路由器劃分VLAN,是將路由器配置為各VLAN的網關,實現VLAN間路由,也就是所說的單臂路由。
路由器配置VLAN,不能將物理埠劃分到VLAN中,而要通過將虛擬子介面劃分到VLAN中並且為其配置封裝協議 dot1q。
詳細解說:
路由器提供VLAN間路由只能做單臂路由,也就是設置子介面和封裝協議。
第一步:在交換機上建立VLAN,並將交換機的各埠按照你的意願劃分到你所創建的VLAN中。
實例:
con t
vlan 10
vlan 20
vlan 30
interface range fastetherner 0/1-8
switchport access vlan 10
interface range fastethernet 0/9-16
switchprt aceess vlan 20
interface range fastethernet 0/17-23
switchprt aceess vlan 30
interface fastethernet 0/24 *重要的一步:設置交換機上的trunk 口
switchport mode trunk
switchport trunk allow vlan all *這條是為trunk打開使每個vlan都能通過的命令,使trunk口能傳輸各vlan的數據幀。
第二步,在路由器上的一個埠上設置子介面,並為子介面配置ip地址,此ip地址將自動成為各VLAN 的網關。
router#interface fa0/0
no ip addreess *使之成為二層口,去掉其ip地址
下面開始配置子介面,子介面配置好tunck封裝模式之後,就成為了trunk口
interface fa0/0.10 *為vlan 10劃分出一個子介面
encapsulate dot1q 10 *為vlan 10 配置此子介面的trunk封裝模式
ip adrress 192.168.10.1 255.255.255.0 *為vlan 10 的子介面配置ip地址
exit
interface fa0/0.20 *為vlan 20劃分出一個子介面
encapsulate dot1q 20 *為vlan 20 配置此子介面的trunk封裝模式
ip adrress 192.168.20.1 255.255.255.0 *為vlan 20 的子介面配置ip地址
exit
interface fa0/0.30 *為vlan 30劃分出一個子介面
encapsulate dot1q 30 *為vlan 30 配置此子介面的trunk封裝模式
ip adrress 192.168.30.1 255.255.255.0 *為vlan 30 的子介面配置ip地址
exit
最後,為保險起見,在路由器的全局模式使用
router#ip routing。
OK,配置完成。
這時在vlan 10中的客戶端ping 一下在vlan 20中的客戶端,試試。
【注意事項】
1,在給路由器的子介面配置IP地址之前,一定要先封裝dot1q協議。
2,各個VLAN內的主機,要以相應VLAN子介面的IP地址作為網關。
VLAN(Virtual Local Area Network)又稱虛擬區域網,是指在交換區域網的基礎上,採用網路管理軟體構建的可跨越不同網段、不同網路的端到端的邏輯網路。一個VLAN組成一個邏輯子網,即一個邏輯廣播域,它可以覆蓋多個網路設備,允許處於不同地理位置的網路用戶加入到一個邏輯子網中。 組建VLAN的條件 VLAN是建立在物理網路基礎上的一種邏輯子網,因此建立VLAN需要相應的支持VLAN技術的網路設備。當網路中的不同VLAN間進行相互通信時,需要路由的支持,這時就需要增加路由設備——要實現路由功能,既可採用路由器,也可採用三層交換機來完成。 劃分VLAN的基本策略 從技術角度講,VLAN的劃分可依據不同原則,一般有以下三種劃分方法: 1、基於埠的VLAN劃分 這種劃分是把一個或多個交換機上的幾個埠劃分一個邏輯組,這是最簡單、最有效的劃分方法。該方法只需網路管理員對網路設備的交換埠進行重新分配即可,不用考慮該埠所連接的設備。 2、基於MAC地址的VLAN劃分 MAC地址其實就是指網卡的標識符,每一塊網卡的MAC地址都是惟一且固化在網卡上的。MAC地址由12位16進制數表示,前8位為廠商標識,後4位為網卡標識。網路管理員可按MAC地址把一些站點劃分為一個邏輯子網。 3、基於路由的VLAN劃分 路由協議工作在網路層,相應的工作設備有路由器和路由交換機(即三層交換機)。該方式允許一個VLAN跨越多個交換機,或一個埠位於多個VLAN中。 就目前來說,對於VLAN的劃分主要採取上述第1、3種方式,第2種方式為輔助性的方案。 使用VLAN優點 使用VLAN具有以下優點: 1、控制廣播風暴 一個VLAN就是一個邏輯廣播域,通過對VLAN的創建,隔離了廣播,縮小了廣播范圍,可以控制廣播風暴的產生。 2、提高網路整體安全性 通過路由訪問列表和MAC地址分配等VLAN劃分原則,可以控制用戶訪問許可權和邏輯網段大小,將不同用戶群劃分在不同VLAN,從而提高交換式網路的整體性能和安全性。 3、網路管理簡單、直觀 對於交換式乙太網,如果對某些用戶重新進行網段分配,需要網路管理員對網路系統的物理結構重新進行調整,甚至需要追加網路設備,增大網路管理的工作量。而對於採用VLAN技術的網路來說,一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網路用戶劃分為一個邏輯網段。在不改動網路物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網路技術,大大減輕了網路管理和維護工作的負擔,降低了網路維護費用。在一個交換網路中,VLAN提供了網段和機構的彈性組合機制。 三層交換技術 傳統的路由器在網路中有路由轉發、防火牆、隔離廣播等作用,而在一個劃分了VLAN以後的網路中,邏輯上劃分的不同網段之間通信仍然要通過路由器轉發。由於在區域網上,不同VLAN之間的通信數據量是很大的,這樣,如果路由器要對每一個數據包都路由一次,隨著網路上數據量的不斷增大,路由器將不堪重負,路由器將成為整個網路運行的瓶頸。 在這種情況下,出現了第三層交換技術,它是將路由技術與交換技術合二為一的技術。三層交換機在對第一個數據流進行路由後,會產生一個MAC地址與IP地址的映射表,當同樣的數據流再次通過時,將根據此表直接從二層通過而不是再次路由,從而消除了路由器進行路由選擇而造成網路的延遲,提高了數據包轉發的效率,消除了路由器可能產生的網路瓶頸問題。可見,三層交換機集路由與交換於一身,在交換機內部實現了路由,提高了網路的整體性能。 在以三層交換機為核心的千兆網路中,為保證不同職能部門管理的方便性和安全性以及整個網路運行的穩定性,可採用VLAN技術進行虛擬網路劃分。VLAN子網隔離了廣播風暴,對一些重要部門實施了安全保護;且當某一部門物理位置發生變化時,只需對交換機進行設置,就可以實現網路的重組,非常方便、快捷,同時節約了成本。