前言：

·傳統(tǒng)交換二層組網(wǎng)中，默認(rèn)所有網(wǎng)絡(luò)都處于同一個(gè)廣播域，這帶了諸多問(wèn)題。VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）技術(shù)的提出，滿足了二層組網(wǎng)隔離廣播域需求，使得屬于不同VLAN的網(wǎng)絡(luò)無(wú)法互訪，但不同VLAN之間又存在著相互訪問(wèn)的需求。

·主要描述如何實(shí)現(xiàn)不同VLAN之間的相互通信。

VLAN間通信 (1)

·實(shí)際網(wǎng)絡(luò)部署中一般會(huì)將不同IP地址段劃分到不同的VLAN。

·同VLAN且同網(wǎng)段的PC之間可直接進(jìn)行通信，無(wú)需借助三層轉(zhuǎn)發(fā)設(shè)備，該通信方式被稱為二層通信。

·VLAN之間需要通過(guò)三層通信實(shí)現(xiàn)互訪，三層通信需借助三層設(shè)備。

VLAN間通信 (2)

·常見(jiàn)的三層設(shè)備：路由器、三層交換機(jī)、防火墻等。

·將二層交換機(jī)與路由器的三層接口互聯(lián)，由三層設(shè)備進(jìn)行路由轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)通信。

使用路由器物理接口

路由器三層接口作為網(wǎng)關(guān)，轉(zhuǎn)發(fā)本網(wǎng)段前往其它網(wǎng)段的流量。

路由器三層接口無(wú)法處理攜帶VLAN Tag的數(shù)據(jù)幀，因此交換機(jī)上聯(lián)路由器的接口需配置為Access。

路由器的一個(gè)物理接口作為一個(gè)VLAN的網(wǎng)關(guān)，因此存在一個(gè)VLAN就需要占用一個(gè)路由器物理接口。

路由器作為三層轉(zhuǎn)發(fā)設(shè)備其接口數(shù)量較少，方案的可擴(kuò)展性太差。

物理連接圖

使用路由器子接口

子接口（Sub-Interface）是基于路由器以太網(wǎng)接口所創(chuàng)建的邏輯接口，以物理接口ID+子接口ID進(jìn)行標(biāo)識(shí)，子接口同物理接口一樣可進(jìn)行三層轉(zhuǎn)發(fā)。

子接口不同于物理接口，可以終結(jié)攜帶VLAN Tag的數(shù)據(jù)幀。

·R1使用一個(gè)物理接口（GE0/0/1）與交換機(jī)SW1對(duì)接，并基于該物理接口創(chuàng)建兩個(gè)子接口：GE0/0/1.10及GE0/0/1.20，分別使用這兩個(gè)子接口作為VLAN 10及VLAN 20的默認(rèn)網(wǎng)關(guān)?！び捎谌龑幼咏涌诓恢С諺LAN報(bào)文，當(dāng)它收到VLAN報(bào)文時(shí)，會(huì)將VLAN報(bào)文當(dāng)成是非法報(bào)文而丟棄。因此，需要在子接口上將VLAN Tag剝掉，也就是需要VLAN終結(jié)（VLAN Termination）。

物理連接圖

子接口處理流程

·交換機(jī)連接路由器的接口類型配置為Trunk，根據(jù)報(bào)文的VLAN Tag不同，路由器將收到的報(bào)文交由對(duì)應(yīng)的子接口處理。

子接口配置示例

·interface interface-type interface-number.sub-interface number命令用來(lái)創(chuàng)建子接口。sub-interface number代表物理接口內(nèi)的邏輯接口通道。一般情況下，為了方便記憶，子接口ID與所要終結(jié)的VLAN ID相同?！ot1q termination vid命令用來(lái)配置子接口Dot1q終結(jié)的單層VLAN ID。缺省情況，子接口沒(méi)有配置dot1q終結(jié)的單層VLAN ID。arp broadcast enable命令用來(lái)使能終結(jié)子接口的ARP廣播功能。缺省情況下，終結(jié)子接口沒(méi)有使能ARP廣播功能。終結(jié)子接口不能轉(zhuǎn)發(fā)廣播報(bào)文，在收到廣播報(bào)文后它們直接把該報(bào)文丟棄。為了允許終結(jié)子接口能轉(zhuǎn)發(fā)廣播報(bào)文，可以通過(guò)在子接口上執(zhí)行此命令。

三層交換機(jī)和VLANIF接口

二層交換機(jī)（Layer 2 Switch）指的是只具備二層交換功能的交換機(jī)。

三層交換機(jī)（Layer 3 Switch）除了具備二層交換機(jī)的功能，還支持通過(guò)三層接口（如VLANIF接口）實(shí)現(xiàn)路由轉(zhuǎn)發(fā)功能。

VLANIF接口是一種三層的邏輯接口，支持VLAN Tag的剝離和添加，因此可以通過(guò)VLANIF接口實(shí)現(xiàn)VLAN之間的通信。

VLANIF接口編號(hào)與所對(duì)應(yīng)的VLAN ID相同，如VLAN 10對(duì)應(yīng)VLANIF 10。

VLANIF配置示例

·配置需求:

兩臺(tái)PC分別屬于VLAN 10、VLAN 20。通過(guò)三層交換機(jī)完成兩臺(tái)PC之間的相互通信。

基礎(chǔ)配置：

配置Vlanif：

[SW1]interface Vlanif 10[SW1-Vlanif10]ip address 192.168.10.254 24[SW1]interface Vlanif 20[SW1-Vlanif20]ip address 192.168.20.254 24

·interface vlanif vlan-id命令用來(lái)創(chuàng)建VLANIF接口并進(jìn)入到VLANIF接口視圖。vlan-id表示與VLANIF接口相關(guān)聯(lián)的VLAN編號(hào)。VLANIF接口的IP地址作為主機(jī)的網(wǎng)關(guān)IP地址，和主機(jī)的IP地址必須位于同一網(wǎng)段。

VLANIF轉(zhuǎn)發(fā)流程 (1)

假設(shè)PC、三層交換機(jī)上都已存在相應(yīng)的ARP或MAC表項(xiàng)。

PC1與PC2之間通信過(guò)程如下：

PC1通過(guò)本地IP地址、本地掩碼、對(duì)端IP地址進(jìn)行計(jì)算，發(fā)現(xiàn)目的設(shè)備PC2與自身不在同一個(gè)網(wǎng)段，判斷該通信為三層通信，將去往PC2的流量發(fā)給網(wǎng)關(guān)。PC1發(fā)送的數(shù)據(jù)幀：源MAC = MAC1，目的MAC = MAC2。

VLANIF轉(zhuǎn)發(fā)流程 (2)

交換機(jī)收到PC1發(fā)送的去往PC2的報(bào)文，經(jīng)解封裝發(fā)現(xiàn)目的MAC為VLANIF10接口的MAC地址，所以將報(bào)文交給路由模塊繼續(xù)處理。

路由模塊解析發(fā)現(xiàn)目的IP為192.168.20.2，非本地接口存在的IP地址，因此需要對(duì)該報(bào)文三層轉(zhuǎn)發(fā)。查找路由表后，匹配中VLANIF20產(chǎn)生的直連路由。

VLANIF轉(zhuǎn)發(fā)流程 (3)

因?yàn)槠ヅ涞臑橹边B路由，說(shuō)明已經(jīng)到達(dá)最后一跳，所以交換機(jī)在ARP表中查找192.168.20.2，獲取192.168.20.2的MAC地址，交由交換模塊重新封裝為數(shù)據(jù)幀。

交換模塊查找MAC地址表以明確報(bào)文出接口、是否需要攜帶VLAN Tag。最終交換模塊發(fā)送的數(shù)據(jù)幀：源MAC = MAC2，目的MAC = MAC3，VLAN Tag = None。

網(wǎng)絡(luò)拓?fù)?/strong>

連接邏輯圖

·NAPT（Network Address Port Translation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）：將IP數(shù)據(jù)報(bào)文頭中的IP地址、端口號(hào)轉(zhuǎn)換為另一個(gè)IP地址、端口號(hào)的過(guò)程，主要用于實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)（私有IP地址）訪問(wèn)外部網(wǎng)絡(luò)（公有IP地址）的功能，NAPT支持多個(gè)內(nèi)部地址映射到同一個(gè)公有地址上，可以實(shí)現(xiàn)使用一個(gè)公有地址支持內(nèi)網(wǎng)多個(gè)內(nèi)部地址同時(shí)訪問(wèn)外部網(wǎng)絡(luò)。

通信過(guò)程 (1)

·假設(shè)所有設(shè)備上都已存在相應(yīng)的ARP或MAC表項(xiàng)。

通信過(guò)程 (2)

通信過(guò)程 (3)

通信過(guò)程 (4)

通信過(guò)程 (5)