上一章节我们介绍了VLAN的原理，交换机是如何转发带有VLAN的数据帧的？一文带你搞懂VLAN技术原理。知道了VLAN可以隔离二层广播域，属于不同VLAN的用户之间不能进行二层通信。
但是在实际应用中往往要求实现不同VLAN之间的主机通信，那么如何实现vlan间的通信呢？
可以借助三层路由将报文从一个VLAN转发到另外一个VLAN。
VLAN路由可以通过二层交换机配合路由器来实现，也可以通过三层交换机来实现。
正文
下面我们介绍下3种方法实现vlan间的通信。
1通过路由器为每个VLAN分配一个物理接口实现VLAN间通信
实现方法：在路由器上为每个VLAN分配一个单独的接口，并使用一条物理链路连接到二层交换机上。
当VLAN间的主机需要通信时，数据会经由路由器进行三层路由，并被转发到目的VLAN内的主机，这样就可以实现VLAN之间的相互通信。
优点：配置维护简单；
缺点：
成本太高，每增加一个vlan就需要一个端口和一条物理链路，浪费资源；
可扩展性差，当vlan增加到一定数量后，路由器上可能没有那么多端口支撑；
某些VLAN之间的主机可能不需要频繁进行通信，每个vlan占用一个端口会导致路由器的接口利用率很低。
因此，实际应用中不会采用这种方案来解决VLAN间的通信问题。
2单臂路由实现VLAN间通信
实现方法：
在交换机和路由器之间仅使用一个端口+一条物理链路连接。
一个物理端口上设置多个逻辑子接口的方式实现不同vlan间通信。
配置思路：
在交换机上，把连接到路由器的端口配置成Trunk类型的端口，并允许相关VLAN的帧通过。
在路由器上需要创建子接口，逻辑上把连接路由器的物理链路分成了多条。一个子接口代表了一条归属于某个VLAN的逻辑链路。
配置子接口时，需要注意以下几点：
必须为每个子接口分配一个IP地址。该IP地址与子接口所属VLAN位于同一网段。
需要在子接口上配置802.1Q封装，来剥掉和添加VLAN Tag，从而实现VLAN间互通。
在子接口上执行命令arp broadcast enable使能子接口的ARP广播功能。
本例中，主机A发送数据给主机B时，RTA会通过G0/0/1.1子接口收到此数据，然后查找路由表，将数据从G0/0/1.2子接口发送给主机B，这样就实现了VLAN2和VLAN3之间的主机通信。
优点：节省端口和物理链路，成本低，可扩展性好，端口利用率高；
缺点：配置复杂；
3Vlanif接口实现VLAN间互通
实现方法：
在三层交换机上配置VLANIF接口来实现VLAN间路由。
如果网络上有多个VLAN，则需要给每个VLAN配置一个VLANIF接口，并给每个VLANIF接口配置一个IP地址。
用户设置的缺省网关就是三层交换机中VLANIF接口的IP地址。

上一章节我们介绍了VLAN的原理，交换机是如何转发带有VLAN的数据帧的？一文带你搞懂VLAN技术原理。知道了VLAN可以隔离二层广播域，属于不同VLAN的用户之间不能进行二层通信。
但是在实际应用中往往要求实现不同VLAN之间的主机通信，那么如何实现vlan间的通信呢？
可以借助三层路由将报文从一个VLAN转发到另外一个VLAN。
VLAN路由可以通过二层交换机配合路由器来实现，也可以通过三层交换机来实现。
正文
下面我们介绍下3种方法实现vlan间的通信。
1通过路由器为每个VLAN分配一个物理接口实现VLAN间通信
实现方法：在路由器上为每个VLAN分配一个单独的接口，并使用一条物理链路连接到二层交换机上。
当VLAN间的主机需要通信时，数据会经由路由器进行三层路由，并被转发到目的VLAN内的主机，这样就可以实现VLAN之间的相互通信。
优点：配置维护简单；
缺点：
成本太高，每增加一个vlan就需要一个端口和一条物理链路，浪费资源；
可扩展性差，当vlan增加到一定数量后，路由器上可能没有那么多端口支撑；
某些VLAN之间的主机可能不需要频繁进行通信，每个vlan占用一个端口会导致路由器的接口利用率很低。
因此，实际应用中不会采用这种方案来解决VLAN间的通信问题。
2单臂路由实现VLAN间通信
实现方法：
在交换机和路由器之间仅使用一个端口+一条物理链路连接。
一个物理端口上设置多个逻辑子接口的方式实现不同vlan间通信。
配置思路：
在交换机上，把连接到路由器的端口配置成Trunk类型的端口，并允许相关VLAN的帧通过。
在路由器上需要创建子接口，逻辑上把连接路由器的物理链路分成了多条。一个子接口代表了一条归属于某个VLAN的逻辑链路。
配置子接口时，需要注意以下几点：
必须为每个子接口分配一个IP地址。该IP地址与子接口所属VLAN位于同一网段。
需要在子接口上配置802.1Q封装，来剥掉和添加VLAN Tag，从而实现VLAN间互通。
在子接口上执行命令arp broadcast enable使能子接口的ARP广播功能。
本例中，主机A发送数据给主机B时，RTA会通过G0/0/1.1子接口收到此数据，然后查找路由表，将数据从G0/0/1.2子接口发送给主机B，这样就实现了VLAN2和VLAN3之间的主机通信。
优点：节省端口和物理链路，成本低，可扩展性好，端口利用率高；
缺点：配置复杂；
3Vlanif接口实现VLAN间互通
实现方法：
在三层交换机上配置VLANIF接口来实现VLAN间路由。
如果网络上有多个VLAN，则需要给每个VLAN配置一个VLANIF接口，并给每个VLANIF接口配置一个IP地址。
用户设置的缺省网关就是三层交换机中VLANIF接口的IP地址。

目录

前言

通过多臂路由器实现VLAN间的三层通信

第一阶段

第二阶段

通过单臂路由器实现VLAN间的三层通信

第一阶段

第二阶段

前言

我们知道属于同一VLAN的计算机之间是可以进行二层通信的，属于不同VLAN的计算机之间是无法进行二层通信的。

虽然，属于不同VLAN的计算机之间是无法进行二层通信，但是这并不是说，这些计算机之间就没有办法进行通信了。事实上，这些计算机之间完全可以进行正常的通信，只不过它们之间的通信不是二层通信，而是三层通信。

通过多臂路由器实现VLAN间的三层通信

如图所示，3台交换机和四台PC机组成了一个交换网络，在此网络上划分了两个基于端口的VLAN，分别为VLAN10和VLAN20，其中PC1和PC2属于VLAN10，PC3和PC4属于VLAN20。

在图中，PC1与PC4之间是无法进行任何通信的，这是因为PC1和PC4属于不同的VLAN，所以它们之间无法进行二层通信；同时，由于它们之间目前尚未存在一个“三层通信”，所以它们之间也无法进行三层通信。



那么，如何才能在PC1和PC4之间实现三层通信呢？

方法之一便是引入一台路由器。路由器的作用实质上就是在不同的二层网络（二层广播域）之间建立起三层通道。不同的VLAN其实就是不同的二层网络（二层广播域），所以路由器当然也可以在不同的VLAN之间建立起三层通道。

如图所示的网络中引入一台路由器R，便可以得到如下图所示的网络，我们可以看到，路由器R的GE0/0/0接口与交换机S1的属于VLAN10的D1端口相连，路由器R的GE2/0/0接口与交换机S1的D2端口相连。

需要特别说明的是，与PC的接口一样，路由器R的GE1/0/0接口和GE2/0/0接口都是不能发送和接收Tagged VLAN帧的。另外，如图所示中，路由器R分别从GE1/0/0接口和GE2/0/0接口各自引入了一条物理链路，每条物理链路可以被形象的称为路由器的一条“手臂”， 所以这里的路由器R也被常常形象的称为“双臂路由器”，或者泛泛的称为“多臂路由器”。



接下来，我们通过一个例子来说明PC1和PC4是如何实现三层通信的，也就是说，PC1是如何将一个名为P的IP报文成功的发送给PC4。还是以上图为例子，在图中，交换机的Access端口有：S2的D1端口和D2端口，S3的D1端口和D2端口，S1的D1端口和D2端口。交换机的Trunk端口有S2的D3端口，S3的D3端口，S1的D3端口和D4端口。

第一阶段

首先，P是在PC 1 的网络层形成的，P的目的IP地址为192.168.200.40，源IP地址为192.168.100.10，然后根据P的目的IP地址，PC1会进行IP路由表的查询工作（展示了R、PC1、PC4的简化的IP路由表）。PC1的IP路由表中有两条路由，其中一条为缺省路由。显然，P的目的IP地址192.168.200.40只能匹配上那条缺省路由，该路由的出接口为PC 1的Ethernet0/0/1接口，下一跳IP地址为路由器R的GE1/0/0接口的IP地址192.168.100.1（路由器R的GE1/0/0也因此称为是192.168.100.0/24或者是VLAN10 的缺省网关）。

于是，根据这条缺省路由的指示，P会被下发至PC 1的Ethernet0/0/1接口，并被封装成一个帧。假设这个帧取名为X，那么X帧的载荷数据就是P，X帧的类型字段的值为0x0800，X帧的源MAC地址为PC1的Ethernet0/0/1接口的MAC地址，X帧的目的MAC地址为路由器R的GE1/0/0接口的MAC地址（如果PC1在自己的ARP缓存表中查询不到IP地址为192.168.100.1所对应的MAC地址，就应该通过ARP机制去获取该MAC地址）。注意，此时的X帧是一个不带VLAN Tag的帧。

接下来，PC 1会从Ethernet0/0/1接口将Untagged X发送出去。X帧从S2的D1端口进入S2后，会被添加上VLAN10的Tag，并且这个Tagged X帧会被S2转发至S1，S1会将Tagged X帧的Tag去掉，然后将它从自己的D1端口转发出去。

路由器R的GE1/0/0接口在收到S1转发过来的Untagged X帧后，会将Untagged X帧的目的MAC地址与自己的MAC地址进行比较。由于这两个MAC地址是相同的，所以R的GE1/0/0接口会根据这个帧的类型字段值0x0800将这个帧的数据载荷（也就是P）上送给R的三层IP模块。R的IP模块收到P后，会根据P的目的IP地址192.168.200.40查询自己的IP路由表。显然，192.168.200.40这个IP地址只与IP路由表中的第二条路由匹配，该路由的出接口为GE2/0/0接口，下一跳IP地址是GE2/0/0接口的IP地址（这说明P要去往的目的网络是与GE2/0/0接口直接相连的）。

第二阶段

于是，根据这条路由的指示，P会被下发至R的GE2/0/0接口，并被封装成一个帧。假设这个帧取名为Y，那么Y帧的数据载荷就是P，Y帧的类型字段的值为0x0800，Y帧的源MAC地址为GE 2/0/0接口的MAC地址，Y帧的目的MAC地址为P的目的IP地址192.168.200.40所对应的MAC地址，（如果R在自己的ARP缓存表中查找不到IP地址为192.168.200.40所对应的MAC地址，就应该通过GE2/0/0接口向外发送ARP请求来获取该MAC地址）。注意，此时的Y帧是一个不带VLAN Tag的帧。

R通过其GE2/0/0接口将Untagged Y帧发送出去。Untagged Y帧从S1的D2端口进入S1后，会被添加上VLAN 20的Tag，并且这个Tagged Y帧会从S1转发至S3。S3会将Tagged Y帧的Tag去掉，然后将它从自己的D2端口转发出去。

PC4的Ethernet 0/0/1接口在收到S3转发过来的Untagged Y帧后，会将Untagged Y帧的目的MAC地址与自己的MAC地址进行比较。由于这两个MAC地址是相同的，所以PC4的Ethernet0/0/1接口会根据这个帧的类型字段值0x0800将这个帧的数据载荷（也就是P）上送给PC4的位于三层的IP模块。

至此，源于PC1的三层IP模块的IP报文P便可以成功的到达了PC4的三层IP模块，属于VLAN 10的PC1与属于VLAN 20的PC4之间成功的进行了一次三层通信。

细心的童鞋可能已经发现，图中的网络中，路由器R与交换机S1之间存在一个物理环路。针对这个物理环路，假设这个网络没有划分VLAN，同时也假设所有的交换机都没有运行STP，那么，当PC1发送出一个广播帧后，这个广播帧会因为R与S1之间的物理环路而导致广播风暴的产生吗？正确答案应该是不会产生广播风暴的。

通过单臂路由器实现VLAN间的三层通信

VLAN间的三层通信可以通过多臂路由器来实现，但是这种实现方法面临的一个主要问题是：每一个VLAN都需要占用路由器上的物理接口（也就是说，每一个VLAN都需要路由器从一个物理接口伸出一只手臂来），如果VLAN数目众多，就需要占用大量的路由器接口。事实上，路由器的物理接口资源是非常宝贵而稀缺的，一台路由器上的物理接口数量通常都是非常有限的，无法支持数量较多的VLAN。实际的网络部署中，几乎都不会通过多臂路由器来实现VLAN间的三层通信。

为了节省路由器的物理接口资源，我们还可以通过采用单臂路由器的方法来实现VLAN间的三层通信。采用这种方法时，必须对路由器的物理接口进行“子接口（Sub-Interface）”划分。一个路由器的物理接口可以划分为多个子接口，不同的子接口对应了不同的VLAN。这些子接口的MAC地址均为“衍生”出它们的那个物理接口的所对应的那个VLAN的缺省网关地址。子接口时一个逻辑上的概念，所以子接口也常常被称为虚接口。

如图所示，路由器R的物理接口GE1/0/0被划分成了两个子接口，分别为GE1/0/0.1，GE1/0/0.2，GE1/0/0.1对应VLAN10，GE1/0/0.2对应了VLAN20。GE1/0/0.1的IP地址为192.168.100.1/24，也就是VLAN 10的缺省网关地址；GE1/0/0.2的IP地址为192.168.200.1/24，也就是VLAN 20的缺省网关地址；GE1/0/0.1的MAC地址和GE1/0/0.2的MAC地址是一样的，都是物理接口GE1/0/0的MAC地址。

注意，在图中，交换机的Access端口有：S2的D1端口和D2端口，S3的D1端口和D2端口。交换机的Trunk端口有：S2的D3端口，S3的D3端口，S1的D3端口，D2端口和D1端口。属于VLAN 10的帧和属于VLAN 20的帧都需要被允许通过S1的D1端口。S1与R之间的链路是一个VLAN Trunk链路，该链路上运动的帧必须是带有VLAN Tag的。这也意味着，子接口GE1/0/0.1或者GE1/0/0.2向外发送的帧也必须是带有VLAN Tag的。



接下来，我们还是可以通过一个例子来说明图中的PC 1和PC 4之间是如何实现三层通信的，也就是说，PC 1是如何将一个名为P的IP报文成功的发送给PC 4的。

第一阶段

首先，P是在PC 1的网络层形成的，P的目的IP地址为192.168.200.40，源IP地址为192.168.100.10。然后，根据P的目的IP地址，PC 1会进行IP路由表的查询工作。PC 1的IP路由表中有两条路由，其中一条为缺省路由。显然，P的目的IP地址192.168.200.40只能匹配上那条缺省路由，该路由的出接口为PC 1的Ethernet0/0/1接口，下一跳IP地址为路由器R的GE1/0/0.1子接口的IP地址192.168.100.1（路由器R的GE1/0/0.1子接口也因此被称为是192.168.100.0/24或者VLAN 10的缺省网关）。

于是，根据这条缺省路由的指示，P会被下发至PC 1的Ethernet 0/0/1接口，并被封装成一个帧。假设这个帧取名为X，那么X帧的载荷数据就是P，X帧的类型字段的值为0x0800，X帧的源MAC地址为PC 1的Ethernet 0/0/1接口的MAC地址，X帧的目的MAC地址为路由器R的GE1/0/0.1子接口的MAC地址（如果PC 1在自己的ARP缓存表中查找不到IP地址为192.168.100.1所对应的MAC地址，就应该通过ARP机制去获取该MAC地址）。注意，此时的X帧是一个不带VLAN Tag的帧。

接下来，PC 1会从Ethernet 0/0/1接口将Untagged X帧发送出去。Untagged X帧从S2的D1端口接入S2后，会被添加上VLAN 10的Tag，并且这个帧的类型字段的值是0x0800，于是子接口GE1/0/0.1会将这个帧的载荷数据（也就是P）上送给路由器R的三层IP模块。

路由器R的IP模块收到P后，会根据P的目的IP地址192.168.200.40查询自己的IP路由表。显然，192.168.200.40这个IP地址只与IP路由表中的第二条路由匹配，该路由的出接口为子接口GE1/0/0.2，下一跳IP地址是子接口GE1/0/0.2的IP地址（这说明P要去去往目的未来是与子接口GE1/0/0.2直接相连的）。

第二阶段

于是，根据这条路由的指示，P会被下发至R的GE1/0/0.2子接口，并被封装成一个帧。假设这个帧取名为Y，那么Y帧的载荷数据就是P，Y帧的类型字段的值为0x0800，Y帧的源MAC地址为子接口GE1/0/0.2的MAC地址，Y帧的目的MAC地址为P的目的IP地址下192.168.200.40所对应的MAC地址（如果R在自己的ARP缓存表中查找不到IP地址192.168.200.40所对应的MAC地址，就应该通过子接口GE1/0/0.2向外发送ARP请求来获取该MAC地址）。注意，Y帧还必须带上VLAN 20的Tag。

路由器R将Tagged Y帧从其子接口GE1/0/0.2发送出去之后（从物理直观上讲，就是从GE1/0/0这个物理接口发送出去），该Tagged Y帧会到达交换机S3的D2端口。然后，S3会将Tagged Y帧的Tag去掉，然后将它从自己的D2端口转发出去。

PC 4的Ethernet 0/0/1接口在收到S3转发过来的Untagged Y帧后，会将Untagged Y帧的目的MAC地址与自己的MAC地址进行比较。由于这两个MAC地址是相同的，所以PC 4的Ethernet0/0/1接口会根据这个帧的类型字段值0x0800将这个帧的数据载荷（也就是P）上送给PC 4的位于三层的IP模块。

至此，源于PC 1的三层IP模块的IP报文P便可以成功的到达了PC 4的三层IP模块，属于VLAN 10的PC 1与属于VLAN 20的PC4之间成功的进行了一次三层通信。

 

一。通过多臂路由实现VLAN间的三层通信

路由器的作用实质上就是在不同的二层网络（二层广播域）之间建立三层通道。不同的VLAN其实就是不同的二层网络（二层广播域），所有路由器当然也可以在不同的VLAN之间建立起三层通道。

但是这种方法面临着一个主要的问题：每一个VLAN都需要占用路由器上的一个物理接口（及每一个VLAN都需要路由器从一个物理接口伸出一只手臂来），如果VLAN数目众多，就需要占用大量的路由器接口。所以，在实际的网络部署中，几乎都不会通过多臂路由器来实现VLAN间的三层通信。

二。通过单臂路由器实现VLAN间的三层通信

采用这种方法时，必须对路由器的物理接口进行“子接口”划分。一个路由器的物理接口可以划分为多个子接口，不同的子接口对应了不同的VLAN。这些子接口的MAC地址均为“衍生”出它们的那个物理接口的MAC地址，但是它们的IP地址各不相同。一个子接口的IP地址应该配置为该子接口所对应的那个VLAN的缺省网关地址。

子接口是一个逻辑上的概念，所以子接口也常备称为虚接口。

三。通过三层交换机实现VLAN间的三层通信

通过单臂路由器来实现VLAN间的三层通信时，可以节约路由器的物理接口资源；但是，如果VLAN数量众多，VLAN间的通信流量很大时，单臂链路所能提供的带宽就有可能无法支撑这些通信流量。此外，如果单臂链路一旦发生中断，则所有VLAN间的通信便会随之中断。

把交换机上的端口称之为二层端口（或：二层口）；把路由器或计算机上的接口称为三层接口（或：三层口）。

二层口的行为特征与三层口的行为特征之间的差异：

（1）二层口只有MAC地址，没有IP地址；三层口既有MAC地址，又有IP地址。

（2）设备的某个二层口在接收到一个广播帧后，会将这个广播帧从该设备的其他所有二层口泛洪出去。

（3）设备的某个三层口在接收到一个广播帧后，会根据这个广播帧的类型字段的值将这个广播帧的载荷数据上送至该设备第三层的相应模块去处理。

（4）设备的某个二层口在接收到一个单播帧后，该设备会在自己的MAC地址表中查找这个帧的目的MAC地址。如果查不到这个MAC地址，该设备就会将这个帧从其他所有二层口泛洪出去；如果查到这个MAC地址，则比较MAC地址表项所指示的那个二层口是不是这个帧进入该设备时所通过的那个二层口。如果是，该设备会将该帧直接丢弃；如果不是，设备会将这个帧从MAC地址表项所指示的那个二层口转发出去。

（5）设备的某个三层口在接收到一个单播帧后，会比较这个帧的目的MAC地址是不是该三层口的MAC地址。如果不是，则会直接将这个帧丢弃；如果是，则根据这个帧的类型字段的值将这个帧的载荷数据上送至该设备的第三层的幸运模块进行处理。

交换机与路由器的差异：

（1）交换机的端口都是二层口，一台交换机的不同二层口之间只存在二层转发通道，不存在三层转发通道。交换机内部存在MAC地址表，用来进行二层转发。交换机内部不存在IP路由表。

（2）路由器的端口都是三层口，一台路由器的不三层口之间只存在三层转发通道，不存在二层转发通道。路由器内部存在IP路由表，用以进行三层转发。路由器内部不存在MAC地址表。

三层交换机：

三层交换机的原理性定义是：三层交换机时二层交换机与路由器的一种集成形式，它除了可以拥有一些二层口外，还可以拥有 一些“混合端口”（或称为混合口）。混合口既具有二层口的行为而特征，同时又具有三层口的行为特征。一台三层交换机上，不同的混合口之间同时存在一个二层转发通道和三层转发通道，不同的二层口之间只存在二层转发通道，一个混合口与一个二层口之间也只存在二层转发通道。三层交换机内既存在MAC地址表，用以进行二层转发，由存在IP路由表，用以进行三层转发。一台三层交换机上可以只有混合口，而无二层口。一台三层交换机上也可以只有二层口，而无混合口。（此时的三层交换机完全退化成了一个二层交换机）。