基于RUIJIE网络的不同VLAN间通信实验的研究

摘要：VLAN技术是实现接入层网络隔离的最常见的二层交互技术，但隔离之后接入层网络会出现互联互通的障碍。该文讨论了在RUIJIE网络上采用三层交换机和单臂路由实现不同VLAN的通信。

关键词：VLAN；三层交换机；单臂路由；RUIJIE网络

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）32-0033-03

Research on Communication Experiment between Different Vlan Based on RUIJIE Network Equipment

ZHU Ye

（College of Computer Science and Technology， Taizhou University， Taizhou 225300， China）

Abstract：VLAN technology is the most common two layer interaction technology to realize the isolation of access layer network，but network will appear obstacles after the isolation of access layer. This paper discusses the three layer switch and router-On-a-Stick realize the communication of different VLAN by the Ruijie network equipment.

Key words：VLAN； Three Layer Switch； Router-On-a-Stick； Ruijie network

随着社会的发展和技术的进步，各单位越来越重视网络的安全，在网络中为避免部门之间的工作干扰，保护信息资源的安全，网络中心通过VLAN技术把部门分隔开，形成部门网络互不相通、互不干扰。互相隔离的部门网络，虽然保证了信息安全，但却造成公司的信息不能共享。因此单位希望在保留现有部门VLAN的情况下，通过技术实现部门网络之间的安全通信。

针对当前单位网络的情况，使用锐捷网络设备，通过三层交换机和单臂路由实现不同虚拟局域网的通信，从而达到部门网络之间的安全通信。

1 RUIJIE网络设备及相关技术

1.1 RUIJIE网络设备

RUIJIE网络设备是RUIJIE网络自主研发的设备，涵盖交换机、路由器、安全、无线等产品线，为企业、政府和教育等行业构建局域网络提供解决方案，为用户争取了更低的建网和用网成本，更有效保障了网络安全和可控性。

1.2 VLAN 简介

VLAN（Virtual Local Area Network，虚拟局域网），是指在交换机上通过配置，逻辑划分的网络，VLAN不受物理位置的限制，可以根据功能、部门及应用将计算机进行网络组织，相互之间就像在同一个网络中通信。

1.3 三層交换机简介

三层交换机具有二层交换机的交换技术和VLAN间路由的功能，能解决VLAN间互通的问题，它能够做到一次路由，多次转发，既实现了数据报的高速转发，又可实现网络路由功能，是局域网中解决VLAN间通信的有效途径。

1.4 单臂路由简介

单臂路由是指在路由器的物理接口上配置子接口（子接口是逻辑接口，不是物理接口）的方式，实现原来相互不通信的VLAN间的相互连通。

2 项目背景和项目实施

2.1 项目描述

泰州学院校园网改造中，为了保证网络中信息安全，拒绝其他部门计算机访问，通过在交换机上实施VLAN技术，实现部门之间的安全隔离。

通过Vlan技术实现部门之间安全隔离后，部门与部门之间无法访问对方网络，造成了信息共享不方便。学校希望校园网在划分VLAN后，部门与部门网络之间，能够有选择地实现通信，确保部门之间网络的安全通信。

2.2 实施方法

根据项目描述分析得到两点需求

（1） 网络中的各部门需要安全隔离；

（2） 隔离后的网络能够互相通信。

针对需求（1）可以通过VLAN来实现，对于需求（2）可以有两种方法解决：利用三层交换机和单臂路由来实现，下面就这两种方法进行研究。

2.3 利用三层交换机实现VLAN间的安全通信

2.3.1 拓扑结构

如下图1所示的拓扑结构是一台二层交换机和一台三层交换机，在二层交换机上配置VLAN9、VLAN10、VLAN11，将端口F0/1～F0/5、F0/7～F0/14、F0/15～F0/20划分到这3个VLAN中，二层交换机和三层交换机通过F0/23口连接，对二层交换机和三层交换机配置实现VLAN间的通信。

2.3.2 项目的IP地址分配

2.3.3 网络连接和命令配置

（1） 组网。按照图1所示的网络规划拓扑，组建网络。

（2） 配置二层交换机。

S2126>en //进入特权模式

S2126#conf terminal //进入全局模式

S2126 （config）#h S2 //将交换机命名为S2

S2 （config）#vl9 //在交换机S2上创建vlan9

S2 （config-vlan）#vl10 //在交换机S2上创建vlan 10

S2 （config-vlan）#vl11//在交换机S2上创建vlan11endprint

S2 （config-vlan）#exit

S2（config）#intr f 0/1-5 //进入交换机S2端口1-5

S2（config-if）# sw a vl9 //将端口分配到vlan9

S2（config-if）#exit

S2（config）#intr f 0/7-14

//进入交换机S2端口7-14

S2（config-if）#sw a vl10 //将端口分配到vlan10

S2 （config-if）#exit

S2 （config）#int r f 0/15-20

//进入交换机S2端口15-20

S2 （config-if）#sw a vl11 //将端口分配到vlan11

S2 （config-if）#exit

S2 （config）#int f 0/23//进入交换机S2端口23

S2 （config-if）#sw mode trunk //将端口设置为trunk模式

（3） 配置三层交换机SVI虚拟网关。

S3760>en //进入特权模式

S3760#conf t //进入全局模式

S3760 （config）#hS3 //将交换机命名为S3

S3（config）#int f 0/23 //进入交换机S3端口23

S3（config-if）#sw mode trunk //将端口设置为trunk模式

S3（config-if）#exit

S3（config）#vl9 //在交换机S3上创建vlan9

S3（config-vlan）#vl10 //在交换机S3上创建vlan10

S3（config-vlan）#vl11 //在交换机S3上创建vlan11

S3（config-vlan）#exit

S3（config）#intvl 2 //进入vlan 2

S3（config-if）#ip add 172.16.9.254 255.255.255.0 // 设置vlan 9网关的IP地址

S3（config-if）#no shutdown //激活虚拟接口vlan9

S3（config-if）#exit

S3（config）#intvl 3 //进入vlan 3

S3（config-if）#ip add 172.16.10.254 255.255.255.0//设置vlan 10网关的IP地址

S3（config-if）#no shutdown //激活虚拟接口vlan10

S3（config-if）#exit

S3（config）#intvlan 4 //进入vlan 4

S3（config-if）#ip add 172.16.11.254 255.255.255.0//设置vlan 11网关的IP地址

S3（config-if）#no shutdown //激活虚拟接口vlan11

（4） 测试。

在PC1上ping PC2的IP地址，PC1上ping PC3的IP地址和PC2上ping PC3的IP地址，结果都是连通，表明三层交换机可以不同VLAN间的通信。

2.4 利用单臂路由实现VLAN间的安全通信

2.4.1 拓扑结构

如下图2所示的拓扑结构是一台二层交换机和一台路由器，在二层交换机上配置VLAN9、VLAN10、VLAN11，将端口F0/1～F0/5、F0/7～F0/14、F0/15～F0/20划分到这3个VLAN中，二层交换机F0/23口和路由器的F0/0相连接，在路由器的物理端口上划分子端口，配置IP地址并封装802.1q协议，通过对路由器使用单臂路由技术实现VLAN间的通信。

2.4.2 项目的IP地址分配

2.4.3 网络连接和命令配置

（1） 組网。按照图2所示的网络规划拓扑连线，组建网络。

（2） 配置二层交换机。

S2126>en //进入特权模式

S2126#conf terminal //进入全局模式

S2126 （config）#h S5 //将交换机命名为S5

S5 （config）#vl 9 //在交换机S5上创建vlan 9

S5 （config-vlan）#vl 10 //在交换机S5上创建vlan 10

S5 （config-vlan）#vl 11 //在交换机S5上创建vlan 11

S5 （config-vlan）#exit

S5 （config）#int r f 0/1-5 //进入交换机S5端口1-5

S5 （config-if）# sw a vl 9 //将端口分配到vlan 9

S5 （config-if）#exit

S5 （config）#int r f 0/7-14

//进入交换机S5端口7-14

S5 （config-if）#sw a vl 10 //将端口分配到vlan 10

S5 （config-if）#exit

S5 （config）#int r f 0/15-20

//进入交换机S5端口15-20endprint

S5 （config-if）#sw a vl 11 //将端口分配到vlan 11

S5 （config-if）#ex

S5 （config）#int f 0/23 //进入交换机S5端口23

S5 （config-if）#sw mode trunk //将端口设置为trunk模式

（3） 配置路由器設备。

Router1700>en //进入#模式

Router1700#conf t //进入全局配置模式

Router1700 （config）#hR5 //将路由器命名为R5

R5（config）#int f0/0 //进入F0/0端口

R5（config-if）#no shut //开启路由器端口

R5（config-if）#ex

R5（config）#int f 0/0.4//进入路由器子端口F0/0.4

R5（config-subif）#encapsulation dot1Q 9

// 配置VLAN封装标识，封装802.1Q协议同时指定VLAN 9

R5（config-subif）#ip ad 172.16.9.254 255.255.255.0

//指定子端口F0/0.4的IP地址

R5（config-subif）#no shut //激活路由器子端口

R5（config-subif）#exit

R5（config）#int f 0/0.5//进入路由器子端口F0/0.5

R5（config-subif）#encapsulation dot1Q 10

// 配置VLAN封装标识，封装802.1Q协议同时指定VLAN 10

R5（config-subif）#ip ad 172.16.10.254 255.255.255.0

//指定F0/0.5子端口的IP地址

R5（config-subif）#no shut //激活路由器子端口

R5（config-subif）#exit

R5（config）#int f0/0.6//进入路由器子端口F0/0.6

R5（config-subif）#encapsulation dot1Q 11

// 配置VLAN封装标识，封装802.1Q协议同时指定VLAN 11

R5（config-subif）#ip ad 172.16.11.254 255.255.255.0

//指定子端口F0/0.6的IP地址

R5（config-subif）#no shut //激活路由器子端口

（4） 测试。在路由器上使用show ip route查看路由表，得到在路由器里有三条直连路由，分别是连接在子接口F0/0.4的172.16.9.0网段，子接口F0/0.5的172.16.10.0网段和子接口F0/0.6的172.16.11.0网段。在PC1上分别ping PC2和PC3，结果是连通的，说明路由器能实现VLAN间的互通。

3 结束语

本文对不同VLAN之间的相互通信进行了研究，文中采用了两种方法实现，分别就三层交换机法和单臂路由法进行了详细的实验证明，三层交换机是使用SVI实现，单臂路由是使用子端口实现，虽然方法不同，但互联互通的结果相同。

参考文献：

[1] 汪双顶，余明辉.网络组建与维护技术[M].人民邮电出版社，2014.

[2] 锐捷网络.网络互联与实现[M].北京：北京希望电子出版社，2006.

[3] 朱晔.基于DHCP和SVI的三层网络架构[J].软件导刊，2013（8）：122-123.

[4] 唐灯平.基于Packet Tracer的混合路由协议仿真通信实验[J].武汉工程职业技术学院学报，2011（6）：33-37.endprint