1 원리
이더넷, VLAN 기술은 종종의 영향을 줄일 분리 레이어 브로드 캐스트 도메인 방송에 사용하고, 네트워크의 보안 및 관리를 강화한다. 단점은 사용자가 서로 직접 통신 할 수있는 다른 VLAN에 속하는 그래서, 엄격 또한 서로 다른 VLAN 사이의 레이어 2 트래픽을 분리합니다. 실제로, 그것은 종종 VLAN에서 특정 사용자가 VLAN - 팔 라우팅 기술 사이의 통신을 달성하기 위해 필요로하는 통신 솔루션을 제공하는 방법입니다.
원리 아암 라우팅은 라우터를 통해 라우터를 통해 3 계층 포워딩 VLAN 사이의 데이터 교환을 매우. 각각의 VLAN에 대해 라우터 VLAN 수의 증가와 함께, 별도의 라우터의 물리적 인터페이스에 할당되는 경우, 필요 이상의 인터페이스를 요구, 라우터, 인터페이스의 수는 제한되어 제공 할 수있는 물리적 구성을 통해 라우터의 인터페이스 그래서 다중 기능이 매우 좋은 방법이 될 때 모드 하위 인터페이스 (즉, 논리적 인터페이스)을 구현한다. 호스트가 다른 VLAN간에 통신 할 때 디폴트와 같은 물리적 인터페이스의 상이한 서브 라우터, 다른 VLAN 인터페이스 게이트웨이 게이트웨이에만 상기 데이터 패킷은 호스트에 전송하기 전에 상기 게이트웨이 처리 간 VLAN을 달성하기 위하여, VLAN 객체에 속하는 통신. 스위치 및 라우터들 사이에서 본도 토폴로지 이후에만 데이터 전송은 물리적 링크를 통하여이를 선명 "루트 아암"라고합니다.
2, 실험 내용
기업 네트워크 시나리오의 실험 시뮬레이션. R1은 (예컨대 S2 및 S3)를 액세스 레이어 스위치를 통해 라우터 출구 게이트웨이 업체 종업원 PC 접속 기업 네트워크이고, 상기 액세스 계층 스위치 S1은 라우터 R1 통해 통합 스위치에 접속된다. 다른 부서 사이에 2 층의 VLAN 통신의 다른 사업 부문 별 회사의 내부 네트워크 격리는 다양한 부서 간의 정보의 보안을 보장하기 위해,하지만 인해 비즈니스 관리자들 사이의 필요성, 마케팅, 인사 부서의 요구는 VLAN 간 통신, 네트워크 관리를 달성 할 수 있도록 멤버는, 라우터의 세 가지 기능을 사용하기로 결정 단일 아암 구성에서 라우팅이 달성된다.
3, 실험 절차
(1) 새로운 토폴로지도 실험
(2) 라우터의 구성은 다음과 같이 상기 라우터 R1 및 실험 PC1-3 어드레스 테이블의 IP 주소 :
라우터 서브 인터페이스와 IP 주소를 구성합니다
★ R1에 생성 한 하위 인터페이스 GE 0/0 / 1.1 구성 IP 어드레스 192.168.1.254/24 게이트웨이 주소 인력 자원부.
★은 하위 인터페이스와 IP 주소를 생성 공감
회사의 정보 보안 부서를 보호하기 위해 (3)는 2 층 사이의 통신을 보장 할 필요가 서로 다른 VLAN에 속하는 터미널 부서를 계획하고, 다른 부서를 분리하고, PC에 해당하는 IP 주소를 구성합니다.
★는 PC-1 접속 S2 VLAN 10 VLAN20, E 0/0/1에 생성 및 액세스 인터페이스로 구성된다 0/0/2 E PC-2 인터페이스에 접속되고, 대응하는 VLAN으로 분할된다.
★ 스위치 또는 스위치와 라우터 사이에 접속 인터페이스가 VLAN 정보 복수개를 전달할 필요는 트렁크 인터페이스를 구성해야한다. S2 및 S3 GE 0/0/2 인터페이스 트렁크 인터페이스로 구성되고, 모든 VLAN 허용되고
트렁크 및 S1에 VLAN10, VLAN20 VLAN30를 만들고, 구성 스위치에 연결된 라우터 인터페이스이며 ★의 VLAN 모든 관통을 허용한다.
연결 (4) 시험 PC1-3는 여전히 유니콤을 찾을 수 없습니다.
(5) 밀봉 VLAN 라우터 하위 인터페이스
거기에 다른 하위 인터페이스를 생성하고 관련 IP 주소를 구성하지만, 여전히 통신 할 수 없습니다 있지만. 이는 VLAN이 다르기 때문에, 다른 세그먼트는 PC, 라우터를 통해 데이터 패킷을 반드시 통과를 달성하기 위해 서로 통신 할 것이다. S1은 VLAN 태그에 추가 데이터 RI로부터 전송 및 삼층 라우터 장치로서, 디폴트는 VLAN 태그의 패킷을 처리 할 수있다. 따라서, 패키지는 라우터의 VLAN 하위 인터페이스로 구성 될 필요가 라우터를 식별하고 분리 캡슐화 VLAN 태그의 VLAN 태그를 포함하여 프로세싱을 활성화 할 수있다.
하위 인터페이스 ★ GE 0/0 / 1.1. 포장에 VLAN (10)에서 R1, 하위 인터페이스 GE 0/0 / 1.2 캡슐화 VLAN 20. 하위 인터페이스 GE 0/0 / 1.3 캡슐화 VLAN30 및 ARP 방송 기능 하위 인터페이스를 활성화에.
하나의 태그 패킷 구성 하위 인터페이스 종료 기능 dot1q 종료 비디 명령을 사용하십시오. 패킷을 전송하는 경우 즉, 명령 후, 상기 패킷을 수신 한 라우터가 하위 인터페이스는 VLAN 태그 박리 레이어 3 포워딩 태그를 운반, 상기 하위 인터페이스는 패킷에 추가 된 VLAN 태그의 VLAN에 해당 할 것이다 한다.
사용 ARP 브로드 캐스트는 ARP 브로드 캐스트 기능 서브 인터페이스를 활성화하기 위해 명령을 할 수 있습니다. 당신은 구성하지 않으면이 명령은 ARP 브로드 캐스트 패킷을 보내도록 주도권을 쥐고 수없는 하위 인터페이스가 발생합니다, 그리고 전달합니다 IP 밖으로 패킷.
同理配置R1的子接口GE 0/0/1.2和GE 0/0/1.3。
(7) 配置完成后,在路由器R1上查看接口状态,可以看到3个子接口的物理状态和协议状态都正常。
(8) 查看路由器R1的路由表,可以观察到,路由表中已经有了192.168.1.0/24、 192.168.2.0/24、 192. 168.3.0/24的路由条目,并且都是路由器R1的直连路由,类似于路由器上的直连物理接口 。
(9) 测试连通性。可以看到PC1和PC2已经可以PING通
(10) 在PC-1上tracertPC-2,可以观察到PC-1先把ping包发送给自身的网关192.168.1.254, 然后再由网关发送到PC-2。
现以PC-1pingPC-2为例,分析单臂路由的整个运作过程。
两台PC由于处于不同的网络中,这时PC-1会将数据包发往自己的网关,即路由器R1的子接口GE 0/0/1.1的地址192.168.1.254。.
数据包到达路由器R1后,由于路由器的子接口GE 0/0/1.1已经配置了VLAN封装,当接收到PC-1发送的VLAN 10的数据帧时,发现数据帧的VLANID跟自身GE0/0/1.1接口配置的VLAN ID 一样,便会剥离掉数据帧的VLAN标签后通过三层路由转发。
通过查找路由表后,发现数据包中的目的地址192.168.2.1所属的192.168.2.0/24 网段的路由条目,已经是路由器R1上的直连路由,且出接口为GE 0/0/1.2,便将该数据包发送至GE 0/0/1.2接口。
当GE0/0/1.2接口接收到一个没有带VLAN标签的数据帧时,便会加上自身接口所配置的VLAN ID 20后再进行转发,然后通过交换机将数据帧顺利转发给PC-2。