「VLAN」- 路由、不同 VLAN 网络互通

  CREATED BY JENKINSBOT

问题描述

部署 VLAN 的传统交换机不能实现不同 VLAN 间的二层报文转发,因此必须引入路由技术来实现不同 VLAN 间的通信。

解决方案

多个 VLAN 路由:
1)能够通过二层交换机 + 路由器来实现,
2)也能够通过三层交换机来实现。

其中,通过三层交换机来实现是最常用的解决方案。

原理简述

交换机 + 路由器(双路)

原理:
1)创建逻辑通过路由互联的链路;

配置过程:
1)在 SWA 上,配置 VLAN,每个 VLAN 使用一条独占的物理链路,并连接到路由器的一个接口上。
2)在逻辑上,Host A ⇒ SWA VLAN 2 ⇒ RTA ⇒ SWB VLAN 3 ⇒ Host B
3)当数据包到达 RTA 后,通过 RTA 进行数据路由;

已知问题:
1)扩展性差:三层路由器一般接口数量较少,扩展新较差;
—- 解决方案:在 RTA 上,创建子接口,以解决物理接口占用过多的问题。即单臂路由,此时 SWA 连接 RTA 的接口无法使用 Access 模式。
2)单点故障;
3)流量瓶颈;

交换机 + 路由器(单臂)

原理:Dot1q终结子接口子接口也是一种三层的逻辑接口。跟VLANIF接口一样,在子接口上配置Dot1q终结功能和IP地址后,设备也会添加相应的MAC表项并置位三层转发标志位,进而实现VLAN间的三层互通

配置过程:
WIP

已知问题:
WIP

通过三层交换机(常用)

原理:
1)通过三层交换机的功能(具有路由功能的交换机),创建 VLANIF 并配置地址,形成直连路由;
2)在 VLANIF 上配置网络地址后,设备会在MAC地址表中添加 VLANIF 的MAC地址+VID表项,并且为表项的三层转发标志位置位;
3)当报文的 DMAC 匹配该表项后,会进行三层转发,进而实现VLAN间的三层互通

配置过程:
1)需要使用三层交换机,
2)为每个 VLAN 创建 VLANIF 接口
3)并配置网关地址,此时交换机内部将形成直连路由。
4)当交换机收到不同数据包,在内部直接完成路由。

已知问题:
1)当用户通过远端网管集中管理设备时,需要在设备上通过VLANIF接口配置IP地址作为设备管理IP,通过管理IP来STelnet到设备上进行管理。若设备上其他接口相连的用户加入该VLAN,也可以访问该设备,增加了设备的不安全因素。
—- 解决方案:配置VLAN为管理VLAN(与管理VLAN对应,没有指定为管理VLAN的VLAN称为业务VLAN),不允许Access类型和Dot1q-tunnel类型接口加入该VLAN。由于Access类型和Dot1q-tunnel类型通常用于连接用户,限制这两种类型接口加入管理VLAN后,与该接口相连的用户就无法访问该设备,从而增加了设备的安全性

补充:
1)某些交换机支持 switch port 切换为 router port 特性,但是其 router port 无法配置 IP 地址,所以要创建 VLANIF 并指定地址

参考文献

What is VLAN Routing? | Answer | NETGEAR Support