技術。
VLAN間通信場景一:不同VLAN不同網段用戶間的通信,用戶通過三層交換機互聯
使用技術:VLANIF?
基本原理:前面提到,要實現VLAN間互通,就要建立VLAN間路由,此場景用戶直連在三層交換機上,只需直連路由即可。而VLANIF接口是一個三層的邏輯接口,在其上配置IP地址為用戶的網關地址后,它就在三層交換機上生成直連路由,同時,可作為用戶的網關。這樣,發往各VLAN網段的報文,就可在路由表中分別找到其出接口---VLANIF接口,從而實現三層轉發。
江湖小貼士:VLANIF只生成直連路由,只能使得相鄰設備互通。現網中用戶間可能會跨多臺三層交換機(如三層網絡),此時,除配置VLANIF外,還要借助靜態路由或路由協議才能實現互通。
VLAN間通信場景二:不同VLAN不同網段用戶間的通信,用戶通過二層交換機互聯,僅通過一臺三層交換機實現VLAN間通信
使用技術:子接口(又稱單臂路由)
?
基本原理:跟VLANIF一樣,子接口也是三層邏輯接口。在子接口上配置IP地址為用戶的網關地址后,在三層交換機上同樣形成直連路由,VLAN內的用戶同樣將網關指向對應的子接口(如圖中VLAN2內用戶的網關為Port1.1,VLAN3內用戶的網關為Port2.1),進而實現三層通信。
江湖小貼士:通過子接口實現三層互通,雖然可減少物理接口占有量,不過由于發送的流量會爭用物理主接口的帶寬,網絡繁忙時,會導致通信瓶頸喲。
VLAN間通信場景三:不同VLAN相同網段用戶間的通信
使用技術:Super VLAN(又稱VLAN聚合)
如下圖所示,因IP地址有限,不同VLAN用戶共用一網段,但又需要互通以及訪問外網。
?
基本原理:通過定義Super-VLAN和Sub-VLAN,?Super-VLAN只用來建立三層VLANIF接口,與網關對應,不包含物理接口;Sub-VLAN只包含物理接口,不建立三層VLANIF接口,用來隔離廣播域,一個Super-VLAN可以包含一個或多個Sub-VLAN。
我們可以這樣看,每一個普通VLAN都有一個三層邏輯接口和若干物理接口。而Super VLAN把這兩部分剝離開來:Sub-VLAN只映射物理接口,負責保留各自獨立的廣播域;而Super-VLAN負責實現所有Sub-VLAN共享同一個三層接口的需求,使不同Sub-VLAN內的主機可以共用同一個網關;然后再通過建立Super-VLAN和Sub-VLAN間的映射關系,把三層邏輯接口和物理接口這兩部分有機的結合起來,從而在實現普通VLAN功能的同時,達到節省IP地址的目的。
江湖小貼士:Sub-VLAN內主機與外網間的通信,跟使用VLANIF通信原理類似,只不過多了一步查找Sub-VLAN與Super-VLAN的映射關系;但Sub-VLAN間的通信,需要借助Proxy-ARP才能實現,這是為什么呢?這是因為Sub-VLAN內的主機同屬一個網關,彼此通信時只會做二層轉發,而不會通過網關進行三層轉發,但不同Sub-VLAN的主機在二層是相互隔離的,這就造成了Sub-VLAN間無法通信,需要借助Proxy-ARP才能實現。
上述組網中,VLAN間用戶均是通過三層交換機實現三層互通,三層互通需要查找路由表,轉發效率較低。而二層轉發效率高,那VLAN間能否實現二層互通呢?
答案是可以的哦,那就是通過VLAN Switch或VLAN Mapping實現。
VLAN間通信場景四:不同VLAN用戶跨一臺或多臺交換機互聯
使用技術:VLAN Switch
?
基本原理: 預先在各交換節點(如圖中的Switch)上建立一條靜態轉發路徑(即VLAN Switch表,指定VLAN轉換關系和出接口)。這樣,Switch根據VLAN Switch表將Port2上收到報文中的VLAN2轉換為VLAN3,并從Port3發出;將Port3上收到報文的VLAN3將轉換為VLAN2,并從Port2發出,從而實現VLAN2和VLAN3間的二層互通。
江湖小貼士:VLAN Switch轉發查的是VLAN Switch表,而不是MAC表,這就使得VLAN Switch轉發效率較高。但VLAN Switch是否就因此而可大量應用呢?否,因為VLAN Switch需要在途經的每個交換節點都要為每個VLAN用戶配置靜態轉發路徑,這就限制了其使用范圍,當有大量VLAN用戶接入,或用戶跨運營商網絡時就不再適用。
VLAN間通信場景五:不同VLAN用戶跨運營商網絡互聯
使用技術:VLAN Mapping
?
接下來就跟大家講解如何配置,由于篇幅限制,小編僅選一種常用的技術—VLANIF來講解。
配置案例一:如下圖所示,PC1和PC2分屬研發部和質量部,兩部門通過一臺三層交換機互聯,兩部門有業務往來,需要二層隔離,三層通信。
?
配置思路
此場景配置簡單,只需將連接PC的接口加入VLAN,然后創建VLANIF,并配置IP地址為對應用戶的網關即可。
操作步驟
l??Switch上的配置如下:
#
sysname?Switch#vlan?batch?10?20#interface?Vlanif10?ip?address?10.1.1.1?255.255.255.0??//此IP地址為PC1對應網關地址#interface?Vlanif20?ip?address?10.1.2.1?255.255.255.0???//此IP地址為PC2對應網關地址#interface?GigabitEthernet0/0/1?????//將PC1劃分到VLAN10中?port?link-type?access?port?default?vlan?10#interface?GigabitEthernet0/0/2????//將PC2劃分到VLAN20中?port?link-type?access?port?default?vlan?20配置完成后,我們使用命令display ip routing-table查看設備上的路由:
?
可以看到,路由表中有了到達VLAN10、VLAN20網段的直連路由。下面我們就驗證一下,PC1、PC2是否可以互相Ping通。
在驗證之前,先設置PC1的IP地址為10.1.1.2?,網關為10.1.1.1/24;設置PC2的IP地址為10.1.2.2?,網關為10.1.2.1/24,然后互Ping,結果如下:
?
可以看到,互Ping成功,表明配置成功。
典型案例二:如下圖所示,為安全及便于管理,企業為服務器專門劃分VLAN,用戶屬于VLAN10,服務器屬于VLAN20,用戶與服務器間跨接入、匯聚和核心交換機,其中,接入是二層交換機,匯聚、核心是三層交換機。由于業務需要,用戶與服務器間需要互通。
?
配置思路:
此場景用戶與服務器間跨越多臺二層、三層交換機,可以配置VLANIF,將匯聚交換機AGG作為用戶PC的網關,核心交換機作為服務器Server的網關。但VLANIF只生成直連路由,只能使得相鄰設備互通,要使User與服務器互通,還需要配置從AGG到VLAN20網段以及從CORE到VLAN10網段的路由,可以使用靜態路由,也可以使用動態路由,本示例采用靜態路由。
操作步驟
1.??配置ACC、AGG、CORE的各接口,并將接口加入VLAN,使VLAN10的用戶報文透傳到AGG,VLAN20的Server報文透傳到CORE
l??ACC1的配置如下:
#sysname?ACC1#vlan?batch?10#interface?GigabitEthernet0/0/1?????//將User劃分到VLAN10中?port?link-type?access?port?default?vlan?10#interface?GigabitEthernet0/0/2????//透傳VLAN10到AGG?port?link-type?trunk?port?trunk?allow-pass?vlan?10ACC2與此類似,只不過接口加入、透傳的VLAN是VLAN20。l??AGG的配置如下:
#sysname?AGG#vlan?batch?10?30#interface?GigabitEthernet0/0/1?????//透傳VLAN10,以轉發User報文?port?link-type?trunk?port?trunk?allow-pass?vlan?10#interface?GigabitEthernet0/0/2??//透傳互聯VLAN30,以轉發互聯報文?port?link-type?trunk?port?trunk?allow-pass?vlan?30l??CORE的配置如下:
#sysname?CORE#vlan?batch?20?30#interface?GigabitEthernet0/0/1?????//透傳VLAN20,以轉發Server報文?port?link-type?trunk?port?trunk?allow-pass?vlan?20#interface?GigabitEthernet0/0/2??//透傳VLAN30,以轉發互聯報文?port?link-type?trunk?port?trunk?allow-pass?vlan?302.??在AGG上配置VLANIF10和IP地址,作為用戶的網關;在CORE上配置VLANIF20,作為Server的網關,同時配置互聯VLANIF30,使AGG與CORE互通
l??AGG的配置如下:#interface?Vlanif10?ip?address?10.1.1.1?255.255.255.0??//此IP地址為User對應網關地址#interface?Vlanif30?ip?address?10.10.30.1?255.255.255.0?//互聯IP地址,不能與User、Server的IP網段沖突l??CORE的配置如下:#interface?Vlanif20?ip?address?192.168.1.1?255.255.255.0??//此IP地址為Server對應網關地址#interface?Vlanif30?ip?address?10.10.30.2?255.255.255.0?//互聯IP地址,不能與User、Server的IP網段沖突配置至此,我們驗證一下User是否能Ping通Server:可以看到,User此時Ping不通Server,這是因為AGG上沒有到達Server網段192.168.1.0/24的路由:3.??在AGG、CORE上配置靜態路由
l??AGG的配置如下:#
ip route-static 192.168.1.0 255.255.255.0 10.10.30.2
l??CORE的配置如下:#
ip route-static 10.1.1.0 255.255.255.0 10.10.30.1
江湖小貼士:對于VLANIF、Eth-Trunk這樣的邏輯接口,靜態路由必須采用下一跳,而不能是出接口,因為這些邏輯接口會有多個成員口,會出現多個下一跳,無法唯一確定下一跳。配置完成后,我們再來用User?Ping?Server,結果如下:可以看到,User可以Ping通Server,配置成功。
轉載于:https://blog.51cto.com/hanjh8/1582448
總結
- 上一篇: .xyz域名注册总量TOP10服务商:中
- 下一篇: 1. iwconfig代码框架