eNSP仿真软件之利用单臂路由实现VLAN间路由

一、 实验原理

以太网中，一般会使用VLAN技术隔离二层广播域来减小广播的影响，并加强网络的安全性和可管理性。其缺点是同时也严格地隔离了不一样VLAN之间的任何二层流量，使分属于不一样VLAN的用户不能直接互相通讯。在现实中，常常会出现某些用户须要跨越VLAN实现通讯的状况，单臂路由技术就是解决VLAN间通讯的一种方法。

单臂路由的原理是经过一台路由器， 使VLAN间互通数据经过路由器进行三层转发。若是在路由器上为每一个VLAN分配一个单独的路由器物理接口，随着VLAN数量的增长，必然须要更多的接口，而路由器能提供的接口数量比较有限，因此在路由器的一个物理接口上经过配置子接口(即逻辑接口)的方式来实现以一当多的功能，将是一种很是好的方式。路由器同一物理接口的不一样子接口做为不一样VLAN的默认网关，当不一样VLAN间的用户主机须要通讯时，只需将数据包发送给网关，网关处理后再发送至目的主机所在VLAN,从而实现VLAN间通讯。因为从拓扑结构图上看，在交换机与路由器之间，数据仅经过一条物理链路传输，故被形象地称之为“单臂路由”。

二、 实验内容

本实验模拟公司网络场景。路由器R1是公司的出口网关，员工PC经过接入层交换机(如S2和S3)接入公司网络，接入层交换机又经过汇聚交换机S1与路由器R1相连。公司内部网络经过划分不一样的VLAN隔离了不一样部门之间的二层通讯，保证各部门间的信息安全，可是因为业务须要，经理、市场部和人事部之间须要能实现跨VLAN通讯，网络管理员决定借助路由器的三层功能，经过配置单臂路由来实现。

三、 实验步骤

（1）、新建实验拓补图

 

（2）根据实验编址表进行路由器R1和PC1-3的IP地址，其中路由器的配置方式以下：

配置路由器子接口和IP地址：

★在R1上建立子接口GE 0/0/1.1，配置IP地址为192.168.1.254/24，做为人事部网关地址。

★同理建立子接口而且配置IP地址

（3）公司为保障各部门的信息安全，需保证隔离不一样部门间的二层通讯，规划各部门的终端属于不一样的VLAN，并为PC配置相应IP地址。

★在S2上建立VLAN 10和VLAN20，把链接PC-1的E 0/0/1和链接PC-2的E 0/0/2接口配置为Access类型接口，并分别划分到相应的VLAN中。

★交换机之间或交换机和路由器之间相连的接口须要传递多个VLAN信息，须要配置成Trunk接口。将S2和S3的GE 0/0/2接口配置成Trunk类型接口，并容许全部VLAN经过 

 

 

 

★在S1上建立VLAN十、VLAN20和VLAN30,并配置交换机和路由器相连的接口为Trunk，容许全部VLAN经过。

（4）测试PC1-3的连通性，发现仍然不能联通。

（5）配置路由器子接口封装VLAN

虽然目前已经建立了不一样的子接口，并配置了相关IP地址，可是仍然没法通讯。这是因为处于不一样VLAN下，不一样网段的PC间要实现互相通讯，数据包必须经过路由器进行中转。由S1发送到RI的数据都加上了VLAN标签，而路由器做为三层设备，默认没法处理带了VLAN标签的数据包。所以须要在路由器上的子接口下配置对应VLAN的封装，使路由器可以识别和处理VLAN标签，包括剥离和封装VLAN标签。

★在R1的子接口GE 0/0/1.1.上封装VLAN 10,在子接口GE 0/0/1.2上封装VLAN 20。在子接口GE 0/0/1.3上封装VLAN30，并开启子接口的ARP广播功能。

使用dot1q termination vid命令配置子接口对一层tag报文的终结功能。即配置该命令后，路由器子接口在接收带有VLAN tag的报文时，将剥掉tag进行三层转发，在发送报文时，会将与该子接口对应VLAN的VLAN tag添加到报文中。

使用arp broadcast enable命令开启子接口的ARP广播功能。若是不配置该命令，将会致使该子接口没法主动发送ARP广播报文，以及向外转发IP报文。 

同理配置R1的子接口GE 0/0/1.2和GE 0/0/1.3。

（7）      配置完成后，在路由器R1上查看接口状态，能够看到3个子接口的物理状态和协议状态都正常。

（8）      查看路由器R1的路由表，能够观察到，路由表中已经有了192.168.1.0/2四、 192.168.2.0/2四、 192. 168.3.0/24的路由条目，而且都是路由器R1的直连路由，相似于路由器上的直连物理接口 。

（9）      测试连通性。能够看到PC1和PC2已经能够PING通

（10）      在PC-1上tracertPC-2，能够观察到PC-1先把ping包发送给自身的网关192.168.1.254， 而后再由网关发送到PC-2。

现以PC-1pingPC-2为例，分析单臂路由的整个运做过程。

      两台PC因为处于不一样的网络中，这时PC-1会将数据包发往本身的网关，即路由器R1的子接口GE 0/0/1.1的地址192.168.1.254。.

      数据包到达路由器R1后，因为路由器的子接口GE 0/0/1.1已经配置了VLAN封装，当接收到PC-1发送的VLAN 10的数据帧时，发现数据帧的VLANID跟自身GE0/0/1.1接口配置的VLAN ID 同样，便会剥离掉数据帧的VLAN标签后经过三层路由转发。

      经过查找路由表后，发现数据包中的目的地址192.168.2.1所属的192.168.2.0/24 网段的路由条目，已是路由器R1上的直连路由，且出接口为GE 0/0/1.2，便将该数据包发送至GE 0/0/1.2接口。

      当GE0/0/1.2接口接收到一个没有带VLAN标签的数据帧时，便会加上自身接口所配置的VLAN ID 20后再进行转发，而后经过交换机将数据帧顺利转发给PC-2。