單臂路由技術在VLAN間通信的應用研究

曹園青

摘 要：VLAN技術可以有效隔離廣播風暴，但同時也會使不同VLAN之間的通信產生隔離。為了解決VLAN間的通信問題，必須借助具有三層IP技術的路由器來實現。單臂路由技術是比較典型的三層技術解決方案，它可以有效彌補三層網絡設備端口數量有限的缺陷，并利用干道技術和子接口技術實現VLAN間的互通。本文利用Cisco Packet Tracer 6.2模擬軟件對單臂路由技術進行了網絡仿真和結果驗證，并給出相應配置命令。

關鍵詞：VLAN;單臂路由;子接口技術;Packet Tracer

中圖分類號：TP393文獻標識碼：A文章編號：1003-5168（2020）34-0042-04

Research on the Application of Single-arm Routing Technology

in the Communication between VLANs

CAO Yuanqing

（Department of Mathematics and Computer Science， Hetao College，Bayan Nur Inner Mongolia 015000）

Abstract： VLAN technology can effectively isolate broadcast storms， but it will also isolate the communication between different VLANs. In order to solve the problem of communication between VLANs， routers with three-layer IP technology must be used. Single arm routing technology is a typical three-layer technology solution， which can effectively make up for the limitation of the number of ports in the three-layer network equipment， and realize the interworking between VLANs by using trunk technology and sub interface technology. This paper used Cisco Packet Tracer 6.2 simulation software to simulate the single arm routing technology and verify the results， and gave the corresponding configuration commands.

Keywords： VLAN;single-arm routing;sub-interface technology;Packet Tracer

1 研究背景

VLAN技術，即虛擬局域網絡（Virtual Local Area Network）技術，可以有效地將二層廣播域進行隔離，是一類邏輯上的廣播域，能跨越多個本地物理局域網（LAN）網段。通過將LAN交換機作為基礎可以實現VLAN技術，確切地說，將位于不同物理位置的用戶或者設備依據不同的用途、角色、部門等因素劃分成不同的虛擬網絡組，與此同時，位于不同虛擬網絡組的用戶或者設備之間的通信又像在相同網段里一樣簡單、透明、無障礙。計算機網絡發展至今，VLAN技術比較新，在OSI網絡模型中，L3為網絡層，負責分組路由，L2為數據鏈路層，VLAN工作在L3和L2，可以把網絡中的每一個虛擬局域網段（VLAN）理解為一個廣播域，那么跨VLAN之間的互聯互通就需要借助三層交換技術來實現，體現到網絡設備上就是三層交換機或路由器。與陳舊的局域網技術相比，新興的虛擬局域網技術具有諸多優勢，尤其在網絡拓撲拓展時，如有新設備加入，在組網實踐中，具有組網高效靈活、通信高速安全、管理方便快捷、擴展簡單便捷等優點。

VLAN隔離了二層廣播域，也就嚴格地隔離了各個VLAN之間的任何流量，被分配到一個VLAN里的主機通過交換機只能和本VLAN的主機通信[1]，大大地增加了內部網絡的安全性，然而在實際組網中，通常要配置不同VLAN之間互通。例如，某高校職能部門劃分為教務處、計財處、審計處、國資處、黨政處、科技處、紀檢處，學校信息中心為每個職能部門都配置了對應本部門的不同VLAN，每個部門不能互訪，使各部門的信息安全得到了有效保障，但在有些情況下，比如，校領導需要跨VLAN訪問其他部門的數據，三層網絡設備便可實現這一需求，確切地說，是具有路由功能的三層交換機或路由器。但有些高校在建校組網的初期階段，由于考慮不周，采購的網絡設備全是二層交換機，但二層交換機不具備路由轉發的功能（三層IP技術）。而要實現VLAN間的相互通信就必須采購具有路由功能的三層交換機或路由器，這樣會淘汰很多已經購買的二層網絡設備，造成資源和資金的極大浪費。如何有效利用二層網絡設備來避免設備資源浪費成為很多企業或高校關注的問題。研究者認為通過購買少量的具有三層IP技術的路由器，并且配置實現路由器的單臂路由技術，可以有效利用大量二層設備，解決跨網段通信的問題。

2 單臂路由技術簡介

2.1 單臂路由技術的工作機制

所謂單臂路由，是由于在VLAN配置中，只使用路由器的一個接口實現數據的轉發，就像人只有一只手臂一樣，為了加深大家的印象，形象地稱之為單臂路由[2]。從物理上看，只用一個通信線路來實現不同VLAN之間的通信，其實此線路內已經定義了多個邏輯子接口，每個邏輯子接口對應一個不同的VLAN[3]，當L2交換機配置好多個VLAN時，并且上聯路由器的物理以太網端口，那么在L2交換機里，相異VLAN之間的數據通信就不成問題。特別的，在快速以太網交換機Trunk鏈路中，能夠將VLAN信息附加到數據幀的幀頭，構建可以跨多個交換機的VLAN，VLAN信息附加的途徑就是由IEEE創建的802.1q，又稱為dot 1q，協議創建了一種在以太網幀中附帶VLAN成員標識信息的標準。因此，無論網絡設備的品牌是Cisco還是非Cisco，必須要用到802.1q協議，基于802.1q協議的附加VLAN標識信息，就像貼在快遞包裹上的快遞標簽一樣。

2.2 單臂路由技術的主要優點

單臂路由指的是在路由器這個三層網絡設備上的物理接口上設置多個子接口（或“邏輯接口”），通過這種方法，把多個邏輯接口視為物理接口，實現在多個VLAN之間的互聯互通。VLAN技術最大的特色是能隔離廣播域，抑制廣播風暴，將安全訪問控制策略配置在各個本地局域網之間，大大地提升了網絡吞吐量和網絡安全級別。在實際網絡配置中，將單臂路由技術運用到路由器上，既能滿足網絡安全需求，又能實現不同VLAN間的互聯互通。

路由器作為典型的三層網絡設備，物理端口數量有限，所以如何在有限的物理端口上配置日益增多的VLAN，成為一大技術熱點。運維人員通常根據實際的組網需求，在路由器的一個物理接口上定義多個邏輯上的子接口，即在若干虛擬子接口被配置到一個物理接口上時，虛擬子接口和VLAN之間是一一對應的關系，并且它們的網絡參數都要配制成網段對應子網掩碼和網關IP地址，對VLAN進行一對一的子接口連接，實現VLAN間的通信[4]。當然，這些都在802.1q協議的框架內進行。在現代網絡技術中，解決相異VLAN之間數據通信的方法有很多，但單臂路由技術絕對是最快捷、最方便的方法。當VLAN間的主機需要通信時，數據會經過交換機進行三層路由，并被轉發到目的VLAN內主機，實現VLAN之間相互通信，實現單臂路由功能，確保網絡穩定性和可靠性[6]。若連接各網段的交換機沒有三層交換功能或路由轉發功能，再加上路由器端口數目有限，這時可以考慮使用支持802.1q的路由器來實現VLAN間互通。

單臂路由技術很好地解決了跨局域網信息通信過程中的兩大問題，即長時延路由等待問題和高強度吞吐量的并發問題。與傳統網絡改造升級方案相比，單臂路由技術的配置和管理并不復雜。此外，在ATM網絡環境下，單臂路由技術可以確保數據報文暢通無阻地跨越ATM核心設備抵達客戶端。

單臂路由技術的要點是把不同VLAN之間的通信以最少的以太網絡數據吞吐量流經單臂技術路由器。利用虛擬局域網技術，使得內網數據流兼容80/20規則，本地VLAN內數據吞吐量占80%，局域網外的數據吞吐量占20%，這樣就巧妙地把大部分數據從路由器中轉移出來，降低了路由器的開銷。為了實現這一點，如何對VLAN配置進行優化，從而達到VLAN間通信數據量（通過路由器的數據量）最小化的目的成為關鍵。

3 Packet Tracer軟件簡介

Packet Tracer是思科公司推出的一款Cisco路由器、交換機模擬軟件。該軟件是目前思科網絡技術學院中最流行、操作最簡單、最接近真實環境的模擬工具。它模擬較為基礎的學習環境，為學生設計、配置網絡和排除網絡故障提供了非常好的平臺[6]。

這款軟件具有操作簡單便捷、界面簡潔直觀等優點。其中，界面分為三個區域，分別是工具欄區、設備選擇區和工作區。工具欄區包括幾種常用的操作快捷圖標，如文件的新建、打開、保存、打印、復制、粘貼、撤銷、放大、縮小等;設備選擇區存放了多種多樣的主流網絡設備，如路由器、交換機、集線器、無線網絡設備、終端設備、網絡安全設備等;工作區主要供用戶繪制網絡拓撲，將設備選擇區的設備拖放到工作區即可添加網絡設備，用線纜將設備的端口進行連接，即可完成拓撲圖的繪制。

4 單臂路由模擬仿真實驗

4.1 組網拓撲

采用單臂路由技術實現局域網中各VLAN之間的互聯互通。單臂路由技術實驗網絡拓撲如圖1所示。從圖1可以看出，仿真實驗設備包括：1臺Cisco 2911路由器、1臺Cisco 2950交換機和3臺客戶端PC。每臺客戶端PC都被配置成屬于各自的VLAN里，利用加持單臂路由技術，在路由器中完成了圖中所有VLAN間的互聯互通。

4.2 仿真IP地址配置

仿真實驗的所有網絡設備和客戶端終端的網絡配置如表1所示。

4.3 實驗步驟

步驟1：在Cisco2950交換機上配置，配置代碼如下：

Switch（config）#interface fastEthernet 0/1? ?//進入Fa 0/1端口配置模式

Switch（config-if）#switchport access vlan 10? ?//將Fa 0/1配置為Vlan 10的Access口

Switch（config-if）#no shutdown? ?//開啟Fa 0/1端口

Switch（config）#interface fastEthernet 0/2? ?//進入Fa 0/2端口配置模式

Switch（config-if）#switchport access vlan 20? ?//將Fa 0/2配置為Vlan 20的Access口

Switch（config-if）#no shutdown? ?//開啟Fa 0/2端口

Switch（config）#interface fastEthernet 0/3? ?//進入Fa 0/3端口配置模式

Switch（config-if）#switchport access vlan 30? ?//將Fa 0/2配置為Vlan 30的Access口

Switch（config-if）#no shutdown? ?//開啟Fa 0/3端口

Switch（config）#interface fastEthernet 0/24? ?//進入Fa 0/24端口配置模式

Switch（config-if）#switchport mode trunk? ?//將Fa 0/24配置為trunk口