華為-VLAN間路由：VLANIF+單臂路由(子接口)

前言

之前已經講解過了思科交換機的VLAN間路由以及路由器與二層交換機組網的單播路由形式【子接口】，這次主要講解華為上面的VLAN間路由的配置，以及單臂路由的組網方式。華為的三層VLAN接口，就叫做VLANIF接口，思科的叫SVI。

實驗1-SVI

拓撲

這種拓撲比較主流的應用，就是用三層交換機來做VLAN間的路由，客戶端在VLAN 10，而服務器在VLAN 20，這里就是讓它們能夠正常訪問到。

實驗的目的二層交換機配置

三層交換機配置以及VLANIF接口配置

驗證

總結VLANIF?up以及華為交換機需要注意的地方

設備配置

(1)左邊二層交換機配置

【創建VLAN】

【連接PC的接口配置】

【上聯三層交換機接口的配置】

(2)右邊二層交換機配置

【vlan配置】

【連接PC的接口配置】

【說明：這里用的是hybrid方式，等同于Access defualt vlan 20 ，這里只是演示下。】

【上聯三層交換機接口的配置】

【總結下：這里配置左邊交換機用的傳統的配置方法，一個是接PC的用的，用的Access接口，華為默認為hybrid，所以需要修改下，其實這個環境接三層交換機可以不用trunk，直接用Access就行了， 因為交換機下面就一個VLAN。而右邊交換機的配置接服務器的我用的是另外一種方式hybrid，它接口下的配置等同于access defalt vlan 20。】

(3)三層交換機配置以及VLANIF接口配置

【創建VLAN 】

【與左邊二層交換機對接的接口】

【與右邊二層交換機對接的接口】

說明下，其實這里用hybrid Access 或者trunk都可以的，只要理解了對VLAN Tag的處理過程，可以靈活應用，當然平時建議兩邊一致，用常規的方法就可以了，這里只是變化下，順便增加下大家對于接口類型的理解。處理過程在后面分析

【VLAN接口創建】

(4)驗證

說明下：PC的IP地址為192.168.1.2，服務器的為192.168.2.2

可以看到訪問服務器沒任何問題

訪問FTP也沒任何問題

(5)說明下整個數據包在交換機之間傳遞過程的變化。

client訪問服務器，發送數據包，經過LSW1交換機的E0/0/1接口，E0/0/1接口是Access接口，指定VLAN 為10，那么數據包給打上了VLAN 10的標記，然后查找目的MAC的出接口走E0/0/2，由于E0/0/2是trunk，trunk對數據包的TAG除了VLAN ID與PVID一樣的時候會去掉Tag，其他時候保持不變轉發【前提是允許該VLAN通過了】

這時候數據包已經轉發給三層交換機LSW3了，G0/0/1接口也是trunk，那么對應VLAN 10的Tag允許通過，這時候LSW3查找數據包的目的MAC訪問的是自己，那么它會解封裝查看三層信息，查看三層包的目的地址是多少，發現是服務器，它會通過查找自己的ARP表項重新把數據包封裝，這時候的源MAC地址已經變成了VLAN 20的VLANIF的MAC，而目的MAC為服務器【這里省略了ARP查詢過程，另外服務器在VLAN 20上面，所以源MAC為網關的MAC】，這時候在發包，出接口為G0/0/2，這時候G0/0/2的接口是hybrid接口，配置是允許了tag 20的VLAN通過的，所以數據包會交給LSW3交換機的E0/0/1接口接收，該接口是trunk接口，并且允許了VLAN20通過，所以對不做任何修改，然后查看MAC地址表走E0/0/2出去，E0/0/2是hybrid接口，它上面是對VLAN 20的Tag，去掉的，也就是不打VLAN TAG，因為下面的是服務器，如果沒開啟特別功能，服務器是不識別Tag的。就這樣把數據包發送給服務器，所以對于接口類型的理解一定要知道他們對數據包的處理過程是怎么樣的。

至于回包的過程是一樣的，這里就不詳細講解，但是說明下，服務器連接的接口是hybrid接口，而且規定是VLAN 20,但是配置里面就兩條，一個是PVID 為20，另外一個是對VLAN 20去掉Tag，所以給它打上VLAN 20標記的功能是通過PVID來完成的，PVID的作用是當交換機收到一個沒有Tag的幀的時候，給它打上該接口定義的PVID，默認為VLAN 1,這里定義為VLAN 20，所以它才屬于VLAN 20。

實驗2—單臂路由(子接口方式)

拓撲

說明，這種場景比較適合，出口是一臺華為的路由器或者防火墻，而下面只有二層交換機，沒有三層交換機，所以這里必須用單臂路由方式來用，其實還有一種拓撲，比較推薦，跟這個一樣，但是路由器是多業務的，支持交換接口，那么完全可以把它當成一臺三層交換機一樣，配置trunk，VLANIF地址這樣來訪問。

設備配置

(1)二層交換機配置

【之前左邊交換機只是把PC劃分到了VLAN 10，但是服務器現在也在該交換機上面需要創建VLAN 20并且加入，而且trunk要放行對應的流量】

【trunk這里在允許VLAN 20即可，之前已經允許過VLAN 10了】

(2)路由器配置配置

【說明：華為的接口默認是no shudown的，所以不需要敲，另外封裝dot1q就可以了，指定對應的VLAN ID，然后配置IP地址】

注意

說明：配置ARP 廣播是因為路由器的接口隔離廣播域，每一個接口就是一個廣播域，而ARP報文只能在同一個廣播域泛洪，所以要開啟ARP廣播。

(4)驗證

再次Ping還是可以訪問

實驗3—單臂路由(多ip方式)

拓撲

這種環境比較特殊，就是只有一個路由器是可管理的，但是下面的交換機是傻瓜式交換機，但是你領導有個特別的需求，希望服務器跟PC的網段的劃分開，這時候就需要用到第二地址功能了。

總結

推薦的話還是用三層交換機來進行VLAN間路由，這樣效率高，也不容易造成網絡瓶頸，但是有些小環境，確實沒有三層交換機，只有二層交換機，所以可以用單臂路由的方式，當然如果是華為的AR系列，有二層接口的話，那么該路由器可以當做三層交換機使用，來做VLAN間轉發，可以中間鏈路可以做單臂路由。

作者微信公眾號

總結

以上是生活随笔為你收集整理的华为防火墙做单臂路由_华为-VLAN间路由：VLANIF+单臂路由（子接口）-释然的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。