基于RUIJIE網(wǎng)絡(luò)的不同VLAN間通信實(shí)驗(yàn)的研究

摘要：VLAN技術(shù)是實(shí)現(xiàn)接入層網(wǎng)絡(luò)隔離的最常見的二層交互技術(shù)，但隔離之后接入層網(wǎng)絡(luò)會(huì)出現(xiàn)互聯(lián)互通的障礙。該文討論了在RUIJIE網(wǎng)絡(luò)上采用三層交換機(jī)和單臂路由實(shí)現(xiàn)不同VLAN的通信。

關(guān)鍵詞：VLAN；三層交換機(jī)；單臂路由；RUIJIE網(wǎng)絡(luò)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）32-0033-03

Research on Communication Experiment between Different Vlan Based on RUIJIE Network Equipment

ZHU Ye

（College of Computer Science and Technology， Taizhou University， Taizhou 225300， China）

Abstract：VLAN technology is the most common two layer interaction technology to realize the isolation of access layer network，but network will appear obstacles after the isolation of access layer. This paper discusses the three layer switch and router-On-a-Stick realize the communication of different VLAN by the Ruijie network equipment.

Key words：VLAN； Three Layer Switch； Router-On-a-Stick； Ruijie network

隨著社會(huì)的發(fā)展和技術(shù)的進(jìn)步，各單位越來越重視網(wǎng)絡(luò)的安全，在網(wǎng)絡(luò)中為避免部門之間的工作干擾，保護(hù)信息資源的安全，網(wǎng)絡(luò)中心通過VLAN技術(shù)把部門分隔開，形成部門網(wǎng)絡(luò)互不相通、互不干擾。互相隔離的部門網(wǎng)絡(luò)，雖然保證了信息安全，但卻造成公司的信息不能共享。因此單位希望在保留現(xiàn)有部門VLAN的情況下，通過技術(shù)實(shí)現(xiàn)部門網(wǎng)絡(luò)之間的安全通信。

針對(duì)當(dāng)前單位網(wǎng)絡(luò)的情況，使用銳捷網(wǎng)絡(luò)設(shè)備，通過三層交換機(jī)和單臂路由實(shí)現(xiàn)不同虛擬局域網(wǎng)的通信，從而達(dá)到部門網(wǎng)絡(luò)之間的安全通信。

1 RUIJIE網(wǎng)絡(luò)設(shè)備及相關(guān)技術(shù)

1.1 RUIJIE網(wǎng)絡(luò)設(shè)備

RUIJIE網(wǎng)絡(luò)設(shè)備是RUIJIE網(wǎng)絡(luò)自主研發(fā)的設(shè)備，涵蓋交換機(jī)、路由器、安全、無線等產(chǎn)品線，為企業(yè)、政府和教育等行業(yè)構(gòu)建局域網(wǎng)絡(luò)提供解決方案，為用戶爭(zhēng)取了更低的建網(wǎng)和用網(wǎng)成本，更有效保障了網(wǎng)絡(luò)安全和可控性。

1.2 VLAN 簡(jiǎn)介

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)），是指在交換機(jī)上通過配置，邏輯劃分的網(wǎng)絡(luò)，VLAN不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用將計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)組織，相互之間就像在同一個(gè)網(wǎng)絡(luò)中通信。

1.3 三層交換機(jī)簡(jiǎn)介

三層交換機(jī)具有二層交換機(jī)的交換技術(shù)和VLAN間路由的功能，能解決VLAN間互通的問題，它能夠做到一次路由，多次轉(zhuǎn)發(fā)，既實(shí)現(xiàn)了數(shù)據(jù)報(bào)的高速轉(zhuǎn)發(fā)，又可實(shí)現(xiàn)網(wǎng)絡(luò)路由功能，是局域網(wǎng)中解決VLAN間通信的有效途徑。

1.4 單臂路由簡(jiǎn)介

單臂路由是指在路由器的物理接口上配置子接口（子接口是邏輯接口，不是物理接口）的方式，實(shí)現(xiàn)原來相互不通信的VLAN間的相互連通。

2 項(xiàng)目背景和項(xiàng)目實(shí)施

2.1 項(xiàng)目描述

泰州學(xué)院校園網(wǎng)改造中，為了保證網(wǎng)絡(luò)中信息安全，拒絕其他部門計(jì)算機(jī)訪問，通過在交換機(jī)上實(shí)施VLAN技術(shù)，實(shí)現(xiàn)部門之間的安全隔離。

通過Vlan技術(shù)實(shí)現(xiàn)部門之間安全隔離后，部門與部門之間無法訪問對(duì)方網(wǎng)絡(luò)，造成了信息共享不方便。學(xué)校希望校園網(wǎng)在劃分VLAN后，部門與部門網(wǎng)絡(luò)之間，能夠有選擇地實(shí)現(xiàn)通信，確保部門之間網(wǎng)絡(luò)的安全通信。

2.2 實(shí)施方法

根據(jù)項(xiàng)目描述分析得到兩點(diǎn)需求

（1） 網(wǎng)絡(luò)中的各部門需要安全隔離；

（2） 隔離后的網(wǎng)絡(luò)能夠互相通信。

針對(duì)需求（1）可以通過VLAN來實(shí)現(xiàn)，對(duì)于需求（2）可以有兩種方法解決：利用三層交換機(jī)和單臂路由來實(shí)現(xiàn)，下面就這兩種方法進(jìn)行研究。

2.3 利用三層交換機(jī)實(shí)現(xiàn)VLAN間的安全通信

2.3.1 拓?fù)浣Y(jié)構(gòu)

如下圖1所示的拓?fù)浣Y(jié)構(gòu)是一臺(tái)二層交換機(jī)和一臺(tái)三層交換機(jī)，在二層交換機(jī)上配置VLAN9、VLAN10、VLAN11，將端口F0/1～F0/5、F0/7～F0/14、F0/15～F0/20劃分到這3個(gè)VLAN中，二層交換機(jī)和三層交換機(jī)通過F0/23口連接，對(duì)二層交換機(jī)和三層交換機(jī)配置實(shí)現(xiàn)VLAN間的通信。

2.3.2 項(xiàng)目的IP地址分配

2.3.3 網(wǎng)絡(luò)連接和命令配置

（1） 組網(wǎng)。按照?qǐng)D1所示的網(wǎng)絡(luò)規(guī)劃拓?fù)洌M建網(wǎng)絡(luò)。

（2） 配置二層交換機(jī)。

S2126>en //進(jìn)入特權(quán)模式

S2126#conf terminal //進(jìn)入全局模式

S2126 （config）#h S2 //將交換機(jī)命名為S2

S2 （config）#vl9 //在交換機(jī)S2上創(chuàng)建vlan9

S2 （config-vlan）#vl10 //在交換機(jī)S2上創(chuàng)建vlan 10

S2 （config-vlan）#vl11//在交換機(jī)S2上創(chuàng)建vlan11endprint

S2 （config-vlan）#exit

S2（config）#intr f 0/1-5 //進(jìn)入交換機(jī)S2端口1-5

S2（config-if）# sw a vl9 //將端口分配到vlan9

S2（config-if）#exit

S2（config）#intr f 0/7-14

//進(jìn)入交換機(jī)S2端口7-14

S2（config-if）#sw a vl10 //將端口分配到vlan10

S2 （config-if）#exit

S2 （config）#int r f 0/15-20

//進(jìn)入交換機(jī)S2端口15-20

S2 （config-if）#sw a vl11 //將端口分配到vlan11

S2 （config-if）#exit

S2 （config）#int f 0/23//進(jìn)入交換機(jī)S2端口23

S2 （config-if）#sw mode trunk //將端口設(shè)置為trunk模式

（3） 配置三層交換機(jī)SVI虛擬網(wǎng)關(guān)。

S3760>en //進(jìn)入特權(quán)模式

S3760#conf t //進(jìn)入全局模式

S3760 （config）#hS3 //將交換機(jī)命名為S3

S3（config）#int f 0/23 //進(jìn)入交換機(jī)S3端口23

S3（config-if）#sw mode trunk //將端口設(shè)置為trunk模式

S3（config-if）#exit

S3（config）#vl9 //在交換機(jī)S3上創(chuàng)建vlan9

S3（config-vlan）#vl10 //在交換機(jī)S3上創(chuàng)建vlan10

S3（config-vlan）#vl11 //在交換機(jī)S3上創(chuàng)建vlan11

S3（config-vlan）#exit

S3（config）#intvl 2 //進(jìn)入vlan 2

S3（config-if）#ip add 172.16.9.254 255.255.255.0 // 設(shè)置vlan 9網(wǎng)關(guān)的IP地址

S3（config-if）#no shutdown //激活虛擬接口vlan9

S3（config-if）#exit

S3（config）#intvl 3 //進(jìn)入vlan 3

S3（config-if）#ip add 172.16.10.254 255.255.255.0//設(shè)置vlan 10網(wǎng)關(guān)的IP地址

S3（config-if）#no shutdown //激活虛擬接口vlan10

S3（config-if）#exit

S3（config）#intvlan 4 //進(jìn)入vlan 4

S3（config-if）#ip add 172.16.11.254 255.255.255.0//設(shè)置vlan 11網(wǎng)關(guān)的IP地址

S3（config-if）#no shutdown //激活虛擬接口vlan11

（4） 測(cè)試。

在PC1上ping PC2的IP地址，PC1上ping PC3的IP地址和PC2上ping PC3的IP地址，結(jié)果都是連通，表明三層交換機(jī)可以不同VLAN間的通信。

2.4 利用單臂路由實(shí)現(xiàn)VLAN間的安全通信

2.4.1 拓?fù)浣Y(jié)構(gòu)

如下圖2所示的拓?fù)浣Y(jié)構(gòu)是一臺(tái)二層交換機(jī)和一臺(tái)路由器，在二層交換機(jī)上配置VLAN9、VLAN10、VLAN11，將端口F0/1～F0/5、F0/7～F0/14、F0/15～F0/20劃分到這3個(gè)VLAN中，二層交換機(jī)F0/23口和路由器的F0/0相連接，在路由器的物理端口上劃分子端口，配置IP地址并封裝802.1q協(xié)議，通過對(duì)路由器使用單臂路由技術(shù)實(shí)現(xiàn)VLAN間的通信。

2.4.2 項(xiàng)目的IP地址分配

2.4.3 網(wǎng)絡(luò)連接和命令配置

（1） 組網(wǎng)。按照?qǐng)D2所示的網(wǎng)絡(luò)規(guī)劃拓?fù)溥B線，組建網(wǎng)絡(luò)。

（2） 配置二層交換機(jī)。

S2126>en //進(jìn)入特權(quán)模式

S2126#conf terminal //進(jìn)入全局模式

S2126 （config）#h S5 //將交換機(jī)命名為S5

S5 （config）#vl 9 //在交換機(jī)S5上創(chuàng)建vlan 9

S5 （config-vlan）#vl 10 //在交換機(jī)S5上創(chuàng)建vlan 10

S5 （config-vlan）#vl 11 //在交換機(jī)S5上創(chuàng)建vlan 11

S5 （config-vlan）#exit

S5 （config）#int r f 0/1-5 //進(jìn)入交換機(jī)S5端口1-5

S5 （config-if）# sw a vl 9 //將端口分配到vlan 9

S5 （config-if）#exit

S5 （config）#int r f 0/7-14

//進(jìn)入交換機(jī)S5端口7-14

S5 （config-if）#sw a vl 10 //將端口分配到vlan 10

S5 （config-if）#exit

S5 （config）#int r f 0/15-20

//進(jìn)入交換機(jī)S5端口15-20endprint

S5 （config-if）#sw a vl 11 //將端口分配到vlan 11

S5 （config-if）#ex

S5 （config）#int f 0/23 //進(jìn)入交換機(jī)S5端口23

S5 （config-if）#sw mode trunk //將端口設(shè)置為trunk模式

（3） 配置路由器設(shè)備。

Router1700>en //進(jìn)入#模式

Router1700#conf t //進(jìn)入全局配置模式

Router1700 （config）#hR5 //將路由器命名為R5

R5（config）#int f0/0 //進(jìn)入F0/0端口

R5（config-if）#no shut //開啟路由器端口

R5（config-if）#ex

R5（config）#int f 0/0.4//進(jìn)入路由器子端口F0/0.4

R5（config-subif）#encapsulation dot1Q 9

// 配置VLAN封裝標(biāo)識(shí)，封裝802.1Q協(xié)議同時(shí)指定VLAN 9

R5（config-subif）#ip ad 172.16.9.254 255.255.255.0

//指定子端口F0/0.4的IP地址

R5（config-subif）#no shut //激活路由器子端口

R5（config-subif）#exit

R5（config）#int f 0/0.5//進(jìn)入路由器子端口F0/0.5

R5（config-subif）#encapsulation dot1Q 10

// 配置VLAN封裝標(biāo)識(shí)，封裝802.1Q協(xié)議同時(shí)指定VLAN 10

R5（config-subif）#ip ad 172.16.10.254 255.255.255.0

//指定F0/0.5子端口的IP地址

R5（config-subif）#no shut //激活路由器子端口

R5（config-subif）#exit

R5（config）#int f0/0.6//進(jìn)入路由器子端口F0/0.6

R5（config-subif）#encapsulation dot1Q 11

// 配置VLAN封裝標(biāo)識(shí)，封裝802.1Q協(xié)議同時(shí)指定VLAN 11

R5（config-subif）#ip ad 172.16.11.254 255.255.255.0

//指定子端口F0/0.6的IP地址

R5（config-subif）#no shut //激活路由器子端口

（4） 測(cè)試。在路由器上使用show ip route查看路由表，得到在路由器里有三條直連路由，分別是連接在子接口F0/0.4的172.16.9.0網(wǎng)段，子接口F0/0.5的172.16.10.0網(wǎng)段和子接口F0/0.6的172.16.11.0網(wǎng)段。在PC1上分別ping PC2和PC3，結(jié)果是連通的，說明路由器能實(shí)現(xiàn)VLAN間的互通。

3 結(jié)束語

本文對(duì)不同VLAN之間的相互通信進(jìn)行了研究，文中采用了兩種方法實(shí)現(xiàn)，分別就三層交換機(jī)法和單臂路由法進(jìn)行了詳細(xì)的實(shí)驗(yàn)證明，三層交換機(jī)是使用SVI實(shí)現(xiàn)，單臂路由是使用子端口實(shí)現(xiàn)，雖然方法不同，但互聯(lián)互通的結(jié)果相同。

參考文獻(xiàn)：

[1] 汪雙頂，余明輝.網(wǎng)絡(luò)組建與維護(hù)技術(shù)[M].人民郵電出版社，2014.

[2] 銳捷網(wǎng)絡(luò).網(wǎng)絡(luò)互聯(lián)與實(shí)現(xiàn)[M].北京：北京希望電子出版社，2006.

[3] 朱曄.基于DHCP和SVI的三層網(wǎng)絡(luò)架構(gòu)[J].軟件導(dǎo)刊，2013（8）：122-123.

[4] 唐燈平.基于Packet Tracer的混合路由協(xié)議仿真通信實(shí)驗(yàn)[J].武漢工程職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2011（6）：33-37.endprint