Day07-VLAN 间路由
目录
"talk is cheap,show me the code!"
display current-configuration //查看当前设备做过哪些配置
解决 VLAN 间通讯的两个方案
1)单臂路由
2)VLANIF 虚接口 (最受欢迎的解决方案)
单臂路由
•不同的VLAN,属于不同的广播域
•连接不同的广播域,使用的是“具备路由功能”的设备,例如路由器、多层交换机
•不同VLAN的终端设备在通信时,必须配置网关IP地址
•网关指的是一个接口,可以是真实接口,也可以是虚拟接口,可以是主接口,也可以是子接口。可以使用单臂路由可以在一个物理接口上划分出多个子接口来暂时解决路由器的物理接口较少或不足这一问题。
实验(1)-单臂路由实验
SW1 配置
[SW1]vlan batch 10 20
[SW1]interface eth0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-]interface eth0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 20
[SW1]interface gi0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
路由器配置
[R1]interface gi0/0/1.1 //进入 G0/0/1 的子接口
[R1-GigabitEthernet0/0/1.1]dot1q termination vid 10 //给其封装上 vlan 标签
[R1-GigabitEthernet0/0/1.1]ip address 10.10.0.1 24 //配置 IP 地址
[R1-GigabitEthernet0/0/1.1]arp broadcast enable //给该接口开启 arp 广播功能
[R1]interface gi0/0/1.2
[R1-GigabitEthernet0/0/1.2]dot1q termination vid 20
[R1-GigabitEthernet0/0/1.2]ip address 10.20.0.1 24
[R1-GigabitEthernet0/0/1.1] arp broadcast enable
实验 (2)单臂路由+静态综合实验
配置思路
- 配置 PC 机的 IP 地址和网关
- 配置两台路由器物理接口的 IP 地址
- 配置两台交换机的 VLAN(创建 VLAN,将 VLAN 加入到指定的接口,配置交换机与路由器相连的链路类型 access 和 trunk)
- 配置 VLAN20、30 的单臂路由(进入子接口、配置 IP 地址、配置 dot1q 封装、开启 arp 广播)
- 验证各PC 是否能与自己的网关直接通讯
- 写静态路由,并进行最终验证
配置命令
交换机 1
system-view
vlan batch 20 30
interface g0/0/2
port link-type access
port default vlan 1
interface g0/0/3
port link-type access
port default vlan 1
interface g0/0/2
port link-type access
port default vlan 1
交换机 2
system-view
vlan batch 20 30
interface g0/0/2
port link-type access
port default vlan 20
interface g0/0/3
port link-type access
port default vlan 30
interface g0/0/1
port link-type trunk
port trunk allow-pass vlan all
路由器 1
system-view
interface g0/0/1
ip address 192.168.1.254 24
interface g0/0/0
ip address 192.168.4.1 24
ip route-static 0.0.0.0 0.0.0.0 192.168.4.2 //写默认路由
路由器 2
system-view
interface g0/0/0
ip address 192.168.4.2 24
interface g0/0/1.1 //进入g0/0/0的子接口
ip address 192.168.2.254 24 //配置 IP 地址
dot1q termination vid 20 //封装 vlan 标签
arp broadcast enable //给该子接口开启 arp 广播功能
interface g0/0/1.2 //进入g0/0/0的子接口
ip address 192.168.3.254 //配置 IP 地址
dot1q termination vid 20 //封装 vlan 标签
arp broadcast enable //给该子接口开启 arp 广播功能
quit
ip route-static 192.168.1.0 24 192.168.4.1 //写静态路由
单臂路由的缺点
单臂路由可以将一个物理接口逻辑上划分出多个子接口,暂时解决了路由器接口不足的问题,且对网络拓扑改动较小.但是,一旦部门中 vlan 增多,单臂路由将成为内网的传输瓶颈。另外,单臂路由带来了严重的单点故障隐患。
VLANIF 虚接口
1)VLANIF 接口,是一种三层的虚拟接口,虚接口不依赖于物理接口,只依赖于 VLAN。可以配置 IP 地址,从而充当网关,实现VLAN 的三层互通。
2)VLANIF 配置简单,是实现 VLAN 互访的最常用技术
VLANIF 实验(1)
配置需求
全网互通
配置思路
1.配置 PC 的 IP 地址和网关
2.在交换机上创建 VLAN,使3台交换机VLAN 保持一致,并配置好 trunk 和 access 链路
3.在交换机 1 上,分别进入 VLAN10、20、30、40 的 VLANIF 接口, 给虚拟接口配置 IP 地址
配置命令
SW1 命令
[SW1]vlan batch 10 20 30 40
[SW1]port-group group-member g0/0/1 g0/0/2
[SW1-port-group]port link-type trunk
[SW1-port-group]port trunk allow-pass vlan all
[SW1-port-group]quit
[SW1]interface vlanif 10
[SW1-vlanif10] ip address 192.168.10.254 24
[SW1-vlanif10]interface vlanif 20
[SW1-vlanif20]ip address 192.168.20.254 24
[SW1-vlanif20]interface vlanif 30
[SW1-vlanif30]ip address 192.168.30.254 24
[SW1-vlanif30]interface vlanif 40
[SW1-vlanif40]ip address 192.168.40.254 24
SW2 命令
[SW3]vlan batch 10 20 30 40
[SW3]interface g0/0/1
[SW3-g0/0/1]port link-type trunk
[SW3-g0/0/1]port trunk allow-pass vlan all
[SW3-g0/0/1]interface g0/0/2
[SW3-g0/0/2]port link-type access
[SW3-g0/0/2]port default vlan 10
[SW3-g0/0/2]interface g0/0/3
[SW3-g0/0/3]port link-type access
[SW3-g0/0/3]port default vlan 20
SW3 命令
[SW3]vlan batch 10 20 30 40
[SW3]interface g0/0/1
[SW3-g0/0/1]port link-type trunk
[SW3-g0/0/1]port trunk allow-pass vlan all
[SW3-g0/0/1]interface g0/0/2
[SW3-g0/0/2]port link-type access
[SW3-g0/0/2]port default vlan 30
[SW3-g0/0/2]interface g0/0/3
[SW3-g0/0/3]port link-type access
[SW3-g0/0/3]port default vlan 40
VLANIF 综合实验 (2)
端口隔离
技术概述
1)端口隔离技术出现背景:为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN ID资源。
2)端口隔离的作用:采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。
3)如何实现端口隔离功能:只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。
4)端口隔离的优势:节约了VLAN,提供了更安全、更灵活的组网方案
端口隔离的特点
-端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能。
-同一端口隔离组的接口之间互相隔离
-隔离组的接口和其他接口之间不隔离
-不同端口隔离组的接口之间不隔离
端口隔离实验
实验需求
-PC1/2/3/4都属于同一个 VLAN100
-IP地址所在网段为192.168.100.0/24,网关地址为 192.168.100.254
-PC1和PC2不能通信,但是都可以访问 PC3和PC4
-所有的PC都可以访问 Server1
配置思路
第一步:配置PC的IP地址,掩码,网关
第二步:创建vlan,接口加入vlan
-在交换机中创建vlan100
-交换机所有的接口都设置为access 模式,并加入vlan100
第三步:配置端口隔离
-在交换机g0/0/1 和g0/0/2 接口下开启端口隔离功能,将2个接口加入端口隔离组1
第四步:配置R1路由器的接口IP地址
端口隔离通用命令
port-isolate enable group 1. //开启端口隔离功能,并将该接口加入到 组 1(1-64) 当中
display port-isolate group 1. //查看隔离组 1 中的接口成员列表
----------------------------------------------------------------------
port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4
//以上命令是将 0/0/1 to 0/0/4 接口加入到同一个组里面,方便统一的配置。和端口隔离没有强关联