VLAN技术和VLAN间路由

VLAN技术和VLAN间路由

VLAN技术：交换机分割广播域的技术。

VLAN：Virtual LAN 虚拟局域网。

*这里把交换机的物理接口称为端口。

VLAN技术

一、VLAN概述：

1.VLAN本质：逻辑独立的IP子网

通过“路由”设备： 第三层交换机 进行通信

2.优点：

增加网络部署的灵活性（管理员可以规避地理、物理等因素对于网络设计的限制）、

限制广播域的范围、

增强网络通信的安全性（使MAC地址泛洪无法成功，）

3.用途：

广播域是什么？

①广播域便捷但缺少隐私；现实的各种因素：需要在同一广播域中的设备处于不同广播域下下，不应该在一起的设备处于同一广播域下。

②广播域过大垃圾流量的泛洪会导致资源的浪费。广播域过大会导致性能和安全性降低。

因此局域网最好是一个逻辑概念，不必在意物理上的连接->VLAN技术。

VLAN在逻辑上将一个物理局域网分为多个广播域，每个广播域称为一个虚拟局域网/一个VLAN就是一个广播域。

*同一VLAN的设备可以通过二层直接通信，不同VLAN的设备只能通过IP路由功能才能实现通信。

4.其他局域网技术:

ARCENT、令牌环、FDDI、ATM、Appletalk。

5.VLAN划分：

①基于端口；（最通用）

②基于MAC地址；

*③基于IP；（最合理最灵活）

其他：④基于协议划分；⑤基于策略划分。

*例题：

1.假设有一个C类地址，地址段为192.168.10.0/24，划分为8个子网，各子网的主机数分别为5、5、13、26、25、28、52、58，请给出子网划分过程。

解：首先根据所给的主机数来确定子网掩码，

5的给它分配主机数3位（2^3=8），去除全0和全1两不能用的还剩6台够够的，子网掩码为255.255.255.248；

13给它分4位（2^4=16），子网掩码为255.255.255.240；

26，25，28分5位（2^5=32），子网掩码为255.255.255.224；

52，58分6位（2^6=64）子网掩码为255.255.255.192。

最终结果如下所示：

【这里包括全0和全1】

编号 最小地址 最大地址 子网掩码

1 192.168.10.0 192.168.10.7 255.255.255.248

2 192.168.10.8 192.168.10.15 255.255.255.248

3 192.168.10.16 192.168.10.31 255.255.255.240

4 192.168.10.32 192.168.10.63 255.255.255.224

5 192.168.10.64 192.168.10.95 255.255.255.224

6 192.168.10.96 192.168.10.127 255.255.255.224

7 192.168.10.128 192.168.10.191 255.255.255.192

8 192.168.10.192 192.168.10.255 255.255.255.192

2.将192.168.1.0网段等分为8个网段。

解：

2^3=8，所以网络号向主机号借3位。

000、001、010、011、100、101、110、111.

子网掩码变为/27（255.255.255.224），每个子网有32个地址。网络地址和广播地址如下：

【网络地址为主机号全0的地址，广播地址为主机号全1的地址。】

子网1: 网络地址 192.168.10.0, 广播地址 192.168.10.31

子网2: 网络地址 192.168.10.32, 广播地址 192.168.10.63

子网3: 网络地址 192.168.10.64, 广播地址 192.168.10.95

子网4: 网络地址 192.168.10.96, 广播地址 192.168.10.127

子网5: 网络地址 192.168.10.128, 广播地址 192.168.10.159

子网6: 网络地址 192.168.10.160, 广播地址 192.168.10.191

子网7: 网络地址 192.168.10.192, 广播地址 192.168.10.223

子网8: 网络地址 192.168.10.224, 广播地址 192.168.10.255

二、VLAN原理：

VLAN技术会通过给数据帧插入VLAN标签的方式让交换机能够分辨出各个数据帧所属的VLAN。

PVID：交换机端口上的VLAN ID

自动为数据帧插入Tag：Untagged → Tagged

PRI：优先级。

*不借助路由转发的大前提下，交换机不会将从一个VLAN的端口中接收到的数据帧，转发给任何其他VLAN中的端口。

三、多交换机环境中的VLAN

交换机先打标后查表还是先查表后打标是由各个厂商定义的。

1.交换机端口分类：

①Access（接入）端口 Access端口用于连接计算机等终端设备，只能属于一个VLAN，也就是只能传输一个VLAN的数据。

Access链路上的数据帧没有VLAN标签。

②Trunk（干道）端口 Trunk端口用于连接交换机等网络设备，它允许传输多个VLAN的数据。

*Trunk模式下会给无标签的数据帧打上VLAN标签。（×）

【反问：有许多VLAN，打上哪一个标签呢？】

③Hybrid（混合）端口 Hybrid接口是华为系列交换机端口的默认工作模式，它能够接收和发送多个VLAN的数据帧，可以用于链接交换机之间的链路，也可以用于连接终端设备。

2.GVRP（了解）

四.思科模拟器有关VLAN配置的命令

1.创建VLAN

//全局模式下创建VLAN

Switch(config)#vlan 编号

Switch(config-vlan)#name 名称 //给vlan命名

2.删除VLAN

//全局模式下删除VLAN

Switch(config)#no vlan 编号

3.设置端口模式

①access模式

（连接的计算机，只允许一个VLAN通过）

Switch(config)#interface 端口

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 编号

②Trunk模式

（连接的另一台交换机或路由器，且允许多个VLAN通过）

Switch(config)#interface 端口

Switch(config-if)#switchport trunk encapsulation dot1q //802.1q协议封装

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed vlan 编号Switch(config-if)#switchport trunk allowed vlan add 50 //增加vlan50

或者

允许所有VLAN通过只需要

switchport trunk allowed vlan all

VLAN间路由

通过网络层设备根据IP地址为VLAN间流量执行路由转发的操作称为VLAN间路由。

通过路由器或三层交换机来实现属于不同VLAN的计算机之间的三层通信。

一、相关理论

1.物理拓扑和逻辑拓扑

逻辑拓扑：又称三层拓扑，体现的是路由器根据网络层地址转发数据包的逻辑通道。

物理拓扑：展示网络基础设施之间物理连接方式的拓扑。

2.VLAN间路由：

【命令的部分PPT上没写】

VLAN间二层通信局限性:VLAN隔离了二层广播域 → 隔离了各个VLAN之间的任何二层流量→ 不同VLAN的用户之间不能进行二层通信

通过三层路由才能将报文从一个VLAN转发到另一个VLAN，实现跨VLAN通信:

①多臂路由

（传统VLAN间路由）

路由器给不同的VLAN提供端口，但一般的路由器只有几个高速接口，对于拥有上百个VLAN的网络，需要使用其他的虚拟化技术。

//交换机配置VLAN并划分VLAN端口，设置端口模式
Switch(config)#vlan 2
Switch(config)#vlan 3Switch(config)#interface Fa0/1  //与PC1连接的端口
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2witch(config)#interface Fa0/2  //与PC2连接的端口
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3Switch(config)#interface Fa0/24  //与路由器相连的端口
Switch(config-if)#switchport trunk encapsulation dot1q  //802.1q协议封装
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all
Switch(config)#interface Fa0/23  //与路由器相连的端口
Switch(config-if)#switchport trunk encapsulation dot1q  //802.1q协议封装
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all//路由器的两个端口分别为2个PC的网关
Router(config)# interface G 0/0/0
Router(config-if)# ip address 192.168.20.1 255.255.255.0
Router(config-if)# no shutdown 
Router(config)# interface G 0/0/1
Router(config-if)# ip address 192.168.30.1 255.255.255.0
Router(config-if)# no shutdown //设置PC的IP地址和网关
PC的网关就是路由器两个端口的地址。

②单臂路由

路由器子接口：将一个路由器的物理接口虚拟化为多个逻辑子接口。

目标：实现VLAN 2和VLAN 3的网络互联互通

1.在交换机SW上创建VLAN，并将相应接口加入到对应VLAN中；

2.配置交换机与路由器相连接口为Trunk模式；

3.在路由器R1上创建子接口，并配置子接口的IP地址，启用子接口的dot1q封装，将相应终端的网关设置为路由器接口对应的IP。

**虚拟化技术应用得越多，逻辑拓扑和物理连接之间得差异会越来越大。

//交换机配置VLAN并划分VLAN端口，设置端口模式
Switch(config)#vlan 2
Switch(config)#vlan 3Switch(config)#interface Fa0/1  //与PC1连接的端口
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2witch(config)#interface Fa0/2  //与PC2连接的端口
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3Switch(config)#interface Fa0/24  //与路由器相连的端口
Switch(config-if)#switchport trunk encapsulation dot1q  //802.1q协议封装
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all//路由器的一个端口划分为2个虚拟端口
Router(config)# interface G 0/0/1
Router(config-if)# no shutdown Router(config)# interface G 0/0/1.1
Router(config-subif)# encapsulation dot1Q 2                     //对该子端口Fa0/0.1进行802.1q协议的封装//后面的数字 2 代表是的侦听VLAN号为 2 的传输数据
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
Router(config-subif)# no shutdown Router(config)# interface G 0/0/1.2
Router(config-subif)# encapsulation dot1Q 3
Router(config-subif)# ip address 192.168.30.1 255.255.255.0
Router(config-subif)# no shutdown //设置PC的IP地址和网关
PC的网关就是路由器两个虚拟端口的地址。

③三层交换

路由器价格昂贵，转发原理复杂，连接异构网络；

三层交换机价格便宜，连接同构网络。

交换机对数据进行的是硬件处理/转发，路由器对数据进行的是软件处理/转发，前者速度明显高于后者。

一台三层交换机就可以实现将终端隔离在不同的VLAN中，同时为这些终端提供VLAN间路由的功能。

虚拟VLAN接口（SVI接口、VLANIF接口）：与对应VLAN中的物理二层端口处于同一子网。

目标：实现VLAN 2和VLAN 3的网络互联互通

1.在三层交换机上创建VLAN2和VLAN3；

2.将交换机上的对应端口添加到VLAN2和VLAN3中；

3.在交换上配置三层接口VLANIF2和VLANIF3的IP地址；

4.在PC1和PC2配置对应的IP地址和网关（即相应VLANIF的IP），并测试VLAN间的连通性。

//交换机配置VLAN并划分VLAN端口，设置端口模式
Switch(config)#vlan 2
Switch(config)#vlan 3Switch(config)#interface Fa0/1  //与PC1连接的端口
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2witch(config)#interface Fa0/2  //与PC2连接的端口
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3//交换机创建VLAN接口的IP地址
Switch(config)#ip routing                                                                                                           //启动三层交换机路由功能Switch(config)# interface Vlan 2                            //添加设置关联Vlan号为2的路由端口
Switch(config-if)# ip address 192.168.20.1 255.255.255.0    //为该路由端口设置IP和子网掩码
Switch(config-if)# no shutdown                              //启动该端口
Switch(config-if)# exit                                     //退出该端口Switch(config)# interface Vlan 3                            //添加设置关联Vlan号为3的路由端口
Switch(config-if)# ip address 192.168.30.1 255.255.255.0    //为该路由端口设置IP和子网掩码
Switch(config-if)# no shutdown                              //启动该端口
Switch(config-if)# exit                                     //退出该端口//设置PC的IP地址和网关
PC的网关就是两个虚拟VLAN接口的地址

show ip route //显示路由表
show vlan brief  //确认VLAN配置
show interfaces trunk  //确认Trunk配置

参考：1.不同VLAN之间互相通信_不同vlan互通-CSDN博客

2.《路由与交换技术》刘丹宁著