VLAN间路由
1、VLAN间路由的需求
二层交换网络——广播网络
(1)二层广播问题
二层网络广播问题,二层交换式网络,整个网络是一个扁平结构,网络全部由二层交换机构造起来,整个网络是一个大的广播域;在以太网中,所谓广播域就是指在一个网络范围中,广播帧(目的MAC地址为ff-ff-ff-ff-ff-ff的帧)将要被转发的最大范围;在二层交换机中,交换机仅根据MAC地址进行帧的选路和转发,当一个完整正确的以太网帧从一个交换机端口上被接收上来以后,交换机将在自己维护的MAC地址表中去查找地址,根据地址类型的不同和查找结果的不同情况,交换机对帧采取不同的处理:
单播帧(unicast),目的地址在MAC地址表中存在,则按照地址表中表项所指的输出端口,将帧转发到相应的端口上(单播MAC地址在地址表中只能指向一个输出端口)
单播帧(unicast),目的地址在MAC地址表中不存在,则在广播域的所有端口上广播该帧;
组播帧(Multicast),目的地址在MAC地址表中存在,则按照目的地址在地址表中的表项所指的输出端口,将帧转发到相应的端口上。(组播MAC地址在地址表中可以指向一个或一组输出端口)
组播帧(Multicast),目的地址在MAC地址表中不存在,则则在广播域的所有端口上广播该帧;
广播帧(Broadcast),则在广播域的所有端口上广播该帧
(2)VLAN隔离二层广播域
在支持VLAN功能的交换机组成的网络中,每一个VLAN被设计为一个独立的广播域;VLAN之间被严格隔离开来,任何一个帧都不能从自己所属的VLAN被转发到其他的VLAN中。整个网络被划分为若干个规模更小的广播域,改善了网络性能。
(3)连接不同的VLAN——VLAN间路由
“无连不成网”,一个网络在使用VLAN隔离成多个广播域后,各个VLAN之间是不能互相访问的,因为各个VLAN的流量实际上已经物理上隔离开来了,隔离网络只是为了优化网络,最终还是要让整个网络能够畅通起来。
VLAN之间的通信解决方法是,在VLAN之间配置路由器,这样VLAN内部的流量仍然通过原来的VLAN内部的二层网络进行,从一个VLAN到另一个VLAN的通信流量,通过路由在三层上进行转发,转发到目的网络后,再通过二层交换网络把报文最终发送给目的主机。
由于路由器对以太网上的广播报文采取不转发策略,因此中间配置的路由器仍然不会改变划分VLAN所达到的广播隔离的目的。
(4)三层交换机做VLAN间路由
1)VLAN间路由的解决方案:VLAN间通信的路由选择
在划分了VLAN并且使用路由器将VLAN互联起来的网络中,网络主机是怎样互相通信的呢?
首先,做这样一个定义:
处于相同VLAN内部的主机叫做本地主机,与本地主机之间的通信叫做本地通信。处于不同VLAN的主机叫做非本地主机,与非本地主机之间的通信叫做非本地通信。
对于本地通信,通信两端的主机同处于一个相同的广播域,两台主机之间的流量可以直接互相到达,通信的过程与扁平二层网络中的情况相同。
对于非本地通信,通信两端的主机位于不同的广播域内,两台主机的流量不能互相到达,主机通过ARP广播请求也不能请求到对方的地址,此时的通信必须借助于中间的路由器来完成。
路由器在各个VLAN中间,实际上是作为各个VLAN的网关起作用的。因此要通过路由器来互相通信的主机必须知道这个路由器的存在,并且知道它的地址。
在路由器配置好之后,就要在主机上配置默认网关为路由器在本VLAN上的接口地址。
上图1.1.1.10要想与2.2.2.20通信,首先,主机1.1.1.10根据本地的子网掩码比较,发现目的主机不是本地主机,不能直接访问目的主机;根据IP通信的规则,主机1.1.1.10将要查找本机的路由表寻找相应的网关,在实际网络中,主机通常只配置了默认网关,因此这里主机1.1.1.10找到了默认网关。
通过以上过程, VLAN之间的互通和其他的网络配置相同,要根据网络的实际设计情况,同步的配置网络各个部分的设置。如果单独配置了路由器的地址,而没有在主机上【配置网关,VLAN间的通信依然无法运行起来。
2)路由器做VLAN间路由的局限
按照传统的建网原则,应该从每一个需要进行互通的VLAN单独建立一个物理连接到路由器,每一个VLAN都要独占一个交换机端口和一个路由器的端口。在这样的配置下,路由器上的路由接口和物理接口是一对一的对应关系,路由器在进行VLAN间路由的时候就要把报文从一个路由器接口上转发到另一个路由器接口上,同时也是从一个物理接口上转发到其他的物理接口上去。
3)使用VLAN Trunking
使用VLAN Trunking技术可以优化上面网络
使用VLAN Trunking,可以使多个VLAN的业务流量共享相同的物理连接,通过在VLAN Trunking的物理连接上传递打标记的帧将各个VLAN的流量区分开来。
在做VLAN间互通的时候,对于网络中多个VLAN,只需要共享一条物理链路。在交换机上配置连接到路由器的端口使用VLAN Trunking,在路由器上也做相同的配置。在这样的配置下,路由器上的路由接口和物理接口是多对一的对应关系,路由器在进行VLAN间路由的时候把报文从一个路由接口上转发到另一个路由接口上,但从物理接口上看是从一个物理接口上转发回同一个物理接口上去,但是VLAN标记在转发后被替换为目标网络的标记。
在通常情况下,VLAN间路由的流量不足以达到链路的线速度,使用VLAN Trunking的配置,可以提高链路的带宽利用率,节省端口资源,和简化管理。
使用VLAN Trunking之后,用传统的路由器进行VLAN之间的路由在性能上还有一定的不足:由于路由器利用通用CPU转发完全依靠软件进行,同时支持各种通信接口,给软件带来的负担比较大。软件要处理包括报文接收、校验、查找路由、选项处理、报文分片,导致性能不能做到很高,要实现高的转发率就会带来高昂的成本。由此诞生了三层交换机,利用三层交换技术来进一步改善性能。
4)基于内部硬件路由引擎的三层交换机
交换和路由的集成
三层交换机使用硬件技术,采用巧妙的处理方法把二层交换机和路由器在网络中的功能集成到一个盒子里,提高了网络的集成度,增强了转发性能。
标准的IP路由需要在转发每一个IP报文的时候做很多处理,经过很多流程,如前所述,但是这样的工作并不是在处理每个报文时都必须的,绝大多数的报文只需要经过很少一部分过程,IP路由的方法有很大的改进余地。
三层交换机的设计基于对IP路由的仔细分析,把IP路由中每一个报文都必须经过的过程提取出来,这个过程是个十分简化的过程:
- IP路由中绝大多数报文是不包含IP选项的报文,因此处理报文IP选项的工作在多数情况下是多余的
- 不同网络报文长度是不同的,为了适应不同网络,IP实现了报文分片功能,但是在全以太网的环境中,网络的帧(报文)长度是固定的,因此报文分片功能也可以裁剪。
- 三层交换机采用了和路由器的最长地址掩码匹配不同的方法,使用精确地址匹配方式处理,有利于硬件实现快速查找。
- 三层交换机采用cache方法,把最近经常使用的主机路由放到了硬件的查找表中,只有在cache中无法匹配的项目才会通过软件去转发。这样,只有每个流的第一个报文会通过软件进行转发,其后的大量数据流则可以在硬件中得以完成。
三层交换机实现了简化的IP转发流程。
2、三层交换机基本介绍
1)三层交换机功能模型
三层交换机功能上相当于上图中虚线框中的部分。
三层交换机把支持VLAN的二层交换机和路由器的功能集成在一起,因此也称为二三层交换机。
二层交换机的功能和路由器的功能,在三层交换机中分别体现为二层VLAN转发引擎和三层转发引擎两个部分。二层VLAN引擎与支持VLAN的二层交换机的二层转发引擎相同,三层转发引擎使用硬件ASIC技术实现高速的IP转发,对应到IP网络模型中,每个VLAN对应一个IP网段,三层交换机中的三层转发引擎在各个网段(VLAN)间转发报文,实现VLAN之间的互通,因此三层交换机的路由功能通常叫做VLAN间路由(Inter-VLAN Routing)。
2)三层交换机中的路由和二层交换
每个VLAN对应一个IP网段,在二层上,VLAN之间是隔离的。
- 不同的IP网段之间的访问要跨越VLAN,要使用三层转发引擎提供的VLAN间路由功能(相当于路由器)
- 在使用二层交换机和路由器的组网中,每个需要与其他IP网段(VLAN)通信的IP网段(VLAN)都需要使用一个路由器接口做网关。
- 三层交换机的应用也同样符合IP的组网模型,三层转发引擎就相当于传统组网中的路由器的功能,当需要与其他VLAN通信的时候也要为之在三层交换引擎上分配一个路由器接口,用来做VLAN的网关。
- 在三层交换机上的这个路由接口是在三层转发引擎和二层转发引擎上的,是通过配置转发芯片来实现的,与路由器的接口不同,这个接口不是直观可见的。
在VLAN指定路由接口的操作实际上就是为VLAN指定一个IP地址、子网掩码和MAC地址,MAC地址是由设备制造过程中分配的,在配置过程中由交换机自动配置。
3)报文到报文的三层交换技术
报文到报文的交换方式与流交换方式的区别:如果每一个报文都要经历第三层处理,并且业务流转发是基于第三层地址的,这种交换方式就是报文到报文交换方式;如果只是第一个报文经过第三层处理,其他后续报文只进行第二层转发,这种交换方式就是流交换方式。
在上图报文到报文的流活动中,报文进入系统中OSI参考模型的第一层物理接口,然后到达第二层接口进行目的MAC地址检查,如果查表检查的结果是不能交换则进入第三层,在第三层,报文经过路由计算、地址解析等处理,经过三层处理后,报文头被修改并被传回第二层,二层确定合适的输出端口后,报文通过第一层传达到物理介质上,对于后续的每一个报文的转发,都要经过这样一个过程。
在流交换中,第一个报文被分析以确定其是否表示了一个“流”或者一组具有相同源地址和目的地址的报文,如果第一个报文具有了正确的特征,则该标识流中的后续报文将拥有相同的优先权,同一流中的后续报文被交换到基于第二层的目的地址,流交换节省了检查每一个报文要花费的处理时间。现在三层交换机为了实现高速交换,都采用流交换的方式。
4)三层交换机转发流程
假设两个使用IP协议的站点(源站点A、目的站点B)通过第三层交换机,通信过程如下:
- 源站点A在开始发送时,已知目的站点B的IP地址,当尚不知道在局域网上发送所需要的MAC地址。首先需要采用地址解析(ARP)来确定B的MAC地址。源站点把自己的IP地址与目的站点的IP地址比较。
- 若B与A在同一子网内,源站A广播一个ARP请求,B站返回其MAC地址,A得到目的站B的MAC地址后将这一地址缓存起来存放在ARP表中,并用此MAC地址封装包后转发数据。三层以太网交换机的第二层交换模块根据A发送的以太网帧中的目的MAC地址查找MAC地址表确定将数据包发向目的端口。
- 若B与A 不在同一子网内,如源站A要与目的站B通信,A要向“缺省路径”(其软件中配置的网关地址)发出ARP封装包,“缺省路径”的IP地址实际上对应所连接第三层交换机的一个路由接口,即连接源站A的物理端口所属VLAN接口。
- 当发源站A对“缺省路径”的IP地址广播出一个ARP请求时,交换机回相应路由接口(即发源站A的“缺省路径”)的MAC地址给源站。第三层交换机模块在以往的通信过程中已得到目的站B的MAC地址,则直接将数据包以此MAC地址封装并转发向目的站B。
- 否则则提取出输入帧的IP包去查路由表,根据路由表中的路由信息向目的站网段广播一个ARP请求,B得到此请求后,向第三层交换模块回复其MAC地址,以后,当在进行A与B之间的数据包转发时,将用最终的目的站B的IP地址为索引查找底层硬件转发表,得到出端口与对应的MAC地址,并用查到MAC地址封装包,从查到的出端口将数据转发出去;数据转发过程全部交给第二层交换处理,因此信息得到高速交换。
3、VLAN间路由的配置
1)创建/删除VLAN的Route Interface属性,用途是为了给VLAN指定IP地址,需要给VLAN创建一个虚拟路由接口。
[undo]interface vlan vif_id
参数含义,vif_id:虚接口号,且虚接口号与vlan_id相等
interface VLAN-interface命令用来创建/进入VLAN接口视图,undo形式用来删除一个VLAN接口。
只有在相应VLAN创建后才能创建/进入相应的VLAN接口视图。进入VLAN接口1的配置视图:
[Quidway]interface vlan-interface 1
2)给VLAN指定/删除IP地址和掩码
ip address ip_address {mask | mask_length}
undo ip address [ip_address] ——删除vlan的ip地址
ip_address:vlan的ip地址,mask:对应的子网掩码;mask_length:对应的掩码长度
只有在VLAN接口创建后,才能为其指定相应的IP地址和掩码。为VLAN接口20指定IP地址和掩码
[Quidway-VLAN-interface20]ip address 1.1.1.1 255.0.0.0
3)配置VLAN
配置VLAN间路由,首先按照网络的路由规划将VLAN配置好,如上图网络:
[Quidway]vlan 100
[Quidway-vlan100]port e0/1 to e0/10
[Quidway]vlan 200
[Quidway-vlan200]port e0/11 to e0/20
配置好VLAN后,各个VLAN的流量在二层上已经隔离,在需要与其他VLAN通信的VLAN上配置三层的路由接口可以实现VLAN间的互通,即要配置VLAN接口(VLAN接口是逻辑接口,但其意义等同于串口等广域网口):
[Quidway]vlan 100 ——进入vlan100的配置视图
[Quidway-vlan100]interface vlan 100 ——为vlan100创建路由接口
[Quidway-vlan-interface100]ip address 1.1.1.254 255.255.255.0 ——给VLAN 100的路由接口指定IP
[Quidway]vlan 200 ——进入vlan200的配置视图
[Quidway-vlan200]interface vlan 200 ——为vlan200创建路由接口
[Quidway-vlan-interface200]ip address 2.2.2.254 255.255.255.0 ——给VLAN 200的路由接口指定IP
在主机上配置默认网关,将默认网关指向所在VLAN在三层交换机上的三层接口地址。
然后配置路由协议
配置好接口后,根据网络的路由规划,我们可以配置静态路由,也可以配置动态路由协议用于生成路由表。可以使用RIP、OSPF等动态路由协议。
4、配置路由协议举例
1)用RIP互连不同VLAN
配置S3526A:
[S3526A]vlan 100
[S3526A-vlan100]port e0/1 to e0/2
[S3526A-vlan100]interface vlan 100
[S3526A-vlan-interface100]ip address 131.109.1.1 255.255.255.0
[S3526A]vlan 200
[S3526A-vlan200]port e0/3 to e0/4
[S3526A-vlan200]interface vlan 200
[S3526A-vlan-interface200]ip address 10.24.40.1 255.255.255.0
[S3526A]rip
[S3526A-rip]network 10.24.40.0
[S3526A-rip]network 131.109.1.0
[S3526A-vlan100]
2)用OSPF互联不同VLAN
LSW1 OSPF协议配置步骤:
!配置以太网交换机LSW1(区域内部交换机)的Vlan 1路由接口:
[Quidway]vlan 1 ——进入VLAN 1的配置视图
[Quidway-vlan1]port e0/1 to e0/10 ——VLAN 1 包含所配置交换机的以太网端口1 到10
[Quidway-vlan1]interface vlan 1 ——为VLAN 1创建路由接口
[Quidway-vlan-interface 1]ip address 1.1.1.1 255.255.255.0 ——给VLAN1 的路由接口指定IP地址
[Quidway]router id 1.1.1.1
[Quidway]ospf ——启动OSPF协议
[Quidway-ospf]area 1
[Quidway-ospf-area-0.0.0.1]network 1.1.1.1 255.255.255.0 ——将VLAN1路由接口所属网段配置成区域1
!配置以太网交换机LSW2(区域内部交换机)的Vlan 2路由接口:
[Quidway]vlan 2 ——进入VLAN 2的配置视图
[Quidway-vlan2]port e0/1 to e0/10 ——VLAN 2 包含所配置交换机的以太网端口1 到10
[Quidway-vlan2]interface vlan 2 ——为VLAN 2创建路由接口
[Quidway-vlan-interface 2]ip address 1.1.1.2 255.255.255.0 ——给VLAN2的路由接口指定IP地址
[Quidway]router id 1.1.1.2
[Quidway]ospf ——启动OSPF协议
[Quidway-ospf]area 1
[Quidway-ospf-area-0.0.0.1]network 1.1.1.2 255.255.255.0 ——将VLAN2路由接口所属网段配置成区域1
!配置以太网交换机LSW3(区域内部交换机)的Vlan 3路由接口:
[Quidway]vlan 3 ——进入VLAN 3的配置视图
[Quidway-vlan3]port e0/1 to e0/10 ——VLAN 3 包含所配置交换机的以太网端口1 到10
[Quidway-vlan3]interface vlan 3 ——为VLAN 3创建路由接口
[Quidway-vlan-interface 3]ip address 1.1.1.3 255.255.255.0 ——给VLAN3 的路由接口指定IP地址
[Quidway]router id 1.1.1.3
[Quidway]ospf ——启动OSPF协议
[Quidway-ospf]area 1
[Quidway-ospf-area-0.0.0.1]network 1.1.1.3 255.255.255.0 ——将VLAN3路由接口所属网段配置成区域1
!配置以太网交换机LSW3(区域边界交换机)的Vlan 4路由接口:
[Quidway]vlan 4 ——进入VLAN 4的配置视图
[Quidway-vlan4]port e0/11 to e0/20 ——VLAN 4 包含所配置交换机的以太网端口11 到20
[Quidway-vlan4]interface vlan 4 ——为VLAN 4创建路由接口
[Quidway-vlan-interface 4]ip address 1.1.2.3 255.255.255.0 ——给VLAN4 的路由接口指定IP地址
[Quidway]router id 1.1.2.3
[Quidway]ospf ——启动OSPF协议
[Quidway-ospf]area 0
[Quidway-ospf-area-0.0.0.0]network 1.1.2.3 255.255.255.0 ——将VLAN4路由接口所属网段配置成区域0
!配置以太网交换机LSW4(区域内部交换机)的Vlan 5路由接口:
[Quidway]vlan 5 ——进入VLAN 5的配置视图
[Quidway-vlan5]port e0/1 to e0/10 ——VLAN 5 包含所配置交换机的以太网端口1 到10
[Quidway-vlan5]interface vlan 5 ——为VLAN 5创建路由接口
[Quidway-vlan-interface 5]ip address 1.1.2.4 255.255.255.0 ——给VLAN5 的路由接口指定IP地址
[Quidway]router id 1.1.2.4
[Quidway]ospf ——启动OSPF协议
[Quidway-ospf]area 0
[Quidway-ospf-area-0.0.0.0]network 1.1.2.4 255.255.255.0 ——将VLAN5路由接口所属网段配置成区域0
!配置以太网交换机LSW4(区域内部交换机)的Vlan 6路由接口:
[Quidway]vlan 6 ——进入VLAN 6的配置视图
[Quidway-vlan6]port e0/11 to e0/20 ——VLAN 6 包含所配置交换机的以太网端口11 到20
[Quidway-vlan6]interface vlan 6 ——为VLAN 6创建路由接口
[Quidway-vlan-interface 6]ip address 2.2.2.3 255.255.255.0 ——给VLAN6 的路由接口指定IP地址
[Quidway]router id 2.2.2.3
[Quidway]ospf ——启动OSPF协议
[Quidway-ospf]area 0
[Quidway-ospf-area-0.0.0.0]network 2.2.2.3 255.255.255.0 ——将VLAN6路由接口所属网段配置成区域0
!配置以太网交换机LSW5(自治系统边界交换机)的Vlan 7路由接口:
[Quidway]vlan 7 ——进入VLAN 7的配置视图
[Quidway-vlan7]port e0/10 to e0/20 ——VLAN 7 包含所配置交换机的以太网端口10 到20
[Quidway-vlan7]interface vlan 7 ——为VLAN 7创建路由接口
[Quidway-vlan-interface 7]ip address 2.2.2.5 255.255.255.0 ——给VLAN17的路由接口指定IP地址
[Quidway]router id 2.2.2.5
[Quidway]ospf ——启动OSPF协议
[Quidway-ospf]area 0
[Quidway-ospf-area-0.0.0.0]network 2.2.2.5 255.255.255.0 ——将VLAN7路由接口所属网段配置成区域0
!配置以太网交换机LSW5(自治系统边界交换机)的Vlan 8路由接口:
[Quidway]vlan 8 ——进入VLAN 8的配置视图
[Quidway-vlan8]port e0/10 to e0/20 ——VLAN 8包含所配置交换机的以太网端口10 到20
[Quidway-vlan8]interface vlan 8 ——为VLAN 8创建路由接口
[Quidway-vlan-interface 8]ip address 3.3.3.6 255.255.255.0 ——给VLAN8 的路由接口指定IP地址
[Quidway]router id 3.3.3.6
[Quidway]ospf ——启动OSPF协议
[Quidway-ospf]area 0
[Quidway-ospf-area-0.0.0.0]network 3.3.3.6 255.255.255.0 ——将VLAN8路由接口所属网段配置成区域0
配置完成