利用单臂路由实现VLAN间的路由

实验4：利用单臂路由实现VLAN间的路由。

实验原理：

 实验内容：

本实验模拟公司网络场景，路由器R1是公司的出口网关，员工PC通过接入层交换机（如S2和S3）接入公司网络，接入层交换机又通过汇聚交换机S1与路由器R1相连，公司内部网络通过划分不同的VLAN隔离了不同部门之间的通信，保证各部门之前的信息安全，但是由于业务需要，经理、市场部和人事部之间需要实现跨VLAN通信，网络管理员决定借助路由器的三层功能，通过配置单臂路由来实现。

 利用单臂路由实现VLAN间的路由拓扑如图所示：

实验编址如下：

第一步：创建VLAN并配置Access、Trunk接口。

公司为保障各部门的信息安全，需保证隔离不同部门间的二层通信，规划各部门终端属于不同的VLAN，并为PC配置相应的IP地址。

在S2上创建VLAN20和VLAN 10，把PC1的E0/0/1和连接PC2的E0/0/2接口配置为Access类型接口，并分别划分到相应的VLAN中：

在S3上创建VLAN30，把连接PC3的E0/0/1接口配置为Access接口，并划分到vlan30：

交换机之间或交换机和路由器之间相连的接口需要传递多个vlan信息，需要配置成Trunk接口。

将S2和S3的GE0/0/2接口配置成trunk类型接口，并允许所有vlan通过：

在S1上创建VLAN 10、VLAN20、VLAN 30，并配置交换机和路由器相连的接口为trunk，允许所有vlan通过：

第二步：配置路由器子接口和IP地址。

由于路由器R1只有一个实际的物理接口与交换机S1相连，可以在路由器上配置不同的逻辑子接口来作为不同VLAN的网关，从而达到节省路由器接口的目的.

在R1上创建子接口GE0/0/1.1，配置IP地址192.168.1.254/24，作为人事部网关地址：

在R1上创建子接口GE0/0/1.2，配置IP地址192.168.2.254/24，作为市场部网关地址：

在R1上创建子接口GE0/0/1.3，配置IP地址192.168.3.254/24，作为经理的网关地址：

在PC1、PC2和PC3上配置IP和相应的网关地址后，在PC1上测试与PC2和PC3间的连通性：

可以看到，通信仍然无法同理。

第三步：配置路由器子接口封装VLAN
       虽然目前已经创建了不同的子接口，并配置了相关IP地址，但是仍然无法通信。这是由于处于不同VLAN下，不同网段的PC间要实现互相通信，数据包必须通过路由器进行中转。由S1发送到R1的数据都加上了VLAN标签，而路由器作为三层设备，默认无法处理带了VLAN标签的数据包。因此需要在路由器上的子接口下配置对应VLAN的封装，使路由器能够识别和处理VLAN标签，包括剥离和封装VLAN标签。
       在R1的子接口GE 0/0/1.1上封装VLAN 10,在子接口GE 0/0/1.2 .上封装VLAN 20,在子接口GE 0/0/1.3上封装VLAN30，并开启子接口的ARP广播功能。
       使用dot1q termination vid 命令配置子接口对一层tag报文的终结功能。即配置该命令后，路由器子接口在接收带有VLAN tag的报文时，将剥掉tag 进行三层转发，在发送报文时，会将与该子接口对应VLAN的VLAN tag添加到报文中：

适应arp broadcast enable命令开启子接口的ARP广播功能。如果不配置该命令，将会导致该子接口无法主动访问ARP广播报文，以及向外转发IP报文：

同理配置R1的子接口GE0/0/1.2和GE0/0/1.3：

配置完成后，在路由器R1上查看接口状态：

可以看到，3个子接口的物理状态和协议状态都正常。

查看路由器R1的路由表：

可以看到，路由表中已经有了192.168.1.0/24、192.168.2.0/24、192.168.3.0/24的路由条目，并且都是路由器R1的直接路由，类似于路由器上的直连物理接口。

在PC1上分别测试与网关地址192.168.1.254和PC2间的连通性：

可以观察到，通信正常，在PC1上Tracert PC2：

可以观察到PC-1先把ping包发送给自身的网关192.168.1.254，然后再由网关发送到PC-2。

   现以PC-1pingPC-2为例，分析单臂路由的整个运作过程。
   两台PC由于处于不同的网络中，这时PC-1会将数据包发往自己的网关，即路由器R1的子接口GE 0/0/1.1的地址192.168.1.254。
   数据包到达路由器R1后，由于路由器的子接口GE 0/0/1.1已经配置了VLAN封装，当接收到PC-1发送的VLAN 10的数据帧时，发现数据帧的VLANID跟自身GE0/0/1.1接口配置的VLAN ID -样，便会剥离掉数据帧的VLAN标签后通过三层路由转发。
   通过查找路由表后，发现数据包中的目的地址192.168.2.1 所属的192.168.2.0/24 网段的路由条目，已经是路由器R1.上的直连路由，且出接口为GE 0/0/1.2,便将该数据包发送至GE 0/0/1.2接口。
   当GE 0/0/1.2接口接收到一个没有带VLAN标签的数据帧时，便会加上自身接口所配置的VLAN ID 20后再进行转发，然后通过交换机将数据帧顺利转发给PC-2。