1通過子接口實現 VLAN 間的互訪

在二層交換環境下，一個VLAN就是一個廣播域，相同VLAN內的節點如果配置相同網段的IP地址即可直接通信，我們將這種通信稱為二層通信。不同VLAN是不同的廣播域，一般也是不同的邏輯子網，而且相互隔離，無法直接互訪，這樣能起到隔絕廣播的作用，如上圖所示。

但是實際網絡中往往VLAN之間有互訪的需求，例如同一公司不同的部門劃分在不同的VLAN，那么如果這些部門之間有數據往來的需求呢，此時二層交換機就無法實現了，需要借助三層設備（路由設備）。一個的方法，就是使用路由器：

在上圖中，交換機將GE0/0/1及GE0/0/23口都配置為access類型并都加入VLAN10；將GE0/0/2及GE0/0/24都配置為access類型并都加入VLAN20。然后將路由器Router的GE0/0/1口作為VLAN10用戶的網關，GE0/0/2作為VLAN20用戶的網關，從而利用路由器的路由功能實現兩個VLAN之間的互訪，這么做看似可行，但是一個VLAN就需要路由器拿出一個接口，那么如果內網有10個VLAN呢？路由器表示鴨梨很大。所以另一種稍微改進點的方法是，在路由器的一個物理接口上，配置邏輯的子接口（Sub-interface）來實現同樣的需求，這種解決方案叫單臂路由。

交換機與路由器之間僅需一根物理鏈路即可，這段鏈路由于要承載多VLAN的數據，因此在交換機上就要將與路由器對接的接口（GE0/0/24）設置為Trunk類型。路由器這邊呢雖然只有一個物理接口（GE0/0/1）與交換機相連，但是我們可以基于這個物理接口創建多個子接口，子接口GE0/0/1.10對應VLAN10，它能夠識別VLAN10的標記，并且能夠處理帶VLAN10標記的數據幀，同理GE0/0/1.20對應VLAN20。如此一來，在路由器上僅使用一個物理接口，即可支持多個VLAN的數據。

子接口是一個軟件的、邏輯的接口，是基于物理接口創建的。路由器會把子接口當成是一個普通接口來對待。通過子接口的方式我們可以大大的節省硬件成本。

完成配置后，交換機連接PC的接口添加到相應的VLAN則PC即可互通。從上面這個碉堡的圖可以更加形象地理解子接口的概念，其實就是相當于在一個大管道里套著兩個小管道。值得注意的是一旦我們在物理接口上創建了子接口，那么后續的配置將不會再在物理接口上做，而是在子接口上進行，我們只要保證物理接口沒有被shutdown即可。

以太網子接口技術可部署在路由器上，也可以部署在防火墻上，我們來看一個例子。

站點內網有兩個VLAN，VLAN10及VLAN20。現在的需求是，要求VLAN10及VLAN20能夠實現互訪，而且互訪流量必須經過防火墻做安全檢查。VLAN10內的網元非常重要，屬于高安全級別的網絡，而VLAN20內的網絡則安全級別更低。

解決的辦法：

交換機工作在二層模式，連接終端的接口配置為access類型并且分別加入到相應的VLAN。同時交換機連接防火墻的接口GE0/0/24配置為Trunk類型并且放通VLAN10及VLAN20。

隨后在防火墻的GE0/0/1口上創建兩個子接口：GE0/0/1.10及GE0/0/1.20，子接口的配置如圖所示，這兩個子接口分別對應VLAN10及VLAN20。最后別忘了要將子接口添加到相應的安全域中，例如VLAN10這個網絡如果比較重要，則可將防火墻的GE0/0/1.10接口添加到高安全級別的區域，如Trust，而VLAN20可能需要接受來自外部的訪問，因此規劃在DMZ域，故將子接口GE0/0/1.20添加到DMZ區域。接下去就可以部署域間包過濾規則了。

2通過 vlan-interface 實現 VLAN 間的互訪

在理解了子接口之后，再來看看三層交換機是如何實現VLAN間的數據互訪的，從這里切入，開始理解并部署三層交換。我們知道二層交換機是可以實現二層交換的，它關心的是數據幀，對幀頭的二層信息進行讀取并且根據自己的MAC地址表進行轉發。而三層交換機相當于在二層交換機的基礎上，多了個路由模塊，于是乎它就能支持路由功能了：支持路由選擇協議、支持三層數據轉發、支持IP路由查找、支持三層接口等等。

先來認識一下vlan-interface（簡稱vlanif），這是一個邏輯接口，也就是說這并不是一個真實的物理接口，當我們在交換機上創建了一個VLAN之后，緊接著就可以創建一個與這個VLAN對應的vlanif，例如我們創建了VLAN10，那么VLAN10對應的vlanif就是interface vlanif 10，這個vlanif10是一個三層接口，你可以為這個vlanif10配置IP地址，與VLAN10內的PC用戶的IP地址同一網段，這樣一來，VLAN10內的用戶就能夠將網關指向這個vlanif，當VLAN10的PC需要訪問本網段以外的網絡時，它們將數據交給網關，也就是vlanif10，再由三層交換機去做路由查找及數據轉發。實際上，在這個理解過程中，我們可以拿單臂路由那個模型對類比。

所以看上面這圖，在三層交換機上創建了兩個VLAN：10和20，同時為兩個VLAN的vlanif分配了地址作為各自VLAN的用戶網關，這樣一來，這臺交換機的路由表里就有了兩個VLAN網段的路由。那么當兩VLAN之間要互訪時，VLAN10的用戶將數據丟給自己的網關，也就是vlanif10，數據到了vlanif10之后，三層交換機查看數據包的目的地址IP并在路由表中進行匹配，發現目的地是VLAN20的所在網段，因此將數據從VLAN20扔出去，最終抵達目的地的VLAN20的PC。

Vlanif的基礎配置：

SW的配置如下：

#創建VLAN10及20，將GE0/0/1劃分到vlan10，GE0/0/2劃分到vlan20：
[SW] vlan batch 10 20
[SW] interface GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1] port link-type access
[SW-GigabitEthernet0/0/1] port default vlan 10
[SW] interface GigabitEthernet 0/0/2
[SW-GigabitEthernet0/0/2] port link-type access
[SW-GigabitEthernet0/0/2] port default vlan 20

#為vlanif10及vlanif20配置IP地址，作為vlan10及vlan20用戶的網關
[SW] interface vlanif 10
[SW-vlanif10] ip address 192.168.10.254 24
[SW] interface vlanif 20
[SW-vlanif10] ip address 192.168.20.254 24

完成上述配置后，PC1將自己的IP地址設置在192.168.10.0/24網段，同時將網關配置為192.168.10.254；PC2的IP地址則配置在192.168.20.0/24，網關設置為192.168.20.254，兩者就能夠互相通信了。

二、三層交換機、路由器簡單組網：

PC1及PC2分別處于VLAN10及VLAN20，它們的缺省網關都設置在三層交換機SW2上。SW1是接入層交換機，只具備二層交換功能。SW2與路由器Router實現三層對接，用于兩者對接的VLAN是VLAN99。上述拓撲，我們可以畫一個邏輯圖來幫助理解：

SW1的配置如下：

[SW1] vlan batch 10 20
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 20

#連接SW2的接口，配置為Trunk類型
[SW1] interface GigabitEthernet 0/0/22   
[SW1-GigabitEthernet0/0/22] port link-type trunk
[SW1-GigabitEthernet0/0/22] port trunk allow-pass vlan 10 20

SW2的配置如下：

[SW2] vlan batch 10 20 99
[SW2] interface GigabitEthernet 0/0/22   #連接SW2的接口
[SW2-GigabitEthernet0/0/22] port link-type trunk
[SW2-GigabitEthernet0/0/22] port trunk allow-pass vlan 10 20
[SW2] interface GigabitEthernet 0/0/24   #連接路由器的接口
[SW2-GigabitEthernet0/0/24] port link-type access
[SW2-GigabitEthernet0/0/24] port default vlan 99
#
[SW2] interface vlanif 10
[SW2-vlanif10] ip address 192.168.10.254 24
[SW2] interface vlanif 20
[SW2-vlanif20] ip address 192.168.20.254 24
[SW2] interface vlanif 99
[SW2-vlanif99] ip address 192.168.99.1 24

#為SW2配置默認路由，下一跳是路由器
[SW2] ip route-static 0.0.0.0 0.0.0.0 192.168.99.2

Router的配置如下：

[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] ip address 192.168.99.2 24
#記得為路由器配置靜態路由指向vlan10及vlan20對應的網段，否則回程數據就會有問題：
[Router] ip route-static 192.168.10.0 24 192.168.99.1
[Router] ip route-static 192.168.20.0 24 192.168.99.1