摘要：VLAN技術(shù)是實現(xiàn)接入層網(wǎng)絡隔離的最常見的二層交互技術(shù)，但隔離之后接入層網(wǎng)絡會出現(xiàn)互聯(lián)互通的障礙。該文討論了在RUIJIE網(wǎng)絡上采用三層交換機和單臂路由實現(xiàn)不同VLAN的通信。

關(guān)鍵詞：VLAN；三層交換機；單臂路由；RUIJIE網(wǎng)絡

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）32-0033-03

Research on Communication Experiment between Different Vlan Based on RUIJIE Network Equipment

ZHU Ye

（College of Computer Science and Technology， Taizhou University， Taizhou 225300， China）

Abstract：VLAN technology is the most common two layer interaction technology to realize the isolation of access layer network，but network will appear obstacles after the isolation of access layer. This paper discusses the three layer switch and router-On-a-Stick realize the communication of different VLAN by the Ruijie network equipment.

Key words：VLAN； Three Layer Switch； Router-On-a-Stick； Ruijie network

隨著社會的發(fā)展和技術(shù)的進步，各單位越來越重視網(wǎng)絡的安全，在網(wǎng)絡中為避免部門之間的工作干擾，保護信息資源的安全，網(wǎng)絡中心通過VLAN技術(shù)把部門分隔開，形成部門網(wǎng)絡互不相通、互不干擾。互相隔離的部門網(wǎng)絡，雖然保證了信息安全，但卻造成公司的信息不能共享。因此單位希望在保留現(xiàn)有部門VLAN的情況下，通過技術(shù)實現(xiàn)部門網(wǎng)絡之間的安全通信。

針對當前單位網(wǎng)絡的情況，使用銳捷網(wǎng)絡設備，通過三層交換機和單臂路由實現(xiàn)不同虛擬局域網(wǎng)的通信，從而達到部門網(wǎng)絡之間的安全通信。

1 RUIJIE網(wǎng)絡設備及相關(guān)技術(shù)

1.1 RUIJIE網(wǎng)絡設備

RUIJIE網(wǎng)絡設備是RUIJIE網(wǎng)絡自主研發(fā)的設備，涵蓋交換機、路由器、安全、無線等產(chǎn)品線，為企業(yè)、政府和教育等行業(yè)構(gòu)建局域網(wǎng)絡提供解決方案，為用戶爭取了更低的建網(wǎng)和用網(wǎng)成本，更有效保障了網(wǎng)絡安全和可控性。

1.2 VLAN 簡介

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)），是指在交換機上通過配置，邏輯劃分的網(wǎng)絡，VLAN不受物理位置的限制，可以根據(jù)功能、部門及應用將計算機進行網(wǎng)絡組織，相互之間就像在同一個網(wǎng)絡中通信。

1.3 三層交換機簡介

三層交換機具有二層交換機的交換技術(shù)和VLAN間路由的功能，能解決VLAN間互通的問題，它能夠做到一次路由，多次轉(zhuǎn)發(fā)，既實現(xiàn)了數(shù)據(jù)報的高速轉(zhuǎn)發(fā)，又可實現(xiàn)網(wǎng)絡路由功能，是局域網(wǎng)中解決VLAN間通信的有效途徑。

1.4 單臂路由簡介

單臂路由是指在路由器的物理接口上配置子接口（子接口是邏輯接口，不是物理接口）的方式，實現(xiàn)原來相互不通信的VLAN間的相互連通。

2 項目背景和項目實施

2.1 項目描述

泰州學院校園網(wǎng)改造中，為了保證網(wǎng)絡中信息安全，拒絕其他部門計算機訪問，通過在交換機上實施VLAN技術(shù)，實現(xiàn)部門之間的安全隔離。

通過Vlan技術(shù)實現(xiàn)部門之間安全隔離后，部門與部門之間無法訪問對方網(wǎng)絡，造成了信息共享不方便。學校希望校園網(wǎng)在劃分VLAN后，部門與部門網(wǎng)絡之間，能夠有選擇地實現(xiàn)通信，確保部門之間網(wǎng)絡的安全通信。

2.2 實施方法

根據(jù)項目描述分析得到兩點需求

（1） 網(wǎng)絡中的各部門需要安全隔離；

（2） 隔離后的網(wǎng)絡能夠互相通信。

針對需求（1）可以通過VLAN來實現(xiàn)，對于需求（2）可以有兩種方法解決：利用三層交換機和單臂路由來實現(xiàn)，下面就這兩種方法進行研究。

2.3 利用三層交換機實現(xiàn)VLAN間的安全通信

2.3.1 拓撲結(jié)構(gòu)

如下圖1所示的拓撲結(jié)構(gòu)是一臺二層交換機和一臺三層交換機，在二層交換機上配置VLAN9、VLAN10、VLAN11，將端口F0/1～F0/5、F0/7～F0/14、F0/15～F0/20劃分到這3個VLAN中，二層交換機和三層交換機通過F0/23口連接，對二層交換機和三層交換機配置實現(xiàn)VLAN間的通信。

2.3.2 項目的IP地址分配

2.3.3 網(wǎng)絡連接和命令配置

（1） 組網(wǎng)。按照圖1所示的網(wǎng)絡規(guī)劃拓撲，組建網(wǎng)絡。

（2） 配置二層交換機。

S2126>en //進入特權(quán)模式

S2126#conf terminal //進入全局模式

S2126 （config）#h S2 //將交換機命名為S2

S2 （config）#vl9 //在交換機S2上創(chuàng)建vlan9

S2 （config-vlan）#vl10 //在交換機S2上創(chuàng)建vlan 10

S2 （config-vlan）#vl11//在交換機S2上創(chuàng)建vlan11endprint

S2 （config-vlan）#exit

S2（config）#intr f 0/1-5 //進入交換機S2端口1-5

S2（config-if）# sw a vl9 //將端口分配到vlan9

S2（config-if）#exit

S2（config）#intr f 0/7-14

//進入交換機S2端口7-14

S2（config-if）#sw a vl10 //將端口分配到vlan10

S2 （config-if）#exit

S2 （config）#int r f 0/15-20

//進入交換機S2端口15-20

S2 （config-if）#sw a vl11 //將端口分配到vlan11

S2 （config-if）#exit

S2 （config）#int f 0/23//進入交換機S2端口23

S2 （config-if）#sw mode trunk //將端口設置為trunk模式

（3） 配置三層交換機SVI虛擬網(wǎng)關(guān)。

S3760>en //進入特權(quán)模式

S3760#conf t //進入全局模式

S3760 （config）#hS3 //將交換機命名為S3

S3（config）#int f 0/23 //進入交換機S3端口23

S3（config-if）#sw mode trunk //將端口設置為trunk模式

S3（config-if）#exit

S3（config）#vl9 //在交換機S3上創(chuàng)建vlan9

S3（config-vlan）#vl10 //在交換機S3上創(chuàng)建vlan10

S3（config-vlan）#vl11 //在交換機S3上創(chuàng)建vlan11

S3（config-vlan）#exit

S3（config）#intvl 2 //進入vlan 2

S3（config-if）#ip add 172.16.9.254 255.255.255.0 // 設置vlan 9網(wǎng)關(guān)的IP地址

S3（config-if）#no shutdown //激活虛擬接口vlan9

S3（config-if）#exit

S3（config）#intvl 3 //進入vlan 3

S3（config-if）#ip add 172.16.10.254 255.255.255.0//設置vlan 10網(wǎng)關(guān)的IP地址

S3（config-if）#no shutdown //激活虛擬接口vlan10

S3（config-if）#exit

S3（config）#intvlan 4 //進入vlan 4

S3（config-if）#ip add 172.16.11.254 255.255.255.0//設置vlan 11網(wǎng)關(guān)的IP地址

S3（config-if）#no shutdown //激活虛擬接口vlan11

（4） 測試。

在PC1上ping PC2的IP地址，PC1上ping PC3的IP地址和PC2上ping PC3的IP地址，結(jié)果都是連通，表明三層交換機可以不同VLAN間的通信。

2.4 利用單臂路由實現(xiàn)VLAN間的安全通信

2.4.1 拓撲結(jié)構(gòu)

如下圖2所示的拓撲結(jié)構(gòu)是一臺二層交換機和一臺路由器，在二層交換機上配置VLAN9、VLAN10、VLAN11，將端口F0/1～F0/5、F0/7～F0/14、F0/15～F0/20劃分到這3個VLAN中，二層交換機F0/23口和路由器的F0/0相連接，在路由器的物理端口上劃分子端口，配置IP地址并封裝802.1q協(xié)議，通過對路由器使用單臂路由技術(shù)實現(xiàn)VLAN間的通信。

2.4.2 項目的IP地址分配

2.4.3 網(wǎng)絡連接和命令配置

（1） 組網(wǎng)。按照圖2所示的網(wǎng)絡規(guī)劃拓撲連線，組建網(wǎng)絡。

（2） 配置二層交換機。

S2126>en //進入特權(quán)模式

S2126#conf terminal //進入全局模式

S2126 （config）#h S5 //將交換機命名為S5

S5 （config）#vl 9 //在交換機S5上創(chuàng)建vlan 9

S5 （config-vlan）#vl 10 //在交換機S5上創(chuàng)建vlan 10

S5 （config-vlan）#vl 11 //在交換機S5上創(chuàng)建vlan 11

S5 （config-vlan）#exit

S5 （config）#int r f 0/1-5 //進入交換機S5端口1-5

S5 （config-if）# sw a vl 9 //將端口分配到vlan 9

S5 （config-if）#exit

S5 （config）#int r f 0/7-14

//進入交換機S5端口7-14

S5 （config-if）#sw a vl 10 //將端口分配到vlan 10

S5 （config-if）#exit

S5 （config）#int r f 0/15-20

//進入交換機S5端口15-20endprint

S5 （config-if）#sw a vl 11 //將端口分配到vlan 11

S5 （config-if）#ex

S5 （config）#int f 0/23 //進入交換機S5端口23

S5 （config-if）#sw mode trunk //將端口設置為trunk模式

（3） 配置路由器設備。

Router1700>en //進入#模式

Router1700#conf t //進入全局配置模式

Router1700 （config）#hR5 //將路由器命名為R5

R5（config）#int f0/0 //進入F0/0端口

R5（config-if）#no shut //開啟路由器端口

R5（config-if）#ex

R5（config）#int f 0/0.4//進入路由器子端口F0/0.4

R5（config-subif）#encapsulation dot1Q 9

// 配置VLAN封裝標識，封裝802.1Q協(xié)議同時指定VLAN 9

R5（config-subif）#ip ad 172.16.9.254 255.255.255.0

//指定子端口F0/0.4的IP地址

R5（config-subif）#no shut //激活路由器子端口

R5（config-subif）#exit

R5（config）#int f 0/0.5//進入路由器子端口F0/0.5

R5（config-subif）#encapsulation dot1Q 10

// 配置VLAN封裝標識，封裝802.1Q協(xié)議同時指定VLAN 10

R5（config-subif）#ip ad 172.16.10.254 255.255.255.0

//指定F0/0.5子端口的IP地址

R5（config-subif）#no shut //激活路由器子端口

R5（config-subif）#exit

R5（config）#int f0/0.6//進入路由器子端口F0/0.6

R5（config-subif）#encapsulation dot1Q 11

// 配置VLAN封裝標識，封裝802.1Q協(xié)議同時指定VLAN 11

R5（config-subif）#ip ad 172.16.11.254 255.255.255.0

//指定子端口F0/0.6的IP地址

R5（config-subif）#no shut //激活路由器子端口

（4） 測試。在路由器上使用show ip route查看路由表，得到在路由器里有三條直連路由，分別是連接在子接口F0/0.4的172.16.9.0網(wǎng)段，子接口F0/0.5的172.16.10.0網(wǎng)段和子接口F0/0.6的172.16.11.0網(wǎng)段。在PC1上分別ping PC2和PC3，結(jié)果是連通的，說明路由器能實現(xiàn)VLAN間的互通。

3 結(jié)束語

本文對不同VLAN之間的相互通信進行了研究，文中采用了兩種方法實現(xiàn)，分別就三層交換機法和單臂路由法進行了詳細的實驗證明，三層交換機是使用SVI實現(xiàn)，單臂路由是使用子端口實現(xiàn)，雖然方法不同，但互聯(lián)互通的結(jié)果相同。

參考文獻：

[1] 汪雙頂，余明輝.網(wǎng)絡組建與維護技術(shù)[M].人民郵電出版社，2014.

[2] 銳捷網(wǎng)絡.網(wǎng)絡互聯(lián)與實現(xiàn)[M].北京：北京希望電子出版社，2006.

[3] 朱曄.基于DHCP和SVI的三層網(wǎng)絡架構(gòu)[J].軟件導刊，2013（8）：122-123.

[4] 唐燈平.基于Packet Tracer的混合路由協(xié)議仿真通信實驗[J].武漢工程職業(yè)技術(shù)學院學報，2011（6）：33-37.endprint