任务描述

 某公司的管理员对部门划分了VLAN后，发现两个部门之间无法通信，但有时两个部门的员工需要进行通信，管理员现要通过简单的方法来实现此功能。划分VLAN之后， VLAN之间是不能通信的，使用路由器的单臂路由功能可以解决这个问题。

任务要求

（1）利用单臂路由实现部门间网络互访，网络拓扑图如图。

（2）在交换机SWA上划分VLAN及端口分配如表。

（3）路由器和PC机的端口详细参数见表

（4）在路由器上配置单臂路由实现两台计算机能正常通信

知识准备

1．单臂路由的原理

  单臂路由的原理是通过一台路由器，使VLAN间互通数据通过路由器进行三层转发。如果在路由器上为每个VLAN分配一个单独的路由器物理端口，随着VLAN数量的增加，必然需要更多的端口，而路由器能提供的端口数量比较有限，所以在路由器的一个物理端口上通过配置子端口(即逻辑端口)的方式来实现以一当多的功能。路由器同一物理端口的不同子端口作为不同 VLAN 的默认网关，当不同 VLAN间的用户主机需要通信时，只需将数据包发送给网关,网关处理后再发送至目的主机所在VLAN，从而实现 VLAN间通信。从拓扑结构图上看，在交换机与路由器之间，数据仅通过一条物理链路传输，故被形象地称为“单臂路由”。   VLAN能有效分割局域网，实现各网络区域之间的访问控制，但现实中，往往需要配置某些VLAN之间的互联互通。例如，某公司划分为领导层、销售部、财务部、人力部、科技部、审计部，并为不同部门配置了不同的VLAN，部门之间不能相互访问，有效保证了各部门的信息安全。但经常出现领导层跨越VLAN访问其他各个部门的情况，这个功能就由单臂路由来实现。   路由器一般是基于软件处理方式来实现路由的，存在一定的延时，难以达到线速交换。所以，随着VLAN通信流量的增多，路由器将成为通信的瓶颈，因此，单臂路由适用于通信流量较少的情况下。

2．单臂路由的相关配置

（1）创建子端口，并封装802.1Q协议。 创建子端口，并封装802.1Q协议，其命令格式如下：

其中，subinterface表示子端口，vlan_id表示VLANID号。 使用dotlq termination vid命令可配置子端口对一层tag报文的终结功能。即配置该命令后，路由器子端口在接收带有VLAN tag的报文时，将剥掉该报文开对其进行三层转发，在发送报文时，会将与该子端口对应VLAN的VLAN tag添加到报文中。 （2）开启子端口的 ARP广播功能。 开启子端口的ARP广播功能的命令格式如下：

使用arp broadcast enable命令可开启子端口的ARP报文广播功能。如果不配置该命令，将会导致子端口无法主动发送ARP广播报文，以及向外转发IP报文。

任务实施

1.参照图搭建网络拓扑，连线全部使用直通线，开启所有设备电源和为每一台计算机设置好相应的IP地址和子网掩码。

2.交换机SWA的基本配置。

3.路由器R1的基本配置。

4.在路由器R1上查看端口状态。

任务验收

1.使用display ip routing-table命令，查看路由器R1的路由表。观察路由表中是否已经有192.168.10.0/24和192.168.20.0/24路由条目。

2.PC1和PC2分别属于VLAN10和VLAN20，交换机SWA是一个二层交换机，为实现VLAN10和VLAN20中的计算机相互通信，要增加一个路由器来转发VLAN之间的数据包，路由器与交换机之间使用单条链路相连，这条链路又称主干（Trunk），所有数据包的进出都要通过路由器R1的GE0/0/0端口来实现数据转发。  当配置完以上命令时，再次查看网络拓扑图，可以发现链路中的红色标记已经变成了绿色。这时可以为计算机PC1用Ping命令去测试与PC2的连通性，结果发现它们之间是连通的，如图3.4.2所示。这说明路由器的单臂路由功能发挥了作用。

任务小结

（1）交换机与路由器相连的端口要设置成Trunk模式。

（2）路由器的端口不一定要在启动状态。 （3）配置路由器端口的子端口，同时要进行802.1q的协议封装和开启ARP广播功能。