查看:21816|回复：32
我最近在做思科的单臂路由实验，可是想不通他是怎么实现的。如图所示，路由器划分了2个虚拟子接口，配置如下
interface FastEthernet0/0.1
encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.0
interface FastEthernet0/0.2
encapsulation dot1Q 20
ip address 192.168.2.1 255.255.255.0
问题1：encapsulation dot1Q 10 这句是什么意思？
问题2：不管你怎么路由，vlan10发给vlan20的数据包最后不是还是要交给交换机转发么，而交换机是不会允许不同vlan的计算机进行通信的，可是为什么通了呢？难道经过路由后vlan标识被去掉了？
初级工程师
引用:原帖由 第N代网络狂人 于
15:28 发表
我最近在做思科的单臂路由实验，可是想不通他是怎么实现的。如图所示，路由器划分了2个虚拟子接口，配置如下
interface FastEthernet0/0.1
encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.0
interface Fa ... 1、使用802.1q封装，承载VLAN 10的数据流量
2、PC默认网关是路由器相应VLAN子接口的IP地址，路由转发肯定是路由器来完成，路由后的数据包再由交换机发送到相应的VLAN和端口。
中级工程师
数据包到达路由器后，路由器更改tag中vlan-id。
淡泊明志宁静致远
高级工程师
在早期呢，三层交换机未出现之前，不同的vlan需要通信，需要加一台三层设备，后来三层交换机的出现，解决了这个问题，你可以理解为将一台路由器压缩到了二层二层交换机中。
1、使用802.1q封装，承载VLAN 10的数据流量，后面的10指的vlan id
2、你的两个VLan之间的通信，确实是由路由器路由完成的，至于你说vlan 标示被去除是对的，但是不是在路由器上，是在二层交换机上完成的，路由器和交换机之间是trunk连接，当数据帧从trunk接口出去时候，会被加上vlan标示，以和其他的vlan进行区分，当数据帧进入trunk进口的时候，会将vlan标示去除，从access口发到正确的主机
引用:原帖由 cisco_huawei 于
16:38 发表
在早期呢，三层交换机未出现之前，不同的vlan需要通信，需要加一台三层设备，后来三层交换机的出现，解决了这个问题，你可以理解为将一台路由器压缩到了二层二层交换机中。
1、使用802.1q封装，承载VLAN 10的数据流量，后 ... 那我是不是可以认为：如果连接pc机的那个交换机端口也是trunk模式的话，就又会被打上vlan标示？
高级工程师
引用:原帖由 第N代网络狂人 于
17:09 发表
那我是不是可以认为：如果连接pc机的那个交换机端口也是trunk模式的话，就又会被打上vlan标示？ 数据帧进入还是出去的时候？
引用:原帖由 cisco_huawei 于
17:10 发表
数据帧进入还是出去的时候？ 出去交换机转发给PC机的时候
本帖最后由 第N代网络狂人 于
17:22 编辑
中级工程师
引用:原帖由 cisco_huawei 于
16:38 发表
在早期呢，三层交换机未出现之前，不同的vlan需要通信，需要加一台三层设备，后来三层交换机的出现，解决了这个问题，你可以理解为将一台路由器压缩到了二层二层交换机中。
1、使用802.1q封装，承载VLAN 10的数据流量，后 ... 小弟子，刷帖啦。我一直认为在3层switch出现之后，就不可能有单臂路由的应用了，无赖的是h3c的fw插卡让我见到自己的肤浅，h3c的fw插卡就是单臂路由应用的典范。不通是插卡内部与switch内部直接万兆接口连接，无须网线连接。
不过你说的有瑕疵啊，数据包从主机发出，是不带tag的普通ethernet II frame，当到达switch的access 接口后，switch会打上vlan的tag（native vlan除外），然后查看tamc表，如果是同一个vlan内，删除tag发送给主机。不同的vlan将传给gateway做3层解包，而不同的vlan需要通过trunk接口来传输（这话有瑕疵）而单臂路由switch与router连接的接口设置trunk模式，就是为方便多个vlan id的frame通过的，router物理接口的子接口对应每个vlan id，通过2，3层的拆包与封包，在从这个物理接口发送回switch。
高级工程师
引用:原帖由 第N代网络狂人 于
17:17 发表
出去交换机转发给PC机的时候 理论上将出trunk应该是打上vlan标记吧 。。。因为要和其他vlan进行区分...
高级工程师
引用:原帖由 拿贝马凡 于
17:23 发表
小弟子，刷帖啦。我一直认为在3层switch出现之后，就不可能有单臂路由的应用了，无赖的是h3c的fw插卡让我见到自己的肤浅，h3c的fw插卡就是单臂路由应用的典范。不通是插卡内部与switch内部直接万兆接口连接，无须网线连接。
不 ... 嗯，你补充的很好，我刚才只说的情况是trunk口和trunk口相连的情况，没有和楼主说access口进入数据帧的时候。。。
trunk链路中传输数据，因为要传输不同的vlan，所以需打tag进行区分
高级工程师
引用:原帖由 cisco_huawei 于
17:31 发表
嗯，你补充的很好，我刚才只说的情况是trunk口和trunk口相连的情况，没有和楼主说access口进入数据帧的时候。。。
trunk链路中传输数据，因为要传输不同的vlan，所以需打tag进行区分 ... 其实，单臂路由目前应用的还是很多的，目前我这下边一个学校就是用的单臂路由，如果网络规模不大，需要进行三层交换的数据不是特别多，路由器负载不大的情况下，这样用也不错，利用现有设备就可以实现，至少投资可以节省一部分
引用:原帖由 拿贝马凡 于
17:23 发表
小弟子，刷帖啦。我一直认为在3层switch出现之后，就不可能有单臂路由的应用了，无赖的是h3c的fw插卡让我见到自己的肤浅，h3c的fw插卡就是单臂路由应用的典范。不通是插卡内部与switch内部直接万兆接口连接，无须网线连接。
不 ... 那请问，数据包经过路由器路由发回switch后，这个数据包还带着vlan id么？如果还带着vlan id ，那交换机也是转发不了给pc啊！
引用:原帖由 cisco_huawei 于
17:28 发表
理论上将出trunk应该是打上vlan标记吧 。。。因为要和其他vlan进行区分... 如果按照理论上的说法，打上vlan tag后，那怎么发给不同vlan的pc ？这种情况就相当于，数据包白路由了一次！哈~我是菜鸟，别见笑啊
顶&&顶&&顶
引用:原帖由 拿贝马凡 于
17:23 发表
小弟子，刷帖啦。我一直认为在3层switch出现之后，就不可能有单臂路由的应用了，无赖的是h3c的fw插卡让我见到自己的肤浅，h3c的fw插卡就是单臂路由应用的典范。不通是插卡内部与switch内部直接万兆接口连接，无须网线连接。
不 ... 兄弟这里的TAG是不是二层帧802.1q的TAG?
我觉得数据从ACCESS口出来后仅仅带来一个标识,这个标识用来指明自己属于哪个VLAN,直到数据到达TRUNK口,这里数据包才会根据刚才的标识打上TAG。我的理解是数据包只要出了TRUNK口，TAG就不存在了，进TRUNK口才会打上TAG（本征VLAN不打），ACCESS口不管什么时候都不接收带TAG的数据包。个人观点哈，没抓包分析。
TAG和ISL封装的帧都只在trunk口存在，其它口无法识别这两种帧。从主机发出的ethernet II帧到达access口后，根据目的mac查找tmac，若目的地在另一个access口，则直接交换；若在trunk口，则发送到trunk口，并根据trunk的类型，进行封装（ISL）或者插入tag（dot1q）。
至于楼主的问题，你可以把单臂看作物理链路，里面的封装看作虚链路，就像frame-relay那种。在两端设备的2层看来，这是两条链路。
另外单臂路由还是有一定的应用，毕竟3层交换机相对于同端口密度的2层交换机而言价格比较高，而且低端3层交换机一般不能代替路由器作NAT（有时还要虚拟拨号），因此小单位一般使用防火墙+2层交换机组网。一般领导、财务这些部门又要求单独的广播域，这时防火墙和2层交换机之间就用trunk作单臂路由。
已经解释的很清楚了，楼上的技术都不差啊，呵呵，顶一个！
引用:原帖由 拿贝马凡 于
17:23 发表
小弟子，刷帖啦。我一直认为在3层switch出现之后，就不可能有单臂路由的应用了，无赖的是h3c的fw插卡让我见到自己的肤浅，h3c的fw插卡就是单臂路由应用的典范。不通是插卡内部与switch内部直接万兆接口连接，无须网线连接。
不 ... 路由器和交换机是以truck的模式连接的？
引用:原帖由 lijianwei652 于
14:44 发表
路由器和交换机是以truck的模式连接的？ 单臂路由的时候交换机与路由器相连的端口是TRUNK
中级工程师
最近很忙，只能如此回复了：
(18.85 KB)
switch的配置：
(22.16 KB)
router的配置：
(25.31 KB)
router的ARP表：
(34.14 KB)
PC1的路由表：
PC1的访问PC2的测试：
(33.22 KB)
PC2的路由表：
(23.46 KB)
这里牵扯到ARP的，看数据包的走向（是路由器接口接收与发送数据包）：
(31.58 KB)三层交换机做单臂路由_百度文库
赠送免券下载特权
10W篇文档免费专享
部分付费文档8折起
每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
三层交换机做单臂路由
&&单臂路由是路由器的一个很重要的功能,通过三次交换机也能实现。
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩2页未读，
定制HR最喜欢的简历
你可能喜欢单臂路由的原理
单臂路由的原理
默认情况下，不同网段之间是不能相互通信的。但是在实际中，不同网段之间又要相互通信，这时就需要三层设备进行路由转发，现在通用的路由转发的三层设备是三层和，这个实验主要讲了讲了路由器的路由转发。
在路由器的路由转发中，可以用物理端口进行，但是由于路由器的物理端口较少并且为了防止路由器端口的频繁损坏，以及为了路由器端口速率的充分利用，可以用路由器上的单臂路由技术实现不同网段的通信。
单臂路由的原理是在路由器的物理端口上创建逻辑端口，以逻辑端口来充当物理端口实现不同网段的通信。
实验分析：
1.在此实验中，pc1和pc2处于不同的网段，所以要在路由器这个端口中配置两个逻辑端口
2.两个逻辑端口分别指向一个网段
3.因为这是不止一个网段的通信，所以交换机之间的端口都要配置成trunk模式
4.因为三层交换机和路由器相连的那个端口配置trunk时绑定了801.2q协议，所以路由器的逻辑端口也要绑定才能通信
实验配置：
interface FastEthernet0/0
&no ip address
&duplex auto
&speed auto
interface FastEthernet0/0.1
&encapsulation dot1Q 10
&ip address 192.168.1.254 255.255.255.0
interface FastEthernet0/0.2
&encapsulation dot1Q 20
&ip address 192.168.2.254 255.255.255.0
三层交换机：
interface FastEthernet0/1
&switchport trunk encapsulation dot1q
&switchport mode trunk
interface FastEthernet0/2
&switchport trunk encapsulation dot1q
&switchport mode trunk
interface FastEthernet0/24
&switchport trunk encapsulation dot1q
&switchport mode trunk
左二层交换机：
interface FastEthernet0/1
&switchport mode trunk
interface FastEthernet0/24
&switchport access vlan 10
右二层交换机：
interface FastEthernet0/2
&switchport mode trunk
interface FastEthernet0/24
&switchport access vlan 20
pc1的ip号码：192.168.1.1 &255.255.255.0 & 网关：192.168.1.254
pc2的ip号码：192.168.2.1 &255.255.255.0 & 网关：192.168.2.254扫一扫体验手机阅读
cisco设备上实现单臂路由
有1台cisco2621路由， 1台cisco2960交换机，一台服务器和若干个PC机器。要求：在交换上划出3个vlan。vlan1连接路由器，vlan2连接服务器，vlan3连接PC机。三个vlan能互相访问，只有vlan2能访问外网，vlan3不能。服务器上做活动目录。
&&&&&& 拿到题目后，我分析了一下，大致设计出如下的拓扑图：
设计出拓扑图之后，我对题目的意思有一点疑问，那就是要在路由器上实现单臂路由，那么交换机上与路由器的连接的那个口必须是trunk模式的，但是如果设了trunk模式的话，该端口将不会属于任何vlan，所以题目中的“vlan1连接路由器”就不能达成了，不知道是题目的问题，还是我同学传达错了。
&&&&&& 如上图所示，要求pc0，pc1，server1分别属于不同的vlan，并且要能通信，交换机的配置如下：s1(config-if)#interface fa0/3s1(config-if)#switchport mode access
s1(config-if)#interface fa0/4s1(config-if)#switchport mode access
s1(config-if)#interface fa0/5s1(config-if)#switchport mode access
s1(config)#interface fa0/3s1(config-if)#switchport mode accesss1(config-if)#interface fa0/4s1(config-if)#switchport mode access
s1(config-if)#interface fa0/5s1(config-if)#switchport mode access
s1(config-if)#switchport mode trunk&&&&&&&&&&&&&& //一定要把与路由器连接的端口模式设为trunk
设置vlan：
s1#vlan database
s1(vlan)#vlan 3s1(vlan)#vlan 4
s1(vlan)#vlan 5
把端口加入对应的vlan：
s1(config)#interface fa0/3s1(config-if)#switchport access vlan 3s1(config-if)#interface fa0/4s1(config-if)#switchport access vlan4
s1(config-if)#interface fa0/5s1(config-if)#switchport access vlan 5
路由器配置如下：
r1(config)#int fa 0/0&&&&&&&&&&&&&&& //与交换机连接的端口不用再设IP地址r1(config-if)#no ip addr1(config-if)#no shut
r1(config-if)#int fa0/0.3
(config-subif)#encapsulation dot1q 3&&&&&&&&&&&&& //采用802.1q封装方式r1(config-subif)#ip address 192.168.3.1 255.255.255.0
r1(config-if)#int fa0/0.4
(config-subif)#encapsulation dot1q 4r(config-subif)#ip address 192.168.4.1 255.255.255.0
r1(config-if)#int fa0/0.5
(config-subif)#encapsulation dot1q 5r1(config-subif)#ip address 192.168.5.1 255.255.255.0
这样就实现了vlan通过路由器进行通信，至于只有vlan2能通信，则需要在路由器利用ACL实现，具体的实现由于时间关系，今天就来不及写出来了，有时间再写吧。
<span type="1" blog_id="44099" userid='
分享到朋友圈
关注作者，不错过每一篇精彩防火墙做单臂路由实现VLAN间通信_百度文库
赠送免券下载特权
10W篇文档免费专享
部分付费文档8折起
每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
防火墙做单臂路由实现VLAN间通信
网络工程师|
总评分3.9|
用知识赚钱
阅读已结束，下载本文需要
想免费下载更多文档？
定制HR最喜欢的简历
你可能喜欢