董會國

?

單臂路由技術(shù)在實現(xiàn)不同VLAN之間通信的應(yīng)用

董會國

（邢臺職業(yè)技術(shù)學(xué)院，河北邢臺 054035）

VLAN技術(shù)能有效分割局域網(wǎng)，實現(xiàn)各網(wǎng)絡(luò)區(qū)域之間的訪問控制，有效地提高了網(wǎng)絡(luò)傳輸效率和網(wǎng)絡(luò)中的信息安全。在現(xiàn)實網(wǎng)絡(luò)配置時，通過在路由器上使用單臂路由技術(shù)，在保證網(wǎng)絡(luò)安全前提下，來實現(xiàn)不同VLAN之間的相互通信。

VLAN；中繼；單臂路由；Cisco

虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）是一種邏輯廣播域，可以跨越多個物理LAN網(wǎng)段。VLAN以局域網(wǎng)交換機(jī)為基礎(chǔ)，通過交換機(jī)實現(xiàn)根據(jù)功能、應(yīng)用、部門等因素將設(shè)備或者根據(jù)用戶組成虛擬工作組的技術(shù)，不會受到物理位置的影響，同時相互之間又可以像在同一個網(wǎng)段中一樣可以進(jìn)行通信。VLAN是當(dāng)前網(wǎng)絡(luò)安全中應(yīng)用很廣泛的一種技術(shù)，工作在OSI參考模型的數(shù)據(jù)鏈路層（Data link layer）和網(wǎng)絡(luò)層（Network layer），在網(wǎng)絡(luò)中每一個VLAN本身就產(chǎn)生一個廣播域，多個VLAN相互間的通信是通過路由器或者三層交換機(jī)來實現(xiàn)的。VLAN技術(shù)與傳統(tǒng)的局域網(wǎng)技術(shù)相比較而言，網(wǎng)絡(luò)設(shè)備的移動、修改或者添加管理開銷減少；在實際中具有組網(wǎng)簡單、易實現(xiàn)、易管理等優(yōu)點；同時在提高網(wǎng)絡(luò)的安全性方面有更大的提高。

VLAN能有效分割局域網(wǎng)，實現(xiàn)各網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)隔離控制。有效地提高了網(wǎng)絡(luò)安全性，但實際工作中，經(jīng)常需要配置多個VLAN之間的連通。比如，如果公司劃分為領(lǐng)導(dǎo)層、銷售部、財務(wù)部、人力部、科技部、審計部，并為不同部門配置了不同的VLAN，部門之間不能相互訪問，有效保證了各部門的信息安全。但經(jīng)常出現(xiàn)領(lǐng)導(dǎo)層需要跨越VLAN訪問其他各個部門，可以使用三層設(shè)備來實現(xiàn)，比如路由器或者帶有路由功能的三層交換機(jī)，如果一些企業(yè)在最初網(wǎng)絡(luò)組建時，購買的只是二層交換機(jī)，由于二層交換機(jī)不能實現(xiàn)IP路由功能，不同VLAN之間通信就需要購買路由器或者三層的交換機(jī)，由此會造成以前的二層設(shè)備丟棄。這樣無疑就造成了交換機(jī)等網(wǎng)絡(luò)設(shè)備的浪費。如果仍然要使用以前的二層設(shè)備，那么可以通過增添三層設(shè)備路由器使用單臂路由技術(shù)，來避免由于企業(yè)網(wǎng)絡(luò)升級造成的網(wǎng)絡(luò)設(shè)備資源的浪費問題。

一、單臂路由技術(shù)概述

（一）單臂路由技術(shù)的原理

單臂路由就是在路由器以太網(wǎng)接口下配置若干個子接口，每個子接口對應(yīng)一個VLAN，這樣當(dāng)路由器的以太網(wǎng)口連接到一個劃分VLAN的二層交換機(jī)時，可以通過路由器的以太網(wǎng)口，實現(xiàn)二層交換機(jī)上多個VLAN之間的相互通信。在交換機(jī)的中繼鏈路上，可以通過對數(shù)據(jù)幀附加VLAN信息，構(gòu)建跨越多臺交換機(jī)的VLAN，附加VLAN信息的方法，IIEEE 802.1Q:俗稱dot 1 Q.由IEEE創(chuàng)建，協(xié)議為標(biāo)識帶有VLAN成員信息的以太幀建立了一種標(biāo)準(zhǔn)方法。因此在Cisco和非Cisco設(shè)備之間，必須使用802.1Q.而不能使用ISL，基于IEEE802.1Q附加的VLAN信息，就像在傳遞物品時附加的標(biāo)簽。

（二）單臂路由技術(shù)的優(yōu)點

單臂路由（router-on-a-stick）是指在通過路由器的一個物理端口上通過設(shè)置對應(yīng)的邏輯接口（或“子接口”）的方式，以邏輯端口來充當(dāng)物理端口實現(xiàn)，在網(wǎng)絡(luò)中實現(xiàn)不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通。

節(jié)省使用路由器的物理端口，用戶依據(jù)連接路由器的物理端口上定義出多個邏輯子端口和交換機(jī)的接口，根據(jù)自己的實際需要，可以邏輯上分割出多個虛擬端口，而每個虛擬局域網(wǎng)都連接一個虛擬子端口，每個子端口都配置相應(yīng)的網(wǎng)段的網(wǎng)關(guān) IP 地址和子網(wǎng)掩砝碼，同時遵循802.1Q 協(xié)議或ISL協(xié)議。通過在交換機(jī)上定義連接路由器的端口為中繼（Trunk）端口，封裝等同于路由器子端口的協(xié)議。

單臂路由是當(dāng)前網(wǎng)絡(luò)中解決VLAN間通信的一種實用且經(jīng)濟(jì)的解決方案。當(dāng)VLAN之間有各個網(wǎng)段的主機(jī)需要通信時，如果連接網(wǎng)絡(luò)的交換機(jī)不支持三層交換和路由功能，同時路由器又沒有多余的端口連接，此時可采用支持802.1q（即Virtual Bridged Local Area Networks協(xié)議）的路由器實現(xiàn)VLAN的互通。

相對于其它網(wǎng)絡(luò)改造方案而言，單臂路由技術(shù)的管理和配置并不太復(fù)雜。由于它從主要數(shù)據(jù)通道中去除了等待時間更長的路由功能和處理更加密集的網(wǎng)絡(luò)數(shù)據(jù)通信。單臂路由器位于 ATM 主干交換機(jī)一側(cè)，同時以一條ATM連接與交換機(jī)相聯(lián)，讓不需要穿越路由器的數(shù)據(jù)包不受阻礙地通過 ATM 主干。

單臂路由器結(jié)構(gòu)的關(guān)鍵，是將不同網(wǎng)段進(jìn)行的通信，將最少的網(wǎng)絡(luò)數(shù)據(jù)通信保持在單臂路由器之內(nèi)。通過構(gòu)建VLAN使網(wǎng)絡(luò)流量支持80／20法則（其中20％的通信量在局域網(wǎng)之外，而將80%的通信量保持在局域網(wǎng)內(nèi)部），這樣路由器就不需要處理大部分通信量。為了很好地保證這一點，優(yōu)化虛擬局域網(wǎng)的配置以最小化虛擬局域網(wǎng)之間的通信量（即穿過單臂路由器的通信量）很關(guān)鍵。

三、單臂路由配置實例

（一）網(wǎng)絡(luò)拓?fù)鋱D

通過單臂路由技術(shù)完成局域網(wǎng)內(nèi)各VLAN互連互通，單臂路由實驗網(wǎng)絡(luò)拓?fù)鋱D如圖1所示，模擬設(shè)備為：4臺PC機(jī)、Cisco2960交換機(jī)和Cisco 2811 路由器。其中4臺PC分別被劃分為4個不同的VLAN中，通過在路由器上配置單臂路由技術(shù)實現(xiàn)4個VLAN之間的相互通信。

圖1 單臂路由實驗網(wǎng)絡(luò)拓?fù)鋱D

（二）實驗IP 地址規(guī)劃表

4臺PC、交換機(jī)與路由器之間的端口和IP 地址規(guī)劃如表1。

表1 IP 地址和Vlan規(guī)劃表

（三）實驗步驟

步驟1：在Cisco 2960交換機(jī)上的配置

Switch>en

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#vlan 50 //在交換機(jī)上劃分vlan50

Switch(config-vlan)#exit

Switch(config)#vlan 60 //在交換機(jī)上劃分vlan160

Switch(config-vlan)#exit

Switch(config)#vlan 70 //在交換機(jī)上劃分vlan70

Switch(config-vlan)#exit

Switch(config)#vlan 80 //在交換機(jī)上劃分vlan80

Switch(config-vlan)#exit

Switch(config)#int fa0/5 //進(jìn)入端口

Switch(config-if)#switchport mode access //將fa0/5端口設(shè)置為接入PC模式

Switch(config-if)#switchport access vlan 50 //將fa0/5端口劃分到vlan50中

Switch(config-if)#no sh

Switch(config)#int fa0/6 //進(jìn)入端口

Switch(config-if)#switchport mode access //將fa0/6端口設(shè)置為接入PC模式

Switch(config-if)#switchport access vlan 60 //將fa0/6端口劃分到vlan60中

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int fa0/7 //進(jìn)入端口

Switch(config-if)#switchport mode access //將fa0/7端口設(shè)置為接入PC模式Switch(config-if)#switchport access vlan 70 //將fa0/7端口劃分到vlan70中

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int fa0/8 //進(jìn)入端口

Switch(config-if)#switchport mode access //將fa0/8端口設(shè)置為接入PC模式

Switch(config-if)#switchport access vlan 80 //將fa0/8端口劃分到vlan80中

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int fa0/1 //進(jìn)入端口

Switch(config-if)#switchport mode trunk //將端口改為trunk模式

Switch(config-if)#no sh

Switch(config-if)#exit

步驟2：在Cisco 2811 路由器的配置

Router#conf t

Router(config)#hostname R1 //將路由器重命名

R1(config)#int fa0/0 //進(jìn)入fa0/0端口

R1(config-if)#no sh //激活fa0/0

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

R1(config)#int fa0/1.1 //進(jìn)入路由器fa0/1.1子接口

R1(config-subif)#encapsulation dot1Q 50 //封裝802.1Q 協(xié)議到vlan 50端口

R1(config-subif)#ip add 192.168.50.1 255.255.255.0

R1(config-subif)#no sh //保存設(shè)置并激活端口

R1(config-subif)#exit

R1(config)#int fa0/1.2 //進(jìn)入路由器fa0/1.1子接口

R1(config-subif)#encapsulation dot1Q 60 //封裝802.1Q 協(xié)議到vlan 60端口

R1(config-subif)#ip add 192.168.60.1 255.255.255.0

R1(config-subif)#no sh //保存設(shè)置并激活端口

R1(config-subif)#exit

R1(config)#int f0/1.3 //進(jìn)入路由器fa0/0.3子接口

R1(config-subif)#encapsulation dot1Q 70 //封裝802.1Q 協(xié)議到vlan 70端口

R1(config-subif)#ip add 192.168.70.1 255.255.255.0

R1(config-subif)#no sh //保存設(shè)置并激活端口

R1(config-subif)#exit

R1(config)#int fa0/1.4 //進(jìn)入路由器fa0/0.4子接口

R1(config-subif)#encapsulation dot1Q 80 //封裝802.1Q 協(xié)議到vlan 80端口

R1(config-subif)#ip add 192.168.80.1 255.255.255.0

R1(config-subif)#no sh //保存設(shè)置并激活端口

R1(config-subif)#exit

步驟3：測試結(jié)果

局域網(wǎng)內(nèi)的各 VLAN 間可進(jìn)行通信，整體單臂路由配置全部完成。以PC0與 PC1 Ping 命令為例進(jìn)行測試，它們之間均能互相 ping 通測試結(jié)果見圖 2 所示。

圖2 測試結(jié)果

四、結(jié)束語

通過上面的實驗練習(xí)進(jìn)一步對單臂路由技術(shù)有了一定的理解，在實際中可以解決跨越VLAN之間的互相訪問，在保證網(wǎng)絡(luò)安全的前提下，實現(xiàn)了部門VLAN之間的數(shù)據(jù)共享和通信安全，同相對于其它方案而言，單臂路由其配置和管理都不太復(fù)雜。

[1]褚建立.交換機(jī)/路由器配置與管理項目教程[M].北京：清華大學(xué)出版社，2011.

[2]楊姝.VLAN技術(shù)實驗的設(shè)計與仿真實現(xiàn)研究[J].實驗技術(shù)與管理，2014（3）.

[3]陳照吉，方柯.用Packet tracer軟件巧練單臂路由技術(shù)[J].信息通信，2014（5）.

[4]宋宇.基于單臂路由的VLAN通信模型的仿真研究[J].中國新通信，2014（13）.

[5]尹常紅.單臂路由技術(shù)在區(qū)縣氣象局的應(yīng)用[J].電腦知識與技術(shù)，2012（1）.

[6]金波.IPV6網(wǎng)絡(luò)環(huán)境中單臂路由應(yīng)用實例[J].科技經(jīng)濟(jì)市場，2007（8）.

（責(zé)任編輯 王傲冰）

Application of Router-on-a-stick Technology in the Realization of the Communication between Different VLAN

DONG Hui-guo

（Xingtai Polytechnic College, Xingtai, Hebei 054035, China）

The VLAN technology can effectively split LAN access control between each network area， improve the network transmission efficiency and network information security. In the real network configuration, by using single arm routing technology in the router to realize mutual communication between different VLAN is introduced in the article.

VLAN; trunk; router-on-a-stick; cisco

TP393.1

A

1008—6129（2015）01—0096—05

2014—12—21

董會國（1979—），河北邢臺人，邢臺職業(yè)技術(shù)學(xué)院信息工程系，講師。